FortConsult IT Security

Transkript

1 FortConsult IT Security

2 IT SERVICE MANAGEMENT 2016 It-sikkerhed anno 2016? Af Ulf Munkedal, Direktør, FortConsult Digitaliseringen ruller afsted og er enten et krav eller en konkurrenceparameter for mange virksomheder. Fortrolige og kritiske person- og forretningsdata indsamles, gemmes og flyttes rundt som aldrig før i vores it-systemer. Samtidig er trusselsbilledet mod netop vores it-systemer mere alvorligt end det nogensinde har været. Hvordan ser trusselsbilledet ud netop nu? Hvad bør man bekymre sig for? Hvordan bevarer man overblikket? Hvad kommer i fremtiden?

3 Hvad er it-sikkerhed? Informations sikkerhed? Risiko = sandsynlighed * konsekvens Risiko appetit? Hvad er typisk den værste risiko? It-sikkerhed = en cost! Eller?

4 About FortConsult Part of NCC Group Our Team Over 1,800 employees and 18 locations across the UK, Eastern and Western Europe, Australia and North America We have the largest skilled team of pentesters in the world Our Reputation Internationally recognised for our technical competencies, methodologies and work ethics Unbiased consultancy: we do not sell FW, AV, IDS/IPS, etc. Security Clearance Our security consultants in Denmark have security clearance from PET (national security authority, the Danish Security & Intelligence Service); NCC Group act as trusted advisors to the US Department of Defence and the UK s Communications Electronic Security Group (CESG) Core Services Advanced Pentesting, Audit & Reviews Detection & Response Financial Security Services History Founded in 2002 Part of the global IT Security firm NCC Group since May

5 Håndtering af It-sikkerhed anno 2016 Det har aldrig været sværere - både overblik og dybde Konsekvenserne har aldrig været større Det har aldrig fået så meget fokus - og det vil fortsætte

6 Fra medierne TalkTalk data læk (157k kundedatasæt) Pris: 33%, 100k kunder, 600+ mio kr. Ashley Madison data lækage (37 mio) SS7 sms, opkald, track telefonen CSC/Warg-sagen Rigspolitiet Se & Hør -sagen IBM/Nets Sony hacket (igen, igen, igen) - Nordkorea Snowden slipstrøm Mobilaflytninger mm Shellshock, Hartbleed - fx browser kryptering Ransomware rammer kommuner (og mange andre fx Tryg) Fokusområde på redaktioner (fx P3 om 2 uger) Og mange flere historier

7 På den politiske agenda EU forordning om persondata National strategi for cyber- og informationssikkerhed* Forsvarsforliget inkl angrebskapacitet NATO Cyberdefence strategi UK regering bag Cyber Essentials certificering dansk på vej. I UK er CBEST blevet lanceret af UK Financial Authorities målrettet den finansielle sektor Genoplivning af sessionslogning i Danmark/EU? (ophævet i 2014). Politiet vil ansætte hackere - Nationalt Cyber Crime Center (NC3) Og NC3, GovCert, Center for Cybersikkerhed, DkCert

8 Hvem er derude og banker på? Mange Amatørhackerne Professionelle økonomiske hackere Insidere Politiske hackere Afpressere og fupmagere Salg af 0-days Kineserne Efterretningstjenesterne Cyberhære Journalister

9 Hvad rammer en dansk virksomhed i 2016? Hmm Vi er allerede ramt men opdager vi det?? Compliance (lovgivning og standarder) Data leakage problemer Mobility - arkitektur og data læk* Afpresning (DDoS, Ransomware, Cryptowall, Sextortion, købe data tilbage) DDoS* angreb Social Engineering ( not possible to patch stupidity )* Manglende overblik, prioritering, sikkerhedsniveau, hvor er vi? hvor skal vi hen? hvad er konsekvensen?

10 Tema: Mobility overalt 67% read/write s /mobile-workers-working-longer-sleeping-a/

11 Hvis man taber sit device? 96% - attempt to access data 72% - look at private photos 60% - open the social media app 40% - open the online banking app 50% that the phone will be returned (Based on a study by Symantec where they lost 50 phones)

12 Specialiteter Internet-of-things (smart-tv, vindmøller, bygninger, legetøj mm) Samfunds-infrastruktur (fx Energisektor, elnettet) ATM hacking Kreditkort tyveri Identitetstyverier Mobil-aflytninger

13 Forventninger bidrager til udfordringen Userability nemt at bruge, adgang til fortrolige data alle steder fra, glade brugere, glade kunder, se bare Apple Agilitet hurtigt fra ide til løsning, nemt at lave nye løsninger, innovation, alle kan være med, lad os lave en app, helst i går Kravet sikkerhed skal være klar inden toget kører fra perronen kan ikke indhentes og klistres på efterfølgende

14 Nogle konkret råd Bevar overblikket og kend sandheden Hvor er vi og hvor vil vi hen? Risiko-vurderinger og risiko-styring inkl målrettede målinger (tests og audits) Security by Design/Development: Byg sikkert design ind i arkitekturen i alle projekter ( hvad nu hvis ) SDLC* - Secure Development Live Cycle - styr på sikker udvikling Critical Controls (SANS)* - praktisk itsikkerhed i prioriteret rækkefølge (hændelsesbaseret)

15 FortConsult IT Security