Räkna med risk! Anne-Marie Eklund Löwinder Säkerhetschef,.SE amel@lowinder.se @amelsec https://www.iis.se
Det här är.se Stiftelsen för Internetinfrastruktur grundades 1997. Verka för positiv utveckling av Internet i Sverige..SE sköter administration och teknisk drift av det nationella domännamnsregistret under.se. 1 285 120 domännamn (2013-04-07) omkring 800-1000 nyregistreringar per dag. Ca 80 medarbetare. Ca 150 återförsäljare (Registrarer). Omsättning 2011: 111,5 Mkr 51,5 Mkr till Internetutveckling.SE står under tillsyn av: PTS genom Lagen om nationella toppdomäner på Internet i Sverige (SFS:2006:24). Länsstyrelsen genom Stiftelselagen. Certifierade enligt ISO 27000 Ledningssystem för informationssäkerhet.
Ingenting har gjort så mycket för säkerheten som Internet
Centrala betalningssystemet hjärtat i den svenska ekonomiska infrastrukturen Hjärta. Detta är skapat av Fibonacci.(CC BY-SA 3.0)
Betalningssystemet har starka beroenden, inte minst av Internet och el Stora betalningar Massbetalningar Internetbank Riksgälden är Internetbank åt svenska staten.
Säkerhetsarbetets delar Underrättelse och riskbedömning (att veta). Förebyggande och skadereducerande åtgärder (att skydda). Incidenthantering/krishantering och återställande (att leda och hantera).
De mest aktuella hoten eller egentligen vad påverkar oss mest just nu?
Hotbilden Angreppen blir mer avancerade dynamiska, smygande och slår framgångsrikt omkull traditionellt försvar som: Brandväggar IPS:er Antivirus Bryggor/gateways Domännamn används bara några få gånger - går under radarn för bland annat svartlistor och signaturbaserade filter.
Så vad händer? Massiv ökning av avancerad skadlig kod, plattformsoberoende e-post eller webbaserat. Mönstret för mängden attacker varierar starkt mellan olika branscher; hälso- och sjukvård och energisektorn har det jobbigt. Angripare använder kortlivade domäner för riktade phishingattacker via e-post. Variationen på skadliga bifogade bilagor ökar. Verksamheter med upphovsrättsskyddat material eller personuppgifter är de vanligast drabbade.
Varför? Användare fortsätter aningslöst att klicka på skadliga länkar. Skadlig kod inbäddad i webbtrafik (http) har visat sig särskilt effektivt för att ta sig igenom befintligt försvar. Som ett resultat av de båda ovan, eftersom angripare ser att deras taktik fungerar ökar antalet attacker kontinuerligt.
Informationssäkerhet 2013 Mobilitet Använd dina egna grejer (BYOD). Molntjänster Vad, hur och varför? Big data konsten att hitta och filtrera rätt information och konsten att utvinna information ur annan information.
Hur hanterar vi mobiliteten? Formulera en strategi! Varför vill vi öppna våra nätverk? För vad vill vi öppna våra nätverk? Upprätta en AAF (AUP) förbindelse om acceptabel användning. Autentisera användarens enhet. Installera fjärraderingsprogram. Överväg andra säkerhetsfunktioner.
Vågen av utkontraktering Molntjänster har både för- och nackdelar. Kraftigt centraliserad IT-drift i samhället innebär också en koncentration av risk. Ställer mycket höga krav på infrastrukturen i termer av robusthet och skalbarhet. Flera kunder drabbas samtidigt av ett enskilt driftsavbrott eller angrepp.
Fem frågor till ledningen
1. Har ni en riskkultur? Riskmedvetenhet och riskhantering är tydligt erkända värderingar Riskhanteringsarbetet drivs av ständigt lärande blame free Riskkultur Ansvaret för risk är tydligt Ledarna lever risk Riskhantering är integrerat i allt som görs
2. Vilken säkerhetspolicy har ni? Saknar ni en policy är det hög tid att formulera en den ska komma från styrelse och ledning och den ska omfatta strategisk riskhantering. Saknar någon viktig partner (infrastruktur, hosting, applikationer) policy kan det vara läge att dra öronen åt sig.
3. Hur hanteras informationsläckage? Finns det regler och överenskommelser med medarbetare och partners/leverantörer om hur information ska klassificeras och hanteras? Tillåter vi egen utrustning, till vad? Finns det möjlighet att spåra och logga händelser av betydelse? Vem har rätt att få tillgång till information från loggar och övervakningssystem?
4. Vilket fundament vilar våra tjänster på? Vilken typ av server, operativsystem och CMS används? Hur hanteras uppdateringar? När ska det göras och vem ansvarar för att det görs? Vem ansvarar för programinstallation? Hur övervakas systemen? Hur skyddas informationen?
5. Hur skyddas information? Hur överförs material mellan servrar och hur förhindras obehöriga att få tillgång till inloggningsuppgifterna? Finns det krav på flerfaktorsautentisering, eller litar vi på användarid och lösenord? Skyddas viktiga funktioner eller används samma dator till allt från ekonomiredovisning till Facebook?
Krisberedskap? Hur väl står ni er när det börjar hetta till? Hur ofta övar ni krisberedskapen på kommunikationssidan? Vilka kvantitativa, mätbara, mål har satts upp för krisberedskapen? Känner alla till sin roll och sina uppgifter i en krissituation? Vem avgör när det är kris?
Förordningen om intern styrning och kontroll 2007:603. Riskanalys - 3 En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av 3 myndighetsförordningen (2007:515) inte fullgörs. 2007:515. Ledningens ansvar - 3 Myndighetens ledning ansvarar inför regeringen för verksamheten och skall se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel.
Ingredienser för god ITsäkerhet Flerfaktorsautentisering, till exempel e-legitimation. Begränsningar och separation av funktioner. Se över avtal om outsourcing och molntjänster. Inför rutiner för rapportering, hantering och uppföljning av incidenter. Skydda inloggningsuppgifter och utrustning. Förändringsskydda känslig information (lagring, kommunikation). Kontrollfunktioner för att upptäcka otillåtna enheter och program. Löpande söka efter fel och brister i godkända programvaror.
Ingredienser för god ITsäkerhet (2) Skydd mot skadlig kod. Backup av lagrad data. Kontrollera administratörsrättigheter. Trafikövervakning. Underhåll, övervakning och analys av loggar. Kontroll av användare. Förmåga att hantera incidenter. Intrångsförsök och incidentövningar. Säker nätverksdesign.
Krångla inte till det för mycket Skydda känslig information oavsett hur den förvaras eller kommuniceras. Bestäm vad som är viktigast: Tillgänglighet Spårbarhet Validitet Konfidentialitet
Lev risk hantera kris! Konsekvenser? Varaktighet? Kostnader? Sannolikhet? Incidenter och kriser måste kommuniceras. Bemöt kritik omgående och direkt. Försök ha en linje för när ni tänker vidta rättsliga åtgärder och när det inte bedöms vara nödvändigt. Etablera direktkontakt med tjänsteleverantörerna. Ha en linje klar för vad som händer när medarbetare bryter mot reglerna.
Everything should be as simple as possible, but not simpler. - Albert Einstein Tack! Frågor?