Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer
|
|
- Maria Eskildsen
- 8 år siden
- Visninger:
Transkript
1 Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015
2 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige og Danmark har hackerangreb med kompromittering til følge ramt mainframeinstallationer hos en række itinfrastrukturudbydere. Det har understreget behovet for at øge fokus på informationssikkerheden i mainframeinstallationer, da mange samfundsvigtige funktioner bliver udført ved hjælp af applikationer og systemer på mainframeinstallationer. Det er nødvendigt, at private virksomheder og offentlige myndigheder sørger for at understøtte et højt niveau for informationssikkerhed på mainframesystemer. Og det er afgørende, at deres arbejde med informationssikkerhed tager udgangspunkt i en klar forståelse af risikobilledet og af, hvordan konkrete trusler kan imødegås. Sikkerhedsanbefalingen henvender sig primært til de it-sikkerhedstekniske medarbejdere, der til dagligt håndterer mainframeinstallationer i deres organisation, men den kan også med fordel læses af organisationernes ledelse. Erfaringen er således, at god informationssikkerhed forudsætter forankring hos topledelsen. I sikkerhedsanbefalingen beskriver Center for Cybersikkerhed en række konkrete tiltag til hvordan myndigheder og virksomheder kan mindske risikoen for hackerangreb, der anvender de samme fremgangsmåder, som tidligere er set ved angreb mod mainframeinstallationer i Danmark og Sverige, herunder det meget omtalte hackerangreb mod CSC. Center for Cybersikkerhed fokuserer i sikkerhedsanbefalingen på at bidrage til at sætte mainframeejere og -administratorer i stand til at identificere sårbarheder og implementere passende sikkerhedstiltag, så hackerangreb i højere grad bliver imødegået og konsekvenserne mindsket. Også kunder til mainframeydelser kan med fordel læse sikkerhedsanbefalingen. Kunderne kan med sikkerhedsanbefalingen i hånden indlede dialog med deres leverandør om passende sikringstiltag. Der vil typisk være behov for, at der bliver udarbejdet tillæg til de eksisterende kontrakter, drifts- og samarbejdsaftaler. Center for Cybersikkerheds sikkerhedsanbefaling koncentrerer sig om interne forhold i mainframen samt forebyggelse af hackerangreb fra internettet. Øvrige aspekter af arbejdet med informationssikkerhed, som f.eks. risikovurdering, opbygning af robust it-arkitektur og ledelsesinddragelse i øvrigt, bliver ikke berørt specifikt. Også i informationssikkerhedsarbejde med mainframeinstallationer, der ikke er koblet til internettet, vil en række af anbefalingerne være relevante. Center for Cybersikkerhed og Digitaliseringsstyrelsen har udgivet et sæt overordnede sikkerhedsanbefalinger, herunder til ledelsesinddragelse og kontraktstyring, i rapporten Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift, som kan findes på cfcs.dk. 1 1
3 Beskrivelse af mainframeinstallationer Mainframeinstallationer er computere med stor regnekraft og kapacitet til mange samtidige transaktioner. Deres regnekraft, lagerkapacitet m.m. deles af mange brugere. Adgangen til data og systemer på mainframeinstallationer kontrolleres med et tilvalgt system for sikkerhedsadministration. Det drejer sig som oftest om Ressource Access Control Facility (RACF) fra IBM eller Computer Associates Access Control Facility (ACF2). Systemet for sikkerhedsadministration er typisk en database, der indeholder alle oplysninger om brugernavne, passwords (krypteret), beskrivelse af data og andre systemressourcer samt de enkelte brugeres og systemers rettigheder til samme. Flere af de mainframeinstallationer, som har været udsat angreb, har alle haft hardware fra IBM med operativsystemet z/os og adgangskontrol via RACF. Denne sammensætning er den mest udbredte installationstype blandt mainframes i Danmark. Kendte angrebsmetoder mod mainframeinstallationer Dette afsnit omhandler