IT I ALTING SIKKERHED I INGENTING? Identity Architect, Ph.d Gert Læssøe Mikkelsen

Relaterede dokumenter
Sikkerhed på nettet for applikationer og identiteter

MODERNE TRUSLER OG MODERNE LØSNINGER. Gert Læssøe Mikkelsen Head of Security Lab, Alexandra Instituttet A/S

Praktisk kryptering i praksis

Identitet på nettet i et globalt perspektiv

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

MitID. 23. april 2018 Mogens Rom Andersen Digitaliseringsstyrelsen

Pervasive computing i hjemmet et sikkerhedsproblem?

SMART LIBRARIES OG PERSONDATAFORORDNINGEN

Statusrapport. Rapportperiode: Juli Queue: Telefoni

F2 support rapport. Rapportperiode: februar 2017

Naalakkersuisut Government of Greenland. Digitaliseringsstyrelsen. Statusrapport. Rapportperiode: oktober

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

DATABESKYTTELSE GENNEM DESIGN. Gert Læssøe Mikkelsen Head of Security Lab.

WLAN sikkerhedsbegreber -- beskrivelse

OS2iot. Baggrund - Potentialer - Incitamenter

Bruger Manual For WT-215W WIFI relæ

WiFi Vejledning. Smart serien 2016

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

IT-sikkerhed som et byggeprojekt?

IoC-Sec utilizing Blockchain Jan Poulsen & Morten Søndermølle Trådløse Systemer

Webside score bugs.eclipse.org

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr

Field & Network level Industrial Security to guarantee top performance in production

Vejledning til Autodesk Account - Subscription

It-direktør Nils Lau Frederiksen

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

1 Introduktion Funktioner 3. 2 Kom godt i gang Pakkens indhold Oversigt over kameraet 5. 3 Installation 6

Hvordan kryptering af chat, mail og i cloud services og social networks virker

Installering. N300 WiFi Range-udvider Model EX2700

Fjernadgang til BEC s systemer via Portal2

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

Hvornår er der økonomi i ITsikkerhed?

ABC Fremtidens signatur

Sikre apps på ios og Android. Mads Jensen & Søren

Hurtig Start Guide 1

Trådløst LAN hvordan sikrer man sig?

Sikkerhed i trådløse netværk

Bruger Manual PC Valtronics Udendørs Kamera - Windows system

Field & Network level Industrial Security to guarantee top performance in production

Øvelse Wireless LAN med routeropsætning

Hillerød Kommune. It-sikkerhedspolitik Bilag 9. Udvikling, anskaffelse og vedligeholdelse

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE

Aktivitetsprogram for IDA IT

Det laver Snoos nu om på!

IT sikkerhedspolitik for Business Institute A/S

Quick Guide Powerline Netværkssæt 1278

Børsnoteret Swedish Stock Exchange Grundlagt 1986, 30 års jubilæum, 110+ medarbejdere. - distributør - Nordeuropa Afdelinger i 6 lande

Sikkerhed i cloud computing

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Intelligent Energistyring AmbA

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Optimering af dit trådløse net

Forordningens sikkerhedskrav

Megatrends i industrien. SIKKERHED & REVISION 2016 Steen Krogh Nielsen og Kurt Sejr Hansen TDC Operations

EU GDPR Endnu en Guide

Online status. Brugervejledning

IoT i kommunerne. Fremtidige udfordringer og mulige løsninger

Generel vejledning Indendørs kamera

Denne brugsanvisning gælder for følgende modeller:

Udendørs IP Kamera DK Vejledning

Installationsvejledning til WN2000RPT WiFi Range-udvider

Google Home Google Home smart-højtaleren med anvendelse af den stemmestyrede Google Assistent.

Tilstrækkelig sikker dataudveksling via Sundhedsdatanettet (SDN) Ved Kåre Kjelstrøm

Nu er det nemt for nutidens nomader at være online overalt

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Digital Bevaring. En ekspertgruppe organiseret som en afdeling på Det Kongelige Bibliotek Sommer 2010

Cisco Cloud Networking. Cisco Meraki - En ny måde at lave netværk på Morten Rundager Solutions Specialist Cisco Danmark 29/

DYNAMICS AX 2012 RAPIDVALUE FÅ OVERBLIK OG SE NYE MULIGHEDER. John T. Hummelgaard & John Petersen Maj 2013

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.

Opsætning af FTP- og webserver 22. januar 2007

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

N300 Wi-Fi mikro-usb-adapter (N300MA)

AirPrint vejledning. Version 0 DAN

Sikkerhed på smartphones og tablets

Cloud computing. Hvad er fordelene ved Microsoft løsninger - og hvad er begrænsningerne

28 August Data privacy i SAP Lyngby 27/8 2015

Ma lrettet arbejde med persondataforordningen for

Styring af elforbrug i private hjem. Jonas Thomsen Ph.d. studerende Center for Pervasive Computing Aarhus Universitet

Forbind din ovn med fremtiden. BSH_HC_Geraetebeileger_Ofen_Siemens_DA.indd :24

Fjernadgang til BEC s systemer via Portal2

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

ASPECT4 Day Comwell Kolding den 9. april 2013

> DKCERT og Danskernes informationssikkerhed

Vejledning til Autodesk Account - Subscription

IT-sikkerhed MED CODING PIRATES

Med Fokus på Fremtiden

Independent Living & EU s 7. Rammeprogram

Apps og smartphones HMI. mobil devices og produktions-it. Anders Rolann, evikali A/S

Spørgsmål: Hvorfor åbner min app ikke, den hænger og kan ikke skabe forbindelse til enhederne.

1 Danish Manual C903IP

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

BRUGERVEJLEDNING VIDEOKAMERA

1 Introduktion Functions 3. 2 Kom godt i gang Pakkens indhold Oversigt over kameraet 5. 3 Installation 6

Forbind din ovn med fremtiden.

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

En god Facebook historie Uddannelser og valgfag målrettet datacenterindustrien!?

Installationsvejledning til WN1000RP WiFi-booster til mobilenheder

Mobilitet har fået nyt navn: CrossPad. Comwell Kolding den 9. april 2013

Sådan nulstiller du dine netværks indstillinger i Windows

Transkript:

IT I ALTING SIKKERHED I INGENTING? Identity Architect, Ph.d Gert Læssøe Mikkelsen Gert.l.Mikkelsen@Alexandra.dk

ALEXANDRA INSTITUTTET A/S Almennyttigt anvendelsorienteret forskning fokus på IT GTS Godkendt Teknologisk Service (1 af 9 GTSinstitutter i DK) Ca. 100 ansatte generating R&D Researchers Providers Users Commercial Development Consultancy Ideation Networks Dissemination 04-11-2015 Side 2 inspiration

SECURITY LAB Forskningsprojekter Kommercielle opgaver IoT Identitet på nettet i et globalt perspectiv IT i alting, Sikkerhed i ingenting? 04-11-2015 Side 3

IT I ALTING SIKKERHED I INGENTING?

04-11-2015 Side 5

04-11-2015 Side 6 WIRED Magazine

TESLA HACK 04-11-2015 Side 7

HACKER GOD ELLER OND? Henvendelser vedr. kompromitteringer. Dem der finder sikkerhedsproblemer i IoT-produkter enten: Fortæller om det Holder det hemmeligt Kan give økonomisk gevinst for dem ikke jer 04-11-2015 Side 8

PATCH MANAGEMENT HAV EN PLAN B Plan A: Lav et produkt uden sikkerhedshuller Plan B: Når nogen har fundet et sikkerhedshul i jeres produkt Så hav en plan for at kunne opdaterer Support: hvor længe? Indtil kunden har købt det? 2 år? 10 år? 20 år? 04-11-2015 Side 9

DISKUSSION Hvilke IoT/Smarte produkter har I derhjemme? Hvilke overvejelser omkring sikkerhed har I haft omkring disse? Har I valgt et produkt til eller fra pga. sikkerhed? 04-11-2015 Side 10

FORSKELLIGE TYPER TRUSLER Safety liv og helbred Privacy Datalæk fra produktet Datalæk fra apps Datalæk fra backend Produktet holder op med at virke Økonomisk incitament Adgang til andre systemer 04-11-2015 Side 11

ADGANGSKONTROL Både på produktet, backend, apps osv. Passwords er altid et problem Default passwords er endnu værre Større problemer når produkter/services kobles sammen 04-11-2015 Side 12

OPFIND IKKE JERES EGEN SIKKERHED! WPS WI-FI Protected Setup OSGP Open Smart Grid Protocol Dumb Crypto in Smart Grids 2015 Brug ordentlige standarder, metoder og biblioteker til sikkerhedskritiske dele. 04-11-2015 Side 15

BRUG DE RIGTIGE VÆRKTØJER - KRYPTO ER SVÆRT Kryptografi kan være svært at bruge rigtigt! The Most Dangerous Code in the World: Validating SSL Certificates in Non-Browser Software 2012 Nøgle håndtering! 04-11-2015 Side 16

EKSTERNE LEVERANDØRER HARDWARE OG SOFTWARE Sikkerhed? Kan HW understøtte kryptografi? Kraftig nok Tilgang til ordentligt tilfældighed vigtigt for kryptografi Stort problem for embeddede systemer bla. routere Er der support/sikkerhedsopdateringer i hele jeres produkts levetid? Eller kan I skifte leverandør? 04-11-2015 Side 17

SECURITY BY DESIGN Sikkerhed er ikke en add-on feature der klisters på til sidst Sikkerhed skal tænkes ind fra starten af designfasen Privacy by design Ser ud til at komme med i den nye EU Persondata forordning Desværre nok mest relevant (juridisk) i en evt. backend. 04-11-2015 Side 18

DISKUSSION Hvem har ansvaret for sikkerheden i IoT/Smarte produkter? Hvordan sikre vi at de tager dette ansvar på sig? 04-11-2015 Side 19

KRITISK INFRASTRUKTUR FX CHPCOM Mål: standardisere kommunikation i EL-nettet især omkring decentrale kraftvarmeværker. Fleksibilitet Nemmere administration Maskinadgang til nye data Lavere omkostning ved at skifte samarbejdspartnere. Osv. Fandt ud af at sikkerhed var vigtigt at få med. 04-11-2015 Side 20

CHPCOM Outside the power plant Inside the power plant Internettet! 04-11-2015 Side 21

CHPCOM Hjørnesten i PKI CA Certificate Authority Talking to strangers! Tillid baseret på? Outside the power plant Inside the power plant 04-11-2015 Side 22

CHPCOM Hærdning Nye bokse mod internettet Kommunikation Kryptografi RBAC PKI Setup/skalerbart PKI RBAC Outside the power plant Inside the power plant 04-11-2015 Side 23

DISKUSSION Hvordan har I det med at kritisk infrastruktur kommer på internettet? Hvordan sikre vi at vi som samfund er klar til dette (ikke kun teknisk). 04-11-2015 Side 24

IT-SIKKERHED - RISIKOVURDERING Fortrolighed Integritet (autenticitet) Tilgængelighed Sikker computer - en der Sikkert produkt - et der ikke ikke er på nettet?! er på nettet?! Perfekt sikkerhed findes ikke, hvad så? Cost/benefit! Hvordan? 04-11-2015 Side 25

RISIKOVURDERINGSPROCES. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) 04-11-2015 Side 26

RISIKOVURDERING Impact Likelihood Very low Low Medium High Very high very low 2 3 4 5 6 low 3 4 5 6 7 medium 4 5 6 7 8 high 5 6 7 8 9 very high 6 7 8 9 10 The Risk Level: Low Medium High

HVILKE ASSETS? Assets er ikke kun data Det kan også være konfiguration Problemer med SSL validering Problemet: Lækkede google login kontooplysninger. 04-11-2015 Side 28

GUIDES/BEST PRACTICE Flere gode vejledninger er på vej. Securing Smart Home Environments, Good practices and recommendations - Enisa rapport november 2015. OWASP Internet of Things Project (DRAFT) OWASP andre guides IoT Trust Framework - Security, Privacy & Sustainability (DRAFT) Online Trust Alliance Der er flere på vej. Måske er der standarder/compliance indenfor jeres felt. 04-11-2015 Side 29

BABY ALARMER Video det er en god ide Internet det er en god ide Rapid 7 har undersøgt IoT babyalarmer og fandt problemer i 8 produkter Mangelfuld autentifikation på produktet og backend Manglende kryptering Default passwords Én producent (Philips) reagerede på henvendelserne 04-11-2015 Side 30

VEJEN TIL HELVEDE ER BROLAGT MED IOT OG SMARTE PRODUKTER Gode intentioner Fokus på funktionalitet Gammelt hardware på internettet Crowd funding/opstartsvirksomheder/ukendte producenter 04-11-2015 Side 31

VEJEN TIL HELVEDE ER BROLAGT MED IOT OG SMARTE PRODUKTER Vil min nye IoT Smart brandalarm virke hvis der er ild i min WiFi router? 04-11-2015 Side 32

VEJEN TIL HELVEDE ER BROLAGT MED IOT OG SMARTE PRODUKTER Vil min nye IoT Smart brandalarm virke hvis der er ild i min WiFi router? Vil min Smartlås virke, hvis jeg opdatere min smartphone 04-11-2015 Side 33

DANSKE VIRKSOMHEDER ER KENDT FOR KVALITET Danske virksomheder er kendt produkter af høj kvalitet. Lad det være tilfældet med jeres kommende internetopkoblede produkter. Dette er muligt, hvis vi tager sikkerheden seriøst! 04-11-2015 Side 34

04-11-2015 Side 35 Tak for opmærksomheden!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback