Informationssäkerhet. Veronika Berglund Hans Carlbring Bo Hiding. Säkerhetsenheten

Relevanta dokument
Informationssäkerhet

Kurs i informationssäkerhet. Det händer inte mig. Säkerhetsenheten

Kurs i informationssäkerhet. Det händer inte mig

Det händer inte mig. Informationssäkerhet en introduktion. Michael Svensson Bo Hiding. Säkerhetsavdelningen.

Dnr UFV 2013/1490. Lösenordshantering. Rutiner för informationssäkerhet. Fastställd av Säkerhetchef Reviderad

Informationssäkerhetsmånaden 2018

Informationssäkerhet en introduktion. Det händer inte mig. Veronika Berglund Hans Carlbring Bo Hiding

Riktlinjer för informationssäkerhet

Säker hantering av mobila enheter och portabla lagringsmedia

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Lösenordsregelverk för Karolinska Institutet

Informationssäkerhetsmånaden 2018

Riktlinjer för informationssäkerhet

Välkommen till Capture.

Bilaga 1 - Handledning i informationssäkerhet

Riktlinjer för informationssäkerhet

Riktlinjer inom ITområdet

Handledning i informationssäkerhet Version 2.0

SÅ HÄR GÖR VI I NACKA

Förslag till riktlinjer för telefoni, mobila enheter och e- post i Mjölby kommun

Låt dig inte luras! Ventilen Eva Blommegård och Sidsel Nybö

Mejladressen är i formatet

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Regler för lagring av Högskolan Dalarnas digitala information

Koppla din Gavlenetmail till mobilen/surfplattan

Riktlinjer för Informationssäkerhet

ANVÄNDARHANDBOK. Advance Online

Vägledande råd och bestämmelser för Användare av ITsystem inom Timrå kommun

IT-riktlinjer Nationell information

För att du som användare skall kunna leva upp till de säkerhetskrav som ställs på dig måste du känna till. Lärare och Elever har olika krav: Lärare

Kom igång med Windows Phone

Säkerhetskopiera mobilen

Granskning av säkerheten i mobila enheter. Internrevisionsrapport

Juridik och informationssäkerhet

Nätsäkert. Om datorer och internet för elever i Karlshamns kommun

Mjölby Kommun PROTOKOLLSUTDRAG 111 KS/2017:145. Telefon och e-postpolicy

Instruktion: Trådlöst nätverk för privata

Informationssäkerhetsanvisning

IT-Policy Vuxenutbildningen

Säker informationshantering

Intern IT Policy fo r Riksfo rbundet Hjä rtlung

Informationsklassning och systemsäkerhetsanalys en guide

Riktlinjer vid lån av surfplatta för förtroendevalda

Sammanfattning av riktlinjer

Säkerhetsinstruktion 1 BAKGRUND INLOGGNING HANTERING AV INFORMATION INTERNET E-POST INCIDENTER...

Office 365 Windows 10

SeniorNet Säkerhet på nätet Säkerhet på nätet. Om du inte har köpt en lott på nätet, har du inte vunnit något heller.

Mobila enheter. Regler och rekommendationer. Mobiltelefoner Smarta mobiltelefoner Surfplattor. Fastställd av IT-chefen Version 1.

Rutiner för fysisk säkerhet

Instruktion för elektronisk signering av dokument

IT-regler Användare BAS BAS-säkerhet Gislaveds kommun

Om du har ett mailkonto tex. Outlook har du också ett konto i Microsoft

IT riktlinjer vid användandet av Elektronisk post

Säkerhetsinstruktioner för användare av Falköpings kommuns nätverk

Internetsäkerhet. banktjänster. September 2007

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Riktlinjer för informationssäkerhet

Instruktion: Trådlöst nätverk för privata enheter

ANVÄNDARHANDBOK Advance Online

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

SLU Säkerhets instruktioner avseende kryptering av filer

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Snabbguide. Secur box och GDPR e-fax

SeniorNet Huddinge Öppet Hus

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

Policy för användande av IT

Snabbguide. Version

Fillagringsplatser. Fillagringsplatser (information om fillagringsplatserna du har att tillgå på Konstfack) Inledning... 12

För att använda detta system behöver du en dator med internetåtkomst samt din G&D iphone.