de teknikker, som bl.a. blev anvendt ved hackerangrebet mod CSC til at omgå RACF. De udgør grundlaget for beskrivelsen af de modforanstaltninger, som de it-sikkerhedsansvarlige for landets mainframeinstallationer bør overveje. Den væsentligste årsag til, at det lykkedes for hackere at opnå adgang til data på mainframes, er at de kunne udnytte den såkaldte Authorized Program Facility autorisation (APF-autorisation 1 ). Angrebene er udført ved, at der uopdaget er blevet anvendt uautoriserede APFprogrammer i styresystemet USS/Unix, hvorfra der er udstedt TSO-kommandoer (time sharing option) 2 mod z/os ved brug af en hacket USS-systembruger. Risikoen for misbrug er tilsvarende stor, hvis det er muligt at installere uautoriserede APFprogrammer direkte i z/os. Det skyldes, at APF-programmer giver det udførende program autorisation som en del af operativsystemet med stort set ubegrænsede beføjelser Ved at udnytte APF-autorisationen har det været muligt at eskalere niveauet af systemrettigheder for den hackede systembruger til et niveau, der normalt kun tildeles operativsystemet selv. Med de eskalerede rettigheder har det været muligt at omgå RACF-adgangskontrollen og opnå adgang til alle data på de berørte z/osplatforme. Hackerne har dermed haft mulighed for en omfattende kompromittering af fortroligheden og har haft mulighed for at forårsage nedbrud, slette eller forvanske data, som det ofte ville være særdeles vanskeligt at genskabe/genindsamle. De ændrede brugerrettigheder har kun været gældende for den aktive (kørende) brugersession, hvorfor der ikke har været efterladt spor efter ændringerne, hverken i 1 APF-autorisation giver det udførende program autorisation som en del af operativsystemet med stort set ubegrænsede beføjelser. 2 TSO betyder, at mange personer kan få adgang til et styresystem samtidigt. Den enkelte er dog uvidende om, at andre også har adgang til operativsystemet på samme tid. For en TSO-bruger ser det altså ud som om, at vedkommende er den eneste bruger på systemet. TSO anvendes primært af mainframe-systemadministratorer og -programmører. 2
4 RACF-databasen eller SMF-loggen (Service Management Facility på z/os). Da der ikke har været nogen umiddelbar indikation af den uautoriserede indtrængen i øvrigt, har angrebene kunnet foregå uopdaget over længere perioder. Anbefalinger Det er Center for Cybersikkerheds erfaring, at det blandt mange mainframeejere og -administratorer har været den fremherskende opfattelse, at mainframeinstallationernes tekniske kompleksitet i sig selv udgjorde en beskyttelse mod angreb. De kendte angreb mod mainframeinstallationer har imidlertid vist, at angribere har tilstrækkelig teknisk indsigt og vilje til at angribe mainframesystemer. En tommelfingerregel i vurderingen af, om informationssikkerhedsniveauet er passende, er at det skal være på et niveau, der vil forhindre uautoriseret adgang fra den mest erfarne systemprogrammør. Mainframeejere og -administratorer kan altså ikke forlade sig på den tekniske kompleksitet som en sikkerhedsfaktor. Center for Cybersikkerhed ønsker også at understrege, at det er afgørende, at ikke blot mainframeejere og -administratorer, men også kunder er bevidste om de mange informationssikkerhedsaspekter, der knytter sig til mainframeinstallationer. Derfor giver Center for Cybersikkerhed en række anbefalinger, som mainframeejere, leverandører af mainframetjenester samt mainframekunder bør kende. Der er ikke tale om forslag til en sikkerhedsog funktionalitetsløsning, der berører samtlige de informationssikkerhedsaspekter, som knytter sig til mainframeinstallationer, men om en række konkrete anbefalinger, der vil være til gavn for mange mainframeejere, leverandører af mainframetjenester samt mainframekunder Center for Cybersikkerhed anbefaler: At mainframeejerne nøje gennemgår deres APF-sikkerhedsopsætning. Der bør kun benyttes godkendte APF-programmer, og opdateringsadgang til APF-biblioteker 3 skal styres restriktivt. At mainframeejerne sikrer og fastholder en ufravigelig change-procedure for alle elementer af z/os-operativsystemer. At mainframeejerne begrænser adgangen til at ændre i APF-opsætningen. Det kan bl.a. gøres ved kun at give adgang i forbindelse med godkendt change, og kun så længe ændringen gør det nødvendigt. At mainframeejerne sikrer løbende overvågning af ændringer (eller forsøg på ændringer) i z/os-operativsystemet, med henblik på at afdække svagheder i changeproceduren. At mainframeejerne sikrer kontrol af og opfølgning på operatør- og RACFkommandoer, der kan ændre opsætning af APF, SMF etc. ( SETPROG, SET PROG m.fl.). At mainframeejerne sikrer, at der sker daglig opfølgning på ændringer i specielle autorisationer, der dækker styringsniveauet over RACF. Det vil sige adgange, der er givet i kraft af brugerens særstilling (sikkerhedsadministrator, databaseadministrator, systemoperatør etc.), i modsætning til adgange, som er givet via en bevilling i RACF. 3 For USS/OMVS-adgangskontrol med opdatering af APF-bit (READ adgang til RACF FACILITY class, profil BPX.FILEATTR.APF ). 3 3
5 At mainframeejerne lukker al unødvendig adgang til vitale operativsystemdata, herunder operativsystemets sikkerhedsopsætning, sikkerhedssystemdata (f.eks. RACFdatabasen) og eventuelle kopier af disse data (f.eks. backup). At mainframeejerne supplerer ovennævnte tiltag med en løbende vurdering af den generelle sikkerhedsopsætning i z/os. At mainframeejerne sikrer housekeeping i operativsystemet. Det vil bl.a. sige oprydning i udfasede komponenter, overflødige system-users etc. At mainframeejerne holder sig opdaterede med udviklingen i kendte trusler mod mainframesystemer herunder gennem IBM s Security Bulletins. At mainframeejerne løbende bør vurdere relevansen af samtlige de adgange, som er blevet givet udenom sikkerhedssystemet. Det gælder f.eks. adgang som RACF attribute PRIVILEDGED, -TRUSTED, - OPERATIONS, DB2 SYSADM og alle lignende adgangsmekanismer, der giver adgang på et overordnet niveau. At mainframeejerne altid har opdateret de centrale web-servere sikkerhedsmæssigt og sammenholdt sikkerhedsforholdene med mulige intelligente netværkskomponenter som eksempelvis IPS/IDS-løsninger. Det samme gør sig gældende for alle andre Internetvendte applikationsløsninger og services på mainframeinstallationer. At mainframekunder går i dialog med deres leverandør om sikkerhedsniveauet i den købte løsning med henblik på at kunne foretage en risikovurdering, sikre ansvarsfordeling og vurdere behovet for tilkøb af relevante sikkerhedsløsninger. Center for Cybersikkerheds og Digitaliseringsstyrelsens rapport Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift indeholder nærmere herom. Den kan findes på cfcs.dk Center for Cybersikkerhed Center for Cybersikkerhed er statens kompetencecenter på cybersikkerhedsområdet og fokuserer på beskyttelse af samfundsvigtige funktioner mod avancerede cyberangreb. Det sker bl.a. ved, at Center for Cybersikkerhed varsler om cyberangreb, og ved at centeret efter nærmere vurdering bistår angrebne organisationer med at imødegå og afhjælpe cyberangreb. På Center for Cybersikkerheds hjemmeside, cfcs.dk, er der yderligere information om cybertrusler og cybersikkerhed, herunder trusselsvurderinger, vejledninger samt en årlig risikovurdering. At mainframeejerene overvejer nedlukning og eller flytning af primære internet vendte web-servere og internetvendte applikationsløsninger under både USS og z/os til rene og isolerede platforme, eksempelvis en decentral Linux-platform. 4
Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mereTrusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs mereCenter for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014
Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for
Læs mereCFCS Beretning Center for Cybersikkerhed.
