Knowit Secure

Vi gjør IT sikrere!

NSM’s Helhetlig Risikobilde 2015 – Noen notater

Helhetlig Risikobilde 2015

NSM: Helhetlig Risikobilde 2015

I begynnelsen av oktober la NSM frem en rapport som tar for seg risiko ved bruk av IKT i Norge. Jeg leste gjennom rapporten og noterte meg tingene nedenfor som kanskje er av interesse for andre?

Om du er interessert i å lese mer kan du laste ned hele rapporten hos NSM.


Punkter som kan brukes til å forklare hvorfor informasjonssikkerhet er viktig

  • Det er generelt stor risiko forbundet med bruk av IKT og alle er potensielle mål for et IKT-angrep.
  • Noen tall fra siste år (gjelder for statlige virksomheter)
    • 44,3 % hadde opplevd at virksomhetens IKT utstyr hadde kommet på avveier
    • 31,1 % hadde opplevd forsøk på identitetstyveri (phishing)
    • 16,7 % hadde hatt uautorisert tilgang til systemer eller data
    • 15,4 % hadde hatt tjenestenektangrep
    • 11,8 % hadde hatt sammenbrudd i forbindelsen til internett eller andre eksterne nettverk
    • 8,3 % hadde hatt virusangrep, ormer eller lignende som resulterte i tap av data eller arbeidstid
  • Det er utilstrekkelig bruk av inntrengningstesting i norske virksomheter:
    • I mange tilfeller er det enkelt å gjøre digitale innbrudd i datasystemer, fysisk stjele informasjon eller ødelegge systemer.
    • NSM har avdekket en rekke alvorlige sårbarheter innen en lang rekke samfunnssektorer gjennom sin inntrengningstesting.
    • Inntrengningstesting er lite utbredt i de fleste sektorer.
    • Inntrengningstesting bidrar til å identifisere faktiske sårbarheter i egne systemer, og gir et godt grunnlag for målrettede sikringstiltak.

 

Ting jeg syntes var interessant

  • NSMs sikkerhetsfaglige råd foreslår å erstatte IKT-sikkerhet som begrep med cybersikkerhet.
  • Om SCADA:
    • For å utnytte driftskontrollsystemenes (også kalt SCADA) muligheter fullt ut, kobles gjerne driftskontrollsystemene sammen med andre IKT-systemer for å utnytte informasjonen fra driftskontrollsystemene til planlegging, analyse og reparasjonsberedskap i større grad enn før. Men, siden mange SCADA-systemer ble designet for å stå og å jobbe lokalt og man i ettertid fant det hensiktsmessig å koble disse systemene sammen (ofte via internett) ble det introduserte en angrepsvektor disse systemene aldri var designet for å motstå. Enhver kobling mot internett er dermed en mulig sårbarhet.
    • Også indirekte koblinger kan skape problemer. (ref. Stuxnet)
  • NSM ser behov for akkreditering av privat rådgivning
    • Det er vanskelig å få oversikt over aktører og kvalitet på tjenester innen IKT-sikkerhetsrådgivning.
    • Det finnes ikke en akkrediteringsordning som omfatter aktører som tilbyr rådgivning og andre tjenester innenfor IKT-sikkerhetsområdet.
    • NSM har startet arbeidet med å etablere en akkrediteringsordning
  • Om stordata (Big data)
    • Teknologien kan brukes til å gjennomføre omfattende kartlegging av gitte personer, grupper av personer, virksomheter eller hele befolkninger
    • Ved analyse av store datamengder, vil enkeltopplysninger som hver for seg ikke er sensitive eller skjermingsverdige kunne systematiseres og sammenstilles til sensitiv informasjon.
  • Om skytjenester (Cloud Computing)
    • Tilgjengelighet, integritet og konfidensialitet er vanskelig å garantere siden data behandles og lagres utenfor virksomhetens lokaler. Det er derfor viktig at man har gjort de nødvendige sikkerhetsmessige vurderingene med tanke på konfidensialiteten, integriteten og tilgjengeligheten til tjenestene og informasjonen som man ønsker å sette ut.
    • Ved bruk av internasjonale skytjenester (offshoring) er det spesielt viktig å være oppmerksom på de begrensningene som vil ligge i norske myndigheters mulighet for kontroll av leverandøren, da disse ikke nødvendigvis er underlagt norsk regelverk og krav til sikkerhet. I tillegg vil det kunne være usikkerhet knyttet til hvilken tilgang utenlandske myndigheter, eller andre aktører, vil kunne få til informasjon i skyen. Dette er forhold som kan være utfordrende å regulere i kontrakt med leverandøren.
  • Om BYOD (Bring Your Own Device)
    • Medarbeidere tar med seg privat, mobilt IKT-utstyr på jobb, og kobler dette til virksomhetens systemer med eller uten arbeidsgivers samtykke. Dermed havner utstyret på baksiden av brannmurer og andre sikkerhetstiltak.
    • Privat utstyr er oftest ikke underlagt virksomhetens sikkerhetsregime. Derfor finnes det lite som stopper import til virksomhetens systemer av eventuell skadelig programvare som har kommet inn på utstyret gjennom bruk utenfor virksomheten.
    • Kan derfor brukes av uvedkommende som nøkkel til å komme inn på virksomhetens systemer.
    • Virksomhetskritisk eller konfidensiell informasjon kan lagres på disse enhetene, bevisst eller av vanvare.
    • Mobilt IKT-utstyr har innebygget kamera og mikrofon som kan registrere og lagre alt som foregår rundt utstyret og kan misbrukes av uvedkommende.
  • Om tingenes internet (IoT)
    • Når gjenstander knyttes til internett, åpner det også en mulighet for at de kan infiltreres og manipuleres av andre enn de rettmessige brukerne. En mulig bieffekt kan være at enhver gjenstand er en potensiell personovervåker.
    • Ting som kobles til internett er ofte utviklet av produsenter som ikke har erfaring og bakgrunn innen IKT.
    • Godt egnet som springbrett videre inn i annen teknisk infrastruktur

 

Råd til store og små virksomheter

Fra et avsnitt i rapporten som het noe lignende.

  • IKT-sikkerhet må inn på agendaen i styrerommene siden risikostyring og revisjon er et vesentlig element av god selskapsledelse.
  • Grunnleggende sikkerhetsstyring krever:
    • Forankring
    • Forpliktelse
    • Forståelse
  • Fire tiltakene som stopper 80-90 % av internettrelaterte angrep er:
    • Oppgrader program- og maskinvare
    • Installer sikkerhetsoppdateringer så fort som mulig
    • Ikke tildel sluttbrukere administratorrettigheter
    • Blokker kjøring av ikke-autoriserte programmer («hvitelisting»)
  • Andre tiltak som bedrer sikkerheten ytterligere:
    • Aktiver kildekodebeskyttelse
    • Herde applikasjoner
    • Bruk klientbrannmur
    • Bruk sikker oppstart og diskkryptering
    • Bruk antivirus / anti-skadevare
    • Ikke ta i bruk flere applikasjoner og funksjoner enn nødvendig

Bjørn-Are,

Seniorkonsulent hos Knowit Secure; Et firma med spisskompetanse på IT- og informasjonssikkerhet, og de ansatte er Norges dyktigste på sine felt innen sikkerhetstesting og sikkerhetsrådgivning.

Om BA Karolius

Seniorkonsulent innen informasjonssikkerhet hos Knowit Secure AS.

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

w

Kobler til %s

Informasjon

Dette innlegget ble postet den oktober 14, 2015 av i Notater med stikkord , , , , , , , .

Siste blogg innlegg

Følg oss på twitter

Skriv inn e-post adresse for å følge denne bloggen og få beskjed på mail når det er nye blogg innlegg.

%d bloggere like this: