DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - produkter (IV)
|
|
- Hans Møller
- 8 år siden
- Visninger:
Transkript
1 DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - produkter (IV) 1
2 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN:
3 Introduktion Formålet med denne vejledning er at give en introduktion til de sikkerhedsmæssige udfordringer der opstår, når 1) der bygges intelligens ind i produkter, og 2) produkterne sættes i stand til at kommunikere med omverdenen. Vejledningen skitserer nogle forskellige tekniske og metodiske løsningsmodeller, som man bør overveje at tage i anvendelse, når man sikrer sine produkter. Det underliggende hovedformål med at sikre sine produkter er at sørge for at minimere den risiko, som kunderne udsættes for ved at bruge produktet. Herved sikrer man, at kunderne får en god oplevelse af og tillid til produktet noget der i sidste ende gerne skulle bidrage positivt til forretningen. Der er skrevet meget lidt om produktsikkerhed i bred forstand. Sikkerhed i produkter er typisk meget afhængig af det enkelte produkt, og den måde produktets intelligens og kommunikationsmetode er bygget ind i produktet på. Alligevel prøver vi i denne vejledning at pege på nogle løsningsmodeller, som gerne skulle kunne bruges på tværs af produkters karakteristika. Vejledningen er et supplement til DI og DI ITEKs tre vejledninger om produkt- og produktionssikkerhed fra foråret Den første del henvender sig til virksomhedens direktion. Først gennemgås problemstillingen overordnet med fokus på de udviklingsmæssige tendenser og deres forretningsmæssige konsekvenser. Dernæst gennemgås den rolle, som ledelsen må forventes at indtage på området. Anden del af vejledningen henvender sig til de mellemledere i virksomheden, som har ansvaret for virksomhedens overordnede informationssikkerhed, virksomhedens produktionsapparat og virksomhedens produkter. Denne del udgør en konkret tjekliste rettet mod produktionsapparatet. Tredje del gennemgår på struktureret vis de forskellige sikkerhedsinitiativer, som bør tages overalt i organisationen. Denne del skal betragtes som en baggrundsrapport for andel del. Til slut i dokumentet findes en ordliste, som forklarer nogle af de organisatoriske eller tekniske begreber, der anvendes i denne vejledning. De første tre vejledninger er udformet så de retter sig mod mellemstore og store danske virksomheder, men særligt del to kan med fordel læses af alle virksomheder, som har et eget produktionsapparat. Denne supplerende fjerde del er rettet mod danske virksomheder, som allerede har eller er i gang med at overveje, at bygge intelligens ind i deres eksisterende produkter. Hos den enkelte virksomhed bør det være produktchefen og informationssikkerhedschefen, som er målgruppe for denne vejledning. Baggrund Som nævnt indledningsvis er der ikke skrevet meget om generel produktsikkerhed formodentlig fordi der skal udarbejdes relativt individuelle løsninger til det enkelte produkt. Et godt udgangspunkt er derfor at lade sig inspirere af de mulige trusler, som produktet står overfor. Hvis man kan sige ja til, at en trussel kunne være til skade for brugeren af produktet, kan der være god grund til at foretage en risikovurdering og beslutte, om der skal iværksættes beskyttende tiltag som f.eks. nogle af dem, der er omtalt i denne 3
4 vejledning. I DI og DI ITEKs hæfte: Trusler mod virksomhedens IT-sikkerhed 1 har vi med udgangspunkt i OCTAVE-modellen gennemgået nogle af de trusler, som virksomheden typisk står overfor. Relateret til produkter kunne det f.eks. være 2 : Kan der være interesse for at uvedkommende kan aflure data fra produktet? Forestil dig at du leverer smarte tagvinduer, som kan åbnes via fjernbetjeninger. En indbrudstyv kunne have interesse i at få adgang til og kopiere det signal, der sendes fra ejerens fjernbetjening til vinduet. Ved at sende en kopi af signalet kan indbrudstyven måske åbne vinduet selv og dermed få adgang til et ellers sikkert aflåst hjem og derved omgå et nok så solidt låsesystem på døren. Den indbyggede intelligens, der skulle være en service for vinduets ejer, bliver dermed en risiko. En sådan hændelse vil absolut også være en risiko for vinduesproducenten, som næppe sælger mange flere af denne type vinduer, lider et imagetab og risikerer at skulle betale erstatning til vinduets ejer. Kan der være interesse for uvedkommende i at ændre de data, som produktet afgiver? Forestil dig at du producerer intelligente målere, som kan bidrage med pædagogisk forståelse om optimering af energiforbrug i hjemmet samtidig med at energileverandøren løbende kan følge med i forbruget i det enkelte hjem. Alle forbrugere vil have et positivt incitament til at manipulere med sådanne målere for simpelthen at reducere det aflæste forbrug og dermed spare penge på energiregningerne. Hvis forbrugerne har held med dette taber energileverandøren penge. Målerproducenten vil næppe kunne sælge mange flere af den pågældende type målere, han vil lide et imagetab og han kan blive erstatningsansvarlig. Kan der være nogen uvedkommende, der har en interesse i, at produktet ikke kan aflevere sine data? Sporing har stor betydning i mange dele af industrien. F.eks. sporer man lastbiler og containere via GPS, dels af hensyn til logistik og dels for at undgå at de udsættes for pirateri. Tilsvarende indbygger man RFID-chip i møbler, som skal kunne identificere møblet unikt, hvis det bliver stjålet. Ondsindede personer, der gerne vil stjæle de pågældende produkter, vil have en interesse i at afbryde produkternes mulighed for at kommunikere. Hvis man vil have god nytte af den indlejrede intelligens, må man altså gøre, hvad man kan for at sikre, at en sådan kommunikation er vanskelig at afbryde. Kan der være nogen, der har en interesse i at produktet holder op med at virke? Forestil dig at du leverer medicinsk udstyr som f.eks. en pacemaker eller en insulinpumpe. Ved at indbygge intelligens i dette apparat kan man f.eks. fjernovervåge patienten, give den rette dosis medicin eller sikre sig at patientens hjerte virker, som det skal. I bedste krimistil kan nogen have interesse i at manipulere med dette. Nogle (politiske aktivister eller arvinger) vil måske gerne slå en person ihjel. Andre vil måske gerne afpresse personen. Konkurrenter kan måske have en interesse i at få udstillet produktet som ringe. Hvis man kan få produktet til at holde op med at virke vil producenten ikke kunne afsætte produktet, lide imagetab og eventuelt bliver erstatningsansvarlig. I nogen tilfælde har systemer med indlejret intelligens også et lille indlejret batteri. Et sådant batteri er ofte temmelig lille, fordi der er brug for ganske lidt strøm for at få produktet til at virke selv over en længere årrække. I de tilfælde, hvor produktet er indlejret og dermed fysisk vanskeligt tilgængeligt (f.eks. en De nævnte eksempler er tænkte eksempler og er altså ikke alle demonstreret i den virkelige verden. 4
