Risikovurdering Gartneriet PKM



Relaterede dokumenter
Obligatorisk projekt 4: Sikkerhed

O Guide til it-sikkerhed

guide til it-sikkerhed

Service Level Agreement (SLA)

Sikkerhedspolitik Version d. 6. maj 2014

Sikkerhed i trådløse netværk

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Ruko ARX Access. Total tryghed og sikkerhed med online adgangskontrol STAND OFF ALONE LINE LINE

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Risikovurdering og beredskab. 26. April 2010 Præsenteret af Marianne Bo Krowicki

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med

IT-sikkerhedspolitik for

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

OMKnet trådløs. Overblik. Gode ting ved trådløs. Dårlige ting ved trådløs 3/12/2012

Sikkerhedspolitik Version d. 3. oktober 2013

SÅDAN BESKYTER DU DIG BEDST PÅ NETTET

it-sikkerhed i produktionen DE 5 TRIN

Sikkerhedspolitik Version: 2.4 Dokument startet:

IT Sikkerhed. Digital Mobning.

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

CLIQ Triton 501. Kombination af mekanisk aflåsning og elektronisk adgangskontrol. ASSA ABLOY, the global leader in door opening solutions

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

YouSee Udvidet Foreningsbredbånd med indbygget sikkerhed

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Som aftalt tilbud for installation af trådløst lokalnetværk med fælles tilslutning til Internet (ADSL) samt instruktion mv.

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

Konklusion og anbefalinger for Systemhuse

HTX NÆSTVED CASE: AUTOVÆRKSTED. IT B Stine Andersen, Susanne Nielsen og Morten Kristensen

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Vi konverterer IT-problemer til løsninger

IT sikkerhed Whitelist

Informationssikkerhedspolitik

FYSISK SIKKERHED. Bilag 10-1

GovCERT og DK CERT. Forskningsnettet 17. november 2010

Informationssikkerhed regler og råd

Trådløst LAN hvordan sikrer man sig?

NOTAT. Køge Kommune It-sikkerhed Overordnede retningslinjer ITafdelingen. Fællesforvaltningen. Dato Sagsnummer Dokumentnummer

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Glem alt om nøgler! Skift til Aperio

RICHO PARTNER SIDEN 1980 OPLÆG VEDRØRENDE PERSONDATA, SIKKER DOKUMENTHÅNDTERING & IT SIKKERHED COPYTEC

Informationssikkerhed Version

Kære medarbejder og leder

Guide - Sådan opretter du en backup

Bilag marts 2004 E Glentevej København NV. Til orientering for: Kt.chef Niels R. Korsby Videnskabsministeriet

Sådan opretter du en backup

Online overalt. Få Danmarks bredeste dækning med mobilt bredbånd fra TDC

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

Guide til sikker it. Daglig brug Programmer Internet Databehandling

IT- SIKKERHED. Omfanget og konsekvensen af IT-kriminalitet

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

Studér denne folder for vores sikkerheds skyld

CYBERFORSIKRING OFFENTLIG KONFERENCE

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

CLIQ Remote. ASSA ABLOY, the global leader in door opening solutions

CLIQ Remote. ASSA ABLOY, the global leader in door opening solutions

Bilag 3.1 til samarbejdsaftalen IT backend-samarbejdet. Service Level Agreement (SLA) vedrørende IT-Backend. mellem Gymnasiefællesskabet

VPN. Vejledning i opsætning af VPN IKT - Januar Opsætning Klik Start klik Kontrolpanel.

Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

Et visionært teknologidesign

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

It-sikkerhedstekst ST4

KÆRE MEDARBEJDER OG LEDER

Den nemme måde til sikkerhed og enkelhed

Instrukser for brug af it

Keepit Classic. Keepit Classic Relaterede Problemer

Beredskab til iseries

VEJLEDNING TIL BRUG FOR AFVIKLING AF FP9 OG FP10 DANSK SKRIFTLIG FREMSTILLING MED ADGANG TIL INTERNETTET

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

It-sikkerhedstekst ST5

Vejledning til Windows 7 P-net bærbar/docking station

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

4. kvt. 2. kvt. 3. kvt. 2. kvt. 1. kvt.

Gruppe: Steffen Klausen, Hani Al-kerdi, Mathias Hansen og Jesper Anthonisen

Digital skriftlig aflevering med Lectio Censormodul Stedprøver installationsvejledning

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

ARX. Fremtidssikret online adgangskontrol. ASSA ABLOY, the global leader in door opening solutions

RISIKOANALYSE CYBER RISK / DATA OG NETFORSIKRING

IT på 1st klasse. Ring på telefon eller

FORSKNING VISER, AT PRINTERE EFTER- LADES SÅRBARE OVER FOR CYBERANGREB

Network Admission Control

Projektopgave: Tilbud på netværk til SUPER-law

ARX. Fremtidssikret online adgangskontrol. ASSA ABLOY, the global leader in door opening solutions

Informationssikkerhedspolitik. for Aalborg Kommune

Tænk når du taster. kom nærmere

IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag

Beredskabsplan (delplan) - Administrationen

Remote CLIQ. CLIQRemote. Teleindustrien

Før valg af adgangskontrol - kundekrav. Krav kunden bør stille til sit adgangskontrolsystem

Kaspersky PURE. SOFT CONSULT * VESTERBALLEVEJ 5 * 7000 FREDERICIA TLF.: * mail@softconsult.net

DFF-EDB a.m.b.a CVR nr.:

Edb-udstyret skal fysisk være beskyttet, så en person der søger at angribe Randers kommunes netværk ikke har uhindret adgang til edb-udstyret.

Ishøj Kommune Ishøj Store Torv Ishøj CVR [behandlernes navn] [behandlerens adresse] [Postnummer] CVR.

Transkript:

DM091 - Gruppe 1 Risikovurdering Gartneriet PKM Udarbejdet af: Andreas Harder, Morten Knudsen Lars Vendelbo & Kresten Østerby

Indledning Gartneriet PKM producerer på årlig basis ca. 20 millioner planter, hvoraf 90% eksporteres til det europæiske marked. Produktionen foregår i et 167.000 m² drivhusareal og et frilandsareal på 80.000 m². Omsætningen var i 2008 på 156 mill. med et overskud på 11 mill. Virksomheden spenderer årligt op til 5% af omsætningen på udvikling af nye plantekulturer. Virksomheden bruger IT i den daglige drift til stort set alle funktioner i virksomheden, eks. registrering af arbejdstimer, styring af klima i drivhusene, produktionsplanlægning, lagring af know-how og alt salg. Opsætning og servicering af IT-systemerne fortages af konsulentvirksomheden NetPlan System Design 1, samt den IT-ansvarlige hos PKM Johannes Arndal. Virksomheden har IT-udstyr for ca. 800.000 kr. De har et serverrum i et sidelokale til kontorerne, hvori der står 4 servere i et rack der er boltet fast. Der er etableret et kølingsanlæg og UPS i serverrummet, samt en tyverialarm som er slået til uden for åbningstiden. Deres backupserver er placeret ca. 100m fra serverrummet i et brandsikkert skab, i gartneriet. Denne server tager en dagligt backup af virksomhedens data med Veritas Backup fra Symantec. Udover disse backups tages der en fuld kopi af alt data hver måned over på nogle bånd. Alle IT-systemer overvåges med Pandora 2. PKM har en anden afdeling Lumbyholm på en nabogrund, netværksforbindelsen hertil er etableret trådløst med en krypteret forbindelse. Parametrestørrelser Til at vurdere den økonomiske konsekvens af en given hændelse, opstiller vi følgende parametrestørrelser. 1.500.000 kr. 30.000.000 kr. Hændelser Mulige hændelser - Betroet medarbejder kopierer know-how og sælger til konkurrent. - Under et indbrud i virksomheden vandaliseres serverummet, med destruktion af alle data til følge. - Det trådløse netværk mellem gartneriets to afdelinger kompromitteres af en hacker, og know-how stjæles. - Brand i serverrum, med destruktion af alle data til følge. - DANPOT er utilgængeligt i en uge, som følge af hackerangreb. - Ekstern El-forsyning stoppes (lynnedslag, transformatorstation defekt, mv.). - Medarbejdere snyder med timeregistrering. - Internetforbindelsen afbrydes pga. fysisk brud på kablet. - En virus inficerer IT-systemerne gennem en medarbejders internetbrug, som gør systemet så langsomt at det bliver ubrugeligt. - IT-leverandør/konsulent går konkurs. 1 http://www.nsd.dk 2 http://pandorafms.org/ Gruppe 1 - Andreas, Lars, Morten & Kresten. 1