Center for Cybersikkerheds Beretning 2017 Center for Cybersikkerhed www.cfcs.dk 2 Cybertruslen - - - - - - - Center for Cybersikkerheds indsatser i 2017 - rådet. Det er centerets mission at styrke beskyttelsen
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereDecember 2013. Cyberforsvar der virker. Cyberforsvar, der virker
Cyberforsvar der virker NOVEMBER DECEMBER 2013 1 Forord Cybertruslen mod Danmark er reel. Danske offentlige myndigheder og private virksomheder er dagligt udsat for forstyr rende eller skadelige aktiviteter
Læs mereANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER
ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereIoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter
IoT-sikkerhed Trusler og løsninger i produktionsapparatet og intelligente produkter DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereH AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET
H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET AGEN D A Hvem er vi? Prioritering af IT-Sikkerhedstiltag Rejsen mod et passende sikkerhedsniveau Beredskabsøvelser National strategi for cyber- og informationssikkerhed
Læs mereDK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen
DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der
Læs mereCyberforsvar der virker
Cyberforsvar der virker Januar 2017 1 Cyberforsvar der virker Forord Danske myndigheder og virksomheder er dagligt udsat for forstyrrende eller skadelige aktiviteter fra forskellige aktører. Center for
Læs mere> DKCERT og Danskernes informationssikkerhed
> DKCERT og Danskernes informationssikkerhed Fujitsu Security Event, 29. januar 2019 Henrik Larsen 28 January, 2019 S 1 > Hvem er DKCERT? > Grundlagt 1991 efter en af de første store hackersager i Danmark
Læs mereRigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014
Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014 Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte statsrevisorer Rigsrevisionen rigsrevisor
Læs mereFællesregional Informationssikkerhedspolitik
24. Januar 2018 Side 1/5 Fællesregional Informationssikkerhedspolitik Indhold 1. Formål... 1 2. Organisation... 3 3. Gyldighedsområde... 4 4. Målsætninger... 4 5. Godkendelse... 5 1. Formål Den Fællesregionale
Læs mereHackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017
Hackingens 5 faser Kim Elgaard, Solution Engineer, Dubex A/S 21. marts 2017 Agenda Angrebs vectorer Hackingens faser, samt beskyttelsen Hverdagseksempler Hvad kan vi gøre Praktiske anbefalinger Live demo
Læs mereRetsudvalget REU Alm.del Bilag 116. Offentligt
:m :m EC å«, N 5 om,ampmma.zug w å. a 0mm x U>4>... rm
Læs mereFaxe Kommune. informationssikkerhedspolitik
Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en
Læs merePasswordvejledning PIXI udgave
Passwordvejledning PIXI udgave Center for Cybersikkerhed September 2016 1 Brugernavn og password er i høj kurs hos hackere. Det er stadig en ofte anvendt og succesfuld angrebsmetode til at skaffe sig uautoriseret
Læs mereSådan får du styr på de digitale risici
Sådan får du styr på de digitale risici Jacob Herbst, CTO, Dubex A/S Bygholm Park, Horsens, den 12. maj 2016 Udfordringer Avanceret infrastruktur og øget kompleksitet Compliance - ISO27001 og lovgivning
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mereBekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. 1 I bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl., som ændret ved
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs mereMaj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata
Maj 2019 Rigsrevisionens notat om beretning om universiteternes beskyttelse af forskningsdata Notat til Statsrevisorerne, jf. rigsrevisorlovens 18, stk. 4 1 Vedrører: Statsrevisorernes beretning nr. 8/2018
Læs mereSafe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)
Safe Work Space service beskrivelse Microsoft Windows version. Version 1.0.2 (Maj 2018) 1. Introduktion Dette dokument giver en detaljeret beskrivelse af de services som er indeholdt i Safe Work Space
Læs mere1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?
1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er
Læs mereUndersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor
Undersøgelsesrapport Målrettede forsøg på hacking af den danske energisektor Undersøgelsesenheden ved Center for Cybersikkerhed September 2018 Målrettede forsøg på hacking af den danske energisektor Denne
Læs mereAdministrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?