5 pacemaker eller en fugtsensor indstøbt i en fundamentblok), kan man få produktet til at holde op med at virke, ved at sende så mange uvedkommende henvendelser eller ordrer til produktet at batteriet hurtigt bliver brugt op 3. Kan uvedkommende via adgang til produktet gøre skade på andre produkter eller brugere? Forestil dig at du producerer vindmøller. Hvis en ondsindet person kunne få adgang til og kontrol med en enkelt vindmølle kan dette måske bidrage til at få adgang til andre dele af den energiinfrastruktur, som vindmøllen er placeret i. Dette kunne helt sikkert have interesse for politiske ekstremistiske aktivister, der gerne vil gribe ind med angreb på væsentlig infrastruktur i et samfund. Hvis en vindmølle kan overtages og kontrolleres af uvedkommende vil dette helt sikkert betyde, at det bliver vanskeligt at afsætte produktet, producenten vil lide et imagetab og kan eventuelt blive erstatningsansvarlig. Men det behøver ikke at være produkter, der indgår i kritisk infrastruktur, som er omfattet af denne trussel. Hvad vil der kunne ske, hvis en uvedkommende kan overtage kontrollen med dit internetforbundne fjernsyn og bruge dette sammen med andre fjernsyn til at angribe it-installationer? Hvad vil der ske man kan overtage kontrollen med den intelligente bil eller det intelligente trafikstyringssystem? Eller hvad vil der ske hvis en ondsindet person kan få dit høreapparat eller trådløse headsæt til at bryde i brand? I takt med at vi bygger mere og mere intelligent ind i produkterne får vi bedre produkter med mere service. Vi får produkter, der gør menneskers liv bedre. Men det er vigtigt, at vi også erkender, at intelligensen giver nye risici, som produkterne ikke havde tidligere. Vi skal have forestillet os disse risici på forhånd. Vi skal have håndteret dem til et rimeligt niveau, således at det, der skulle gøre livet lettere for menneskene (kunderne), ikke pludselig får den modsatte effekt. Vi skal have håndteret dem, så produktrisikoen ikke bliver til en finansiel risiko, og virksomhedens investorer taber penge. Vi skal have håndteret dem, så produkter, der er udviklet med indbygget intelligens, som har givet danske virksomheder en konkurrencefordel, ikke pludselig resulterer i danske virksomhedslukninger og tab af danske arbejdspladser og vækst. Overblik over løsninger Vi vil i denne vejledning gennemgå nogle løsninger og overvejelser, som kan bidrage til at håndtere nogle af de risici, der er skitseret ovenfor. 3 Dette er et klassisk angreb på tilgængeligheden kaldet Sleep Deprivation Torture. 5
6 Common Criteria certificering Certificering er en ganske udbredt måde at demonstrere, at ens produkter efterlever nogle specielle krav. På sikkerhedsområdet findes der masser af forskellige standarder. Der er dog særlig en af dem, som er rettet mod certificering af it-udstyr og it-løsninger og det er Common Criteria (CC), som er en ISO standard (ISO 15408) 4. Formålet med CC er at verificere, at softwaren er sikker, fordi den efterlever nogle tekniske sikkerhedsfunktionaliteter. For at sikre dette, må produktet følge visse krav i løbet af sin udvikling, omend der ikke er krav til udviklingsprocessen som sådan. Tilsvarende må produktet kunne give brugeren den fornødne guidance og den sikkerhedsfunktionalitet, som det lover. Ideen er, at produkter, som kan CC certificeres, har højere sikkerhed (i betydningen: efterlever det de lover) end produkter, der ikke er CC certificeret. CC certificering er primært ment som en måde at kunne sammenligne sikkerhed mellem produkter. På den måde kan man vælge at øge sikkerheden ved kun at efterspørge produkter, der efterlever certificeringen. Certifikatet udstedes til et konkret produkt eller en konkret løsning. Den internationale gensidige anerkendelse af certifikaterne sker via deltagelse i Common Criteria Recognition Agrement (CCRA), som Danmark har tiltrådt i Producenten udpeger en Commercial Licensed Evaluation Facility (CLEF), som gennemgår en proces for produktet. Resultatet af denne præsenteres for certificeringskomite, som så udsteder certifikatet 5. I praksis forløber processen som følger: En producent eller en kunde identificerer et produkt, som man gerne vil certificere. Dette produkt kaldes for Target of Evaluation (TOE). Hvis initiativet til at få certificeret et produkt ligger hos kunderne (i bred forstand, f.eks. også staten og standardiseringsorganisationer) opstiller de nogle krav til hvilken sikkerhed produktet skal efterleve. Disse krav beskrives i en Protection Profile (PP) 6. Hvis initiativet til at få certificeret et produkt ligger hos producenten beskriver han de sikkerhedsforanstaltninger, der er indbygget i produktet i et Security Target (ST). Såfremt initiativet kommer fra kunderne, vil det altid være nyttigt for producenten at sikre, at hans ST som minimum indeholder de krav, der er fremsat i de mest anvendte PP ellers kan hans produkt ikke efterleve kundernes krav. Indholdet i ST og PP består som oftest af en præcisering af TOE, en beskrivelse af relevante sikkerhedsproblemer/trusler, nogle målsætninger for sikkerheden (der kan være tilknyttet truslerne 1:1) tillige med en beskrivelse af målsætningerne formuleret formelt som: 4a. Security Functional Requirements (SFRs), som beskriver den sikkerhedsfunktionalitet, der skal ligge i produktet f.eks. hvem må få adgang til at gøre hvad med produktet. Denne beskrivelse skal være formel i betydningen teknisk og gerne følge tekniske standarder på området. 4 For en introduktion til CC, se: Den samlede CC kan findes her: Konkrete eksempler på Protection Profiles lavet for den amerikanske regering kan findes her: 6
7 4b. Security Assurance Requirements (SARs), som beskriver hvilke tiltag, der skal være taget for at sikre, at produktet faktisk har den sikkerhedsfunktionalitet, som det hævder, at det har. I praksis stiller SAR krav om, at der skal kontrolleres for hvordan produktet er udviklet, hvilken guidance man kan få til implementering og drift af produktet, tests af produktet, sårbarhedsanalyse af produktet og lifecycle support af produktet. Verifikationen af SAR kan foregå med forskellige niveauer af grundighed kaldet Evaluation Assurance Level (EAL). Der findes syv niveauer af dette. Ved at vælge et højere niveau af EAL får man altså ikke et sikrere produkt, men et produkt som, der er bedre sikkerhed for, efterlever det, der er blevet evalueret for. Det er ganske usædvanligt at have kommercielle produkter, som er certificeret på mere end niveau fire. De højeste grader af certificering findes til produkter og løsninger, som har en meget begrænset funktionalitet og anvendelsesområde, eller til virksomheder og organisationer, der har særlig strenge krav til sikkerhed f.eks. forsvarsindustrien. CC specificerer ikke selv en detaljeret udviklingsmodel, som skal følges. I stedet angives de generelle sikkerhedskrav, der bør opfyldes. Disse bør opstilles inden udviklingsprocessen påbegyndes, således at man er sikker på at give en rimelig sikkerhedsfunktionalitet, og således at man kan give den funktionalitet, som er efterspurgt af markedet. Det skal bemærkes, at på det danske marked er efterspørgsel af CC-certificeringer ganske minimal. Det skal også fremhæves, at CC-certificeringer er så specifikke, at de kun gælder ganske konkrete konfigurationer af et produkt. Hvis produktet omkonfigureres, gælder CC-certificeringen ikke nødvendigvis længere. Endelig skal det fremhæves, at CC kan være ganske tungt at arbejde med særligt for mindre og mellemstore virksomheder. Desuagtet er CC-certificeringer et godt bud på at få arbejdet med sikkerheden i sine intelligente produkter og få demonstreret at sikkerheden er på plads overfor omverdenen. Foruden CC, som er en generel certificering, findes der også mere snævre certificeringer eller udstedelse af mærker m.v., der har til formål at demonstrere, at sikkerheden i større eller mindre grad er blevet afprøvet. F.eks. laver CompTIA og ViaForensics en undersøgelse af om mobile applikationer efterlever visse på forhånd definerede krav 7. Det kan betale sig at undersøge, om der findes tilsvarende tiltag i den branche, som virksomheden hører til. Penetrations- og sårbarhedstetest samt andre tests Test af produkter er et helt almindeligt kendt fænomen. Den mest oplagte test er at se, om produktet virker efter hensigten. Andre tests kommer også jævnligt på tale f.eks. test af slitage, test af produktionsforløbet, test af kvaliteten, test af brugervenligheden og test af design og emballage. Det er nødvendigt systematisk at føje tests af sikkerheden til denne gruppe af tests. Der er flere forskellige typer af sikkerhedstests 8 : /New_Secure_Mobile_App_Developer_Credential_Planned_by_CompTIA_and_viaForensics.aspx. 8 En glimrende oversigt over de forskellige sikkerhedstests kan findes i NIST SP , En mere abstrakt og digert værk er The Open Source Security Testing Methodology Manual, OSSTMM 3, 7