Udvalgte hændelser - Betroet medarbejder kopierer know-how og sælger til konkurrent. - DANPOT er utilgængeligt i en uge, som følge af hackerangreb. - Det trådløse netværk mellem gartneriets to afdelinger kompromitteres af en hacker, og know-how stjæles. Hændelse 1: Betroet medarbejder kopierer know-how og sælger til konkurrent Økonomisk konsekvens Vi ved at der i gennemsnit bruges ca. 5% af deres opsætning på produktudvikling, og at der blev brugt omkring 6 millioner kr. i 2008. Disse udviklingsudgifter vil ikke være gået til spilde, da man stadig besidder den indsamlede know-how. Den konkurrencemæssige fordel er dog tabt, hvilket er svært at sætte beløb på. Men vi vurderer at den økonomiske konsekvens er mellem. Der er ingen adgangskontrol til serverummet og ingen data er krypteret, så alt data kan nemt kopieres og aflæses af en trediepart. Det er som udgangspunkt kun medarbejdere i udviklingsafdelingen der har adgang til know-how på virksomhedens server, men disse kontroleres på ingen måder. Virksomheden stoler på sine medarbejdere og historisk set har man ikke oplevet sådan en situation, så vidt man ved. Udfra matrixer til vurdering af risici 3 bliver den samlede risiko mellem. svurdering svurdering Det er en risiko man må leve med, da det vil være en stor gene for de ansatte at føre total kontrol. 3 IT-sikkerhed i små og mellemstore virksomheder, Dansk IT, side 48 Gruppe 1 - Andreas, Lars, Morten & Kresten. 2

Hændelse 2: DANPOT er utilgængeligt en uge. Som følge af hackerangreb Økonomisk konsekvens DANPOT er et IT-system som alle danske gartnerier, samt grossiter er forbundet til. Alle ordrer i branchen går gennem dette system. Det er PKM s eneste afsætningskanal og hvis det er ude af drift i en uge vurderes det, at der mistes en omsætning i den uge på omkring 10 mill. Det vil sansynligvis være muligt at få indhentet noget af det tabte salg efterfølgende, men den økonomiske konsekvens vurderes til at være mellem. Hvis hændelsen indtræffer har PKM ikke andre afsætningskanaler og vil derfor ikke kunne modtage nogen ordrer. Når der ikke er alternative afsætningskanaler vurderes sårbarheden til at være høj. Historisk set har der ikke været større nedbrud på DANPOT systemet. Umiddelbart taler dette for at truslen er lav. Vi har ingen indsigt i sikkerhedsniveauet hos DANPOT, men er mildest talt ikke imponerede af deres hjemmeside og frygter at sikkerheden er på niveau med deres design. Det ser meget uprofessionelt ud og vi frygter at driften kun har kørt tilfredsstillende fordi ingen har haft ufine hensigter endnu. Vi er usikre på, om truslen skal vurderes til lav eller mellem, men vælger et mellem trusselsniveau. Udfra matrixer til vurdering af risici bliver den samlede risiko høj. svurdering svurdering Man bør undersøge sikkerheden ved DANPOT og derefter planlægge en nødprocedure. Gruppe 1 - Andreas, Lars, Morten & Kresten. 3

Hændelse 3: Det trådløse netværk hackes og know-how stjæles Økonomisk konsekvens (...gentaget fra hændelse 1) Vi ved at der i gennemsnit bruges ca. 5% af deres opsætning på produktudvikling, og at der blev brugt omkring 6 millioner kr. i 2008. Disse udviklings udgifter vil ikke være gået til spilde, da man stadig besidder den indsamlede know-how. Den konkurrencemæssige fordel er dog tabt, hvilket er svært at sætte beløb på. Men vi vurderer at den økonomiske konsekvens er mellem. På trods af kryptering er et trådløst netværk aldrig sikkert, det kan relativt nemt brydes ind i. Da det trådløse netværk indgår direkte i firmaets øvrige netværk, og man ikke har krypteret forskningsdata, vurderes sårbarheden til at være høj. Der er sandsynligt at individuelle personer logger sig på netværket for at bruge internetadgangen til private formål, men vi vurderer sandsynligheden for at der specifikt gås efter virksomhedens know-how er lav. Udfra matrixer til vurdering af risici bliver den samlede risiko mellem. svurdering svurdering Forskningsdata bør fremover krypteres. Forsknings IT-systemer bør køre seperat med egen backupløsning uden adgang til øvrigt intranet & internet. Trafikken på det trådløse netværk bør overvåges for uønskede gæster. Gruppe 1 - Andreas, Lars, Morten & Kresten. 4

Perspektivering I forbindelse med oplægget om PKM s IT-sikkerhed, kom Johannes Arndal flere gange ind på, at for dem vagte den potientielle trussel mod deres IT-systemer ikke den store bekymring. Derimod ville det være markant mere kritisk for virksomheden, hvis nogen forsøgt at skade virksomhedens produktion, dvs. planterne i gartneriet. Dette f.eks.ved at forgifte vandforsyningen til vandingsanlæggene. En sådan handling ville ifølge Johannes Arndal gøre alvorlig skade, idet, der ville være risiko for at store mængder planter ville blive ødelagt. Interessant nok har gartneriet ikke umiddelbart nogen sikring imod en sådan handling, og det vil på denne måde derfor være relativt nemt at påføre gartneriet stor skade. Selvom, vi er klar over, at dette ikke er en egentlig IT-sikkerhedsmæssig problemstilling, synes vi det kunne være interessant at kigge på en sådan hændelse ud fra samme model. Hændelse 4: Vandingsforsyningerne forgiftes og alt igangværende produktion destrueres. Økonomisk konsekvens Alle planter skal ud af drivhuset, produktionen vil blive komplet nulstillet og vandreservoir skal renses. At sætte konkrete økonomiske tal på denne hændelse kan vi ikke fastsætte, men vi vurderer at det vil have en høj økonomisk konsekvens Gartneriet er et forholdsvist åbent område, hvor udefrakommende nemt kan skaffe sig adgang. Vi har ikke hørt om evt. videoovervågning eller test for gift inden vandet bruges i produktionen. Vandreservoiret er et stort udendørs basin uden nogen form for adgangskontrol, og vi vurderer derfor at sårbarheden er høj Sandsynligheden for at dette sker er minimal. Dog er der set eksempler på drengestreger, hvor man har forgiftet kommunale vandforsyninger. Vi vurder dog truslen til at være lav. Udfra matrixer til vurdering af risici bliver den samlede risiko mellem. vurdering svurdering s- Videoovervågning bør sættes op på nøgle lokationer og advare ved bevægelser. Automatiserede tests for giftstoffer inden vandet bruges i produktionen. Gruppe 1 - Andreas, Lars, Morten & Kresten. 5

Samlet oversigtsskema Hændelse Risikovurdering Eksisterende sikring Umiddelbart er det kun Betroet medarbejder kopierer know-how og sælger til konkurrent. ansatte i udviklingsafdelingen der har adgang til forskningsdata. DANPOT er utilgængeligt i en uge. PKM har ingen Som følge af eksisterende sikring hackerangreb. Det trådløse netværk mellem gartneriets to Det trådløse net er afdelinger krypteret med en kompromitteres af en standard kryptering hacker, og know-how stjæles. Vandingsforsyningerne forgiftes og alt igangværende Ingen produktion destrueres. Det er en risiko man må leve med, da det vil være en stor gene for de ansatte at føre total kontrol. Man bør undersøge sikkerheden ved DANPOT og derefter planlægge en nødprocedure. Forskningsdata bør fremover krypteres. Forsknings IT-systemer bør køre seperat med egen backupløsning uden adgang til øvrigt intranet & internet. Trafikken på det trådløse netværk bør overvåget for uønskede gæster. Videoovervågning bør sættes op på nøgle lokationer og advare ved bevægelser. Automatiserede tests for giftstoffer inden vandet bruges i produktionen. Konklusion Efter mødet med Johannes Arndal vedr. PKM's IT-sikkerhed, samt selv at have arbejdet med emnet, er vores konklusion, at PKM virker til at være en robust virksomhed, der er svær at gøre stor skade på. Dog må vi også konkludere, at de efter vores opfattelse har en reaktiv tilgang til sikkerhed. De har taget de grundlæggende sikkerhedsforanstaltninger, så som antivirus, firewall, kryptering af det trådløse netværk samt backup af deres data. Deres indstilling virker til at være, at hændelser der ikke tidligere er indtruffet, ikke er nogen trussel. Dette er efter vores mening en risikabel indstilling, da virksomheden ikke har nødplaner til kritiske situationer. Vi mener det vil være relevant for virksomheden at være mere proaktiv og på forhånd have overvejet scenarier og have nødplaner hertil, hvis kritiske hændelser skulle indtræffe. Gruppe 1 - Andreas, Lars, Morten & Kresten. 6

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback