1 WWW.CERT.DK Sikkerhedspolitikker anno 2004 Chefkonsulent Preben Andersen, Forskningsnet CERT
Agenda It-sikkerhedsstrategi Udarbejdelse af en it-sikkerhedspolitik Gennemførelse af en it-sikkerhedspolitik Trusselsprofiler Konsekvenser Trusler via netværk Trusler fra menneskelige aktører Regulering Informationskampagne om it-sikkerhed 2
3 WWW.CERT.DK Forskningsnet CERT Informere om it-sikkerhed Modtage anmeldelser om sikkerhedsrelaterede hændelser Koordination mellem skadesramte Koordination med øvrige incident response teams Teknisk rådgivning Problemanalyse Vidensamling
4 WWW.CERT.DK "Computersikkerhed er ikke et problem, som teknologi kan løse. Sikkerhedsløsninger har en teknologisk komponent, men sikkerhed er grundlæggende et menneskeligt problem."
5 It-sikkerhed er et ledelsesansvar.
6 WWW.CERT.DK It-sikkerhedstrategi Formål: At opnå og vedligeholde fortrolighed, integritet og tilgængelighed af information og data It-sikkerhed er en integreret del af en virksomheds eller organisations it-politik Opnås ved implementere et passende sæt af foranstaltninger i form af politiker procedurer organisationsstruktur software- og hardwarefunktioner
Terminologi 1. Sikkerhedspolitik 2. Internet-sikkerhedspolitik 3. It-sikkerhedsstrategi 4. Risiko- og konsekvensanalyse 5. Princip om mindst mulig adgang 6. Klassifikation af data og beskyttelse af sensitive data 7
8 WWW.CERT.DK Udarbejdelse af en it-sikkerhedspolitik Generelle standarder ISO17799 BS7799 DS484 basale krav skærpede krav Persondataloven Corporate Governance / God selskabsledelse Sarbanes Oxley /lovregler s.f.a. bl.a. Enronsag ISO9002
Opstilling af en internetsikkerhedspolitik Hvilke ressourcer skal beskyttes? Hvilke personer skal de beskyttes mod? Hvor sandsynlige er truslerne? Hvilke tiltag er mulige for at modstå truslerne? Hvad er omkostningerne direkte ekstraarbejde og besvær 9
10 WWW.CERT.DK Gennemførelse af en it-sikkerhedspolitik Ledelse Medarbejdere Teknik Uddannelse
En risikomodel RISIKO TRUSSEL SÅRBARHED KONSEKVENS Der kan gøres noget ved: Sårbarhed Konsekvens 11
12 WWW.CERT.DK Trusselsprofiler i henhold til OCTAVE-modellen
Fire hovedtyper af trusler Trusler fra mennesker med netværksadgang til systemet Trusler fra mennesker med fysisk adgang til systemet Trusler som følge af systemproblemer Trusler der skyldes andre problemer 13
Fire mulige konsekvenser af trusler Afsløring af data - uvedkommende bryder fortroligheden Ændring af data - uvedkommende ændrer på det lagrede Tab eller ødelæggelse af data - for eksempel ved sletning af diske Afbrydelse, nedlukning - systemet holder op med at virke 14
Menneskelige aktører via netværksadgang Vigtigt aktiv Adgang fra netværk Indefra Hændeligt Forsætligt Hændeligt Afsløring af data Ændring af data Tab eller ødelæggelse af data Afbrydelse, nedlukning Afsløring af data Ændring af data Tab eller ødelæggelse af data Afbrydelse, nedlukning Afsløring af data Ændring af data Tab eller ødelæggelse af data Afbrydelse, nedlukning Udefra Forsætligt Afsløring af data Ændring af data Tab eller ødelæggelse af data Afbrydelse, nedlukning aktiv adgangsvej aktør motiv konsekvens 15
16 WWW.CERT.DK Trusler fra menneskelige aktører via netværksadgang En bankmedarbejder kommer ved en fejl til at skrive "100" i stedet for "1000" under indtastning af kontooplysninger. Aktivet er konto-registeret. Adgangsvejen er netværket. Truslen kommer indefra og er hændelig - medarbejderen begår ikke fejl med vilje. Konsekvensen er ændring af data. En hacker får adgang til firmaets kundeoplysninger. Aktivet er kundedatabasen. Adgangsvejen er netværket. Truslen kommer udefra og er forsætlig - hackeren ønsker at bryde sikkerheden. Konsekvensen er afsløring af data.
17 WWW.CERT.DK Eksempler på udefrakommende trusler via netværk Skadevoldende programmer (virus, orme, trojanske heste, fjernstyringsprogrammer, spyware) Skadelig kode på web-sider (scripts, ActiveX) Portscanning (forsøg på at finde sårbare computere) Hacking (overtagelse af kontrollen med computere) Sniffing (opsamling af datapakker) Denial of Service-angreb (offerets system sættes ud af drift) Web-graffiti (defacement - web-siders information ændres) Falske advarsler via e-mail (spilder tid, diskplads og båndbredde) Spam (spilder tid, diskplads og båndbredde) Misbrug af åbent mail-relæ (videresendelse af spam uden ejerens vidende)
18 WWW.CERT.DK Den menneskelige faktor De følgende påstande ville være sande, hvis man ikke skulle tage hensyn til den menneskelige faktor: Tilfældige passwords er mere sikre Et password valgt af systemet er mere sikkert end et valgt af brugeren Lange passwords er mere sikre end korte passwords Hvis man tvinger brugeren til at skifte passwords ofte, øger det sikkerheden Forskellige passwords til forskellige systemer øger sikkerheden
Regulering af brugerens adfærd Opnå et fælles aftalt sæt af spilleregler mellem personale og ledelse Skærpe medarbejdernes sans for sikkerhed generelt Reguleringen skal ikke have karakter af forbud Retvisende Vejledende Fornuftig Ikke kompliceret Den bedste firewall sidder mellem ørerne 19
20 WWW.CERT.DK Regulering af brugerens adfærd (2) Administration af brugernavne og passwords Brug af pauseskærme og andre foranstaltninger til at holde uvedkommende ude af de lokale systemer Brug af foranstaltninger til sikring af de fysiske adgangsforhold Adfærd i forhold til Internettet (web, mail, ftp, chat, og andre tjenester henover usikre netværk) Politik for tilladte applikationer Politik for håndtering af fortrolige informationer (destruktion og/eller videregivelse) Lovgivning Brug af kryptering og signering Destruering af fortrolige data Etik (fornuftig brug af ressourcer). Denne del kan omfatte både arbejde og fritid
21 WWW.CERT.DK Regulering af brugerens adfærd (3) Hvad skal gøres i tilfælde af et sikkerhedsbrud! Regulering af brugeradfærd skal understøttes af politikker for arbejdsstationer og andre faktorer, som kan påvirkes fra centralt hold. Hvordan kan vejledninger kommunikeres ud: E-learning Publikationer Temadage Nyhedsbreve eller andre interne nyhedsmedier der kan fokusere på aktuelle forhold - f.eks. aktuelle vira, 'tiggerbreve' eller kædebreve Vejledninger, som led i en sikkerhedshåndbog Kontraktlig forpligtelse
22 WWW.CERT.DK Forsikringsselskabet Tryg Foretager logning af stort set alt, hvad der foregår i selskabets edb-systemer, herunder også brug af internet Loggen indeholder oplysninger om dato og klokkeslæt for søgningen på Internettet, IP-adressen, httpadressen samt fejlkode. Den registrerede IP-adresse er en kode, som peger på en fysisk arbejdsstation. Den registrerede http-adresse angiver adressen på den søgte hjemmeside. Sikkerhedskopier af e-post opbevares i sikkerhedsarkiv med adgangskontrol i omkring 6 måneder
Trygs primære formål. At finde årsager til fejl, driftsforstyrrelser eller manglende adgang til eksterne sites (web-steder). Derudover har loggen andre sikkerhedsmæssige formål, idet f.eks. en hackers besøg kan rekonstrueres ved hjælp af loggen. Loggen om hjemmesidebesøg indeholder informationer for de sidste 30 dage. Der er kun adgang til loggen for Novell-administratorer. De få, som gives administrator-rettigheder, får strenge pålæg om ikke at følge loggen på fysiske arbejdsstationer. Overtrædelse heraf vil blive opfattet som misligholdelse af ansættelsesforholdet. 23
Formkrav Registreringen og gennemgangen heraf skal være nødvendig for, at arbejdsgiveren kan forfølge berettigede interesser og hensynet til de ansatte må ikke overstige disse interesser. Som eksempler på berettigede interesser kan nævnes: Tekniske og sikkerhedsmæssige hensyn og Hensynet til kontrol af medarbejdernes brug af internet 24
Krav til information Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af Internet i strid med arbejdspladsens retningslinier herom Officiel defineret sikkerhedspolitik 25
Formregler Medarbejderne skal på forhånd - på en klar og utvetydig måde være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-post Ved en gennemgang af en medarbejders e-post må arbejdsgiveren ikke læse medarbejderens private e-post 26
Lav en informationskampagne om it-sikkerhedspolitikken Brug flere medier til at få brugerne i tale: Plakater E-learning Brochurer Websted Konkurrence Video 27
Informationskampagne om it-sikkerhed Koncentrer kampagnen om få, enkle budskaber. For eksempel: Aldrig dobbeltklikke på en vedhæftet fil, du ikke har bedt om Brug en adgangskode på mindst otte tegn, hvoraf flere er tal eller specialtegn Opdater Windows og dit antivirusprogram 28
29 WWW.CERT.DK Informationskampagne om it-sikkerhed Et billede siger mere end tusind ord brug billeder, lyd og video, hvor det giver mening
Sikker it-anvendelse Resultatet af den samlede mængde af beskyttende foranstaltninger Opfølgende reaktioner, der kan sikre organisationens uforstyrrede drift og minimere de økonomiske, forretningsmæssige eller andre risici ved tab eller misbrug af virksomhedens data eller installationer 30
It-sikkerhedsforanstaltninger mod trusler Truslerne er talrige og forskellige Trusler opstår ved tilfældigheder og ulykker som brand og vandskader Fejlagtig håndtering af kritiske systemer Tekniske fejl i udstyr og programmel Enkeltpersoner og grupper der med forsæt skaber sig uautoriseret adgang til data eller foranstalter åbninger i infrastrukturen Hackeres/virusmageres ulovlige indtrængen i systemer 31
? 32