8 I IT-verdenen har man i mange år brugt de såkaldte penetrationstests. Penetrationstest er en metode, hvor man simulerede angreb fra personer med ondsindede hensigter, som forsøger at få adgang til it-systemet. Der testes f.eks. for potentielle sårbarheder som følge af fejl på hardware, konfigurationsfejl eller programfejl i softwaren. Der kan også testes for om de tilstrækkelige korrigerende foranstaltninger er til stede og virker. F.eks. kan man bestille konsulenter, der forsøger at hacke virksomhedens hjemmeside. Testen kan inkludere en undersøgelse af, hvor mange besøgende der kan være på hjemmesiden af gangen 9. Testen vil også inkludere en undersøgelse af, om siden har sårbarheder i form af fejl i programmeringen, som kan udnyttes af de ondsindede personer 10. Endelig vil testen også se på, om der kan findes fejl på den webserver (inklusiv omgivende hardware), som siden er lagret på 11. Det er vigtigt, at penetrationstests gennemføres på både netværkslaget og applikationslaget. Penetrationstests på netværkslaget er typisk semiautomatiserede skanninger, som kortlægger, hvor der kan sendes informationer ind i eller ud af virksomheden. Resultatet af denne type skanninger vil ofte være en liste over åbne porte og eventuelle sårbarheder, der kan udnyttes direkte. Penetrationstests på applikationslaget er, som det fremgår af ordet, test af et program. Det er typisk en mere manuel proces, hvor testeren leder efter typiske programmeringsfejl som f.eks. sql injections eller cross site scripting eller logiske fejl, som f.eks. systematisk forkert henvisning til en modtager. En delmængde af penetrationstests kaldes også sårbarhedsskanninger. Hen skanner man automatisk efter tilstedeværelsen af en række kendte sårbarheder enten på netværkslaget eller applikationslaget. Der findes også tests der er rettet mod trådløs kommunikation. Her kan man teste om et produkt kan kommunikere via forskellige trådløse teknologier 12 f.eks. GPRS, UMTS, WI-FI (IEEE x), WiMax, Blutooth, ZigBee, og Z-Wave og ikke mindst om der i tilknytning til disse er sårbarheder. Endelig anvendes der ofte fysiske penetrationstests, som har til formål at se, om uvedkommende via f.eks. social engineering kan snyde sig forbi receptionen eller forbi hunde og hegn. Denne type penetrationstest er irrelevant i forbindelse med produkter. Den typiske penetrationstest forløber i henhold til NIST som følger: 9 Ondsindede personer vil ofte forsøge at belaste serveren med så meget ondsindet trafik, at den ikke kan give svar på den rigtige trafik fra de rigtige kunder. Den ekstra mængde trafik betyder at serveren går ned, holder op med at være tilgængelig, at svare. Dette kaldes et Distributed Denial of Service angreb. 10 Hjemmesiderne er ofte lavet til at give svar på et spørgsmål. Hvis man f.eks. har et felt på en hjemmeside, hvor det er meningen at brugeren skal indtaste sit telefonnummer, bør det specificeres at der kun kan indtastes tal og kun tal i særlige formater (f.eks. +45 for Danmark og otte-cifrede telefonnumre). Hvis denne begrænsning ikke er lagt ind, kan en ondsindet person måske sætte en tekststreng med skadelig kode ind, som gør at han kan få adgang til hjemmesiden. 11 Der findes løbende fejl i de programmer, som styrer computeren. Vi kender alle til at man løbende opdaterer de forskellige programmer på en computer med nye opdateringer, som enten giver ny funktionalitet eller som opdaterer fejl i programmeringen af programmet. Hvis webserverens styresystem ikke er opdateret kan der findes sådanne fejl og disse kan udnyttes til at give den ondsindede person kontrol over webserveren. 12 En glimrende introduktion til de forskellige trådløse teknologier og deres karakteristika kan findes på Wikipedia: Som det kan ses anvendes de til forskellige formål, der bl.a. er bestemt af deres rækkevidde, hastighed og kommunikationsfrekvens. 8
9 Planlægningsfase I denne fase defineres testens målsætning, omfang og ledelsen accepterer reglerne for gennemførsel af testen. Analysefasen I denne fase indsamles forskellige informationer om det, der skal skannes, og der gennemføres skanninger af porte og services m.v., så man kan se, f.eks. hvilke porte man kan kommunikere på og hvilke versioner af hvilken software, der kører på systemet. Herefter gennemføres der en sårbarhedsskanning af den information, man indledningsvis har fået indsamlet. På denne baggrund har man en oversigt over, hvor man eventuelt kan slå til og angribe systemet. Angrebsfasen I denne fase gennemføres det egentlige angreb. Man vil forsøge at få adgang til systemet, herefter vil man forsøge at få stadig større privilegier på systemet og gerne opnå at kontrollere det. Endelig vil man undersøge, om man via systemet kan få adgang til andre systemer, tillige med at man vil installere forskellige værktøjer, der gør, at man kan bevare kontrol med systemet. Afrapportering Undervejs i hele processen indsamles der data. Disse vil i den afsluttende fase blive opsummeret således, at systemets ejer kan se, hvilke sårbarheder der findes, hvilken risiko for udnyttelse der er i sårbarhederne og endelig gode råd til hvordan disse kan afhjælpes. I den finansielle sektor er penetrationstests så populære, at det er gjort obligatorisk at foretage penetrationstests hos virksomheder, der håndterer betalinger via kreditkort 13. Anvendelsen af penetrationstests vil i nogle sammenhænge følge af lovgivning. I USA stiller HIPAA sikkerhedsreglerne krav om at der foretages penetrationstest. Man kunne godt have en forventning om, at der i stigende grad vil blive stillet krav gennem lovgivning, branchemæssig selvregulering eller bare krav fra kunderne om at der er gennemført en (årlig 14 ) penetrationstest, og hvilke resultater testen gav. At gennemføre en troværdig penetrationstest kræver særlig uddannet personale. Det anbefales for langt de fleste virksomheder at hyre en ekstern samarbejdspartner ind. Både for at sikre sig den tilstrækkelige faglige viden og for at sikre sig at den der tester er uafhængig af virksomheden. Virksomheden kan dog med fordel sætte sig ind i området og blive en bedre sparringspartner for den der skal gennemføre testen. Det kan bl.a. ske ved at sætte sig ind i nogle af de metodikker, der anvendes ved gennemførsel af penetrationstests. I særdeleshed kan det betale sig at læse NIST SP , pp Løsninger baseret på udveksling af nøgler I en række tilfælde er det en vigtig sikkerhedsparameter, at kun bestemte computere kan kommunikere med produktet. Et oplagt eksempel er pacemakere. Det vil være nyttigt, hvis kun lægen, hospitalet og pacemakerens ejer kan kommunikere med pacemakeren. På den måde kan det sikres, at uvedkommende ikke kan sidde i et tog og hacke sine medpassagerers pacemakere. I vores eksempel med vinduer styret af 13 Payment Card Industries Security Standards kan findes her: Det er krav 11.3, der vedrører penetrationstests. 14 En pacemaker eller et intelligent vindue installeres for at holde i mange år. Det nytter ikke noget kun at teste én gang. Trusselsbilledet og de ondsindedes metoder udvikler sig løbende og en sårbarhed, der ikke blev opdaget eller ikke kunne udnyttes for et år siden er måske højaktuel i dag
