Fredrik Grindland fra Bouvet Agder besøkte Norges Forskningsråd 17.oktober med foredraget Informasjonssikkerhet i en kompleks digital verden, i regi av nasjonal sikkerhetsmåned.

1. Informasjonssikkerhet i en
kompleks digital verden
Foredragsdugnad Norges Forskningsråd 2019
Fredrik Grindland
Senior rådgiver/prosjektleder
Certified ISO 27005 Risk Manager
Bouvet Kristiansand

2. Vår digitale verden gir muligheter
Vi har alle ansvar i den digitale verden

3. Mars
1942
Oktober
1942
November
1942
Februar
1943

4. Tradisjonell fremgangsmåte – ny arena
5/12
2018
18/3
2019

5. Cyber kriminelle er målrettede og godt organisert
Kilde: National Cyber Security Center
Organised Criminal Group online business model

6. Motivasjon Mål
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Mulige motivasjoner og mål for cyber angrep
Motivasjon Mål Informasjonssikkerhet begreper
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Konfidensialitet
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Integritet
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Tilgjengelighet
Motivasjon Mål Informasjonssikkerhet begreper
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Konfidensialitet
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Integritet
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Tilgjengelighet
Økonomisk gevinst
Finansiere kriminelle
Mer kriminell virksomhet
Motivasjon Mål Informasjonssikkerhet begreper
Spionere
Stjele informasjon
Fundament for nye aktiviteter
Konfidensialitet
Manipulere
Påvirke innbyggere/medarbeidere
Endre informasjon
Integritet
Ødelegge
Slette informasjon
Stjele datakraft
«Mørklegge» infrastruktur
Tilgjengelighet
Økonomisk gevinst
Finansiere kriminelle
Mer kriminell virksomhet Verdier

7. Betale eller ikke betale?
Løsepenger finansierer kriminelle
og kriminelle virksomheter

9. Forenklet modell av virksomhetens digitale økosystem
Virksomhetens
IT-systemer
Leverandører
og deres
IT-systemer
Kunder/innbyggere
og deres IT-systemer
Brukere i egne lokaler
Brukere utenfor egne lokaler
Strøm
Nettverk
Vanskelig å
påvirke
Vanskelig å
påvirke
Verdikjede
perspektivet
Bruker
perspektivet
Mulig å påvirke

10. Økt kompleksitet gir flere flater som kan ødelegges
Virksomhetens
IT-systemer
Leverandører Kunder
Brukere på reise
Brukere i egne lokaler
Strøm
Nettverk

11. - og gir flere angrepsflater for kriminelle
Virksomhetens
IT-systemer
Leverandører Kunder
Brukere på reise
Brukere i egne lokaler
Strøm
Nettverk

12. To keep the nose in trim, Boeing designed software called the Maneuvering Characteristics Augmentation System,
or MCAS. When a sensor on the fuselage detects that the nose is too high, MCAS automatically pushes the nose
down.
Investigators in the Lion Air crash have said that a fault in the sensor may have been feeding incorrect data to
MCAS, pitching the nose down into a dive.
Konsekvens av uønskede IKT hendelser
er avhengig av perspektiv og situasjon

13. o Sikkerhetsloven
o personopplysningsloven
o helseregisterloven
o pasientjournalloven
o helseberedskapsloven
o lov om elektroniske tillitstjenester
o forvaltningsloven
o sivilbeskyttelsesloven
o aksjelovene
o arkivloven
o bokføringsloven
Mange lover og forskrifter stiller krav til informasjonssikkerhet
Kilde: Digi.no, Advokat Kristian Foss, og Advokatfullmektig Anders A Christie Bull & Co Advokatfirma,
o IKT-forskriften (hjemlet i betalingssystem-
loven, børsloven og finanstilsynsloven).
o Beredskapsforskriften
o eForvaltningsforskriften
o ekomloven med forskrifter
o forskrift om IKT-standarder i helse- og
omsorgstjenesten helsetilsynsloven
o avtalebestemmelser
o Helsenormen (norm for
informasjonssikkerhet i helse og
omsorgssektoren)

14. Ledelsens overordnede ansvar for informasjonssikkerheten
Risikovurdering
og risiko-
håndtering
Overvåking og
hendelses-
håndtering
Leverandører
og kunder
Beredskap og
øvelser
Kompetanse-
og
kulturutvikling
Ledelsens
gjennomgang
Sikkerhetspolicy

15. o Teknisk gjeld og oppdatert software
o Sikker autentiseringsløsning
o Innebygde sikkerhetsmekanismer
Informasjonssikkerhets tiltak i IKT-plattformen

16. Grunnleggende beskyttelsesmekanismer med DMARC
Kilde: https://dmarc.no

17. o Teknisk gjeld
o Sikker autentiseringsløsning
o Innebygde sikkerhetsmekanismer
o Logging og proaktiv overvåking
o Offline sikkerhetskopier
Informasjonssikkerhets tiltak i IKT-plattformen

18. o Samme krav til informasjonssikkerhet
o Databehandleravtale
o Rapportere uønskede hendelser
o Risikovurderinger
o Behovsstyrte tilganger
Informasjonssikkerhetstiltak i verdikjede perspektivet

19. Brukere involvert i de fleste sikkerhetshendelser

20. Gjør brukerne i stand til å unngå sikkerhetshendelser
o Rekruttering
o Sikkerhetsopplæring
o Informasjonssikkerhets rutiner
o Tilgang og rettigheter som rollen krever

21. Segmentering og effektiv tilgangsstyring
Tillit?
Segmenter
IKT-plattformen
Fler faktor
bruker
autentisering
Utstyrs
autentisering
Begrens
tilganger
Begrens
rettigheter
Logging og
proaktiv
overvåking

22. Brukeren er brannmuren

23. 123456
Password
12345678
qwerty
12345
123456789
letmein
1234567
football
iloveyou
admin
welcome
monkey
login
abc123
starwars
123123
dragon
passw0rd
master
Mestbruktepassordiverden
2017
Passord
Det sikreste er å benyttet
to trinns autentisering
Ved å benytte passord verktøy kan
man få en hverdag hvor man ikke selv
trenger å huske passord.
Om du lager eget passord anbefales
det å lage en lang frase som er lett å
huske:
JegbrukerFacebookpåjobben
Enda bedre hvis det brukes dialekt og
mellomrom:
Je bruker Facebookpåarbe

26. Det snakkes mye om at vi mangler
informasjonssikkerhets kompetanse
Det er ikke bare sikkerhetseksperter som har
ansvar for informasjonssikkerheten

27. Å redusere sikkerhetsrisikoer krever
kompetanse, bevissthet og motivasjon
Sikkerhetsledelse og
organisering
Risiko- og sikkerhetsstyring
Styringssystem for
digital sikkerhet
Innebygget
personvern og
informasjonssikkerhet
Hendelses- og
beredskapsarbeid
Helhetlig IKT-sikkerhetsarkitektur
Etterlevelse av lover, regelverk og avtaler innen personvern og informasjonssikkerhet
Sikkerhetskultur og -
opplæring
Risikoanalyse
(ROS-analyse)

28. fredrik.grindland@bouvet.no
Vi har alle ansvar for å bidra til bedre
informasjonssikkerhet i den digitale verden

29. fredrik.grindland@bouvet.no