Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer



Relaterede dokumenter
Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Center for Cybersikkerheds beretning Center for Cybersikkerheds beretning 2014

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen

CFCS Beretning Center for Cybersikkerhed.

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Trusselsvurdering Cyberangreb mod leverandører

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

December Cyberforsvar der virker. Cyberforsvar, der virker

ANBEFALINGER TIL ELSELSKABER OM FOREBYGGELSE OG HÅNDTERING AF IT-SIKKERHEDSHÆNDELSER

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

Retsudvalget REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

IT sikkerhedspolitik for Business Institute A/S

Kl Indledning v. Lone Strøm, Rigsrevisor

H AC K ING OG D ATASIKKERHED I SU N DHEDSVÆSENET

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

Cyberforsvar der virker

> DKCERT og Danskernes informationssikkerhed

Rigsrevisionen og Cybersikkerhed Revisordøgnet 9. september 2014

Fællesregional Informationssikkerhedspolitik

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Retsudvalget REU Alm.del Bilag 116. Offentligt

Faxe Kommune. informationssikkerhedspolitik

Passwordvejledning PIXI udgave

Sådan får du styr på de digitale risici

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Privatlivspolitik ekstern persondatapolitik

Maj Rigsrevisionens notat om beretning om. universiteternes beskyttelse af forskningsdata

Safe Work Space service beskrivelse. Microsoft Windows version. Version (Maj 2018)

1 Hvad skal man gøre, når man er blevet hacket - eller har mistanke om, at man er hacket?

Undersøgelsesrapport. Målrettede forsøg på hacking af den danske energisektor

Administrative systemer bundet op mod SRO systemer. Hvorfor ønskede vi at forbinde de 2 verdener med hinanden?

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Cybertruslen mod Danmark

Nationale cybersikkerhedsinitiativer. Peter Munch Jensen, sektionsleder

Cybertruslen mod et fjernvarmeværk

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

1. trin: Aktivering af brugerkontostyring

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Evaluering af GovCERT-loven

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

NKOR 2015 Spor 3 - Datasikkerhed 5. november Kontorchef Michael Kubel

WORDPRESS OG SIKKERHED

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Opdateringsaftale af CMS

Afinstaller alle andre programmer Vigtigt! Fjern alle andre antivirus programmer før du installerer Panda Internet Security Mere end et antiviru

/2017. November Rigsrevisionens beretning om 3 regioners beskyttelse af adgangen til it-systemer og sundhedsdata

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Bilag til management letter om it-revision af Sundhedsdatanettet (SDN) hos MedCom 2018 J.nr juni 2018

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Reducér risikoen for falske mails

O Guide til it-sikkerhed

GovCERT og DK CERT. Forskningsnettet 17. november 2010

Beretning til Statsrevisorerne om adgangen til it-systemer, der understøtter samfundsvigtige opgaver. Oktober 2015

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

Spillemyndighedens certificeringsprogram. Retningslinjer for sårbarhedsscanning SCP DK.1.0

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Fællesregional Informationssikkerhedspolitik

MELLEM København S. (herefter SKI )

Privatlivspolitik (ekstern persondatapolitik)

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

Situationsbillede af sikkerhedstilstanden på den danske del af internettet. Marts 2014

Network Admission Control

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

Online Backup. ndgå hovedbrud hvis uheldet er ude! fra kr. 125 pr. md

Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Sikkerhed i cloud computing

IT kriminelle bruger mange metoder: Virus små programmer der kan ødelægge computerens styresystem, data og programmer Crimeware som regel trojanske

National strategi for cyber- og informationssikkerhed. Øget professionalisering og mere viden

It-revision af Sundhedsdatanettet januar 2016

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr


Må lrettet årbejde med persondåtåforordningen for DANSK PLANTAGEFORSIKRING DANSK PLANTAGEFORSIKRING

guide til it-sikkerhed

Privatlivspolitik (ekstern persondatapolitik)

IT-SIKKERHED HOS MOBILIZE ME APS

Rigsrevisionens notat om beretning om beskyttelse mod ransomwareangreb

Mariendal IT - Hostingcenter

/2016. November Rigsrevisionens beretning om styring af it-sikkerhed hos it-leverandører