10 fjernbetjeninger ville det også være nyttigt, dersom det kun var ejerens egen fjernbetjening, der kunne styre åbningen af vinduerne. Andre eksempler inkluderer kommunikation med produktionsudstyr og kommunikation med indlejrede sensorer. Alle virksomheder bør overveje, om deres produkt er af en sådan karakter, at det kan medføre skade på produktet eller skade for ejeren, hvis uvedkommende computere kan få adgang til at kommunikere med produktet. Der findes en række løsninger, som sikrer, at alene to på forhånd bestemte parter kan kommunikere med hinanden. Alle disse løsninger er på en eller anden måde baseret på kryptering 16. Lad os forestille os at man bygger et nyt hus. Huset inkluderer en række sensorer i selve bygningen: regnsensorer til at lukke vinduer, fugtsensorer i fundament og tag så man kan sætte ind overfor skader på et tidligt tidspunkt, glasbrudssensorer til at forebygge indbrud, gassensorer til detektion af udslip af naturgas, bevægelsessensorer til at tænde lyset, osv. Ejeren af huset vil gerne sikre sig, at han og familien trådløst kan styre huset uden indblanding fra uvedkommende tyveknægte, nysgerrige naboer, virksomheder, staten og andre, der kunne tænke sig at give en hånd med. Ejeren vil derfor gerne sikre sig, at alle sensorer og målere i huset alene afgiver information til og modtager ordrer fra de computere, som ejeren bestemmer sig for. Samtidig skal det være sådan, at når der kommer et nyt familiemedlem eller en ny computer eller smartphone i hjemmet, så kan ejeren bestemme, at også denne computer må kunne kommunikere med sensorer og målere, ligesom han kan fjerne muligheden for, at gamle computere fortsat må kunne kommunikere. Endelig vil ejeren gerne sikre sig, at alle hans egne sensorer og målere tilknyttes computerne men at naboens censorer og målere ikke bliver det. Sensorer og målere skal dermed lære, hvilke computere de må kommunikere med og samtidig vide, at det er forbudt at kommunikere med alle andre computere end dem, der eksplicit er tilladt. På den måde kan man opnå sikkerhed for, at uvedkommende ikke kommunikerer med ejerens sensorer og målere. Sensorer og målere er som udgangspunkt, når de leveres fra producenten, i en fødselstilstand, hvor de ikke har nogen ejere. Fra det øjeblik, hvor de er bragt ind i hjemmet og tændes for første gang, er der risiko for, at naboen eller ondsindede forbipasserende kan overtage kontrol med dem. For at imødegå denne trussel må sensoren eller måleren udover en wi-fi adgang fødes med en location-limited side channel f.eks. Near Field Communikcation 17, som har ekstremt kort rækkevidde eller et fysisk interface som f.eks. en USBindgang 18. På den måde kan det sikres, at det virkelig kun er ejerens smartphone (og andre computere i tilstrækkelig fysisk nærhed), der kan kommunikere med enheden. Lad os antage at ejeren får en ny sensor, og at han ønsker, at denne skal kommunikere med hans smartphone. Når man skal installere sin nye sensor eller måler, sker der en første udveksling af kommunikation i form af kryptografisk information mellem de to parter via den såkaldte location-limited side channel. 16 Anbefalingerne i dette afsnit er fortrinsvist baseret på Frank Stajano og Ross Andersons The Resurrecting Duckling: Security Issues for Ad-hoc Wireless Networks, att.pdf og Dirk Balfanz, D. K. Smetters, Paul Stewart og H. Chi Wongs Talking To Strangers: Authentication in Ad-Hoc Wireless Networks, 17 Standard for radiokommunikation på korte afstande, specificeret i ISO/IEC / ECMA-340 og ISO/IEC / ECMA Se f.eks. WirelessHART, 10
11 Både sensoren og smartphonen antages at have deres egen offentlige og private nøgle. Nøgleparret har den funktion, at de kan bruges til at kryptere eller dekryptere en besked. Hvis en person, Bob, vil sende en besked til en anden person, Alice, kan Bob kryptere sin besked med Alices offentlige nøgle. Herefter er det kun Alice, der kan læse beskeden ved at dekryptere den med sin private nøgle. Nøglerne genereres på en sådan måde, at selv med kendskab til den offentlige nøgle er det indenfor næsten uendelig tid umuligt at gætte den private nøgle selv hvis man bruger verdens største computer. I vores tilfælde sender sensoren sin offentlige nøgle til smartphonen, og smartphonen sender sin offentlige nøgle til sensoren. Begge udvekslinger sker via den location limited side channel. Når de to parter har udvekslet offentlige nøgler via denne side channel, kan de optage kommunikationen over større afstande via wi-fi adgangen. De kan stadig kende hinanden, fordi de har hinandens offentlige nøgler: Smartphonen sender et ønske om at kommunikere til sensoren krypteret med sensorens offentlige nøgle. Sensoren dekrypterer kommunikationen med sin private nøgle og beviser dermed, at det er den rigtige sensor. Sensoren svarer tilbage til smartphonen med et svar, der er krypteret med smartphonens offentlige nøgle. Smartphonen dekrypterer svaret med sin private nøgle og beviser dermed, at det er den rette modtager. Den kommunikation, som foretages via wi-fi, kan f.eks. foretages på samme måde, som vi kender det ved elektroniske betalinger 19. Sikkerheden ligger i tre elementer: For det første vil det være meget vanskeligt grænsende til umuligt for en ondsindet person at komme så fysisk tæt på sensoren, at han vil kunne udveksle nøgler med den via sin egen smartphone i den location limited side channel 20. For det andet ville ejeren opdage at noget var galt, hvis der allerede var en anden part, der havde kontrol med sensoren. For det tredje vil en ondsindet person, der forsøger at få adgang til sensoren via wi-fi, ikke kunne kommunikere med denne, da han ikke har smartphonens private nøgle, og derfor ikke kan dekryptere det budskab sensoren sender, som er krypteret med den offentlige nøgle fra ejerens smartphone. Det skal bemærkes, at det bestemt ikke er alle sensorer og målere, som har regnekraft til at udveksle nøgler og foretage kryptering og dekryptering via disse. Man kan derfor vælge at anvende mere simple former for kryptering end selve nøglerne. Der kan være tale om certifikater, eller der kan være tale om kortere udgaver af nøglerne kaldes kryptografiske hash-funktioner. Man kan også vælge en løsning, hvor kun den ene part har en offentlig nøgle (hvis sensoren eller måleren må stille data til rådighed for alle), eller hvor man baserer sig på delte hemmeligheder mellem de to parter som erstatning for nøgler. Da dette ikke er en vejledning i kryptologi, vil vi ikke gå mere i dybden med dette i denne vejledning. I ovenstående eksempel har vi lavet et sæt nøgler pr. computer et for sensoren og et for computeren. I nogle sammenhænge kan man i stedet lave en gruppenøgle, som alle parter i gruppen deles om. Det kan f.eks. være relevant, hvis man fra sin smartphone gerne vil kommunikere med en flerhed af sensorer på én 19 Radiokommunikationen foregår via en sikkerhedsprotokol kaldet TLS (tidligere SSL). 20 Anvendes der NFC, vil man på større afstande med det rette udstyr potentielt set kunne aflytte kanalen, men sandsynligheden for at dette skulle ske er meget lille. Se en diskussion af dette i Ernst Haselsteiner og Klemens Breitfuß: Security in Near Field Communication (NFC), Det kan eventuelt overvejes om ejeren skal kunne tænde og slukke for den location limited side channel via sin wi-fi-forbindelse, så den kun står åben i de meget korte tidsrum, hvor der skal tilføjes nye computere til muligheden for at kommunikere med sensoren. 11