Administrative systemer bundet op mod SRO systemer Hvad med gør vi med IT sikkerheden? Jørgen Jepsen IT-chef Ringkøbing-Skjern Forsyning A/S Hvorfor ønskede vi at forbinde de 2 verdener med hinanden? at
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereCybertruslen mod Danmark
Cybertruslen mod Danmark Vurderingen redegør for det trusselsbillede, der møder danske myndigheder og private virksomheder på internettet. Vurderingen er skrevet af Center for Cybersikkerheds Trusselsvurderingsenhed,
Læs mereNationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder
Nationale cybersikkerhedsinitiativer Peter Munch Jensen, sektionsleder Agenda Baggrund: Den nationale cyber- og informationssikkerhedsstrategi og forsvarsforliget 2018-2023 Status på den sektorspecifikke
Læs mereCybertruslen mod et fjernvarmeværk
Cybertruslen mod et fjernvarmeværk hvordan nedbrydes viden om trusler til et risikobillede, man kan handle på? Jens Christian Vedersø Rådgivning Uklassificeret Agenda Cybertruslen mod Energisektorerne
Læs mereProgrambeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning
Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde
Læs mere1. trin: Aktivering af brugerkontostyring
Indhold: 1. trin: Aktivering af brugerkontostyring 2. trin: Aktivering af firewall 3. trin: Anvendelse af virusscanner 4. trin: Aktivering af automatiske opdateringer 5. trin: Oprettelse af sikkerhedskopier
Læs mereHvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.
Læs mereEvaluering af GovCERT-loven
Forsvarsministeriet Januar 2014 U D K A S T Evaluering af GovCERT-loven 1. Indledning og sammenfatning Forsvarsministeren afgiver hermed redegørelse om den statslige varslingstjeneste for internettrusler
Læs mereProgrambeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016
Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt
Læs mereNKOR 2015 Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel
NKOR 2015 Spor 3 - Datasikkerhed 5. november 2015 - Kontorchef Michael Kubel Agenda 3 spørgsmål 1. Er datasikkerheden omkring borgernes følsomme oplysninger god nok? 2. Hvordan sikres balancen mellem brugervenlighed
Læs mereWORDPRESS OG SIKKERHED
WORDPRESS OG SIKKERHED 1 WordCamp - WordPress og Sikkerhed - 24 May 2014 CONNIE QUIST Supporttekniker hos webhostingudbyderen Surftown Fokus på kundernes og systemernes sikkerhed og stabilitet Arbejder
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereOpdateringsaftale af CMS
Pr. januar 2014 Opdateringsaftale af CMS En service leveret af Mediastyle webbureau Aftalens indgåelse Dette er opdateringsaftale af CMS udført af Mediastyle webbureau for: Leverandør: Mediastyle ApS,
Læs mereAfinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru
Panda Internet Security 2007 NYT Platinum Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din
Læs mere/2017. November Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata
4/2017 Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata afgivet til Folketinget med Statsrevisorernes bemærkninger 147.281 1849 237 1976 November 2017 114.6
Læs mereBeretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb
Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger
Læs mereBilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018
Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr. 85249 18. juni 2018 MedComs styring af SDN Vi har undersøgt, om ledelsen har etableret en effektiv styring af
Læs mereOfte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk
9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation
Læs mereReducér risikoen for falske mails
Reducér risikoen for falske mails Center for Cybersikkerhed 1 November 2017 Indledning Center for Cybersikkerhed oplever i stigende grad, at danske myndigheder og virksomheder udsættes for cyberangreb.
Læs mereO Guide til it-sikkerhed
It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder
Læs mereGovCERT og DK CERT. Forskningsnettet 17. november 2010
GovCERT og DK CERT Forskningsnettet 17. november 2010 Hvad er GovCERT? GovCERT står for Government Computer Emergency Response Team, og er en statslig internet varslingstjeneste plaseret i IT- og Telestyrelsen
Læs mereBeretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015
Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Oktober 2015 BERETNING OM ADGANGEN TIL IT-SYSTEMER, DER UNDERSTØTTER SAMFUNDSVIGTIGE OPGAVER Indholdsfortegnelse
Læs mereFOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER
FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER 2017 Den 12. maj 2017 blev den vestlige verden ramt af det største cyberangreb i internettets historie. Værst gik ransomware angrebet WannaCry
Læs mereSpillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP.05.00.DK.1.0
SCP.05.00.DK.1.0 Indhold Indhold... 2 1 Formålet med retningslinjer for sårbarhedsscanning... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereFællesregional Informationssikkerhedspolitik
Udbud nr. 2016/S 199-358626 EU-udbud af Cisco UCC i Region Syddanmark Underbilag 13.1 - Fællesregional Informationssikkerhedspolitik Underbilag 13.1 Fællesregional Informationssikkerhedspolitik Side 1/6
Læs mereMELLEM. 2300 København S. (herefter SKI )
BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for MHT ApS vedr. behandling af persondata Version 1 Dato 28.05.2018 Godkendt af Jette Petersen Antal sider 11 Side 1 af 11 Tak, for at du har valgt at bruge vores produkter/services.
Læs mereRÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET
GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig
Læs mereSituationsbillede af sikkerhedstilstanden på den danske del af internettet. Marts 2014
Situationsbillede af sikkerhedstilstanden på den danske del af internettet Marts 2014 Indledning Dette situationsbillede fra Center for Cybersikkerhed er primært henvendt til it og sikkerhedsansvarlige,
Læs mereNetwork Admission Control
DM71 Network Admission Control Lasse Birnbaum Jensen, 040380 8. maj 2006 gymer@imada.sdu.dk Indhold 1 Indledning 2 2 Sikkerhedstrusler 3 2.1 Fokus tilbageblik.................................... 3 2.2
Læs mereNational strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden
National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden December 2014 INFORMATIONSSIKKERHED OG CYBERSIKKERHED I denne strategi anvendes to begreber: Informationssikkerhed
Læs mereOnline Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md
Online Backup U ndgå hovedbrud hvis uheldet er ude! Med en hosted online backup løsning hos, er dine data i sikkerhed. Du kan derfor glemme alt om båndskifte og opbevaring af backup-bånd. Med online backup
Læs mereAnbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Denne publikation er udarbejdet
Læs mereVejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden
Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets
Læs mereSikkerhed i cloud computing
Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter
Læs mereIT kriminelle bruger mange metoder: Virus små programmer der kan ødelægge computerens styresystem, data og programmer Crimeware som regel trojanske
IT kriminelle bruger mange metoder: Virus små programmer der kan ødelægge computerens styresystem, data og programmer Crimeware som regel trojanske heste som aflæser tastatur eller skærmen for at aflæse
Læs mereNational strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden
National strategi for cyber- og informationssikkerhed Øget professionalisering og mere viden December 2014 INFORMATIONSSIKKERHED OG CYBERSIKKERHED I denne strategi anvendes to begreber: Informationssikkerhed
Læs mereIt-revision af Sundhedsdatanettet 2015 15. januar 2016
MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen
Læs mereUndersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr
Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...
Læs merePanda Antivirus + Firewall 2007 NYT Titanium Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af
Læs mereMå lrettet årbejde med persondåtåforordningen for DANSK PLANTAGEFORSIKRING DANSK PLANTAGEFORSIKRING
Må lrettet årbejde med persondåtåforordningen for DANSK PLANTAGEFORSIKRING DANSK PLANTAGEFORSIKRING Skolestræde 1, 1. Tlf.: 86 67 14 44 8800 Viborg www.skovbrand.dk CVR: 27 09 56 15 Indholdsfortegnelse
Læs mereguide til it-sikkerhed
Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Defco A/S vedr. behandling af persondata Version 1.0 Dato 24-05-2018 Godkendt af Jan B. Jensen Antal sider 13 Side 1 af 13 Privatlivspolitik Tak, for dit
Læs mereIT-SIKKERHED HOS MOBILIZE ME APS
IT-SIKKERHED HOS MOBILIZE ME APS En gennemgang til kommuner Mobilize Me ApS, Åbogade 15, 8200 Aarhus N Side 1 af 7 Indholdsfortegnelse INDLEDNING 3 IT-SIKKERHED HOS MOBILIZE ME APS - FAQ 3 BRUGERSTYRING
Læs mereRigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb
Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb Juni 2018 NOTAT TIL STATSREVISORERNE, JF. RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning nr. 11/2017 om beskyttelse
Læs mereMariendal IT - Hostingcenter
ariendal IT - Hostingcenter ariendal IT - Hostingcenter ed vores topsikrede og professionelle hostingcenter tilbyder vi flere forskellige hostede løsninger I denne brochure kan du danne dig et overblik
Læs mere/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører
5/2016 Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører afgivet til Folketinget med Statsrevisorernes bemærkninger 147.281 1849 237 1976 November 2016 114.6 22.480 908 5 / 2016
Læs mereNotat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014
Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning
Læs mereRegion Hovedstadens Ramme for Informationssikkerhed
Region Hovedstadens Ramme for Informationssikkerhed Indhold Region Hovedstadens ramme for Informationssikkerhed... 3 1 Formål... 3 2 Gyldighedsområde/omfang... 4 3 Målsætninger... 4 4 Informationssikkerhedsniveau...
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for Hydro-X vedr. behandling af persondata Version 1 Dato 05.04.19 Godkendt af Flemming Wittenberg Antal sider 12 Side 1 af 12 Tak, for dit besøg på vores hjemmeside. Det er
Læs mereGreve Kommune. Revision af generelle it-kontroller 2011
Deloitte Statsautoriseret Revisionspartnerselskab CVR-nr. 33 96 35 56 Weidekampsgade 6 Postboks 1600 0900 København C Telefon 36 10 0 30 Telefax 36 10 0 40 www.deloitte.dk Greve Kommune Revision af generelle
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereStrategisk informationssikkerhed
Strategisk informationssikkerhed Jakob Scharf Executive Director, CERTA Intelligence & Security Tidligere chef for Politiets Efterretningstjeneste (PET) Trusler, risici og sårbarheder Private virksomheder
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs mereInformationssikkerhedspolitik
Holbæk Kommunes Informationssikkerhedspolitik 2013 Informationssikkerhedspolitik Indhold 1. Indledning 3 2. Formål 3 3. Holdning og principper 4 4. Omfang 4 5. Informationssikkerhedsniveau 5 6. Organisering
Læs mereManual til administration af online booking
2016 Manual til administration af online booking ShopBook Online Med forklaring og eksempler på hvordan man konfigurerer og overvåger online booking. www.obels.dk 1 Introduktion... 4 1.1 Formål... 4 1.2
Læs mereCybersikkerhed på vandværker V./ Per Rhein Hansen Sikkerhedsrådgiver Solid IT
Cybersikkerhed på vandværker V./ Per Rhein Hansen Sikkerhedsrådgiver Solid IT Klip fra Børsen d. 31. maj 1 Hvad kommer det os ved? Fx er Phishing angreb i vækst og dermed et af de mest aktuelle problemer
Læs mereNOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)
Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereTabulex ApS. Februar erklæringsår. R, s
Tabulex ApS Revisionserklæring (RS3000) vedrørende overholdelse af bekendtgørelse nr. 528 - beskyttelse af personoplysninger i tilknytning til Tabulex s softwareprogrammer. Februar 2012 8. erklæringsår
Læs mereObligatorisk projekt 4: Sikkerhed
Obligatorisk projekt 4: Sikkerhed Informationsteknologi i Organisationer og Compuerarkitektur og Operativsystemer Af Frank Kristensen, Mike Odgaard Sørensen og Morten Østerlund Jørgensen Gruppe 3 Side
Læs mere