Jonas. Major Forsvarets Efterretningstjeneste Center For Cybersikkerhed Rådgivning og Tele

Transkript

1 Jonas Major Forsvarets Efterretningstjeneste Center For Cybersikkerhed Rådgivning og Tele 22. september

2 Center for Cybersikkerhed Center for Cybersikkerhed (CFCS), der blev oprettet i 2012, er en del af FE. CFCS skal bidrage til at beskytte Danmark mod internettrusler og herunder opdage, varsle om og imødegå cyberangreb mod danske interesser. Samtidig varetager CFCS opgaven som Danmarks nationale it-sikkerhedsmyndighed, der gennemfører og håndhæver regler og foretager sikkerhedsgodkendelser på it-området. Læs mere om CFCS og i tema om cybersikkerhed. - 2

3 Præsentation Hvem er Jonas 22 år i Forsvaret Major fra Flyvevåbnet operativ HAWK fortid Udsendt 3 gange IT side af sagen: - FKIT Serversektion - SAP DeMars Udvikling - CFCS Rådgivning og akkreditering Ikke specielt hemmelig 22. september

4 Agenda Efterspurgt information om: Hvordan de kriminelle arbejder og tænker Hvad er risikoen for identitetstyveri osv. Gode råd til hvorledes kommunerne bør sikre sig Hvad gør de offentlige myndigheder (FE) og politiet af indsatser osv. Hvordan er det internationale samarbejde 4

5 Hvordan de kriminelle arbejder og tænker Hvem er de kriminelle: Statsfinansierede hackergrupper - Kina, Iran, Rusland, Nordkorea It-kriminelle syndikater udbredt primært i Asien men it er for alle alle steder på kloden så ingen er sikre Aktivister Anonymous Den sure forbigåede medarbejder Enkelte hackere fra kælderen i Sdr. kedsomhed Motiver Viden er magt Økonomisk vinding direkte Pay up Økonomisk vinding indirekte Information gathering dernæst salg på det sorte marked Politisk budskab We are the world Hævnmotivet de andre er nogle røvhuller. Jeg går min vej, men inden jeg går/smides ud. 5

6 Hvordan de kriminelle arbejder og tænker Sikkerhedshændelser 6

7 Hvordan de kriminelle arbejder og tænker 9

8 Hvordan de kriminelle arbejder og tænker Hackere ødelægger højovn på tysk stålværk Ved hjælp af målrettede s til udvalgte medarbejdere fik hackere adgang til netværket på et tysk stålværk og kunne forstyrre kontrolsystemerne til produktionsanlægget. Jesper Stein Fredag, 19. december 2014 Et hackerangreb mod et tysk stålværk har resulteret i, at én af værkets højovne ikke længere kan bruges. Det skriver Der Spiegel. Det er det tyske nationale center for it-sikkerhed, som oplyser, at angrebet har fundet sted, men uden at oplyse, hvilket stålværk der er ramt, eller hvornår angrebet skete. Angrebet foregik angiveligt efter en opskrift, som er almindelig ved infiltration af virksomheders it-systemer. Første fase var et målrettet spear-phishingangreb i form af s til udvalgte medarbejdere, som skulle lokkes til at installere en bagdør på deres pc'er. Derfra kunne hackerne få adgang til resten af stålværkets netværk, indtil de til sidst også fik adgang til de computere, som bruges til at styre produktionsudstyret. Her kunne hackerne udnytte specialviden om industrisystemer til at sætte højovnen ud af spillet. Truslen mod industrisystemer kom for alvor på it-sikkerhedsdagsordenen efter angrebet med Stuxnet-ormen, som angiveligt var fremstillet specifik til at sabotere urancentrifuger på et iransk atomanlæg. 10

9 Hvordan de kriminelle arbejder og tænker Øvrige IT-Hændelser Hyggede hjemme i sofaen så endte de på pornoside Smarte fjernsyns sikkerhed er hullet som en si. Bug in latest version of OS X gives attackers unfettered root privileges Cyber espionage attack aimed at Swiss defense firm RUAG was carried out by the Russia-linked threat group known as Turla. 117 millioner LinkedInprofilers data sat til salg. Medlemmers s og passwords fra det fire år gamle hackerangreb er blevet frigivet og sat til salg 11

10 Hvordan de kriminelle arbejder og tænker It-indbrud var forklædt som ansøgninger Unimerco modtager uskyldigt udseende jobansøgninger sendt i PDF-filer PDF-filen indholdt en lille stump aktiv kode Koden kunne afvikles da firmaets PDF program ikke var opdateret Der ved kunne man få fat i oplysninger om selskabets amerikanske bankforbindelse Hackerne brugte stråmænd i både Kina, USA og Ungarn til at høste udbyttet En af stråmændene kontaktede Unimerco. Tab over to millioner kroner CITTI bank vil ikke erstatte beløbet 12

11 Hvordan de kriminelle arbejder og tænker Ordbog: Social engineering - En fællesbetegnelse for metoder kriminelle benytter til at manipulere personer til at afgive eller indtaste oplysninger (id, pass-word og nøglekortkoder) til de it-kriminelle. Phishing Når it-kriminelle benytter mails, der giver sig ud for at være fra en pålidelig afsender til at få personer til at afgive eller indtaste personlige oplysninger (Ingen konkrete målpersoner) Spearphishing Det samme som phishing, men her med et konkret mål for øje, mere detaljeret og mere ihærdig indsats. Smishing - Når it-kriminelle benytter sms-beskeder, der giver sig ud for at være fra en pålidelig afsender til at få folk til at afgive eller indtaste personlige oplysninger. Vishing - Når it-kriminelle benytter telefonopkald, hvor de overtaler personer til at afgive personlige oplysninger. 13

12 Hvordan de kriminelle arbejder og tænker Metoder for uautoriseret adgang. Herunder er nogle af de mest populære metoder hos it-kriminelle: Ransomware: En virus, der vil forhindre brugen af computeren, internettet, eller specifikke programmer, og som kræver en løsesum for at give ejeren adgang igen. Malware: Software, der skaffer sig adgang til computere og herfra kopierer personlige oplysninger eller udfører andre uønskede kommandoer. DDoS: Distributed Denial of Service. Et angreb, hvor it-kriminelle via et stort netværk af computere sender så mange forespørgsler til et system, at det lukker ned. APT: Advanced Persistent Threat: er avancerede angreb, der er målrettet en bestemt virksomhed eller organisation i et forsøg på at kompromittere eller stjæle virksomhedens intellektuelle værdier, også kaldet IP (intellectual property). Disse data udnyttes til alt lige fra spionage og kopiering af varer til udnyttelse af personfølsomme oplysninger. Afpresning: Kan eksempelvis ske, hvis it-kriminelle kommer i besiddelse af kompromitterende billeder eller film, hvorefter de vil kræve penge eller for eksempel flere billeder eller seksuelle tjenester. Kilde: informationsordbogen.dk, Europol 14

13 Hvordan de kriminelle arbejder og tænker Naivitet og berøringsangst gør danske virksomheder til let bytte for it-kriminelle Danske virksomheder undlader at lave undersøgelser af deres frygt for, hvad sådanne undersøgelser måtte vise. Samtidig er mange danske virksomheders it-systemer som trevlede kludetæpper af gamle systemer, som er sårbare. Derfor er det ekstra naivt, når man undlader at se sin egen sikkerhed efter i sømmene.»det kan ikke undgå at strejfe mig, at visse virksomheder undlader at lave den slags analyser, fordi de er bekymrede for, hvad de vil vise at der måske ikke er styr på det for hvem sidder så med ansvaret for det? De vil hellere fokusere på, hvordan data kan gøre dem mere effektive og spare medarbejdere,«siger lederen af EY s efterforskningsafdeling, Torben Lange. Sjældent folk udefra Hans afdeling får hovedsageligt sager, der handler om interne stridigheder eller it-kriminalitet begået af tidligere medarbejdere. Langt sjældnere er der tale om angreb udefra. Når en tidligere medarbejder er centrum for hans arbejde er der oftest tale om ulovlige prisaftaler, ansatte, der tager data med sig ved jobskifte eller som på anden måde udnytter virksomhedens digitale struktur til egen vindings skyld. For eksempel ved at udnytte et it.system til at overføre penge til sig selv. 15

14 Hvordan de kriminelle arbejder og tænker CEO - fraud It-kriminelle snyder ansatte på Statens Museums for Kunst til at udbetale kr. Ansatte troede, at det var chefen, der sendte mail om at overføre penge til engelsk bankkonto. Statens Museum for Kunst blev i vinterferien franarret kr., men museet er langt fra ene om at blive ramt af såkaldt CEO-fraud, hvor it-kriminelle ved hjælp af falske mail udgiver sig for at være en virksomheds direktør og beder økonomiafdelingen foretage nogle hurtige pengeoverførsler. Franarret 300 mio. Kr. Europas største leverandør af ledninger, elektriske og optiske fiberkabler, tyske Leoni, er blevet snydt i et mail-svindelnummer for knap 300 millioner kroner. Leoni omsætter for lige godt 35 milliarder kroner og svindelnummeret mod virksomheden blev sat ind den 12. august i Nordrumænien. Optakten til svindlen var, at selskabets lokale økonomidirektør i Rumænien modtog en mail, som var designet til at ligne en besked fra en af Leonis topchefer i Tyskland. I mailen var der en opfordring til den store pengeoverførsel. Mailen var derudover udformet, så Leonis interne procedurer for godkendelse af pengeoverførsler var imødekommet. Desuden var Leoni-fabrikken i Rumænien blot én ud af fire af selskabets tilholdssteder, men det var den eneste, som var autoriseret til at godkende pengeoverførsler. Dermed havde svindlerne nærstuderet selskabets måde at overføre store beløb på, skriver Softpedia. Overfører 20 milliarder kroner Denne form for mailsvindel går under mange navne - blandt andet direktør-svindel eller 'CEO Fraud' på engelsk. Det amerikanske forbundspoliti FBI har tidligere vurderet, at denne form for CEO Fraud i de seneste tre år har kostet virksomheder over 20 milliarder kroner. 16

15 Hvordan de kriminelle arbejder og tænker Hackernes angrebsfaser Fase 1: Hackergruppen bag udfører en omfattende undersøgelse af det netværk, der skal angribes. Det er i denne fase, at angriberne får viden, som kan bruges til at tilpasse den malware, der skal bruges i angrebet.det er også i denne fase, at angriberne gør sig begreb om, hvordan de bedst kan bruge metoderne social engineering og spear phishing. Fase 2: Her afsendes malwaren. Denne er ofte enten vedhæftet en som en legitimt udseende fil eller indeholdt i en som et link. Når offeret klikker på den vedhæftede fil eller linket i e- mailen, bliver malwaren installeret og offerets computer inficeret. 17

16 Hvordan de kriminelle arbejder og tænker Fase 3: Når Hackergruppen har fået fodfæste i det ramte netværk, bestræber den sig på, at dens aktiviteter ikke bliver bemærket. Hackerne vil forsøge at gemme sig i netværkstrafikken inden for normal kontortid. Hackerne vil gøre brug af VPN-forbindelser, hvor de ved hjælp af brugernavne og passwords får fjernadgang til det netværk, de gerne vil angribe. Når angriberne har adgang kan de bevæge sig forholdsvist ubemærket og tilsyneladende legitimt rundt på det netværk, der er angrebet. 18

17 Hvordan de kriminelle arbejder og tænker Fase 4: Endelig vil angriberne forsøge at vedligeholde deres adgang til det ønskede netværk. Dette betyder eksempelvis, at de vil forsøge at installere yderligere malware skjult dybt i systemet på den enkelte computer, som kan vækkes til live, hvis den dør, APTgruppen kommer ind ad, lukkes. 19

18 Hvordan de kriminelle arbejder og tænker Mobileenheder 1) MMS sendes til en telefon 2) Onsindet kode installeres på telefonen 3) Uden brugeren behøver at åbne beskeden 4) Herefter sletter man sine spor 5) Telefon brugeren vil så ikke opdage bagdøren 20

19 Android malware 1 af 10 APPS er MALware 99% af malwaren er rettet mod Android 21 21

20 Hvordan den Mobile enhed kan blive inficeret Mobile Enheders Interfaces BlueTooth NFC GSM/UMTS - TCP IP - SMS/MMS SD card WIFI JTAG (Produktions interface) USB Alle disse Interfaces kan benyttes af en hacker! 22

21 CFCS generelle anbefalinger ift. brugen af mobileenheder ved tjenesterejser: CFCS anbefaler som minimum at nulstille telefonens data efter endt tjenesterejse. (Menu ligger typisk under indstillinger). Således at alle brugerens data slettes. CFCS anbefaler pga. risikoen for sporing (tracking) enten via telefonens IMEI ellers SIM kortes IMSI kun at medbringe en låne telefon + SIM kort på rejser, således at de enkelte medarbejdere ikke kan identificeres via deres telefon. CFCS anbefaler såfremt man ønsker helt at eliminere risikoen for sporing at destruerer anvendte telefoner+sim efter endt rejse. CFCS anbefaler pga. risikoen for aflytning via WIFI (hotel hotspots), at man skifter passwords på de tjenester man evt. har anvendt. (F.eks. Facebook, LinkedIN, OWA mail) CFCS anbefaler pga. risikoen for at blive inficeret ikke at oplade via USB fra andres PC er (eller offentlige USB lader standere) CFCS anbefaler aldrig at have PIN Kode/passwords på sin telefon. 23

22 Identitetstyveri Beskyt din identitet Send aldrig fortrolige oplysninger i s og giv aldrig fortrolige og personlige oplysninger på sociale medier. Knyt telefonnummer til mailkontoen. På den måde øger du sikkerheden betydeligt. Tænk over om de oplysninger, du lægger online, kan misbruges. Det kan fx være personfølsomme oplysninger i et CV. Log af. Hvis du tjekker din mail eller Facebook-profil på offentlige computere, skal du huske at logge af og slette browserens historik, før du går. Spær dit CPR-nr. Det er blevet muligt at spærre sit CPR-nr., så virksomheder kan få en advarsel, hvis nogen forsøger at låne penge ved at bruge CPR-nummeret. Advarslen kan være relevant, hvis du fx har mistet dit pas eller kørekort og er bekymret for, at det vil blive misbrugt Tjek dit papiraffald. Undlad at smide papir med personlige oplysninger i skraldespanden, eller riv papiret itu eller overstreg de personlige oplysninger først. Beskyt din PC, tablet og mobiltelefon Skift passwords jævnligt. Dit password bør bestå af mindst otte tegn med både store og små bogstaver, tal og specialtegn. Anvend ikke det samme password flere steder. Hold din software opdateret og brug både antivirusprogram og firewall. Læs om firewalls og om computervirus, og hvordan du beskytter dig. Mange programmer kan indstilles så de opdaterer til nye og mere sikre udgaver automatisk. Brug eventuelt programmer, der holder øje med, at din computer hele tiden er opdateret. Nogle internetudbydere tilbyder gratis tjek af sikkerheden på din computer. Krypter dit trådløse netværk. Se, hvordan du gør i brugsvejledningen til din trådløse router, eller kontakt din internetudbyder. 24

23 Cyberforsvar der virker 25

24 Punkt 1 Forankring i topledelsen * Vigtigste informationer * Betydning for vores forretning, hvis data mistes, stjæles, lækkes eller bliver utilgængelig. * Er vores informationer tilstrækkeligt beskyttet? * Har vi en nedskrevet informationssikkerhedspolitik * Videndeling med lignende organisationer * Har vi en sikkerhedsorganisation * Bliver vi løbende opdateret om cybertruslen * Har vi gjort os klart, at topledelsen selv er et oplagt mål 26

25 Punkt 2 Den rette tekniske kompetence * Gode systemadministratorer * Medarbejdere med analytiske kompetencer. * Samt at disse forstår og formår at kommunikere med topledere * Ved uddelegering er det vigtigt at den enkelte organisation selv tager ansvaret for sikkerheden 27

26 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Medarbejdermodstand Medium Lav Lav Medium 28

27 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Etableringsomkostninger Høj Høj Medium Medium 29

28 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Driftsomkostninger Medium Høj Medium Lav 30

29 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Designet til at forhindre eller detektere Begge Forhindre Forhindre Forhindre 31

30 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Designet til at hjælpe med at modvirke angrebsfase 1 Ja Ja Muligt Muligt 32

31 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Hjælper med at modvirke angrebsfase 2 Ja Muligt Muligt Ja 33

32 Punkt 3 Implementér top fire Sikringstiltag Udarbejd positivliste over applikationer Opdatér programmer Opdatér operativ-systemet Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier. Hjælper med at modvirke angrebsfase 3 Ja Nej Muligt Muligt 34

33 Punkt 4 Gennemfør løbende awareness * Tekniske foranstaltninger bliver bakket op af velinformerede medarbejdere * Informer om truslen fra Social engineering (både via fysisk kontakt, telefonsamtaler og mail ) * Husk at informere medarbejderne ved ansættelsen 35

34 Punkt 5 Opbyg en reaktiv kapacitet * God logning * Erkend egne begrænsninger Intet forsvar er 100 % sikkert. Succesfulde angreb vil forekomme, men de skal forudses og opdages. 36

35 Punkt 6 Løbende sikkerhedstekniske undersøgelser * Skab en sikkerhedsorienteret virksomhedskultur * Løbende vedligeholdelse af sikkerheden 37

36 Punkt 7 Indfør yderligere sikringstiltag * Når de grundlæggende tiltag er på plads, indføre yderligere sikringstiltag * På forskellige komponenter fordelt over hele it-miljøet 38

37 1. Forankring i topledelsen Forstå cybertruslen, støt cyberforsvaret og uddelegér ansvar Gennemfør en overordnet risikovurdering 2. De rette tekniske kompetencer Sørg for at organisationen råder over de rette tekniske kompetencer eller har adgang til dem 3. De grundlæggende sikringstiltag Implementér tiltagene til sikring af højrisikomål Udbred derefter til øvrige risikomål 4. Awareness, awareness, awareness Introducér sikkerhedspolitikken til nyansatte Udsend løbende information om cybertruslen 5. En reaktiv kapacitet Start i det små og prioritér højrisikomål Opyg televante reaktive kompetencer 6. Løbende sikkerhedstekniske undersøgelser Test det reelle sikkerhedsniveau løbende Afhold kriseøvelser og simuler angreb 7. Flere tekniske og organisatoriske tiltag Styring af mobile enheder, to-faktor autentifikation, segmentering af netværk 39

38 Hvordan de kriminelle arbejder og tænker Gode råd til hvorledes kommunerne bør sikre sig Er kommunernes låsesystemer centralt styrede? Er kommunernes varmesystemer centralt styrede? Hvorledes er screeningen af en PDF-ansøgning til kommunens HR-afdeling? Foretages der IT-revison af kommunerne? Er kommunernes it-systemer segmenterede - To be continued.. 40

39 Internationalt samarbejde om cybersikkerhed Cyber- og informationssikkerhed fylder stadigt mere på den internationale dagsorden, og emnet behandles efterhånden af de fleste større internationale organisationer og institutioner. CFCS deltager i mere end 30 internationale samarbejdsfora fordelt på en række områder indenfor cyber- og informationssikkerhed, herunder i EU, NATO og OSCE-regi. CFCS netsikkerhedstjeneste indgår også i en række internationale fora og samarbejder. Særligt på det nordiske område er der et stærkt og veludviklet samarbejde netsikkerhedstjenesterne imellem. EU I EU-regi har man vedtaget den Digitale Dagsorden for Europa, der bl.a. i februar 2013 førte til, at EU-Kommissionen og EU s udenrigstjeneste udsendte en fælles strategi for cybersikkerhed. Strategien har som overordnet formål at sikre et åbent og sikkert cyberspace. CFCS bidrager til forhandlinger, der er initieret af den fælles strategi for cybersikkerhed. Derudover er CFCS involveret i flere aspekter af det arbejde, som foregår i EU s agentur for net- og informationssikkerhed (ENISA). Arbejdet har til formål at bidrage til at højne netværk- og informationssikkerheden i EU samt facilitere et bredt samarbejde mellem offentlige og private aktører. Blandt andet arrangeres den tilbagevendende cybersikkerhedsøvelse Cyber Europe, som tester centrale europæiske aktørers evne til at opretholde og videreføre samfundsvigtige funktioner i en situation, hvor disse funktioner trues, svækkes, afbrydes eller ødelægges af cyberangreb. NATO Danmark bidrager til NATO s arbejde med, at alliancen og dens medlemslande fortsat styrker deres evne til at beskytte egen infrastruktur mod cyberangreb. Desuden udgør NATO et effektivt forum for drøftelser og eventuelt fælles modsvar i tilfælde af cyberangreb på et alliancemedlem. CFCS s aktiviteter i NATO spænder bredt fra implementering af it-sikkerhedsstandarder over kryptering til håndtering af klassificeret information. Centeret deltager også i NATO s årlige tekniske cybersikkerhedsøvelse Cyber Coalition, hvor samarbejde på tværs af NATO-landene trænes. OSCE I OSCE (Organisationen for Sikkerhed og Samarbejde i Europa) arbejdes med tillidsskabende foranstaltninger inden for cybersikkerhed, væsentligst i form af åbenhed om landenes cybersikkerhedsstrategier, -politikker, -programmer og tiltag. 11 tillidsskabende foranstaltninger er allerede vedtaget, og et arbejde pågår med at få udarbejdet og vedtaget yderligere foranstaltninger. 41

40 Du er en vigtig brik i sikkerheden! 42

41 Inspirationslæsning:

42 Opsamling Bent Soelberg 44

43 1. Ledelsen skal forholde sig til It-sikkerheden 2. Identificér de kritiske informationer og systemer 3. Udarbejd en risikovurdering 4. Dokumentér jeres IT-sikkerhedsarbejde 5. Håndtér personoplysninger korrekt 6. Udarbejd en proces for håndtering af ændringer i IT-systermen 7. Hav styr på medarbejdernes adgang til jeres informationer og systemer 8. Få en uvildig gennemgang af jeres sikkerhedsniveau 9. Back up af jeres systemer 10. Styrk jeres medarbejders viden om IT-sikkerhed 11. Beskyt jeres datanetværk 12. Opdatér jeres IT-systemer og programmer 13. Beskyt virksomheden mod virusangreb og malware 14. De fysiske forhold vedr. jeres IT-udstyr 15. Effektiv plan for sikkerhedshændelser 16. Overvågning og logning af IT-systemer 17. Sikkerhedsaspekter i relation til samarbejdspartnere 18. Databehandleraftale 45

44 1. Ledelsen skal forholde sig til It-sikkerheden Anbefalinger Forstå og beskriv jeres risikovillighed, dvs. hvilken risiko ledelsen er villig til at acceptere for at kunne drive virksomhedens kerneforretning. Ledelsen skal påtage sig et ansvar og optræde som rollemodel i forhold til virksomhedens arbejde med ITsikkerhed. Ledelsen skal sikre en løbende styring af virksomhedens ITsikkerhedsarbejde. 46

45 2. Identificér de kritiske informationer og systemer Anbefalinger Få overblik over jeres behandling af personoplysninger samt kritiske forretningsdata, og IT-systemer. Lav en risikovurdering. Udarbejd retningslinjer for beskyttelse af jeres kritiske informationer og IT-systemer. 47

46 3. Udarbejd en risikovurdering Anbefalinger Forstå, hvilke trusler der kan ramme jeres virksomhed. Forstå, hvilken konsekvens det har, hvis en given trussel rammer jeres virksomhed. Find ud af, om I er beskyttet og planlæg, hvilke sikkerhedsforanstaltninger jeres virksomhed har brug for. 48

47 4. Dokumentér jeres IT-sikkerhedsarbejde Anbefalinger I bør udarbejde en overordnet IT-sikkerhedspolitik for virksomheden. Der skal udarbejdes konkrete retningslinjer eller processer for virksomhedens ITsikkerhedsarbejde. 49

48 5. Håndtér personoplysninger korrekt Anbefalinger Følsomme personoplysninger. Andre typer personoplysninger om private forhold. Almindelige personoplysninger. GDPR (General Data Protection Regulation) 50

49 6. Udarbejd en proces for håndtering af ændringer i IT-systermen Anbefalinger I skal udarbejde retningslinjer for ændringer i jeres ITsystemer både hvis I selv foretager ændringerne, eller hvis de bliver udført af jeres ITleverandør. I skal sørge for at have den rigtige bemanding og evt. support fra jeres IT-leverandør, når I foretager ændringerne. I skal stille krav til, hvordan jeres IT-leverandør håndterer ændringerne i jeres systemer. 51

50 7. Hav styr på medarbejdernes adgang til jeres informationer og systemer Anbefalinger Beslut, hvordan I vil håndtere medarbejdernes adgang til forskellige systemer. Undgå at give alle medarbejdere administratorrettigheder. Stil krav til medarbejdernes passwords. 52

51 8. Få en uvildig gennemgang af jeres sikkerhedsniveau Anbefalinger Få vurderet, om jeres eksisterende ITsikkerhedsniveau matcher jeres trusselniveau. Få vurderet, om I har en robust IT-arkitektur. Få simuleret et cyberangreb mod jeres IT-systemer. 53

52 9. Back up af jeres systemer Anbefalinger Fastlæg, hvilke backuprutiner I har brug for. Udpeg en medarbejder eller vælg en leverandør, som tager backup. Tjek, at jeres backup virker. 54

53 10. Styrk jeres medarbejders viden om IT-sikkerhed Anbefalinger I skal beslutte, hvilke ITsikkerhedsemner I vil kommunikere til jeres medarbejdere. I skal løbende uddanne, informere og diskutere sikkerhedsspørgsmål med jeres medarbejdere. I skal løbende opdatere medarbejdernes vidensniveau om IT-sikkerhed. 55

54 11. Beskyt jeres datanetværk Anbefalinger Etabler en firewall mellem Internettet og virksomhedens datanetværk. Del jeres netværk op i segmenter (afgrænsede områder). Etabler adgangskontrol til jeres netværk. Etabler sikker opkobling til hjemmearbejdspladser. 56

55 12. Opdatér jeres IT-systemer og programmer Anbefalinger Vurder, hvilke systemer og programmer, I kan/bør opdatere. Beslut, hvor ofte I bør opdatere jeres systemer og programmer. Udpeg en ansvarlig for opdateringerne. 57

56 13. Beskyt virksomheden mod virusangreb og malware Anbefalinger Installer et antivirusprogram. Tag backup. Uddan jeres medarbejdere i god IT-adfærd på nettet. Hav en plan hvis uheldet er ude. 58

57 14. De fysiske forhold vedr. jeres IT-udstyr Anbefalinger Vurder, om jeres lokaler er sikre nok mod indbrud. Beskyt jeres it bedst muligt mod skade ved vand, brand eller storm. Vurder, om jeres elforsyning og internetforbindelse er stabile nok. 59

58 15. Effektiv plan for sikkerhedshændelser Anbefalinger Udform en effektiv plan Stil krav til jeres leverandørs beredskab Gennemfør evt. test af beredskabet. 60

59 16. Overvågning og logning af IT-systemer Anbefalinger Forstå de juridiske krav i forhold til jeres medarbejdere. Tag en risikobaseret tilgang til overvågning og logning. Fastlæg en proces for overvågning af logs. Udarbejd retningslinjer for arkivering af logs. 61

60 17. Sikkerhedsaspekter i relation til samarbejdspartnere Anbefalinger Stil relevante krav til jeres leverandørs kvalitetssikring af deres It-sikkerhedsniveau samt deres sikkerhedsforanstaltninger Sikre overholdelse af gældende lovgivning. 62

61 18. Databehandleraftale Anbefalinger Forstå og implementere kravene til en databehandleraftale Overhold kravene i persondataloven. 63