12 gang. Den initiale forbindelse mellem sensorer/målere og computere/smartphones skal også ske over en location limited channel. Det meste at sikkerheden fungerer som i ovenstående eksempel, hvor der kun er to parter. Først deles de offentlige nøgler mellem to parter via en location limited channel. Når parterne har autentificeret sig udsendes en gruppenøgle baseret på de offentlige nøgler til hele gruppen. Via denne gruppenøgle kan hele gruppen kommunikere sammen, men uvedkommende vil ikke kunne læse kommunikationen. Gruppenøglen kan udsendes af en central administrator eller mellem de enkelte enheder, når den indledende manøvre gennem den location limited channel er på plads. I praksis findes der på markedet løsninger, hvor man kan kommunikere med sine intelligente ting eller sit produktionsudstyr, over internettet men ved udveksling af certificerede nøgler. Når man begiver sig i kast med at indrette sine løsninger på denne måde må det anbefales at kontakte en leverandør på området, som kan indrette certifikaterne på en hensigtsmæssig måde og skrive en relevant protokol (eller anvende en standardprotokol). Det kan bl.a. foregå således, at der installeres en lille webserver på den enhed, man gerne vil kommunikere med. En bruger åbner så en browser og indtaster URL'en (inkl. f.eks. et serienummer) til den enhed, han gerne vil kommunikere med. Herefter udveksles der certifikater mellem enheden og browseren. Certifikaterne godkendes af en central service provider. Når godkendelsen af certifikaterne er på plads, oprettes der en direkte krypteret forbindelse (a la Skype) til enheden 21. Firewall og andre klassiske sikkerhedstiltag på lokale enheder I nogle tilfælde er der på det lokale smarte produkt tilstrækkelig regnekraft til, at man kan installere mere klassiske sikkerhedsløsninger som f.eks. en firewall, der overvåger og blokerer trafik, som ikke er tilladt. Sikkerhedstiltag som disse er kendt for at sikre perimeteren - f.eks. at sikre en fabriks eller et privat hjems forbindelser til omverdenen eller til at dele et netværk ind i forskellige zoner. Imidlertid kan man betragte hver enkelt smarte enhed som en zone. Man kan så på den enkelte enhed installere en firewall og sikre, at enheden kun tillades at kommunikere med de parter, som det på forhånd er bestemt at tillade. Man skal også overveje mulighederne for andre klassiske sikkerhedstiltag som f.eks. opdatering, intrusion detection og antivirus. Følg med i trusselsbilledet og isoler produkter Et produkt, som er intelligent, er ikke bare et færdigt produkt! Der er behov for at man løbende holder øje med trusselsbilledet for produktet. Mange produkter holder længere end forventet af producenten og kunderne har derfor typisk en anden end of life opfattelse end producenten. I de fleste hjem står en 15 år gammel vaskemaskine, fryser, elmåler eller tilsvarende. Produkterne indgår måske også i en anden sammenhæng f.eks. kobles på et hjemmenetværk end forventet af producenten. Hvis sådanne produkter hackes og skaber ravage for andre installationer i hjemmet, vil det uanset at producenten måske har taget sig sine forbehold rent juridisk skabe en utilfreds kunde. Virksomheder, der indbygger intelligens i deres produkter, bør tænke på deres produkter på en ny måde. Dette råd implicerer dog ikke bare at læse nyhedsbreve. Der skal i virksomheden skabes et overblik over: Hvilke produkter har vi lavet? Hvilken software køre på disse produkter og i hvilken version? 21 Se eksempel på en konkret løsning på 12
13 Hvilken hardware har vi brugt (standardchip, batterier, osv.)? Hvor lang tids garanti har vi givet på produktet (det juridiske ansvar) og hvor lang tid forventer vi reelt set at produktet lever ude hos kunderne (det moralske ansvar og forsvar mod dårlig omtale og utilfredse kunder)? Hvilke trusler er der imod de pågældende produkter? Hvor forefindes det pågældende udstyr typisk (befolkningssegmenter, markeder/lande, professionelle kunder)? Hvordan anvendes produktet og anvendes det i praksis i sammenhæng med andre produkter? Hvordan kommunikerer vi nye trusler ud til dem, der typisk har vores produkter (evt. offentligheden) 22? På baggrund af disse oplysninger kan man følge med i, om der sker sårbarheder i netop den software eller hardware, der er brugt i det produkt virksomheden producerer 23. I denne forbindelse kan det typisk betale sig at lave en intern sårbarhedsdatabase, som, i det omfang at der findes løsninger i form af opdateringer, kan gøres delvist offentligt tilgængelig f.eks. online. Det kan også betale sig at nedskrive en egentlig patch management strategi, for de produkter man producerer. På den måde sikrer man, at der er adgang til relevante opdateringer (naturligvis henset til om det er muligt for brugeren at opdatere produktet). Man kan også i tilknytning til en sådan service give mulighed for download af manualer, software med ny funktionalitet og andet, der giver en god oplevelse for kunden. Der er også mulighed for at produktet kan opdatere sig selv via et hjemmenetværk. Hvis man vælger denne løsning, skal man være forsigtig, fordi det eventuelt vil kunne udgøre en sårbarhed i sig selv, der kan udnyttes af ondsindede personer. Virksomheden bør også overveje, om produktet efter garantiperiodens udløb, eller når kunden måtte ønske det, skal isoleres således, at produktet ikke længere kan kommunikere med omverdenen. Det afhænger selvfølgelig af produktets karakter: En fjernbetjening kan næppe isoleres, men en pumpe kan måske godt. Isolation er under alle omstændigheder en metode, der ofte bruges i andre sikkerhedssammenhænge. 22 En god praktisk tilgang til sådan en kommunikation findes hos Siemens, der har lavet deres egen produkt CERT se f.eks. og 23 Flere private sikkerhedsleverandører tilbyder services, hvor man kan blive opdateret på sårbarheder. Hertil kommer The Repository of Security Incidents, hvor man kan få et samlet overblik over trusler, 13
VEJLEDNING Sikkerhed i Internet of Things
VEJLEDNING Sikkerhed i Internet of Things DI Digital 1787 København V. 3377 3377 digital.di.dk digital@di.dk DI Digital et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mereIoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter
IoT-sikkerhed Trusler og løsninger i produktionsapparatet og intelligente produkter DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereITEK og Dansk Industris vejledning om betalingskortsikkerhed
ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary
Læs mereRÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET
GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig
Læs mere- for forretningens skyld
Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereDI og DI ITEK's vejledning om bevissikring
DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder
Læs mereVi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.
Som hostingleverandør er vores vigtigste sikkerhedsopgave at passe godt på dine data og sørge for, at du til enhver tid lever op til sikkerhedskravene fra dine kunder. Sikkerhed er derfor et område, som
Læs mereSpillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP.05.00.DK.1.0
SCP.05.00.DK.1.0 Indhold Indhold... 2 1 Formålet med retningslinjer for sårbarhedsscanning... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 2 Certificering... 3 2.1 Certificeringsfrekvens...
Læs merePervasive computing i hjemmet et sikkerhedsproblem?
Pervasive computing i hjemmet et sikkerhedsproblem? Jakob Illeborg Pagter Alexandra Instituttet A/S Oplæg En af de konkrete visioner for pervasive computing er det intelligente hjem. Dette begreb dækker
Læs mereHvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.
Hvad er KRYPTERING? Kryptering er en matematisk teknik. Hvis et dokument er blevet krypteret, vil dokumentet fremstå som en uforståelig blanding af bogstaver og tegn og uvedkommende kan således ikke læses
Læs mereSikkerhed i trådløse netværk
Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - ledelsens ansvar og rolle (I) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-950-7 0.04.12
Læs mereHvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.
Læs mereGode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank
Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereSikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder?
Sikkerhed og Pervasive Computing - nye udfordringer eller kejserens nye klæder? Jakob Illeborg Pagter Alexandra Instituttet A/S Baggrund Rapport udarbejdet for Rådet for it-sikkerhed 2004. Afsæt i Ting
Læs mereIt-sikkerhedstekst ST4
It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs mereDen intelligente bolig er lige om hjørnet
Af Jesper Andersen foto jan djenner Den intelligente bolig er lige om hjørnet Energistyring til private boliger er i rivende udvikling og vil i de kommende år blive hvermandseje. Vi har set nærmere på
Læs merePanda Antivirus + Firewall 2007 NYT Titanium Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af
Læs merehar jeg hentet nedenstående anmeldelse af et godt program til
Software Fra design af hjemmesider: har jeg hentet nedenstående anmeldelse af et godt program til Wordpress er intet mindre end et genialt program til hjemmesider. For det første er det gratis, og for
Læs mereviden Common Criteria vejledning til indkøbere
viden Common Criteria vejledning til indkøbere Kolofon IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-mail: itst@itst.dk www.itst.dk 2 Common Criteria vejledning
Læs mereIt-sikkerhedstekst ST6
It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mereApplication Management Service
Application Management Service I dette Whitepaper vil vi beskrive nogle af vores erfaringer med Application Management. De fleste virksomheder har på et tidspunkt lavet, eller fået lavet, en mindre applikation,
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereManual til AVG Antivirus
Manual til AVG Antivirus Det anbefales, at alle brugere benytter sig af et antivirus-program. Formålet med programmet er at forhindre din computer i at blive smittet med virus. Virus-inficerede computere
Læs mereSystem Transport hjemmesiden indeholder information om System Transports produkter og System Transports promoverende programmer.
Dette er den officielle politik om beskyttelse af personlige data, der bestemmer brugen af System Transports hjemmeside lokaliseret på www.systemtransport.eu og FTP. Den gælder ligeledes alle websider
Læs mereIt-sikkerhedstekst ST2
It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version
Læs mereHvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).
Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder
Læs mereObligatorisk projekt 4: Sikkerhed
Obligatorisk projekt 4: Sikkerhed Informationsteknologi i Organisationer og Compuerarkitektur og Operativsystemer Af Frank Kristensen, Mike Odgaard Sørensen og Morten Østerlund Jørgensen Gruppe 3 Side
Læs mereIt-sikkerhedstekst ST8
It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning
Læs mereTrådløst LAN hvordan sikrer man sig?
Trådløst LAN hvordan sikrer man sig? Trådløse acces points er blevet så billige, at enhver der har brug for en nettilsluttet computer et andet sted end ADSL modemmet står, vil vælge denne løsning. Det
Læs mereRisikostyring ifølge ISO27005 v. Klaus Kongsted
Risikostyring ifølge ISO27005 v. Klaus Kongsted Agenda Dubex A/S Formålet med risikovurderinger Komponenterne Risikovurderinger Dubex A/S fakta og værdier Den førende sikkerhedspartner De bedste specialister
Læs mereService Level Agreement (SLA)
Service Level Agreement (SLA) vedrørende IT-Backend mellem Gymnasiefællesskabet og Allerød Gymnasium Roskilde Katedralskole Roskilde Gymnasium Himmelev Gymnasium Greve Gymnasium Solrød Gymnasium Køge Gymnasium
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs mereDK CERT Sårbarhedsdatabase. Brugervejledning
DK CERT Sårbarhedsdatabase Brugervejledning Februar 2003 Indhold Velkommen til DK CERTs sårbarhedsdatabase...3 Kom hurtigt i gang...4 Gode råd om masker...7 Mangler jeres applikation?...8 Generel vejledning...9
Læs mereOpdatering af Windows XP
Opdatering af Windows XP For at sikre computeren mest muligt er det en god idé at opdatere sit styresystem jævnligt. Det anbefales, at man mindst en gang om ugen kontrollerer for opdateringer til sit styresystem,
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereTrusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereBrugervejledning. Generering af nøgler til SFTP-løsningen vedrørende. datakommunikation med Nets. Nets A/S - versionsdato 28.
Nets A/S Lautrupbjerg 10 P.O. 500 DK-2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu CVR-nr. 20016175 Brugervejledning Generering af nøgler til SFTP-løsningen vedrørende datakommunikation
Læs mereAfinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru
Panda Internet Security 2007 NYT Platinum Kom godt i gang Vigtigt! Læs venligst grundigt afsnittet i denne guide om online registrering. Her findes nødvendige oplysninger for maksimal beskyttelse af din
Læs mereIngen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY
Ingen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY Opdateret software er nøglen til sikkerhed 83 % [1] af top ti-malware kunne være undgået med opdateret software. Kriminelle udnytter
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for
Læs mereANALYSE Informationssikkerhed blandt DI s medlemmer
ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik
Læs mere10 gode grunde. - derfor skal du vælge Office365
10 gode grunde - derfor skal du vælge Office365 1. Bedre samarbejde på tværs af lokationer En stor del af arbejdsstyrken tilbringer i dag langt mere tid væk fra deres kontor end hidtil. Dine ansatte kan
Læs mereHvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?
Tryksag 541-643 Hvis I vil vide mere Kom godt i gang med standarder I er velkomne til at kontakte vores erfarne konsulenter inden for integreret ledelse på telefon 39 96 61 01 eller consulting@ds.dk. Helhedsorienteret
Læs mereReducér risikoen for falske mails
Reducér risikoen for falske mails Center for Cybersikkerhed 1 November 2017 Indledning Center for Cybersikkerhed oplever i stigende grad, at danske myndigheder og virksomheder udsættes for cyberangreb.
Læs mereSikkerhed på smartphones og tablets
Sikkerhed på smartphones og tablets Foredrag og materiale: Allan Greve, AGR Consult Ældre Sagens IT-Temadag, distrikt 5 1 www.0055.dk Indhold Foredraget giver IT-kyndige et overblik over Principper for
Læs mereHjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune
Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede
Læs mereFOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER
FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER 2017 Den 12. maj 2017 blev den vestlige verden ramt af det største cyberangreb i internettets historie. Værst gik ransomware angrebet WannaCry
Læs mereTrusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs merePræcisering af transportbaseret sikkerhed i Den Gode Webservice
Præcisering af transportbaseret sikkerhed i Den Gode Webservice 1. Historik...2 2. Indledning...3 3. SSL/TLS baseret netværk...3 4. Sundhedsdatanettet (VPN)...5 5. Opsummering...6 6. Referencer...6 Side
Læs mereModul 3: Digital Sikkerhed
Modul 3: Digital Sikkerhed Internetsikkerhed Vær sikker online Visse ting, som folk der er vokset op med teknologi ikke engang tænker over, kan være store forhindringer for modne brugere af internettet.
Læs mereBrugervejledning. - til generering af nøgler til SFTP-løsningen vedrørende datakommunikation
Brugervejledning - til generering af nøgler til SFTP-løsningen vedrørende datakommunikation med Nets Side 1 af 11 Indholdsfortegnelse: Ændringer i denne version... 3 Introduktion... 3 Læsevejledning...
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereDe 7 bedste tips til din ERPimplementering
De 7 bedste tips til din ERPimplementering En korrekt implementering af din nye ERP-løsning, er afgørende for din forretning. Derfor har vi lavet en step by step guide til den optimale implementering.
Læs mereFor at en virksomheds hovedformål og drift kan fungere optimalt, er der en lang række af underliggende servicefunktioner der skal være på plads.
Team Mobbis +45 3325 5858 www.mobbis.com info@mobbis.com ALARMS MANAGER HVORFOR ANSKAFFE ALARMS MANAGER? Alle virksomheders eksistensgrundlag er deres kunder. Dette uanset hvilken type virksomhed vi taler
Læs mere7. Indstilling af den trådløse forbindelse i Windows XP
7. Indstilling af den trådløse forbindelse i Windows XP Gør klar til indstilling Når du skal i gang med at konfigurere den computer, der skal væres trådløs, er det en god idé at bevare kabelforbindelsen
Læs mereDI og DI ITEKs vejledning om cookiebekendtgørelsen
DI og DI ITEKs vejledning om cookiebekendtgørelsen Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-989-7 0.02.13 Kort baggrund Det er på baggrund af EU-lovgivning forbudt af lagre og
Læs mereNiko Home Control. Det smarte hjem
Niko Home Control Det smarte hjem Introduktion Dit hjem bliver smart med Niko Gør livet mere komfortabelt og sikkert, samtidig med at du sparer mest mulig energi. Niko Home Control er en ny intelligent
Læs mereRuko Security Master Central Database
Ruko Security Master Central Database RSM benytter en central database, til at udveksle låsesystemer mellem Ruko og låsesmeden. Udvekslingen sker via Internettet, så det er derfor nødvendigt at have en
Læs mereOpsætning af eduroam Det trådløse netværk på ASB
Opsætning af eduroam Det trådløse netværk på ASB Indhold 03 Det trådløse netværk på ASB: eduroam 03 AAAAntivirus software 04 eduroam med Windows Vista 08 eduroam med Windows XP 09 Trådløst netværk (eduroam)
Læs mereLangtved Data A/S Nyhedsbrev
Langtved Data A/S Nyhedsbrev Nr. 2 Indledning I denne udgave af nyhedsbrevet har vi valgt at sætte fokus på interessante faciliteter som allerede benyttes af nogle af vores kunder og som kunne være interessante
Læs mereOnline overalt. Få Danmarks bredeste dækning med mobilt bredbånd fra TDC
Online overalt Få Danmarks bredeste dækning med mobilt bredbånd fra TDC Tag internettet med i lommen Den ene dag på kontoret, den næste på farten. Variation i kalenderen kræver fleksible muligheder for
Læs mereSikkerhedspolitik Version 4.0506 d. 6. maj 2014
Nærværende dokument beskriver de sikkerhedsforanstaltninger, som leverandøren har opstillet til den interne fysiske sikkerhed, datasikkerhed, logisk sikkerhed og sikkerhed i forbindelse med netværk, firewall
Læs mereUndersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr
Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...
Læs mereAdvarsel: Den private nøglefil skal beskyttes.
