Undersøgelsesrapport. Outsourcing hvem har ansvaret?
|
|
- Laura Skaarup
- 7 år siden
- Visninger:
Transkript
1 Undersøgelsesrapport Outsourcing hvem har ansvaret? Undersøgelsesenheden ved Center for Cybersikkerhed Marts 2017
2 Outsourcing hvem har ansvaret? Indhold Executive summary... 2 Opsummering... 3 Indledning... 4 Tendenser og medfølgende sikkerhedsudfordringer ved it-styring og delt it... 5 Sagen: To IT-hostingfirmaer kompromitteret... 5 Angrebsteknik... 6 Malware... 6 Ondsindet aktivitet på kompromitterede maskiner... 7 Et muligt motiv... 7 Når skaden sker... 9 Typiske problemstillinger hos kunder... 9 Logning: analysegrundlaget Opsamling Anbefalinger Planlægningsfasen Udvælgelse af leverandører Aftalen Styring af informationssikkerheden i drift Afslutning af leverandør-kundeforholdet Henvisninger Bilag 1 Malwareoversigt
3 Executive summary This report describes a cyberattack against two Danish IT hosting companies in the period We assess that a state or state-sponsored actor is behind the cyberattack, possibly in an effort to use the IT hosting companies as platforms to access information on clients network or to spread malware for later exploitation. The report is prepared by the Security Analysis Branch under the Centre for Cyber Security (CFCS), and its aim is to accumulate data from the incident and provide accessible knowledge to counter future, similar incidents. The incident was detected through a tip and the subsequent investigation concluded that one of the hosting companies had already been compromised in April 2015 via a client s website, which was hosted by one of the hosting companies servers. A similar attack method was possibly employed against the second hosting company, though this cannot be confirmed or denied through the available data. The CFCS has detected several indications of malware activity on the compromised servers in 2015 and 2016, with the most recent activity registered in mid The attacker has used two different types of malware that may have been used to remote control compromised servers and to steal login information or other sensitive information. It is possible that the actor has exploited the compromised servers or information to infect the local network or other hosting company clients, some of which also include public authorities. We cannot confirm nor deny whether sensitive information has been stolen from the hosting company s clients or whether the actor has exploited its access for alternative purposes. Contemporary IT operations provide numerous possibilities to outsource services to IT hosting companies or to be part of various types of shared digital solutions at home and abroad. This report includes a series of considerations regarding security issues particularly associated with sharing or outsourcing IT, including how a hosting company may be compromised with the purpose of accessing a client s hosted server as a way of gaining access to the client s additional IT infrastructure. Finally, based on lessons learned from these incidents, this report includes proposals for preventive measures aimed at helping private companies and state authorities resist future attacks. It is recommended that companies read the CFCS logging guidelines at to ensure that they have access to necessary information in case of compromise and need for restrictive measures to contain the security breach. 2
4 Opsummering Denne rapport beskriver et cyberangreb mod to danske it-hostingfirmaer, som er blevet udført i perioden Angrebet vurderes at være gennemført af en statslig eller statsstøttet aktør, muligvis med henblik på at anvende it-hostingfirmaerne som springbræt til informationer på kundernes netværk, eller på at sprede malware til senere misbrug. Rapporten er udarbejdet af Undersøgelsesenheden i Forsvarets Efterretningstjenestes Center for Cybersikkerhed (CFCS) med det formål at opsamle erfaringer fra hændelsen og stille viden til rådighed for at modvirke fremtidige, tilsvarende hændelser. Hændelsen blev opdaget gennem et tip, og den efterfølgende undersøgelse viste, at det ene hostingfirma blev ramt allerede i april 2015 via en kundes hjemmeside, som var hostet på en af hostingfirmaets servere. En lignende angrebsvinkel er muligvis blevet brugt mod hostingfirma nr. 2, men det kan ikke bekræftes af de tilgængelige data. CFCS har set flere tegn på malware-aktivitet på de kompromitterede maskiner i 2015 og 2016, hvor den seneste aktivitet er fra midten af Aktøren har brugt to forskellige typer malware i sit angreb, der bl.a. kan have været brugt til at fjernstyre kompromitterede maskiner og til at stjæle loginoplysninger eller anden følsom information. Det er muligt, at aktøren har udnyttet de kompromitterede maskiner eller informationer fra dem til at sprede sig i det lokale netværk eller til andre af hostingfirmaets kunder, hvoraf også offentlige myndigheder indgår. Det kan hverken af- eller bekræftes, om der er stjålet følsomme oplysninger fra hostingfirmaets kunder eller om aktøren har udnyttet sin adgang på anden vis. I moderne it-drift er der mange muligheder for at outsource til it-hostingfirmaer eller for at blive del af forskellige former for delte digitale løsninger i ind- eller udland. Rapporten indeholder en række betragtninger om de sikkerhedsproblemer, der knytter sig særligt til delt- og outsourcet it, herunder hvordan et hostingfirma kan kompromitteres med det formål at få adgang til en kundes løsning og derigennem få adgang til kundens øvrige infrastruktur. Rapporten indeholder afslutningsvis forslag til tiltag, der, med udgangspunkt i erfaringerne fra hændelserne, kan hjælpe virksomheder og myndigheder til at modvirke fremtidige angreb. Her rådes blandt andet til at læse CFCS logningsvejledning på med henblik på at sikre, at virksomheden har adgang til nødvendige informationer, når uheldet er ude, og sikkerhedsbruddet skal begrænses. 3
5 Indledning Forsvarets Efterretningstjenestes Center for Cybersikkerhed (CFCS) udgav i februar 2017 en trusselsvurdering, der bl.a. konkluderer at: Cyberspionage mod offentlige og private mål udgør fortsat den alvorligste trussel mod Danmark. Der er tale om en meget aktiv trussel mod danske interesser. Truslen kommer især fra fremmede stater. Truslen fra cyberspionage mod danske myndigheder og private virksomheder er MEGET HØJ. Denne undersøgelse viser, hvordan angreb mod to danske hostingfirmaer har givet ondsindede aktører adgang til både systemer og informationer hos hostingfirmaerne og deres kunder. Undersøgelsen viste blandt andet, at aktøren havde installeret malware, der er set anvendt i perioden 2015 og På baggrund af angrebenes karakter indledte CFCS udrykningshold et såkaldt incident response, hvor CFCS indgik et samarbejde med begge virksomheder om analyse og afhjælpning af angrebet. Det er resultaterne af disse to incident response-forløb, der danner grundlag for denne rapport. I perioden har CFCS set, at flere danske it-hostingfirmaer er blevet ramt af