Notat til Statsrevisorerne om beretning om forebyggelse af hackerangreb. Februar 2014

Region Hovedstadens Ramme for Informationssikkerhed

Privatlivspolitik (ekstern persondatapolitik)

Greve Kommune. Revision af generelle it-kontroller 2011

It-sikkerhedspolitik for Farsø Varmeværk

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Strategisk informationssikkerhed

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Informationssikkerhedspolitik

Manual til administration af online booking

Cybersikkerhed på vandværker V./ Per Rhein Hansen Sikkerhedsrådgiver Solid IT

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

Tabulex ApS. Februar erklæringsår. R, s

Obligatorisk projekt 4: Sikkerhed

Transkript:

Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015

Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige og Danmark har hackerangreb med kompromittering til følge ramt mainframeinstallationer hos en række itinfrastrukturudbydere. Det har understreget behovet for at øge fokus på informationssikkerheden i mainframeinstallationer, da mange samfundsvigtige funktioner bliver udført ved hjælp af applikationer og systemer på mainframeinstallationer. Det er nødvendigt, at private virksomheder og offentlige myndigheder sørger for at understøtte et højt niveau for informationssikkerhed på mainframesystemer. Og det er afgørende, at deres arbejde med informationssikkerhed tager udgangspunkt i en klar forståelse af risikobilledet og af, hvordan konkrete trusler kan imødegås. Sikkerhedsanbefalingen henvender sig primært til de it-sikkerhedstekniske medarbejdere, der til dagligt håndterer mainframeinstallationer i deres organisation, men den kan også med fordel læses af organisationernes ledelse. Erfaringen er således, at god informationssikkerhed forudsætter forankring hos topledelsen. I sikkerhedsanbefalingen beskriver Center for Cybersikkerhed en række konkrete tiltag til hvordan myndigheder og virksomheder kan mindske risikoen for hackerangreb, der anvender de samme fremgangsmåder, som tidligere er set ved angreb mod mainframeinstallationer i Danmark og Sverige, herunder det meget omtalte hackerangreb mod CSC. Center for Cybersikkerhed fokuserer i sikkerhedsanbefalingen på at bidrage til at sætte mainframeejere og -administratorer i stand til at identificere sårbarheder og implementere passende sikkerhedstiltag, så hackerangreb i højere grad bliver imødegået og konsekvenserne mindsket. Også kunder til mainframeydelser kan med fordel læse sikkerhedsanbefalingen. Kunderne kan med sikkerhedsanbefalingen i hånden indlede dialog med deres leverandør om passende sikringstiltag. Der vil typisk være behov for, at der bliver udarbejdet tillæg til de eksisterende kontrakter, drifts- og samarbejdsaftaler. Center for Cybersikkerheds sikkerhedsanbefaling koncentrerer sig om interne forhold i mainframen samt forebyggelse af hackerangreb fra internettet. Øvrige aspekter af arbejdet med informationssikkerhed, som f.eks. risikovurdering, opbygning af robust it-arkitektur og ledelsesinddragelse i øvrigt, bliver ikke berørt specifikt. Også i informationssikkerhedsarbejde med mainframeinstallationer, der ikke er koblet til internettet, vil en række af anbefalingerne være relevante. Center for Cybersikkerhed og Digitaliseringsstyrelsen har udgivet et sæt overordnede sikkerhedsanbefalinger, herunder til ledelsesinddragelse og kontraktstyring, i rapporten Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift, som kan findes på cfcs.dk. 1 1

Beskrivelse af mainframeinstallationer Mainframeinstallationer er computere med stor regnekraft og kapacitet til mange samtidige transaktioner. Deres regnekraft, lagerkapacitet m.m. deles af mange brugere. Adgangen til data og systemer på mainframeinstallationer kontrolleres med et tilvalgt system for sikkerhedsadministration. Det drejer sig som oftest om Ressource Access Control Facility (RACF) fra IBM eller Computer Associates Access Control Facility (ACF2). Systemet for sikkerhedsadministration er typisk en database, der indeholder alle oplysninger om brugernavne, passwords (krypteret), beskrivelse af data og andre systemressourcer samt de enkelte brugeres og systemers rettigheder til samme. Flere af de mainframeinstallationer, som har været udsat angreb, har alle haft hardware fra IBM med operativsystemet z/os og adgangskontrol via RACF. Denne sammensætning er den mest udbredte installationstype blandt mainframes i Danmark. Kendte angrebsmetoder mod mainframeinstallationer Dette afsnit omhandler de teknikker, som bl.a. blev anvendt ved hackerangrebet mod CSC til at omgå RACF. De udgør grundlaget for beskrivelsen af de modforanstaltninger, som de it-sikkerhedsansvarlige for landets mainframeinstallationer bør overveje. Den væsentligste årsag til, at det lykkedes for hackere at opnå adgang til data på mainframes, er at de kunne udnytte den såkaldte Authorized Program Facility autorisation (APF-autorisation 1 ). Angrebene er udført ved, at der uopdaget er blevet anvendt uautoriserede APFprogrammer i styresystemet USS/Unix, hvorfra der er udstedt TSO-kommandoer (time sharing option) 2 mod z/os ved brug af en hacket USS-systembruger. Risikoen for misbrug er tilsvarende stor, hvis det er muligt at installere uautoriserede APFprogrammer direkte i z/os. Det skyldes, at APF-programmer giver det udførende program autorisation som en del af operativsystemet med stort set ubegrænsede beføjelser Ved at udnytte APF-autorisationen har det været muligt at eskalere niveauet af systemrettigheder for den hackede systembruger til et niveau, der normalt kun tildeles operativsystemet selv. Med de eskalerede rettigheder har det været muligt at omgå RACF-adgangskontrollen og opnå adgang til alle data på de berørte z/osplatforme. Hackerne har dermed haft mulighed for en omfattende kompromittering af fortroligheden og har haft mulighed for at forårsage nedbrud, slette eller forvanske data, som det ofte ville være særdeles vanskeligt at genskabe/genindsamle. De ændrede brugerrettigheder har kun været gældende for den aktive (kørende) brugersession, hvorfor der ikke har været efterladt spor efter ændringerne, hverken i 1 APF-autorisation giver det udførende program autorisation som en del af operativsystemet med stort set ubegrænsede beføjelser. 2 TSO betyder, at mange personer kan få adgang til et styresystem samtidigt. Den enkelte er dog uvidende om, at andre også har adgang til operativsystemet på samme tid. For en TSO-bruger ser det altså ud som om, at vedkommende er den eneste bruger på systemet. TSO anvendes primært af mainframe-systemadministratorer og -programmører. 2

RACF-databasen eller SMF-loggen (Service Management Facility på z/os). Da der ikke har været nogen umiddelbar indikation af den uautoriserede indtrængen i øvrigt, har angrebene kunnet foregå uopdaget over længere perioder. Anbefalinger Det er Center for Cybersikkerheds erfaring, at det blandt mange mainframeejere og -administratorer har været den fremherskende opfattelse, at mainframeinstallationernes tekniske kompleksitet i sig selv udgjorde en beskyttelse mod angreb. De kendte angreb mod mainframeinstallationer har imidlertid vist, at angribere har tilstrækkelig teknisk indsigt og vilje til at angribe mainframesystemer. En tommelfingerregel i vurderingen af, om informationssikkerhedsniveauet er passende, er at det skal være på et niveau, der vil forhindre uautoriseret adgang fra den mest erfarne systemprogrammør. Mainframeejere og -administratorer kan altså ikke forlade sig på den tekniske kompleksitet som en sikkerhedsfaktor. Center for Cybersikkerhed ønsker også at understrege, at det er afgørende, at ikke blot mainframeejere og -administratorer, men også kunder er bevidste om de mange informationssikkerhedsaspekter, der knytter sig til mainframeinstallationer. Derfor giver Center for Cybersikkerhed en række anbefalinger, som mainframeejere, leverandører af mainframetjenester samt mainframekunder bør kende. Der er ikke tale om forslag til en sikkerhedsog funktionalitetsløsning, der berører samtlige de informationssikkerhedsaspekter, som knytter sig til mainframeinstallationer, men om en række konkrete anbefalinger, der vil være til gavn for mange mainframeejere, leverandører af mainframetjenester samt mainframekunder Center for Cybersikkerhed anbefaler: At mainframeejerne nøje gennemgår deres APF-sikkerhedsopsætning. Der bør kun benyttes godkendte APF-programmer, og opdateringsadgang til APF-biblioteker 3 skal styres restriktivt. At mainframeejerne sikrer og fastholder en ufravigelig change-procedure for alle elementer af z/os-operativsystemer. At mainframeejerne begrænser adgangen til at ændre i APF-opsætningen. Det kan bl.a. gøres ved kun at give adgang i forbindelse med godkendt change, og kun så længe ændringen gør det nødvendigt. At mainframeejerne sikrer løbende overvågning af ændringer (eller forsøg på ændringer) i z/os-operativsystemet, med henblik på at afdække svagheder i changeproceduren. At mainframeejerne sikrer kontrol af og opfølgning på operatør- og RACFkommandoer, der kan ændre opsætning af APF, SMF etc. ( SETPROG, SET PROG m.fl.). At mainframeejerne sikrer, at der sker daglig opfølgning på ændringer i specielle autorisationer, der dækker styringsniveauet over RACF. Det vil sige adgange, der er givet i kraft af brugerens særstilling (sikkerhedsadministrator, databaseadministrator, systemoperatør etc.), i modsætning til adgange, som er givet via en bevilling i RACF. 3 For USS/OMVS-adgangskontrol med opdatering af APF-bit (READ adgang til RACF FACILITY class, profil BPX.FILEATTR.APF ). 3 3

At mainframeejerne lukker al unødvendig adgang til vitale operativsystemdata, herunder operativsystemets sikkerhedsopsætning, sikkerhedssystemdata (f.eks. RACFdatabasen) og eventuelle kopier af disse data (f.eks. backup). At mainframeejerne supplerer ovennævnte tiltag med en løbende vurdering af den generelle sikkerhedsopsætning i z/os. At mainframeejerne sikrer housekeeping i operativsystemet. Det vil bl.a. sige oprydning i udfasede komponenter, overflødige system-users etc. At mainframeejerne holder sig opdaterede med udviklingen i kendte trusler mod mainframesystemer herunder gennem IBM s Security Bulletins. At mainframeejerne løbende bør vurdere relevansen af samtlige de adgange, som er blevet givet udenom sikkerhedssystemet. Det gælder f.eks. adgang som RACF attribute PRIVILEDGED, -TRUSTED, - OPERATIONS, DB2 SYSADM og alle lignende adgangsmekanismer, der giver adgang på et overordnet niveau. At mainframeejerne altid har opdateret de centrale web-servere sikkerhedsmæssigt og sammenholdt sikkerhedsforholdene med mulige intelligente netværkskomponenter som eksempelvis IPS/IDS-løsninger. Det samme gør sig gældende for alle andre Internetvendte applikationsløsninger og services på mainframeinstallationer. At mainframekunder går i dialog med deres leverandør om sikkerhedsniveauet i den købte løsning med henblik på at kunne foretage en risikovurdering, sikre ansvarsfordeling og vurdere behovet for tilkøb af relevante sikkerhedsløsninger. Center for Cybersikkerheds og Digitaliseringsstyrelsens rapport Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift indeholder nærmere herom. Den kan findes på cfcs.dk Center for Cybersikkerhed Center for Cybersikkerhed er statens kompetencecenter på cybersikkerhedsområdet og fokuserer på beskyttelse af samfundsvigtige funktioner mod avancerede cyberangreb. Det sker bl.a. ved, at Center for Cybersikkerhed varsler om cyberangreb, og ved at centeret efter nærmere vurdering bistår angrebne organisationer med at imødegå og afhjælpe cyberangreb. På Center for Cybersikkerheds hjemmeside, cfcs.dk, er der yderligere information om cybertrusler og cybersikkerhed, herunder trusselsvurderinger, vejledninger samt en årlig risikovurdering. At mainframeejerene overvejer nedlukning og eller flytning af primære internet vendte web-servere og internetvendte applikationsløsninger under både USS og z/os til rene og isolerede platforme, eksempelvis en decentral Linux-platform. 4

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback