- for forretningens skyld

Transkript

1 Produkt og produktionssikkerhed - for forretningens skyld

2 DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne Offentlig sektor Privacy 2

3 Internet of Things 3

4 Flere huller i ICS 4

5 Huller i kritisk infrastruktur 5

6 Stigende tendens 6

7 Google for scada-sårbarheder 7

8 Hacktivisme, internationale giganter 8

9 Hacktivisme, regeringer 9

10 Hacktivisme - Sverige 10

11 Hacktivisme, Anonymous 11

12 Gammeldags terror - lidet sandsynligt fortsat alvorlig terrortrussel mod Danmark - PET 12

13 Cyberwar - Estland 13

14 Stuxnet mod Iran 14

15 Stuxnet andre steder 15

16 Stuxnet familien: Duqu, Flame, Gauss 16

17 Modangreb: Shamoon, (Wiper) 17

18 Digitalt Pearl Harbour 18

19 Offensiv Cyberwar i USA 19

20 Offensiv Cyberwar i Danmark 20

21 Angreb på ICS 21

22 Cyberwar total begrebsforvirring Cyberwar Cyberspionage Cyberterror Cyberaktivisme Cybervandalisme 22

23 Spionage Kina vs. NYT 23

24 Spionage Kina vs. Verden??? 24

25 Pacemakere kan hackes 25

26 og dræbe 26

27 Insulinpumper kan hackes 27

28 Forbrugerprodukter: Bil 28

29 Forbrugerprodukter: Sony playstation 29

30 Forbrugerprodukter: Samsung TV 30

31 Opsummering - tendenser Teknologisk udvikling: IoT Flere sårbarheder, med ICS som nyt fokusområde Cyberaktivisme, hacktivisme Oldschool terror Cyberwar Meget avanceret kode Cyberspionage Sårbare produkter + alt det gamle fra kontormiljøet: spearphishing, BOTs, osv Ekstrem professionalisering Motiver: Penge, idealisme, nationalisme (politik og konkurrence) 31

32 KF - USA 32

33 KF - Tyskland 33

34 KF Danmark 34

35 KF EU 35

36 V1 - få det på ledelsens dagsorden Udpeg sikkerhedsansvarlige for kontor, produktion, fysiske rammer og produkter Sikkerhedsorganisation med funktionsadskillelse Sikkerhedspolitik med uddybende retningslinjer med kontroller - det hele baseret på en risikoanalyse Overholdelse af regulering Klarhed over egne produkters sikkerhed 36

37 V2 - Produktionschefen Tekniske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø Netværkssegmentering Kortlægning af alle forbindelser og implementering af firewalls Anvendelse af DMZ (produktionsmiljøet må ikke være direkte på internettet) Envejskommunikation, logning, IDS/IPS Penetrationstests Klassifikation og kryptering af trafik Sikkerhedskopiering (data og systemer) Opsamling af hændelser Redundans af kritiske komponenter Mulighed for sikkerhedspakker Driftsafviklingsprocedurer (hvem må hvad) og kapacitetsplanlægning Aktuelt vidensniveau 37

38 V2 - Produktionschefen Krav til (interne og eksterne) leverandører af udstyr til produktionsmiljøet Procedurer for indkøb og krav Krav i form af certificeringer Leverandører skal overholde sikkerhedspolitikken Forudgående sårbarhedsanalyse SLA (med bl.a. disse krav) Opdateringer og tests Vurdering af åbne bagdøre 38

39 V2 - Produktionschefen Organisatoriske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø Samarbejde på tværs blandt sikkerhedsansvarlige Holistisk sikkerhedspolitik med retningslinjer Identifikation, dokumentation og klassifikation af alle aktiver Udpegelse af ejere Risikoanalyse for aktiver Procedurer for genanvendelse og afskaffelse 39

40 V2 - Produktionschefen Overordnede holistiske sikkerhedskrav Sikkerhedsarbejdet skal skabe værdi Holisme Samarbejde Faglige kvalifikationer Autoriseret med de rette privilegier Procedurer for adgang Fysisk sikringsplan Fysisk adgangskontrol Funktionsadskillelse Beskyttelse af elektronisk perimeter Procedurer for hændelser Beredskabsplan Overholdelse af lovgivning 40

41 V4 - Produktchefen Produktsikkerhed Common Criteria certificering Udveksling af nøgler mellem produktets elementer Penetrations- og sårbarhedstest Firewalls på lokale enheder Følg trusselsbilledet og isoler produkter 41

42 Vi bør ikke sidde det overhørig 42

43 Kontakt Henning Mortensen 43