Symantecs vejledning om optimal sikkerhed med pcanywhere Dette dokument gennemgår sikkerhedsforbedringerne i pcanywhere 12.5 SP4 og pcanywhere Solution 12.6.7, hvordan de vigtigste dele af forbedringerne
Læs mereMEGET MERE END BARE EN ALARM
MEGET MERE END BARE EN ALARM DIN SIKKERHED Tyverisikring Som standard indeholder COSESY en alarm, som trådløst og med batteribackup overvåger dit hjem når du ikke er hjemme. Skulle tyven forsøge at sabotere
Læs mereDataHub Forbrugeradgangsløsning Spørgsmål og svar
9. Januar 2013 MEH/MHC DataHub Forbrugeradgangsløsning Spørgsmål og svar Dok 75938-12_v2, Sag 10/3365 1/7 1. Generelt 1.1 I hvilket omfang yder Energinet.dk support til elleverandørerne? Forretningskonceptet
Læs mereRapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed
Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder
Læs mereSådan bør Løsningscenter se ud ingen advarsler alt er slået til. (klik på flaget nederst til højre på skærmen)
Sådan bør Løsningscenter se ud ingen advarsler alt er slået til. (klik på flaget nederst til højre på skærmen) De væsentligste sikkerhedstiltag: Windows Update skal være slået til (hvis det ikke er advarer
Læs mereIntroduktion til MPLS
Introduktion til MPLS Henrik Thomsen/EUC MIDT 2005 VPN -Traffic Engineering 1 Datasikkerhed Kryptering Data sikkerheds begreber Confidentiality - Fortrolighed Kun tiltænkte modtagere ser indhold Authentication
Læs mereCFCS Beretning Center for Cybersikkerhed.
Center for Cybersikkerheds Beretning 2017 Center for Cybersikkerhed www.cfcs.dk 2 Cybertruslen - - - - - - - Center for Cybersikkerheds indsatser i 2017 - rådet. Det er centerets mission at styrke beskyttelsen
Læs mereKontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1
Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?
Læs mereIT-sikkerhed MED CODING PIRATES
IT-sikkerhed MED CODING PIRATES Hvad er truslerne? Hygiejne er ikke god nok, patching, backup, kodeord og oprydning efter stoppede medarbejdere. Det er for let, at finde sårbare systemer. Brugere med for
Læs mereFør valg af adgangskontrol - kundekrav. Krav kunden bør stille til sit adgangskontrolsystem
Krav kunden bør stille til sit adgangskontrolsystem Her er opstillet en række krav, det er vigtigt og relevant, at kunden stiller til sit kommende adgangskontrolsystem. Et forkert valg kan medføre, at
Læs mere1 Introduktion Funktioner 3. 2 Kom godt i gang Pakkens indhold Oversigt over kameraet 5. 3 Installation 6
Indhold 1 Introduktion 3 1.1 Funktioner 3 2 Kom godt i gang 4 2.1 Pakkens indhold 4 2.2 Oversigt over kameraet 5 3 Installation 6 3.1 Hardware Installation 6 3.2 Tilføj IP kameraet i app 6 3.3 Tilgå IP
Læs mereWiFi Vejledning. Smart serien 2016
WiFi Vejledning Smart serien 2016 Forudsætninger for opkobling: En smartphone (ios el. Android) med app en Smart Airconditioner af Samsung installereret. Husk at opdatere denne hvis installationen er af
Læs mereVejledning VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL. Februar 2015 (VERSION 1.4 AF FEBRUAR 2015)
Vejledning Februar 2015 VEDRØRENDE GENERELLE BETINGELSER FOR ANVENDELSE AF NEMHANDEL (VERSION 1.4 AF FEBRUAR 2015) Side 2 af 12 Indholdsfortegnelse: Indholdsfortegnelse:... 2 INDLEDNING... 4 GENERELLE
Læs mereRisikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki
Risikovurdering og beredskab 26. April 2010 Præsenteret af Marianne Bo Krowicki Det kan gå så gruelig galt En medarbejder blev bortvist i fredags. Brikken blev deaktiveret, og bruger-log-on blokeret, men
Læs mereUnderstøttelse af LSS til NemID i organisationen
Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL
Læs mereSådan opretter du en backup
Excovery Guide Varighed: ca. 15 min Denne guide gennemgår hvordan du opretter en backup med Excovery. Guiden vil trinvist lede dig igennem processen, og undervejs introducere dig for de grundlæggende indstillingsmulighed.
Læs mereGuide: Sådan sikrer du dit hus med elektronik
Guide: Sådan sikrer du dit hus med elektronik Havde du indbrud hen over julen? Eller skal du ud nytårsaften, og er du utryg ved at efterlade huset alene? Der findes masser af teknologi, der kan hjælpe
Læs merePrivatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.
Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler
Læs mereLUDUS WEB. Installations- og konfigurations-vejledning. Den 7. april 2009. J.nr.: 4004 V0624 09
LUDUS WEB Installations- og konfigurations-vejledning Den 7. april 2009 J.nr.: 4004 V0624 09 CSC Scandihealth A/S, P.O. Pedersens Vej 2, DK-8200 Århus N Tlf. +45 3614 4000, fax +45 3614 7324, www.scandihealth.dk,
Læs merePrivacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer
Privacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer Indholdsfortegnelse Baggrund Trusselsbilledet Tillid Scenarier for beskyttelse Beskyttelse af lagret information
Læs mereKommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23
Kommunikationssikkerhed til brugere bibliotek.dk projekt 2006-23 Formål Formålet med dette notat er at beskrive forskellige løsninger for kommunikationssikkerhed til brugerne af bibliotek.dk, med henblik
Læs mereINDHOLDSFORTEGNELSE. INDLEDNING... 7 Kristian Langborg-Hansen. KAPITEL ET... 9 I gang med App Inventor. KAPITEL TO...
INDHOLDSFORTEGNELSE INDLEDNING... 7 Kristian Langborg-Hansen KAPITEL ET... 9 I gang med App Inventor Installation af App Inventor... 10 Trådløs installation... 11 Installation af emulator (Windows)...
Læs mereOnline Banking Sikkerhedsvejledning Internet-version
Online Banking Sikkerhedsvejledning Internet-version Indhold Introduktion til Sikkerhedsvejledningen... 2 Sikkerhedsvejledningen... 2 Sikker brug af internettet... 2 Sikkerhedsløsninger i Online Banking...
Læs mereTips & ideer om kommunikation
Tips & ideer om kommunikation Hvis du gerne vil vide Hvad du er gået glip af de sidste mange måneder, så fortvivl ej. Her er et uddrag af de (helt gratis og ultra nyttige) nyhedsbreve, der hver måned lander
Læs mereFÅ ÉN SAMLET KOMMUNIKATIONSLØSNING
FÅ ÉN SAMLET KOMMUNIKATIONSLØSNING MobiKOM er proppet med funktionalitet De mest benyttede funktioner Se mange flere på MobiKOM.dk Åbningstider Med automatiseret åbningstider er I sikret, at jeres kunder
Læs mereGuide - Sådan opretter du en backup
Guide - Varighed: ca. 10 min Denne guide gennemgår hvordan en backup oprettes i Excovery. Guiden vil trinvist lede dig igennem processen og vil undervejs introducere de grundlæggende indstillingsmuligheder.
Læs mereSpillemyndighedens certificeringsprogram. Retningslinjer for indtrængningsefterprøvning SCP DK.1.1
SCP.04.00.DK.1.1 Indhold Indhold... 2 1 Formålet med retningslinjer for indtrængningsefterprøvning... 3 1.1 Overblik over dette dokument... 3 1.2 Version... 3 1.3 Anvendelsesområde... 3 2 Certificering...
Læs mere