cyberangreb. Det har været mange forskellige typer angreb, og de kan ramme systemer, uanset om de er placeret på målets eget domicil, eller hostet hos eksterne leverandører. Rapporten har til hensigt at oplyse og rådgive offentlige myndigheder og private virksomheder, så det er muligt at imødegå disse typer angreb og forbedre it-sikkerheden. Som led i dette beskrives nogle af de udfordringer med outsourcing, som CFCS har set hos virksomheder og myndigheder i sager, hvor udrykningsholdet har ydet støtte. I rapportens sidste kapitel findes forslag til tiltag, der med udgangspunkt i erfaringerne fra de hændelser, som er beskrevet her, kan hjælpe virksomheder og myndigheder til at forhindre fremtidige angreb. Målgruppen for rapporten er ledelse og teknikere inden for it-drift og it-sikkerhed. Som del af Forsvarets Efterretningstjeneste har CFCS adgang til den særlige efterretningsbaserede viden, som FE råder over på cyberområdet. Af beskyttelseshensyn kan alle aspekter ikke beskrives i en offentlig rapport. Derfor er nogle informationer, inklusiv de involverede virksomheders navne og visse tekniske detaljer omkring sagens omfang og centerets kapaciteter, derfor udeladt fra denne rapport. 4
6 CFCS s Netsikkerhedstjeneste CFCS s Netsikkerhedstjeneste har til opgave at opdage, analysere og bidrage til at imødegå cyberangreb mod Forsvaret, virksomheder og statslige myndigheder. Fokus er på de avancerede angreb, der udføres af statslige eller statsstøttede aktører, kaldet advanced persistent threats eller APT. CFCS analyserer løbende internettrafikken til og fra de myndigheder og virksomheder, der er tilsluttet CFCS s sensornetværk for at finde tegn på cyberangreb. Når CFCS observerer et muligt angreb mod en tilsluttet organisation, udfører centerets teknikere analyser af kundens ind- og udgående netværkstrafik, for at afgøre om der er tale om et cyberangreb. Hvis det er tilfældet, varsles myndigheden eller virksomheden. I visse tilfælde tilbyder CFCS at støtte med et teknisk udrykningshold, kaldet incident response. Tendenser og medfølgende sikkerhedsudfordringer ved it-styring og delt it Som nævnt indledningsvis er der mange muligheder for at outsource eller blive del af forskellige former for delte digitale løsninger i moderne it-drift i ind- eller udland. I dag vil virksomheder og myndigheder ofte have systemer drevet af forskellige eksterne offentlige eller private leverandører. I staten findes flere forskellige it-fællesskaber, såsom Statens it, Sundhedsdatastyrelsen eller Kriminalforsorgens Koncern-IT. Derudover køber offentlige myndigheder også it-løsninger på det private marked. I den fællesoffentlige digitaliseringsstrategi er outsourcet it, kaldet cloud computing, specifikt nævnt som en måde at skabe fleksibilitet og give potentielle besparelser i den offentlige it-drift. Delt it-drift stiller særlige krav til sikkerheden, og der er desværre eksempler på, at disse krav ikke altid efterleves. Eksempelsvis har Rigsrevisionen fundet utilstrækkelig styring af it-sikkerheden i det fælles sundhedsdatanet 2, og CFCS har både fra denne sag og i lignende sager erfaret, at der kan være mangler i sikkerheden ved hændelser, der involverer delt it-drift. Sagen: To it-hostingfirmaer kompromitteret Begge de ramte hostingfirmaer er mellemstore forretninger i Danmark, der udbyder forskellige itløsninger såsom hosting, konsulentbistand, udvikling og drift. Dette kapitel beskriver, hvordan aktøren bag angrebet er trængt ind i virksomhederne, hvilken ondsindet aktivitet CFCS har set, og hvilke mulige motiver, som kan være bag angrebet. 1 Den fællesoffentlige digitaliseringsstrategi , Digitaliseringsstyrelsen, Beretning om revisionen af statsregnskabet for 2015, Rigsrevisionen,
7 CFCS har i samarbejde med de to berørte hostingfirmaer fundet og analyseret flere kompromitterede maskiner i deres netværk. Tidslinjen løber fra april 2015, hvor første tegn på kompromittering lokaliseredes hos hostingfirma 2. Først fire måneder efter ses tegn på kompromittering hos hostingfirma 1, og den ondsindede aktivitet fortsætter hos begge virksomheder frem mod sommeren Der er fundet to typer APT-malware på de kompromitterede maskiner, og CFCS har kendskab til, at offentlige myndigheder er blandt de to virksomheders kunder. Ud fra de analyserede data kan det hverken af- eller bekræftes, om der er stjålet følsomme oplysninger fra virksomhederne, eller om aktøren har udnyttet sin adgang på anden vis. Hvordan opdages et cyberangreb? CFCS kan blive opmærksom på et igangværende eller tidligere cyberangreb på flere måder. CFCS s sensornetværk, som bruges til at finde ondsindet ind- og udgående netværkstrafik hos centerets kunder, er ét sted. Centerets teknikere opdaterer løbende sensornetværket med informationer, der afslører tegn på cyberangreb. Mistanke om cyberangreb kan også komme via et tip fra en af Forsvares Efterretningstjenestes samarbejdspartnere. Endeligt kan data eller informationer fra offentligt tilgængelige kilder lede i retningen af aktivitet fra en APT-gruppe. Angrebsteknik CFCS har set tegn på, at kompromitteringen af hostingfirma 1 er sket via en hjemmeside hostet på en af hostingfirmaets servere, tilhørende en af hostingfirmaets kunder. Aktøren har sandsynligvis udnyttet en sårbarhed i hjemmesiden til at installere en bagdør direkte på en af hostingfirmaets servere, hvor hjemmesiden ligger. Ved hjælp af bagdøren har aktøren fået uautoriseret adgang til at installere malware på serveren. CFCS antager, at virksomhed 2 muligvis er blevet kompromitteret på en lignende facon, men har ikke oplysninger til rådighed, der kan underbygge dette. Malware Aktøren har brugt to forskellige typer malware i sit angreb hos de to hostingfirmaer. Den ene type malware er et såkaldt remote access tool (RAT), der bl.a. giver operatøren adgang til at styre den kompromitterede maskine og få adgang til det indhold, der måtte være på den. Malwaren kan også bruges til at lave rekognoscering i det lokale netværk, hvis aktøren f.eks. ønsker at kompromittere endnu flere maskiner hos den ramte part. 6
