Produkt og produktionssikkerhed - for forretningens skyld
DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne Offentlig sektor Privacy 2
Internet of Things 3
Flere huller i ICS 4
Huller i kritisk infrastruktur 5
Stigende tendens 6
Google for scada-sårbarheder 7
Hacktivisme, internationale giganter 8
Hacktivisme, regeringer 9
Hacktivisme - Sverige 10
Hacktivisme, Anonymous 11
Gammeldags terror - lidet sandsynligt fortsat alvorlig terrortrussel mod Danmark - PET 12
Cyberwar - Estland 13
Stuxnet mod Iran 14
Stuxnet andre steder 15
Stuxnet familien: Duqu, Flame, Gauss 16
Modangreb: Shamoon, (Wiper) 17
Digitalt Pearl Harbour 18
Offensiv Cyberwar i USA 19
Offensiv Cyberwar i Danmark 20
Angreb på ICS 21
Cyberwar total begrebsforvirring Cyberwar Cyberspionage Cyberterror Cyberaktivisme Cybervandalisme 22
Spionage Kina vs. NYT 23
Spionage Kina vs. Verden??? 24
Pacemakere kan hackes 25
og dræbe 26
Insulinpumper kan hackes 27
Forbrugerprodukter: Bil 28
Forbrugerprodukter: Sony playstation 29
Forbrugerprodukter: Samsung TV 30
Opsummering - tendenser Teknologisk udvikling: IoT Flere sårbarheder, med ICS som nyt fokusområde Cyberaktivisme, hacktivisme Oldschool terror Cyberwar Meget avanceret kode Cyberspionage Sårbare produkter + alt det gamle fra kontormiljøet: spearphishing, BOTs, osv Ekstrem professionalisering Motiver: Penge, idealisme, nationalisme (politik og konkurrence) 31
KF - USA 32
KF - Tyskland 33
KF Danmark 34
KF EU 35
V1 - få det på ledelsens dagsorden Udpeg sikkerhedsansvarlige for kontor, produktion, fysiske rammer og produkter Sikkerhedsorganisation med funktionsadskillelse Sikkerhedspolitik med uddybende retningslinjer med kontroller - det hele baseret på en risikoanalyse Overholdelse af regulering Klarhed over egne produkters sikkerhed 36
V2 - Produktionschefen Tekniske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø Netværkssegmentering Kortlægning af alle forbindelser og implementering af firewalls Anvendelse af DMZ (produktionsmiljøet må ikke være direkte på internettet) Envejskommunikation, logning, IDS/IPS Penetrationstests Klassifikation og kryptering af trafik Sikkerhedskopiering (data og systemer) Opsamling af hændelser Redundans af kritiske komponenter Mulighed for sikkerhedspakker Driftsafviklingsprocedurer (hvem må hvad) og kapacitetsplanlægning Aktuelt vidensniveau 37
V2 - Produktionschefen Krav til (interne og eksterne) leverandører af udstyr til produktionsmiljøet Procedurer for indkøb og krav Krav i form af certificeringer Leverandører skal overholde sikkerhedspolitikken Forudgående sårbarhedsanalyse SLA (med bl.a. disse krav) Opdateringer og tests Vurdering af åbne bagdøre 38
V2 - Produktionschefen Organisatoriske sikkerhedsforanstaltninger i virksomhedens produktionsmiljø Samarbejde på tværs blandt sikkerhedsansvarlige Holistisk sikkerhedspolitik med retningslinjer Identifikation, dokumentation og klassifikation af alle aktiver Udpegelse af ejere Risikoanalyse for aktiver Procedurer for genanvendelse og afskaffelse 39
V2 - Produktionschefen Overordnede holistiske sikkerhedskrav Sikkerhedsarbejdet skal skabe værdi Holisme Samarbejde Faglige kvalifikationer Autoriseret med de rette privilegier Procedurer for adgang Fysisk sikringsplan Fysisk adgangskontrol Funktionsadskillelse Beskyttelse af elektronisk perimeter Procedurer for hændelser Beredskabsplan Overholdelse af lovgivning 40
V4 - Produktchefen Produktsikkerhed Common Criteria certificering Udveksling af nøgler mellem produktets elementer Penetrations- og sårbarhedstest Firewalls på lokale enheder Følg trusselsbilledet og isoler produkter 41
Vi bør ikke sidde det overhørig 42
Kontakt Henning Mortensen hem@di.dk 43