Sitic Sveriges IT-incidentcentrum Vad kan Sitic göra för mig som operatör och hur ser arbetet ut? PTS marknadsdag 29 november 2006 Johan Mårtensson Chef för Sitic Avdelningen för nätsäkerhet
Presentationens innehåll Uppdraget Nuläge Operatörsperspektiv Framtiden
Sitic nuläge uppdrag Stödja samhället i arbetet med skydd mot IT-incidenter genom att: Inrätta ett system för informationsutbyte om ITincidenter mellan samhällets organisationer och funktionen Snabbt kunna sprida information i samhället om nya problem som kan störa IT-system SITIC Sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet Lämna information och råd om förebyggande åtgärder
Målgrupp Enligt regeringsuppdraget: Myndigheter Kommuner Landsting Företag
Sitic nuläge organisatoriskt Personalstyrka 10 personer Årlig budget 15 miljoner kronor Verksamhet är etablerad inom samtliga det ursprungliga uppdragets fyra delar Incidenthantering Varningsinformation Förebyggande rådgivning Statistik Verksamhet under kontorstid Sitic är idag en komplett, fungerande och internationellt etablerad -organisation
Sitic nuläge produktion Särskilda råd (om sårbarheter) Blixtmeddelanden om sårbarheter Meddelanden (attackerade sajter) Förebyggande råd Kvartalsvisa statistikrapporter Halvårsvisa lägesrapporter Mätdata avseende svenska delen av Internet Mätdata beträffande trafikmönster Verktyg Seminarier etc
www.sitic.se
Sitics gränsytor, översikt Media Myndigheter Fristående säk org FIRST Maj 05 Leverantörer Sitic Kommun & Landsting TF- Juli 05 Besläktade org (Internationellt) Målgrupp NCF Besläktade org (Sverige) Näringsliv EGC
Ändring av sekretesslagen 2004-07-01 T o m 2004-06-30: Möjlighet finns att sekretessbelägga incidentrapport från bevakningsmyndighet. Fr o m 2004-07-01: Möjlighet finns att sekretessbelägga samtliga incidentrapporter.
Incidentrapportering via webb
Fysisk och teknisk miljö Fax, tfn mm Rapportör db Incident-db Labb S I T I C PTS Internet web mail Produktion
Säkerhet Skalskydd enligt säkerhetsskyddsförordningen Fax, tfn mm Rapportör krypto db Incident-db Labb S I T I C PTS Internet web mail Produktion
Pedagogiska tidslinjen Säkerhetsproblem rapporteras Exploitkod uppträder (PoC) Skadlig kod uppträder Särskilt Råd utges Labbrapport Efteranalys
Exemplet VNC: Sårbarheten
Exemplet VNC: Portskanningen Avsökningar port 5900, kvartal 2 18 16 14 12 10 8 6 4 2 0 2006-04-01 2006-04-08 2006-04-15 2006-04-22 2006-04-29 2006-05-06 2006-05-13 2006-05-20 2006-05-27 2006-06-03 2006-06-10 2006-06-17 Antal 2006-06-24 Datum
Problemlösning med eller utan (1) Nationell Nationell! Irritationsmoment ISP A Land 1 Drabbad ISP B Land 2
Problemlösning med eller utan (2) 1) Nationell Nationell 3) Nationell Nationell Irritationsmoment ISP A Land 1! Drabbad ISP B Land 2 Irritationsmoment ISP A Land 1! Drabbad ISP B Land 2 2) Nationell Nationell 4) Nationell Nationell Irritationsmoment ISP A Land 1! Drabbad ISP B Land 2 Irritationsmoment ISP A Land 1! Drabbad ISP B Land 2
Mer nytta för operatörer? Kontaktvägar, unik information, kompetens Indata till drift, kompletterande omvärldsbevakning, kompetenta kunder Sitics kontaktnät Infokälla att referera till, kompetenta kunder Förebyggande råd Problemlistor Unik information, verifiering av eget data, kanal för egna listor Särskilda råd, Blixtmeddelanden Referensmaterial, kompletterande omvärldsbevakning, beslutsunderlag Mätdata (sv Internet, trafikmönster) Statistikrapporter Seminarier Kompetens, nätverkande Kompletterande omvärldsbevakning, beslutsunderlag Halvårsvisa lägesrapporter
Nästa ambitionsnivå Tydligare kategorisering av målgruppen Tjänstedifferentiering över målgruppens undergrupper Viss kvälls- och helgaktivitet Jour dygnet runt för en avgränsad del av incidenthanteringstjänsterna Större kraft på incidentrespons samhällsviktig verksamhet bidragande till internationella samarbets- och utvecklingsprojekt Tydligare fokus på inhämtning genom drift av system för trafikstudier Periodstatistik ersätts med kontinuerlig lägesbild
Prioriteringar i dagliga arbetet 1 tjänster som inhämtar, behandlar eller sprider tidskritisk information och som har relevans för hela målgruppen 2 processinriktade tjänster med längre genomförandetider och tjänster som rör åtgärder vid incidenter 3 (huvudsakligen) tjänster med djupt teknikinnehåll
Sveriges IT-incidentcentrum Sveriges IT-incidentcentrum Post- och telestyrelsen Box 5398 102 49 Stockholm Tel 08-678 57 99 Fax 08-678 55 05 sitic@pts.se www.sitic.se