8 Remote access tool (RAT) Et remote access tool, eller fjernstyringsværktøj, er et stykke software, der giver fjernadgang til en maskine. Sådanne værktøjer anvendes ofte helt legitimt i forbindelse med f.eks. it-support eller til opsætning af fjernarbejdspladser. Et RAT kan også være en del af et stykke malware, der i skjul giver en angriber uretmæssig adgang til en maskine eller netværk. Den anden type malware er brugt som keylogger, dvs. til at registrere tastetryk på den kompromitterede maskine. Det kan f.eks. være indtastede brugernavne og kodeord til administrator-, og -konti. Når malwaren har registreret informationen, sendes den tilbage til aktøren via internettet. Begge typer malware er designet til at være svære at finde, når de kører på en kompromitteret maskine. Endvidere er dele af deres funktionalitet skjult for at gøre det svært at finde ud af præcis, hvordan de fungerer, hvis de skulle blive fundet alligevel. På baggrund af de metoder og den malware, der er anvendt i angrebet, vurderer CFCS, at angrebet er udført af en statslig eller statsstøttet aktør. Ud over den APT-relaterede malware er der på de samme systemer også fundet flere typer malware, der bruges til almindelig berigelseskriminalitet eller andet misbrug. Ondsindet aktivitet på kompromitterede maskiner På grund af mangelfuld logning er der kun en begrænset dækning af hændelserne på de kompromitterede maskiner og netværk i angrebsperioden. Keylogger-malwaren har i perioden været aktiv på maskiner hos begge hostingfirmaer og har registreret, hvad der er blevet indtastet på maskinerne. Der er også tegn på, at aktøren bag angrebet har kommunikeret med- og muligvis sendt kommandoer til RAT-malwaren på de samme maskiner. CFCS analyse af de kompromitterede computere viser, at aktøren aktivt har forsøgt at skjule sin operation ved at forsøge at slette sine spor. Der er også fundet tegn på, at aktøren har overvåget de kompromitterede maskiner for at se, om angrebet blev opdaget. Et muligt motiv Det er muligt, at aktøren har udnyttet de kompromitterede maskiner eller informationer fra dem til at sprede sig i det lokale netværk eller til virksomhedens kunder. Selvom der ikke er tilstrækkelige informationer til at udpege aktørens konkrete mål, så kan sammenlignelige angrebskampagner vise, hvad aktøren sandsynligvis har været ude efter. 7
9 CFCS har tidligere set lignende kampagner, hvor hostingfirmaer er blevet kompromitteret med henblik på at få adgang til en kundes løsning og derigennem kundens infrastruktur. I et af disse tilfælde kunne det ses, hvordan angriberen først har skaffet sig adgang til en hostet webløsning, og herigennem kan få administrativ adgang til nogle af firmaets delte services, som databaseværktøjet SQL eller brugeradministrationsværktøjet Active Directory, og derfra kan springe videre til andre kunders løsninger. Der kan læses mere om denne type angreb i CFCS rapporten King of Phantom genvej til hovedmålet på Når en maskine først er blevet kompromitteret, er der flere måder, hvorpå aktøren kan brede sig ud til andre systemer. I denne sag har CFCS set, at aktøren har brugt keylogger-malware, hvilket betyder, at aktøren kan stjæle loginoplysninger, så snart en bruger logger på. Loginoplysningerne er særligt værdifulde, hvis de tilhører en bruger med administrationsrettigheder, da de ofte har fuld adgang til alle maskiner og services på netværket. Alternativt kan aktøren bruge adgangen til at oprette sin egen brugerkonto med administrationsrettigheder. Dette gør det muligt for aktøren at fastholde sin adgang til netværket, selvom den oprindelige administratorkonto får skiftet password eller lukkes. Angrebsvinkel Malware Udnyttelse og spredning Bagdør uploades via sårbar kundehjemmeside til hostingserver Via bagdøren installeres to typer malware på hostingserveren Aktøren stjæler legitimt brugernavn og kodeord til administratorkonto med keyloggermalware Administratorkonto misbruges til at tilgå nye hostingservere eller få adgang til kunders hostede e- løsninger Figur 1: Tegningen viser, at det, der begynder som en simpel kompromittering af en mindre kundes hjemmeside, potentielt kan sprede sig til kritisk infrastruktur eller medføre tyveri af store mængder data. I det omfang en stjålen administratorkonto kan tilgå data eller services for hostede kunder, kan kontoen også misbruges til at stjæle oplysninger eller sprede malware samme steder. Som nævnt indledningsvis kan et hostingfirma således fungere som et springbræt til at få adgang til kundernes infrastruktur, personfølsomme oplysninger eller lignende. 8
10 Det er også muligt, at angrebet har haft til hensigt at kompromittere maskiner til senere misbrug. Motivet kan så være at opbygge kapacitet til at udføre cyberangreb ved at inkludere et stort antal kompromitterede maskiner i en ondsindet infrastruktur. Denne form for cyberangreb er nærmere beskrevet i den tidligere undersøgelsesrapport Når Danmark sover - fjendtlig opmarch på usikre servere, 2016 på Når skaden sker Hvis en virksomheds eller myndigheds data stjæles, har det som regel alvorlige konsekvenser. For en privat virksomhed kan konsekvenserne f.eks. være tab af markedsandele, produktionstab, tab af viden, negativ branding, fald i tillid hos kunder med videre. For at opgøre de præcise skader, er det en forudsætning, at der er opsamlet forskellige logs til at belyse dette. Det har derfor i de konkrete tilfælde været vanskeligt at fastslå skadesvirkningerne hos hostingfirmaerne eller de kunder, der måtte være berørt af angrebet. Dette skyldes, at der ikke var opsamlet eller gemt logningsmateriale i tilstrækkelig grad. CFCS er ofte ude for, at logningsoplysningerne mangler eller er utilstrækkelige. Dette udgør et stort problem i forhold til at analysere angrebene både i forhold til at forstå angrebets omfang og angribernes modus og teknikker, men også i forhold til den efterfølgende udbedring og genopbygning. Typisk vil ramte virksomheder og myndigheder dog have udgifter til både egne analyser og mitigerende tiltag, ligesom udgifter til nyt hardware og geninstallation af servere og systemer koster tid og penge, herunder udgifter til eventuelle sikkerhedsfirmaer. Typiske problemstillinger hos kunder CFCS har til opgave at styrke det danske forsvar mod cyberangreb. En af måderne denne opgave løses på, er ved at støtte virksomheder og myndigheder, som er mistænkt for at være kompromitteret med APTrelateret malware. Når en mistanke opstår, tager CFCS kontakt til den berørte virksomhed og myndighed med et tilbud om støtte til at finde og eventuelt fjerne den malware, der måtte være. I visse alvorligere tilfælde tilbyder CFCS at sende et incident response team til at bistå lokalt med opklaringsarbejdet, hvis virksomheden eller myndigheden ønsker det. For virksomheden eller myndigheden kan samarbejdet hjælpe til at få svar på, hvordan angrebet er foregået, hvad der er hændt på kompromitterede maskiner og netværk, og hvilken malware, der præcist er tale om. Informationerne er gode at have, når der efterfølgende skal ryddes op, og eventuelle sikkerhedshuller skal lukkes. For at CFCS kan yde en optimal hjælp, er det vigtigt, at virksomheden eller myndigheden er moden til det. Det er CFCS s erfaring, at der er stor forskel på virksomheders og myndigheders modenhed, når det gælder IT-sikkerhed. Modenhed kan i denne sammenhæng defineres på flere måder. Teknisk modenhed og forståelse for nødvendigheden af anvendelsen af forskellige sikkerhedsteknologier er én faktor. En anden er den måde kunde og hostingfirma/it-fællesskab kommunikerer, og i det hele taget har aftalt 9
11 deres gensidige forpligtelser. Uklare aftaler og forventninger mellem leverandør og kunde kan i sidste ende resultere i, at ingen gør noget i tilfælde af et cyberangreb. Logning: analysegrundlaget Når CFCS skal bistå en virksomhed eller myndighed med at afdække, om der har været et cyberangreb, og fastlægge dets eventuelle omfang, er det helt afgørende, at der er foretaget logning af aktiviteten på relevante systemer og relevant netværkstrafik. Det er bl.a. gennem disse logs, at CFCS kan undersøge, hvad der er hændt på de netværk og maskiner, hvor der er en mistanke om en kompromittering. I mange tilfælde er der ikke logs tilgængelige, eller også er de mangelfulde. Det kan være i forhold til antal systemer, der er loggede, hvor lang en periode de dækker, og hvor længe de gemmes. Ofte mangler logs af den simple årsag, at det kan opfattes som dyrt og besværligt at gemme. CFCS vurderer, at de manglende logs ofte skyldes uklare aftaler og forventninger mellem kunde og leverandør. Har kunden ikke stillet specifikke krav om logning, vil de sjældent blive opsamlet. Ønsker kunden adgang til logs, kan dette arrangeres mod en merbetaling. Hvis kundens egen modenhed i forhold til forståelse af it-sikkerhed er lav, er det dog ikke sikkert, at kunden tænker på, at logs er nødvendige, hvorfor dette ikke bestilles. CFCS har i en række tilfælde erfaret, at en leverandør tilmed har undladt at informere kunden om hensigtsmæssigheden ved at opsamle logs. 10
12 Opsamling Fordi hostingfirmaer i stigende grad bliver brugt som indgang til endelige mål af ondsindede aktører, er det særligt vigtigt at have kontrol med de aftaler, der indgås med eksterne it-leverandører. Undersøgelsen af denne hændelse viste så store mangler i logningsoplysninger både i forhold til periode og indhold, at konsekvenserne og omfanget af angrebet ikke fuldt ud kunne afdækkes. CFCS vurderer, at manglen på logning ofte bunder i uklare kommunikationsveje og ansvarsfordeling mellem hostingfirmaet og deres kunder. Nedenstående afsnit beskriver nogle procesmæssige tiltag og anbefalinger, der kan være med til at sikre en bedre samarbejdsaftale mellem kunde og hostingsfirma med henblik på styrket it-sikkerhed ved outsourcet it-drift. 11
13 Anbefalinger På baggrund af de to beskrevne hændelser anbefaler CFCS, at topledelsen i alle organisationer erkender de risici, der er forbundet med anvendelsen af outsourcet it-drift og anvendelse af eksterne it-services. Der er mange forhold vedrørende styring af informationssikkerhed, der skal tages i betragtning, når hele eller dele af en organisations it-drift skal outsources. Området er for stort til, at det hele kan dækkes her, men der er en række anbefalinger, der knytter sig til de forhold, der har karakteriseret de to sager beskrevet ovenfor. Ethvert kunde-leverandørforhold gennemlever en livscyklus, der kan inddeles i flere faser, og for hver fase er der særlige aspekter vedrørende informationssikkerhed, der skal adresseres i forholdet mellem kunde og leverandør. Planlægningsfasen Inden en organisation påbegynder outsourcing af it-drift eller services, bør den sikre sig, at den er i besiddelse af et godt, solidt og retvisende billede af egen it-arkitektur; hvilke informationer, systemer, netværk, datastrømme m.m. har organisationen? Hvis dette overblik mangler, er det meget vanskeligt at tage de rette beslutninger på informationssikkerhedsområdet i forhold til at outsource. Når en organisation har besluttet sig for at outsource it-drift eller anvende eksterne it-services, skal det afdækkes, hvilke informationssikkerhedsmæssige risici, det vil medføre. Det kan være risici i forhold til at beskytte informationernes fortrolighed, integritet eller tilgængelighed. Når en organisation indgår i et samarbejde om it-drift, ændrer det organisationens risikobillede, fordi outsourcing både kan introducere nye risici, såvel som skabe muligheder for at forbedre sikkerheden. I planlægningsfasen skal organisationen beslutte sig for de overordnede krav til informationssikkerhed, der skal stilles til kommende samarbejdspartnere, og det skal afklares, hvilke opgaver man selv vil udføre, og hvilke opgaver leverandøren skal udføre. De overordnede krav bør være udarbejdet, før man går i gang med at udvælge leverandører. Udvælgelse af leverandører Når der opstilles tildelingskriterier for valg af leverandører, skal det overvejes, i hvilken grad kravene til informationssikkerhed skal vægte, herunder om fortrolighed, integritet og tilgængelighed er lige væsentlige parametre for valg af leverandør i forhold til den konkrete leverance. Økonomi er som regel et væsentligt parameter, når det kommer til valg af leverandør, og i forhold til sikkerhed bør det vurderes, om de sikkerhedsforanstaltninger, leverandøren forpligter sig til at levere, står i et rimeligt og realistisk forhold til prisen. Nogle leverandører vil måske slække på sikkerhedsforanstaltningerne for at kunne give et bedre bud på prisen. Det kan være en fordel at stille krav om, at prisen på leverancen af sikkerhed specificeres i udbud og kontrakt, således at leverandøren har et økonomisk incitament til at levere det aftalte sikkerhedsniveau. 12
14 Andre forhold, der kan have betydning for valg af leverandør ud fra et sikkerhedsmæssigt perspektiv, er f.eks. leverandørens markedsposition. Hvorvidt det er en stor spiller eller en mindre spiller kan have såvel negativ som positiv indflydelse på den leverede informationssikkerhed. Et andet forhold som bør medtages i overvejelserne, er lock-in-problematikken: Vælger man en leverandør, der leverer en meget unik ydelse, kan det være svært senere at skifte til en anden leverandør. Aftalen Ved udarbejdelse af aftalegrundlaget skal man være opmærksom på, at det er aftalegrundlaget, der fremadrettet regulerer den sikkerhed, leverandøren er forpligtet til at levere. Men det anbefales også, at der gennem aftalen etableres en formaliseret proces til håndtering af dialogen mellem kunden og leverandøren vedrørende leverancen, både i det daglige, men også i tilfælde af, at der opstår utilsigtede hændelser i form af f.eks. et cyberangreb. I de to konkrete sager var det tydeligt, at der manglede klare aftaler om ansvarsfordeling og kommunikationsveje. Det anbefales, at man som kunde nøje overvejer, hvilke styringsmuligheder vedkommende vil have i forhold til tilpasning af sikkerheden i leverancen. Forhold hos både kunden og leverandøren kan hele tiden ændre sig, ligesom trusselsbilledet også er foranderligt. Derfor bør aftalen rumme muligheder for løbende at kunne justere på sikkerheden inden for rammerne af aftalen. Aftalen skal indeholde de informationssikkerhedskrav, som leverandøren skal leve op til og regulere, som minimum på følgende områder: Opgaver, roller og ansvarsfordeling hos både kunden og leverandøren. De aftalte sikkerhedsforanstaltninger, herunder: o Leverandørens adgang til kundens informationer, adgangsstyring og brug af administrative konti. o Leverandørens forpligtelser i forhold til underleverandører. o Håndtering af ændringer, enten på foranledning af kunden eller leverandøren. Det forhold, at andre kunder hos leverandøren kan have ønsker om ændringer, kan påvirke sikkerheden for egen organisation og bør tages i betragtning. Håndtering af ændringer i form af opdateringer kan også skabe udfordringer, når man deler it-platform med andre organisationer. o Håndtering af informationssikkerhedshændelser, herunder hændelser som potentielt kan have uønskede konsekvenser. Opgaver og ansvar skal være klart placeret. I tilfælde af en hændelse skal der ofte handles hurtigt, og der er derfor ikke tid til at afklare opgaver og ansvar. Et af de forhold, der bør afklares i aftalen, er hvem, der har kompetence til at lukke services, kommunikationslinjer, systemer m.m. Procedure for afprøvning af beredskabsplaner bør ligeledes indgå i aftalen. 13
15 o Adskillelse af kundens informationer eller systemer fra andre kunders informationer eller systemer. Kunden skal overveje relevante risici ved, at egne informationer er blandet med andre kunders informationer på fælles servere. I efterforskningsmæssig sammenhæng kan det være vanskeligt at undersøge computerudstyr, hvis det indeholder informationer fra andre organisationer. Evnen til at tage hurtige beslutninger om f.eks. lukning af netadgang hæmmes, hvis det også berører andre. o Leverandørens forpligtelse til at oplyse kunden om informationssikkerhedshændelser. o Monitorering af sikkerheden, herunder krav til, hvad der skal logges, og hvor længe logs skal opbevares, før de må slettes. CFCS logningsvejledning kan findes på o Kundens ret og muligheder for at følge op på sikkerhedstilstanden af leverancen. Mulighed for at foretage revision og gennemføre sikkerhedstest, enten af kunden selv eller af tredjepart, bør indgå i aftalen. o Procedure for, hvordan der skal handles i tilfælde af, at aftalen skal ophøre enten frivilligt eller som følge af en tvist mellem parterne. Det skal afklares, hvordan kunden får sine informationer tilbage eller overleveret til en ny leverandør, hvor hurtigt det skal gøres, i hvilket format, m.m. Et forhold, der kan tages med i aftalen, er misligholdelse. Her er det værd at overveje, om der er sikkerhedsmæssige krav, der er så væsentlige, at manglende overholdelse vil medføre opsigelse af aftalen. Men det er samtidigt vigtigt at være opmærksom på, at netop opsigelse af en aftale kan medføre uønskede sikkerhedsmæssige udfordringer. Styring af informationssikkerheden i drift Når aftalen er indgået, skal kunden sikre sig, at leverandøren er helt klar over de forpligtelser, vedkommende har påtaget sig. I nogle tilfælde er forhandlingerne om aftalen ført mellem en indkøbsafdeling hos kunden og en salgsafdeling hos leverandøren. Derfor kan det være meget givtigt, at de medarbejdere, der skal udføre informationssikkerhedsopgaverne på begge sider i dagligdagen, får aftalt de nærmere procedurer for arbejdet. Efterfølgende skal kunden løbende sikre sig, at de indgåede aftaler om informationssikkerhed overholdes, eksempelvis at den aftalte adgangs- og ændringsstyringsproces fungerer. Dette kan bl.a. gennemføres ved tilsynsbesøg. Derudover skal kunden være opmærksom på forhold, der kan påvirke informationssikkerheden i leverancen, som ikke er dækket af almindelig ændringsstyring. Det kan være ændringer i: Leverandørens forretningsmål, mission eller omgivelser. 14
16 Leverandørens økonomiske forhold. Leverandørens ejerforhold, sammenlægninger el.lign. Leverandørens fysiske og geografiske placering (flytter de evt. til et andet land). Leverandørens informationssikkerhed generelt. Leverandørens evne til at agere i tilfælde af sikkerhedshændelser. Relevante love, reguleringer eller kontraktlige forhold kunden er underlagt. Der bør med jævne mellemrum udarbejdes risikovurderinger af leverancen i samarbejde mellem kunde og leverandør. På baggrund af vurderingen aftales handleplaner for risikohåndtering, som kunden efterfølgende skal holde øje med opfyldelsen af. Afslutning af leverandør-kundeforholdet Når aftalen mellem kunde og leverandør ophører af den ene eller anden grund skal de processer, der er beskrevet i aftalen, gennemføres. Ud over, at kunden skal have overført sine informationer, data og eventuelt software til sig selv eller en anden leverandør, skal det sikres, at data hos leverandøren destrueres i det omfang, det er beskrevet i aftalen. At styre outsourcede it-løsninger kan være ganske omfattende, og organisationer skal derfor sikre sig, at de rette kompetencer og ressourcer er til rådighed i organisationen til denne opgave. 15
17 CFCS s Undersøgelsesenhed I december 2014 udkom den første nationale strategi for cyber- og informationssikkerhed. Et af initiativerne i strategien blev at etablere en særlig undersøgelsesenhed i CFCS, vis opgave det er at undersøge og afdække større cyberhændelser. På baggrund af disse udredninger udsender CFCS rapporter, så myndigheder og virksomheder kan drage nytte af erfaringerne fra tidligere hændelser og beskytte sig bedre. Uddrag fra National strategi for cyber- og informationsstrategi 2014: Regeringen har indført, at alle statslige myndigheder skal underrette Center for Cybersikkerhed ved større cybersikkerhedshændelser. Blandt de cybersikkerhedshændelser, som indrapporteres, vil der være hændelser, der er særlige alvorlige. Regeringen ønsker, at der sker relevant udredning og analyse af sådanne hændelser. Samtidig skal det sikres, at erfaringerne fra hændelserne opsamles og i størst muligt omfang stilles til rådighed for andre myndigheder og virksomheder, således at erfaringerne kan anvendes aktivt i arbejdet med at forebygge fremtidige hændelser. Derfor vil Center for Cybersikkerhed: etablere en enhed til undersøgelse af større cybersikkerhedshændelser. Enheden består som udgangspunkt af medarbejdere fra Center for Cybersikkerhed. Andre myndigheder f.eks. Digitaliseringsstyrelsen og PET inkluderes afhængig af hændelsen. Enheden etableres i 1. kvartal
18 Henvisninger KingofPhantom bagdør til hovedmålet: Når Danmark Sover Fjendtlig opmarch på usikre servere: Cyberforsvar der virker: Logning en del af et godt cyberforsvar: Den fællesoffentlige digitaliseringsstrategi , Digitaliseringsstyrelsen, 2016: Beretning om revisionen af statsregnskabet for 2015, Rigsrevisionen, 2016: 17
19 Bilag 1 Malwareoversigt Oversigt over malware fundet på tre udvalgte hosts. Der er medtaget både crime-relateret malware samt APT-relateret malware. Firma Malware Type Hostingfirma 1 Gh0st (BRemotes) RAT Hostingfirma 1 Gh0st (IEHelper) RAT Hostingfirma 1 RAT 1 ZXShell APT-relateret RAT Hostingfirma 1 RAT 2 PlugX APT-relateret RAT Hostingfirma 1 Packed, old cmd.exe Tool Hostingfirma 1 cmd.exe Tool Hostingfirma 1 Gh0st (IEHelper) RAT Hostingfirma 1 Gh0st (DarkAngel) RAT Hostingfirma 1 Gh0st (Proxy/cc3) RAT Hostingfirma 1 IIS 6 Local Priv Esc Exploit Hostingfirma 1 Packed, old cmd.exe Værktøj Hostingfirma 1 Mimikatz Password Værktøj Hostingfirma 1 Pass.com Password Værktøj Hostingfirma 1 ELF1.4 Gem filer Værktøj Hostingfirma 1 2DBServer Værktøj Hostingfirma 1 ASPX Web proxy Værktøj Hostingfirma 2 RAT 1 ZXShell APT-relateret RAT Hostingfirma 2 RAT 2 PlugX APT-relateret RAT 18
Trusselsvurdering Cyberangreb mod leverandører
Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.
Læs mereUndersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr
Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...
Læs mereTrusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer
5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,
Læs mereCFCS Beretning Center for Cybersikkerhed.
Center for Cybersikkerheds Beretning 2017 Center for Cybersikkerhed www.cfcs.dk 2 Cybertruslen - - - - - - - Center for Cybersikkerheds indsatser i 2017 - rådet. Det er centerets mission at styrke beskyttelsen
Læs mereUndersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor
Undersøgelsesrapport Målrettede forsøg på hacking af den danske energisektor Undersøgelsesenheden ved Center for Cybersikkerhed September 2018 Målrettede forsøg på hacking af den danske energisektor Denne
Læs mereDI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod
Læs mereCenter for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014
Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580
Læs mereUndersøgelsesrapport. Én aktør, mange angreb
Undersøgelsesrapport Én aktør, mange angreb Undersøgelsesenheden ved Center for Cybersikkerhed April 2017 Indhold Opsummering... 3 Indledning... 4 Sagen: En alsidig og vedholdende modstander... 5 Tidslinje...
Læs mereNOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)
Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center
Læs mereSikkerhedsanbefaling. It-sikkerhed på rejsen
Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for
Læs mereNationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder
Nationale cybersikkerhedsinitiativer Peter Munch Jensen, sektionsleder Agenda Baggrund: Den nationale cyber- og informationssikkerhedsstrategi og forsvarsforliget 2018-2023 Status på den sektorspecifikke
Læs mereLedelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation
Revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 05 J.nr. 05-6070-7 5. januar 06 Ledelsens styring af it-sikkerheden Ikke opfyldt, Delvist opfyldt, Opfyldt. Nr. Kontrolmål Observation Risiko
Læs mereBilag 1.Talepapir ved samråd i KOU den 8. oktober
Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden
Læs mereTrusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang
Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne
Læs mere1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?
1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket? En forudsætning i denne situation er, at der eksisterer kapacitet til at erkende og dokumentere, hvorvidt man er
Læs mereRevision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018
Revision af firewall Jesper B. S. Christensen Sikkerhed og Revision 6/7 September 2018 Jesper B. S. Christensen Senior Consultant Deloitte, Risk Advisory, Cyber Secure (dem I ikke har hørt om før) IT-Ingeniør,
Læs mereH AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET
H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET AGEN D A Hvem er vi? Prioritering af IT-Sikkerhedstiltag Rejsen mod et passende sikkerhedsniveau Beredskabsøvelser National strategi for cyber- og informationssikkerhed
Læs mereSikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer
Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Defco A/S vedr. behandling af persondata Version 1.0 Dato 24-05-2018 Godkendt af Jan B. Jensen Antal sider 13 Side 1 af 13 Privatlivspolitik Tak, for dit
Læs mereDatabeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015
Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at
Læs mereOfte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk
9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation
Læs mereUdkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]
Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016] Indhold 1. Indledning... 2 2. Kommentarer til de enkelte punkter... 2 2.1. Hensigtsmæssig
Læs mereKl Indledning v. Lone Strøm, Rigsrevisor
Kl. 13.00-13.10 Indledning v. Lone Strøm, Rigsrevisor Kl. 13.10-13.40 Hvad viser Rigsrevisionens beretning? Hvad viser beretningen om styring af it-sikkerhed hos it-leverandører? v. Claus Bobjerg Juul,
Læs mereForsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt
Forsvarsudvalget 2013-14 L 192 endeligt svar på spørgsmål 3 Offentligt Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 23. maj 2014 Folketingets Forsvarsudvalg har den 13. maj 2014 stillet
Læs mere> DKCERT og Danskernes informationssikkerhed
> DKCERT og Danskernes informationssikkerhed Fujitsu Security Event, 29. januar 2019 Henrik Larsen 28 January, 2019 S 1 > Hvem er DKCERT? > Grundlagt 1991 efter en af de første store hackersager i Danmark
Læs mereHackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017
Hackingens 5 faser Kim Elgaard, Solution Engineer, Dubex A/S 21. marts 2017 Agenda Angrebs vectorer Hackingens faser, samt beskyttelsen Hverdagseksempler Hvad kan vi gøre Praktiske anbefalinger Live demo
Læs mereStrategisk informationssikkerhed
Strategisk informationssikkerhed Jakob Scharf Executive Director, CERTA Intelligence & Security Tidligere chef for Politiets Efterretningstjeneste (PET) Trusler, risici og sårbarheder Private virksomheder
Læs mereNy lov for Center for Cybersikkerhed. En analyse blandt IDAs it-politiske panel
Ny lov for Center for Cybersikkerhed En analyse blandt IDAs it-politiske panel Februar 2019 Ny lov for Center for Cybersikkerhed Resume Center for Cybersikkerhed (CFCS), under Forsvarets Efterretningstjeneste,
Læs mereGode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank
Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet
Læs mereRetsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede
Læs mereHvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål
Hvad er persondata? Persondata kan være mange ting. Det kan være navn, adresse og telefonnummer. Det kan også være et billede eller en IP-adresse. Persondata er alle former for information, som kan bruges
Læs mereNotat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Februar 2016
Notat til Statsrevisorerne om beretning om adgangen til it-systemer, der understøtter samfundsvigtige opgaver Februar 2016 18, STK. 4-NOTAT TIL STATSREVISORERNE 1 Vedrører: Statsrevisorernes beretning
Læs mereReducér risikoen for falske mails
Reducér risikoen for falske mails Center for Cybersikkerhed 1 November 2017 Indledning Center for Cybersikkerhed oplever i stigende grad, at danske myndigheder og virksomheder udsættes for cyberangreb.
Læs mereIt-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015
It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat
Læs mereSikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded
Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering
Læs mereIT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg
IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Holms Støbeteknik vedr. behandling af persondata Version Versions 1.01 Dato 18/-2018 Godkendt af Bettina Holm Antal sider 12 Side 1 af 12 Privatlivspolitik
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for MHT ApS vedr. behandling af persondata Version 1 Dato 28.05.2018 Godkendt af Jette Petersen Antal sider 11 Side 1 af 11 Tak, for at du har valgt at bruge vores produkter/services.
Læs mereVersion 1.0 Dato Godkendt af Flemming Laigaard Antal sider 9
Privatlivspolitik For Ebeltoft Autocenter ApS vedr. behandling af persondata Version 1.0 Dato 180518 Godkendt af Flemming Laigaard Antal sider 9 PRIVATLIVSPOLITIK Tak, for dit besøg på vores hjemmeside
Læs mereNotat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014
Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb Februar 2014 RIGSREVISORS NOTAT TIL STATSREVISORERNE I HENHOLD TIL RIGSREVISORLOVENS 18, STK. 4 1 Vedrører: Statsrevisorernes beretning
Læs mereIT-sikkerhedspolitik S i d e 1 9
IT-sikkerhedspolitik S i d e 1 9 Indhold 1 Læsevejledning... 3 2 Informationssikkerhedspolitik... 3 2.1 INDLEDNING... 3 2.2 SIKKERHEDSNIVEAU... 4 2.3 HOLDNINGER OG PRINCIPPER... 5 2.4 HOVEDMÅLSÆTNINGER
Læs merePrivatlivspolitik. Privatlivspolitik. for. Faurlund ApS. vedr. behandling af persondata. Version 1.0 Dato Antal sider 12.