Rekommenderad IT-miljö

Västerviks kommuns E-portal

Metoder för att öka informationssäkerheten. och därmed minska säkerhetsriskerna

Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Rekryteringsmyndighetens interna bestämmelser

Administrativ IT-säkerhetspolicy Version 1.0 Fastställd

Informationssäkerhet

Lathund för Elektronisk signatur digitalt ID

Spara dokument och bilder i molnet

Elektronisk informationssäkerhet. Riktlinjer för Användare - anställda och förtroendevalda. Eslövs kommun

Guide för säker behörighetshantering

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

VÄGLEDANDE RÅD OCH BESTÄMMELSER FÖR ANVÄNDARE AV IT-SYSTEM INOM TIMRÅ KOMMUN

ORU /2016 Användning av IT-resurser - riktlinjer vid Örebro universitet

Hantering av elektroniskt lagrad information när anställning, studier eller uppdrag vid Uppsala universitet upphör

DATASKYDD (GDPR) Del 4: Kärnverksamheterna

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

En felsökningsguide för rcloud Office tjänsterna och lite manualer.

Distansåtkomst via webaccess

LAJKA-GUIDE. Så totalraderar du. din mobil eller surfplatta. 7 Säker utrensning före försäljning 7 Smidigt och enkelt 7 För Android, Iphone och Ipad

DOKUMENTNAMN: IT-användarpolicy SKAPAT DEN: TYP AV DOKUMENT: Policy SENAST ÄNDRAT DEN:

Ny i nätverket kontoansökan och information till tillfälliga användare

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Version 1.6 Utfärdare Anton Lundin

IT-säkerhetsinstruktion

KOMMUNLEDNINGSKONTORET / IT-AVDELNINGEN. Office 365. Lathund

Lathund. Skolverkets behörighetssystem för e-tjänster. Rollen rektor

Transkript:

Informationssäkerhet Veronika Berglund Hans Carlbring Bo Hiding Säkerhetsenheten

Innehåll Säkerhetsenheten och säkerhetsarbetet på universitetet Laget runt kort om kursdeltagarna Lagar och riktlinjer Lösenord Mobila enheter Virus och skadlig kod Sociala medier och molnet E-post Säkerhetskopiering Avslutande diskussion Säkrare e-kommunikation, digital signering

Säkerhetsenheten Säkerhet för hela universitetet Personsäkerhet Hot och våldsutbildningar Konsultationer och säkerhetshöjande aktiviteter Bevakning Larm Passerkontroll Kris och kontinuitetshantering Övning Information Risk och sårbarhetsanalys Egendomsskydd Brandskyddsutbildningar Systematiskt brandskyddsarbete Restvärdesräddning Universitetets verksamhetsförsäkring Riskanalyser Teknisk säkerhet Bevakning Skalskydd Larm Passerkontroll Utbildningar Informationssäkerhet Informationssäkerhetsklassningar Dokumenthantering Mobil utrustning (bärbara datorer, smarta telefoner, surfplattor osv) IT-säkerhet Internet, webben Riskanalyser Säkerhetsanalyser, säkerhetsgranskningar Skydd mot virus, nätfiske, trojaner

Kort om kursdeltagarna

Lagar & riktlinjer

Lagar, ett axplock OSL - Offentlighets- och sekretesslag (2009:400) PuL - Personuppgiftslag (1998:204) Arkivlag (1990:782) Lag (2003:389) om elektronisk kommunikation Lag (2000:832) om kvalificerade elektroniska signaturer Lag (1998:112) om ansvar för elektroniska anslagstavlor Förvaltningslagen (1986:223) Förordning (1995:1300) om statliga myndigheters riskhantering MSB:s föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) Tryckfrihetsförordningen Lagen om offentlig anställning E-delegationens riktlinjer för sociala medier

Universitetets riktlinjer IT, säkerhet Mål- och regelsamlingen Handlingsplan för IT Riktlinjer inom IT-området Riktlinjer för säkerhetsarbetet: informationssäkerhet Regler för användning av användarkonton och datornät Hantering av allmänna handlingar Arkivhandboken Kommunikationspolicy Säkerhet och IT i Medarbetarportalen Lösenordshantering Elektronisk signering Automatisk vidaresändning av e-post Mobila enheter Hantering av elektroniskt lagrad information

Lösenord

Riktlinjer Nya riktlinjer för lösenordshantering vid universitetet fr.o.m. 2013-11-06. Gäller för alla IT-tjänster och system om inte särskilda skäl föreligger. Riktlinjerna omfattar två områden; lösenordskvalitet och lösenordsskydd. Teknikstöd för att säkerställa efterlevnad införs i universitetets gemensamma inloggningstjänst under 2014.

Syfte och mål Att förhindra obehörig åtkomst till känslig information. Inloggning ska ske via universitetets gemensamma inloggningstjänst till alla system där det är tekniskt möjligt. Not. Känslig information definieras i universitetets riktlinjer för informationsklassificering.

Ditt ansvar Som användare av universitetets informationssystem ansvarar du själv för att dina lösenord uppfyller den kvalitet och hantering som anges i dessa riktlinjer. att du håller dina lösenord hemliga. att, som en del av ovanstående punkt, aldrig uppge dina lösenord till någon som efterfrågar dem via e-post, i telefon eller på annat sätt.

Lösenordskvalitet minst 10 tecken. vara sammansatt av följande tecken: A Z a z 0 9 mellanslag följande specialtecken: ~,!, @, #, $, %, ^, &, (, ), _, +, -, *, /, =, {, }, [, ],, \, :, ;,,, <, >,, (kommatecken),. (punkt), och? innehålla minst en versal, minst en gemen och antingen minst ett specialtecken eller en siffra.

Lösenordskontroll sammansatt enligt f.g bild. inte finns i katalog med dåliga lösenord (123456, årstider, bilmärken etc). inte är samma som närmast föregående. inte är för lika varandra (gäller A- och B- lösenord). Lösenordet går ej att spara om det inte uppfyller minimikraven. Not. Införs prel. under Q2-2014 för nätverkslösenord (A) och till gemensamma IT-tjänster (B).

Lösenordsskydd Datalagring och transport av lösenord alltid i krypterad form. aldrig i läs/hörbar form via e-post, telefon el motsv. Skydd mot gissningsattacker (rate limiting) max. 10 felaktiga gissningar inom 60 min. därefter låses kontot 5 min. Tvingande lösenordsbyte inom 24 mån. för anställda och övr. verksamma. inom 5 år för studenter. Not. Införs prel. under Q3-Q4 2014

Till sist Lösenord och PIN-koder är personliga och ska hållas hemliga Byt omedelbart om någon annan kan ha fått reda på det Anmäl till security@uu.se om någon (t.ex. i e-post eller i telefon) försöker lura av dig lösenordet Använd andra lösenord för tjänster utanför universitetet (twitter, facebook, google, gmail )

Mobila enheter

Mobila enheter Bärbar dator Läs- och surfplatta Smart mobiltelefon och liknande Portabla lagringsmedia Minneskort USB-minnen Externa hårddiskar och liknande

BYOD Bring Your Own Device En företeelse för universitetet att förhålla sig till

Är det något vi oroar oss över vid Uppsala universitet? Risk- och sårbarhetsanalys för Uppsala universitet 2013 Känslig information och dokument som lagras okrypterat i molnet eller på mobila enheter (BYODs) utan lösenordsskydd

Vad finns i universitetets riktlinjer med anknytning till mobila enheter och BYOD? Från Riktlinjer inom IT-området (Dnr UFV 2013/907): Personlig utrustning som används vid studier eller i tjänsteutövning ska, oavsett om den ägs av universitetet eller enskild verksam, hanteras på ett säkert sätt som minimerar risken för informationsförluster och intrång i universitetets datornät. Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten.

minimerar risken för informationsförluster och intrång i universitetets datornät. Hur då? Nivån på skyddet ska bedömas utifrån graden av känslighet på den information som lagras i eller som på annat sätt kan nås via enheten. Hur bedömer man det?

Angående nivå på skydd det handlar till stor del om medvetenhet! Medvetenhet om hur jag använder telefonen/plattan och vilken information jag lagrar i den. Det är lätt gjort att jag hanterar min mobiltelefon på ett friare sätt jämfört med hur jag hanterar min dator. Tänk på din mobiltelefonen på samma sätt som du tänker på din dator! Behovet av skydd är större för en platta som innehåller känsliga tjänstedokument än en mobiltelefon som jag använder enbart för att ringa och SMS:a med.

Hämtat från Regler och rekommendationer för användning av mobila enheter Enheten får inte lämnas fysiskt obevakad på osäker plats, t ex. hotellrum, i bil etc. Lösenordskydda enheten så att den blir låst när skärmsläckaren är aktiv Uppdatera enheten ofta, så fort tillgängliga uppdateringar finns. Lagra inte känsliga data eller dokument med personuppgifter i molntjänster, typ Icloud, Google Drive och liknande Öppna inte SMS/MMS från okända avsändare, klicka inte heller vidare på länkar som skickats från okända Installera endast de applikationer som det finns ett behov av Radera regelbudet information som inte längre behövs. Överför information till annan lagring vid behov

Vad kan hända? Vad ska jag vara orolig för? Problemet med skadlig kod ökar för kategorin mobila enheter. I takt med att de mobila enheternas användningsområden blir fler, kommer också hoten alltmer att rikta sig mot just dessa. Räkna med att de hot som vi pratar om när det gäller datorer också gäller för din mobiltelefon.

Spelar det någon roll vilket operativsystem som mobiltelefonen använder? Jämförelsen Android iphone motsvarar jämförelsen Windows Mac på persondatorsidan. Hoten riktar sig i mycket stor utsträckning mot det operativsystem som har den största spridningen och som dessutom är mera öppet. En förkrossande stor andel av den skadliga programkod som existerar i den mobila världen riktar sig mot Android. Behåll din Android, men var medveten om problemet!

Vad kan hända? Vad ska jag vara orolig för? Hämtat från en artikel i Ny Teknik: Så öppnar appar mobilen för spioner Slarv vid programmeringen av appar som görs på kända utvecklingsplattformar lämnar mobilerna öppna för dataspionage utan användarens vetskap. Programmerarna måste ta sig tid att bara aktivera de rättigheter som krävs för just den app de utvecklar. Problemet är att begäran om alla dessa rättigheter lämnar dörren öppen för datapioner via funktioner som kamera, kontakter, gps-position o s v. Mobilanvändaren märker inte något.

Säker användning av appar Installera endast de appar du behöver Försök bedöma om utgivaren är en seriös aktör Se upp med de frågor som ställs via appar. Ditt svar kan resultera i att du delar med dig av uppgifter som lagras i telefonen.

och den smarta telefonen är fortfarande en telefon Ja, det här är ju lite känsligt men..!

Vad gör jag om jag tappar bort eller blir bestulen på min mobiltelefon? Remote wipe: Raderar personliga inställningar och återställer fabriksinställningar Raderar SMS och MMS Raderar e-post Vid Uppsala universitet Remote wipe sätts till enable per automatik i och med att man synkar via Exchange och wipe utförs sedan enligt instruktion nedan (Om ej exchange gäller tredjepartsprodukter).

Logga in i webbmail (länk finns i Medarbetarportalen) Klicka på alternativ i övre högra hörnet välj visa alla alternativ

Välj Telefon (Mobila enheter) - här visas dina mobila enheter som är kopplade till ditt konto. Markera enheten i listan som du vill radera. Klicka på Rensa enhet. När rensningen är genomförd får du ett e-post meddelande om detta till din inkorg. Efter att du har fått en bekräftelse om rensning; gå till Telefon (Mobila enheter), markera enheten och välj Ta bort genom att klicka på krysset i rubriklisten (annars fortsätter synkningen med telefonen).

