DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

Transkript

1 DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen

2 DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der sætter centeret i stand til at offentliggøre og udsende advarsler og anden information om potentielle risici og begyndende nye problemer at modtage henvendelser om sikkerhedsrelaterede hændelser og koordinere indsatsen på området

3 Fuld sikkerhed er en illusion Eneste alternativ Risikostyring

4 Overblik Hvordan iværksættes risikostyring af it-netværkssikkerhed ved opkobling mod usikre net Sikkerheden kan ikke følge med udviklingen Erkend systemets svagheder og tag dem højtideligt Udvis rettidig omhu

5 En risikomodel RISIKO TRUSSEL SÅRBARHED KONSEKVENS Der kan gøres noget ved: Sårbarhed Konsekvens

6 80 % sikkerhedsløsninger Formål: Mindske omkostninger 80% - af hvad? Ofte manglende målbarhed

7 Terminologi Sikkerhedspolitik Internet sikkerhedspolitik It-sikkerhedsstrategi Risiko og konsekvensanalyse Princip om mindst mulig adgang Klassifikation af data og beskyttelse af sensitive data

8 Opstilling af en Internet sikkerhedspolitik Hvilke ressourcer skal beskyttes? Hvilke personer skal de beskyttes mod? Hvor sandsynlige er truslerne? Hvilke tiltag er mulige for at modstå truslerne? Hvad er omkostningerne direkte ekstraarbejde og besvær

9 IT sikkerhedsstrategi Skadesbegrænsning til en kendt og acceptabel størrelse. Videreførelse af databehandling skal kunne ske inden for en accepteret tidshorisont Omgåelse af sikkerhedstiltag skal kunne opdages Man skal have en strategi for håndtering af sikkerhedsbrud - hvem skal / må kontakte myndigheder og andre? hvem må udtale sig til pressen? må den systemansvarlige kontakte den site hvorfra angrebet kommer? ansvar for andre, der kan være berørt?

10 Risiko og konsekvensanalyse Forebyggende Opdagende Korrigerende Kompenserende kontroller for svagheder i Internetsikkerhed ved åbning Scanning for virus, uønsket mobil kode Scanning af postsystemer, Web-servere etc.

11 Estimat

12 Brud på sikkerhedspolitikken er der planer Vær forberedt - hav en plan klar Kommer angrebet ude fra, eller indefra? Uærlige medarbejdere eller hackere Vælg strategi inden problemet opstår: Beskyt systemerne og fortsæt - lad som ingenting eller Jagt gerningsmændene og retsforfølg med myndighedernes bistand

13 Overvågning af it-sikkerheden Forskellige formere for overvågning er nødvendig Logs Backup Mail Trafikinformationer Hvor går grænsen i forhold til medarbejderne

14 ersondatalovens formkrav: Registreringen og gennemgangen heraf skal være nødvendig for, at arbejdsgiveren kan forfølge berettigede interesser og hensynet til de ansatte må ikke overstige disse interesser.

15 Som eksempler på berettigede interesser kan nævnes: Tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af Internet

16 Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af Internet i strid med arbejdspladsens retningslinier herom Officiel defineret sikkerhedspolitik

17 Datatilsynet har udtalt, at en virksomheds sikkerhedskopiering af medarbejdernes e- post samt gennemgang heraf ved mistanke om misbrug af e-post systemet under visse betingelser ikke er i strid med persondataloven.

18 Hvad er tilladt Foretager logning af stort set alt, hvad der foregår i selskabets edb-systemer, herunder også Internetbrug. Loggen indeholder oplysninger om dato og klokkeslæt for søgningen på Internettet, IP-adressen, httpadressen samt fejlkode.

19 ?