Privatlivspolitik for Faurlund ApS vedr. behandling af persondata Version 1.0 Dato 23.05.2018 Godkendt af Jan Svenstrup Antal sider 12 Side 1 af 12 Privatlivspolitik Tak, for dit besøg på vores hjemmeside.
Læs mereSundhedsministeren. Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K
Holbergsgade 6 DK-1057 København K Sundhedsministeren Statsrevisorerne Sekretariatet Folketinget Christiansborg 1240 København K ministersvar@ft.dk T +45 7226 9000 F +45 7226 9001 M sum@sum.dk W sum.dk
Læs mereMELLEM. 2300 København S. (herefter SKI )
BRUGERTILSLUTNINGSAFTALE SKI. dk MELLEM Staten og Kommunernes Indkøbs Service A/S Zeppelinerhallen, Islands Brygge 55 2300 København S CVR 17472437, EAN 57900002758477 (herefter SKI ) og (Herefter Kunden
Læs merePrivatlivspolitik ekstern persondatapolitik
Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10
Læs mereIT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group
IT- og informationssikkerheds- politik (GDPR) For Kontrapunkt Group Versionshistorik Version Beskrivelse Dato Udarbejdet af V. 0.1 Initiel draft 26 Oktober 2018 Kontrapunkt Group V.0.2 1. Edition 13. November
Læs merePRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK
PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK Vores privatlivspolitik giver dig et tydeligt overblik over, hvordan vi behandler dine data, samt hvad du kan forvente, at vi bruger dem til.
Læs mereSURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1
SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for Tabellae A/S vedr. behandling af persondata Version 1.1 Dato for seneste opdatering 25.10.2018 Godkendt af Stefan Reina Antal sider 13 Side 1 af 12 Tak, for dit besøg på
Læs mereIT- SIKKERHED. Omfanget og konsekvensen af IT-kriminalitet
IT- SIKKERHED Omfanget og konsekvensen af IT-kriminalitet IT-KRIMINALITET & -SIKKERHED 1 IT-kriminalitet I 2015 rapporterede mellem 32-41% af alle virksomheder om cyberkriminalitet på globalt plan. Dermed
Læs mereDI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed
Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,
Læs mereHvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk
Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant pso@dubex.dk Overordnet fremgangsmåde Identificér områder der hører under fundamental sikkerhed i risikovurderingen.
Læs mereUdtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne
Til Sundheds- og Ældreministeriet Dato: 1. februar 2018 Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Region Hovedstaden har kontinuerligt
Læs mereTemadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors
Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors Cyber- og IT-sikkerhed DFF EDB Hvorfor Cyber- og IT-sikkerhed? Datamængderne stiger eksplosivt i alle kategorier og bliver
Læs mereRigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014
Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014 Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte statsrevisorer Rigsrevisionen rigsrevisor
Læs mereProduktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7
Side 1 af 7 Indhold 1 INTRODUKTION TIL CLOUD CONNECT... 3 1.1. CLOUD CONNECT... 3 1.2. VORES SETUP... 3 1.3. LEVERANCEN... 4 1.3.1. Aktiviteter... 4 1.3.2. Forudsætninger for etablering... 4 1.4. KLARMELDINGSDATO...
Læs mereSTUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller jpe@csis.dk
STUXNET Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller jpe@csis.dk Om CSIS Security Group Startet i 1999 HQ in København Kontorer i Skanderborg og Mauritius Ca.
Læs mereOnline Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md
Online Backup U ndgå hovedbrud hvis uheldet er ude! Med en hosted online backup løsning hos, er dine data i sikkerhed. Du kan derfor glemme alt om båndskifte og opbevaring af backup-bånd. Med online backup
Læs mereStatus baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015
Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan Ved korrigerende handlinger
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for Hydro-X vedr. behandling af persondata Version 1 Dato 05.04.19 Godkendt af Flemming Wittenberg Antal sider 12 Side 1 af 12 Tak, for dit besøg på vores hjemmeside. Det er
Læs mereIT-SIKKERHED HOS MOBILIZE ME APS
IT-SIKKERHED HOS MOBILIZE ME APS En gennemgang til kommuner Mobilize Me ApS, Åbogade 15, 8200 Aarhus N Side 1 af 7 Indholdsfortegnelse INDLEDNING 3 IT-SIKKERHED HOS MOBILIZE ME APS - FAQ 3 BRUGERSTYRING
Læs mereFairSSL Fair priser fair support
Microsoft IIS 6 Certifikat administration Følgende vejledning beskriver hvordan man installere et certifikat på en IIS 6 For support og hjælp til anvendelsen af denne vejledning kan du kontakte FairSSL
Læs mereLars Neupart Director GRC Stifter, Neupart
PROCESSER FOR BEVISSIKRING I ET ISO 27000 PERSPEKTIV. Lars Neupart Director GRC Stifter, Neupart LNP@kmd.dk @neupart Om Neupart (nu KMD) KMD s GRC afdeling: Udvikler og sælger SecureAware : En komplet
Læs mereOpsætning af klient til Hosted CRM
Opsætning af klient til Hosted CRM Dette dokument beskriver, hvordan der oprettes forbindelse til en Hosted CRM løsning hos TDC Hosting A/S Morten Skovgaard, 24. april 2006 1 Indledning... 2 2 Konfiguration
Læs mereIT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S
IT-SIKKERHEDSPOLITIK FOR HOFFMANN BILER A/S 1. INDLEDNING Sikkerhedspolitikken skal til enhver tid understøtte virksomhedens værdigrundlag og vision samt demonstrere, at virksomheden har en seriøs holdning
Læs mereMedComs informationssikkerhedspolitik. Version 2.2
MedComs informationssikkerhedspolitik Version 2.2 Revisions Historik Version Forfatter Dato Bemærkning 2.2 20.02.17 MedComs Informationssikkerhedspolitik Side 2 af 7 INDHOLDSFORTEGNELSE 1 INDLEDNING...
Læs mereAnbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift
Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Denne publikation er udarbejdet
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Visuel Print A/S vedr. behandling af persondata Version 1.1. Dato 24.05.2018 Godkendt af Lars Alkemade Antal sider 11 Side 1 af 11 Privatlivspolitik Tak,
Læs mereBilag 7.1 Status på handleplan
Bilag 7.1 Status på handleplan Status baseret på MedCom s svar og handleplan vedrørende revisionsrapport om it-revision af Sundhedsdatanettet (SDN) 2015 Status = projektstatus ud fra milepæle Følger plan
Læs mereForslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed
Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.
Læs mereIT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag
IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag Oversigt Introduktion Trusselsvurdering Center for Cybersikerhed Password sikkerhed og beskyttelse Virus/Malware
Læs mereITEK og Dansk Industris vejledning om betalingskortsikkerhed
ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary
Læs mereIt-sikkerhedspolitik for Farsø Varmeværk
It-sikkerhedspolitik for Farsø Varmeværk Introduktion Denne it-sikkerhedspolitik, som er besluttet af bestyrelsen, udgør den overordnede ramme for at opretholde it-sikkerheden hos Farsø Varmeværk. Hermed
Læs mereDatabehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD
INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel
Læs mereCYBERFORSIKRING OFFENTLIG KONFERENCE
CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering
Læs mereStatus for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2
Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse
Læs merePrivatlivspolitik (ekstern persondatapolitik)
Privatlivspolitik (ekstern persondatapolitik) for Aktiv Firmapension K/S vedr. behandling af persondata Version 1.0 Dato 17. maj 2018 Godkendt af Susanne Kjærsgaard Petersen Antal sider 11 Aktiv Firmapension
Læs mereProfil Search s Persondatapolitik
Profil Search s Persondatapolitik Hvad er det Profil Search værner om privatlivets fred, og vi er naturligvis forpligtet til at beskytte den. I overensstemmelse med den generelle databeskyttelsesforordning
Læs mereDatabehandlingsaftale
Databehandlingsaftale Dataansvarlig: Kunde lokaliseret inden for EU (den dataansvarlige ) og Databehandler: Europæisk repræsentant Virksomhed: ONE.COM (B-one FZ-LLC) One.com A/S Reg.nr. Reg.nr. 19.958
Læs mereHOSTING VILKÅR 10. REVISION JANUAR CompuSoft A/S. Sunekær 9. DK-5471 Søndersø. CVR-nr.: (i det følgende kaldet leverandøren)
HOSTING VILKÅR 10. REVISION JANUAR 2019 CompuSoft A/S Sunekær 9 DK-5471 Søndersø CVR-nr.: 21774774 (i det følgende kaldet leverandøren) COMPUSOFT A/S INFO@COMPUSOFT.DK WWW.COMPUSOFT.DK HOSTING VILKÅR -
Læs mereIT sikkerhedspolitik for Business Institute A/S
IT sikkerhedspolitik for Business Institute A/S Indholdsfortegnelse OFFENTLIG SIKKERHEDSPOLITIK FOR BUSINESS INSTITUTE... 2 1. ANVENDELSESOMRÅDE... 2 Indledning og formål... 2 Roller og ansvarsområder...
Læs merePrivatlivspolitik (ekstern persondatapolitik)
(ekstern persondatapolitik) for Syddansk Høreklinik ApS vedr. behandling af persondata Version 1.0 Dato 20/5 2018 Godkendt af Jan Agermose Antal sider [13] Side 1 af 13 Tak, for dit besøg på vores hjemmeside
Læs mereANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER
ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER NOVEMBER 2014 Hvad er et hackerangreb? INTRODUKTION Denne folder er udarbejdet af It-sikkerhedssøjlen i Branchefællesskab
Læs mereDI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)
DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12
Læs mereDenne privatlivspolitik beskriver hvordan Axdata A/S (herefter vi, vores eller os ) behandler personoplysninger om dig.
Version 1.0: 18. maj 2018 Denne privatlivspolitik beskriver hvordan Axdata A/S (herefter vi, vores eller os ) behandler personoplysninger om dig. Vi respekterer dit privatliv. Uanset om du er en tilbagevendende
Læs mereDer henvises desuden til præsentationen fra mødet, som er offentliggjort via det digitale udbudssystem.
Referat 11. december 2017 Informationsmøde om Næste generation Digital Post Mandag den 11. december 2017 kl. 13.00 15.30 I DGI-byen, Tietgensgade 65, 1704, København V. Udbudsbekendtgørelse nr. 2017/S
Læs mereTorben Waage www.kromannreumert.com/insights. Partner
Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.
Læs mereIndholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4
Halsnæs Kommune Informationssikkerhedspolitik 2012 Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Omfang... 4 4. Holdninger og principper... 4 5. Sikkerhedsbevidsthed,
Læs merePræsentation af Curanets sikringsmiljø
Præsentation af Curanets sikringsmiljø Version: 1.1 Dato: 1. marts 2018 Indholdsfortegnelse Indledning: side 3 Organisering af sikkerhed: side 3 Politikker, procedurer og standarder: side 3 Medarbejdersikkerhed:
Læs mereBeskyttelse af personoplysninger for forretningskunder
Beskyttelse af personoplysninger for forretningskunder 1. Dataansvarlig - register over personoplysninger Tikkurila Danmark A/S (herefter benævnt Tikkurila) CVR nr. 5496 3416 Geljhavegård 13 A 6000 Kolding
Læs mereFairSSL Fair priser fair support
Small Business Server 2003 Certifikat administration Følgende vejledning beskriver hvordan man vælger hvilke adresser der skal være i ens SBS 2003 SSL certifikat. For support og hjælp til anvendelsen af
Læs merePolitik for informationssikkerhed i Plandent IT
9. maj 2018 Version 0.8. Politik for informationssikkerhed i Plandent IT Indhold Formål med politik for informationssikkerhed... 3 Roller og ansvar... 3 Politik for manuel håndtering af følsomme kundedata...
Læs mere1 Informationssikkerhedspolitik
Indholdsfortegnelse 1 Informationssikkerhedspolitik... 1 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 2 1.3 Sikkerhedsniveau:... 2 1.4 Sikkerhedsbevidsthed:... 3 1.5 Brud på informationssikkerheden:...
Læs mereVilkår for hosting. 6. revision 7. maj 2005. CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren)
Vilkår for hosting 6. revision 7. maj 2005 CompuSoft A/S Anderupvej 16 5270 Odense N CVR-nr. 21774774 (i det følgende kaldet leverandøren) CompuSoft A/S, Anderupvej 16, DK 5270 Odense N, Tlf. +45 6318
Læs mereBeredskabspolitik for Dahmlos Security [OFF] Gyldig fra d INDLEDNING TILTAG FOR AT OPFYLDE POLITIKKENS FORMÅL...
BEREDSKABSPOLITIK Gyldig fra d. 01-12-2017 Indhold 1 INDLEDNING... 2 1.1 FORMÅLET MED BEREDSKABSPOLITIKKEN... 2 1.2 GYLDIGHEDSOMRÅDE... 2 1.3 VÆRDIGRUNDLAG OG PRINCIPPER... 2 2 TILTAG FOR AT OPFYLDE POLITIKKENS
Læs mereGenerelle handelsbetingelser. Mail: Tlf.: Node Company IVS CVR.:
Generelle handelsbetingelser Mail: kontakt@webmaestro.dk Tlf.: +45 25 13 17 21 CVR.: 38770578 Introduktion Dette dokuement indeholder generelle handelsbetingelser for ( Node Company ), der drives under
Læs mereVores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov.
På dansk/in Danish: Aarhus d. 10. januar 2013/ the 10 th of January 2013 Kære alle Chefer i MUS-regi! Vores mange brugere på musskema.dk er rigtig gode til at komme med kvalificerede ønsker og behov. Og
Læs mereO Guide til it-sikkerhed
It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder
Læs mereTil Økonomiudvalget. Sagsnr Dokumentnr Bilag 1 til indstilling til Økonomiudvalget
KØBENHAVNS KOMMUNE Økonomiforvaltningen Koncernservice NOTAT Til Økonomiudvalget Bilag 1 til indstilling til Økonomiudvalget Uddybning vedr. Købehavns Kommunens modenhed på Itsikkerhedsområdet Konklusionen
Læs mere