Virus och skadlig kod

Virus och skadlig kod Nästan alla virus sprids via webben Sårbarheter i olika program Surfar till smittad sida Klickar på länkar Du märker oftast inte att din dator smittats

Att skydda sig och sin information Tänk efter före Klicka inte på länkar i e-post eller IM Klicka inte på pop-up fönster som påstår att du har virus Mata inte in dina uppgifter i webbformulär som öppnats via e-postlänkar, IM eller sociala medier Undvik att ladda ner appar Installera säkerhetspatchar för alla program Ha ett antivirus som automatiskt uppdateras regelbundet Surfa utan javascript om möjligt Adobe Reader, Acrobat, Flash

Världens 25 vanligaste lösenord 123456 password 12345678 qwerty abc123 123456789 111111 1234567 iloveyou adobe123 123123 admin 1234567890 letmein photoshop 1234 monkey shadow sunshine 12345 password1 princess azerty trustno 000000 http://splashdata.com/press/worstpasswords2013.htm

Adobe Reader, Acrobat och Flash Ändringar i Adobes Inställningar [Preferences] kan Hindra PDF-filer från att starta program Hindra javascript från att köra i PDF-filer Hindra PDF-filer från att öppnas automatiskt I webbläsaren Hindra Flash (SWF) sårbarheter från att utnyttjas i PDFfiler

Hjälp? Dator/IT-ansvarig vid institutionen Intendenturen på campus Säkerhetsenheten, tel 7560, e-post security@uu.se Universitetets helpdesk tel 7890, helpdesk@uu.se OBS! Medarbetare på Akademiska sjukhuset och Rudbecklaboratoriet kontaktar IT på Akademiska.

Sociala medier och molnet

Sociala medier Ett sätt att kommunicera, skapa relationer, främja dialog och dela kunskap

Sociala medier Samma regler som för e-postkommunikation men med fler och okända mottagare Allt mer ihopkopplade Höga förväntningar på snabbhet Allmän handling? Arkivering? Gallring? Inga sekretessreglerade uppgifter Undvik personuppgifter Använd inte privatkonto i tjänsten

Sociala medier Vem är du när du skriver i tjänsten eller privat? Vad och hur skriver du? Vem är det som läser? Lätt att missuppfatta eller feltolka Lätt att sprida vidare Publicering av bilder Kartlägga någon är lätt Svårt att få bort

Carl-Johan Wallenklev Säkerhetsenheten

Molntjänster

Molntjänster Ställer krav på dig som användare! Vilken typ av information? Vem äger information som lagras i molnet? Personuppgifter /sekretess medför särskilda krav Universitetets handlingar får inte förloras På vilket sätt ska tjänsten användas? Läst avtalet?

E-post

E-post som allmän handling Skräppost är inte allmän handling E-post ska kontrolleras dagligen arbetsdagar (vardagar) Inkorg och utkorg är allmän handling Handlingar via e-post ska diarieföras i samma utsträckning som pappershandlingar E-post får inte automatiskt vidaresändas utanför myndigheten

Att skicka e-post Undvik att blanda arbetspost och privat e-post Det finns alltid risk att andra kan ta del av meddelandet Lätt att skicka till fel mottagare av misstag Känsliga personuppgifter och sekretesskyddade uppgifter ska skickas krypterade

All e-post är inte äkta Några möjliga varningstecken: Frågor om personlig information: ditt användarnamn, lösenord, koder, kreditkortsnummer Hot med negativa konsekvenser: Ditt konto kommer att stängas / låsas / tas bort om du inte.. Länkar i e-posten: Nätfiskelänkar går ofta till helt andra ställen än de ser ut att göra. Var uppmärksam om möjliga risker innan du klickar på en länk. Skydda dig! Svara inte skicka istället det misstänkta brevet till security@uu.se eller ring oss, anknytning 7560.

All e-post är inte trevlig Hot / trakasserier i e-post Ta inte bort meddelandet Svara inte Skicka e-postmeddelandet till security@uu.se eller ring oss, anknytning 7560

Information?

Informationsklassning Oberoende av lagringsform (media) Vilken information? Avgränsa! Klassificera informationen Tillgänglig? På vilket sätt? Känsliga uppgifter? Får ej kunna förvanskas/förstöras? Skydda det som är skyddsvärt

Informationsklassning Utgå från informationens funktion och betydelse för verksamheten, och konsekvenserna om den skulle ändras, försvinna, hanteras felaktigt, komma i orätta händer, osv. Obehöriga ska inte kunna ta del av skyddsvärd information. (konfidentialitet - sekretess/ skyddsvärde) Vad blir konsekvensen om informationen hamnar i orätta händer? Informationen ska inte kunna förändras av misstag eller av någon obehörig (riktighet) Vad blir konsekvensen om information ändras? Information ska vara nåbar när den behövs (tillgänglighet) Vad blir konsekvensen om informationen inte går att nå?

Säkerhetskopiering

Se på din dator som något som kan fara i luften när som helst Diskkrasch Brand Radering eller uppdatering av misstag Intrång etc. Suck, diskkrasch och ingen backup! Typ surt!

Är det något vi oroar oss över vid Uppsala universitet? Risk- och sårbarhetsanalys för Uppsala universitet 2013 Förlust eller förvanskning (fusk) av forskningsdata pga. slarvig hantering av persondatorer, lokal lagring på persondatorer med bristfällig eller ingen backup, stöld, hackning etc.

Vad finns i universitetets riktlinjer med anknytning till säkerhetskopiering av persondatorer, mobil utrustning och portabla lagringsmedia? Från Riktlinjer inom IT-området (Dnr UFV 2013/907): Innehavaren är ansvarig för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt... Uppdateringar, antivirus och säkerhetskopiering sköts i normalfallet av IT-ansvarig/dataansvarig på respektive institution/motsvarande eller av intendenturen. Prefekt/motsvarande kan besluta om undantag från detta Hur funkar det vid min institution?

Vad finns i universitetets riktlinjer med anknytning till säkerhetskopiering och serverdrift? Driftorganisationen ansvarar för att säkerhetskopiering sker med relevant periodicitet och på ett säkert sätt. Systemägaren försäkrar sig om detta genom upprättande av ett s.k. servicenivåavtal med driftorganisationen. Här finns en del att tänka på: Vad ska sparas och med vilken periodicitet? Hur länge ska data sparas? Behövs krypterad lagring? Test av återläsning? m.m.

Att tänka på Vad behöver jag göra själv? Kolla vad som gäller vid din institution. Säkerhetskopior ska förvaras säkert och skilda från berörda datorer. Lika viktigt som att ta säkerhetskopior är att testa att det går att återställa filer från dessa. Hur gör du med säkerhetskopiering hemma? Har du tusentals familjebilder och annat viktigt på din dator, men ingen backup?

Avslutande diskussion Är informationssäkerhet bara lås och bom eller öppnar det upp för nya och effektivare arbetssätt också? Diskutera gruppvis (5-10 min) om ni kommer på några exempel.

Projekt Säkrare e-kom Elektronisk identifiering på nätet (e-leg) Elektronisk signering av dokument Kryptering av e-post Kan ni se möjligheter nya arbetssätt i er vardag med dessa funktioner??

Elektronisk signering av dokument En elektronisk signatur, eller underskrift, identifierar, precis som en vanlig handskriven underskrift, personen som undertecknar ett dokument. Till skillnad från en traditionell underskrift på papper är en elektronisk underskrift svår att förfalska, eftersom den innehåller krypterad information som är unik för undertecknaren. Den kan lätt verifieras och informerar mottagarna om dokumentet har ändrats eller inte efter det att undertecknaren signerade dokumentet.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss