Trusler, IT sikkerhed og awareness

Relaterede dokumenter
Trusler, IT sikkerhed og awareness

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

> DKCERT og Danskernes informationssikkerhed

Vær i kontrol! Compliantkan du være ved et tilfælde!

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

RICHO PARTNER SIDEN 1980 OPLÆG VEDRØRENDE PERSONDATA, SIKKER DOKUMENTHÅNDTERING & IT SIKKERHED COPYTEC

IT Forum Hackerangreb: Sådan kan din virksomhed blive ramt 14 April 2016

Status fra Sikkerhedsfronten. Jens Borup Pedersen DK-CERT/DeiC

Agenda 09:00 Velkommen og kort om trusselsbilledet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

EZENTA BESKYTTER DANSKE VIRKSOMHEDER

IT-sikkerhed MED CODING PIRATES

Hackingens 5 faser. Kim Elgaard, Solution Engineer, Dubex A/S. 21. marts 2017

Understøttelse af LSS til NemID i organisationen

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

IT- SIKKERHED. Praktiske Råd til hvordan du forbedrer din sikkerhed i dag

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

O Guide til it-sikkerhed

Intro til Client Management

Informationssikkerhed regler og råd

Mobil IT Sikkerhed. / Mette Nikander

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Sikker Drift. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

Sikker Drift. Sikker Drift Light. Sikker Drift Standard. Sikker Drift Light inkluderer. Sikker Drift Standard inkluderer

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Politik for It-brugeradfærd For Aalborg Kommune

Cybertruslen mod et fjernvarmeværk

It-sikkerhedsstrategi i kommuner hvad giver mening at varetage internt og hvad kan outsources?

En introduktion til. IT-sikkerhed

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

guide til it-sikkerhed

LEVERANDØR TIL STAT, KOMMUNER, INTERNATIONALE ORGANISATIONER, SMÅ OG STORE VIRKSOMHEDER NATIONALT OG INTERNATIONALT

Instrukser for brug af it

Hvad er Secure endpoints?

Vejledning til indberetning af sikkerhedshændelse efter databeskyttelsesforordningen, retshåndhævelsesloven eller særregler for telesektoren

page 1 SSE/XXXXX/YYY/ZZZZ $Revision: xx.xx $ Cybersecurity COMMERCIAL IN CONFIDENCE

Security & Risk Management Summit

Instrukser for brug af it

Revision af firewall. Jesper B. S. Christensen. Sikkerhed og Revision 6/7 September 2018

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

Sikker Drift. Inventio.IT s Sikker Drift sikrer proaktivt driften af dine medarbejders arbejdsstationer og virksomhedens IT.

KÆRE MEDARBEJDER OG LEDER

Kære medarbejder og leder

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

It-sikkerhedstekst ST4

INFORMATIONSSIKKERHED I KØGE KOMMUNE

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Informationssikkerhedspolitik

Deloitte Cyber Awareness Training Træning af medarbejderne i informationssikkerhed er med til at beskytte virksomheden mod cyberkriminalitet.

Generelt om persondata og EU s persondataforordning

STUXNET. Ondsindet angreb på SCADA server Hvad er nyt og hvordan sker dette? Johan Peder Møller

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Komplet dækning til din virksomhed

Præsentation af Curanets sikringsmiljø

Danskernes informationssikkerhed

DAU REMOTE ACCESS LØSNINGSMULIGHEDER OG TEKNOLOGIER MED REMOTE ACCESS JOHN AMMENTORP

KMD s tilgang til cybertrussler. Public

- Hvad er det, hvad gør det og hvordan kan du beskytte dig?

Ingen kompromier - Bedste beskyttelse til alle computerere CLIENT SECURITY

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Instrukser for brug af dataudstyr ved OUH

Informationsteknologi D Gruppe 16 Opgaver. Gruppe 16. Informationsteknologi D

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

Velkommen VI BYGGER DANMARK MED IT

CYBERTRUSLEN. Januar Lars Hermind Landechef Danmark

Hvad er Mobile Device Management og hvad er udbyttet? Ejal Bracha

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Digitaliseringstyrelsen DKCERT DelC Danskernes informationssikkerhed

persondataforordningen

En håndbog i SIKKER IT-BRUG. til erhverv

EasyIQ ConnectAnywhere Release note

Vejledning til indberetning af sikkerhedshændelse efter NIS-direktivet

IT-Sikkerhed i Billund Kommune

Projektopgave Operativsystemer I

BESKYTTELSE AF PERSONDATA OG COOKIE POLITIK Pure Byte ApS (PB)

CYBERFORSIKRING OFFENTLIG KONFERENCE

IT-sikkerhed i Køge Kommune. IT med omtanke

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Symantec - Data Loss Prevention

Retningslinjer for behandling af cookies og personoplysninger

Råd om sikkerhed på mobile enheder

Mobile Security og Device Management. / C-cure - Mette Nikander CEO

Retningslinier for brug af it i Aalborg Kommune, tilrettet til lærerbrug

Lunar Way Business Privatlivspolitik

Videregående pc-vejledning

Borgernes informationssikkerhed 2015

Sådan håndterer Danish Crown sin industrielle IT-sikkerhed

STATUS PÅ IT-SIKKERHED 2018

IT-retningslinier og sikkerhedspolitik for Viborg Kommunes Skole IT. - gældende for undervisere

Temadag Cybersikkerhedi forsyningssektoren Administrative systemer v/henrik Pors

- for forretningens skyld

IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag

Sikker IT-Brug. En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål. sanistaal.com

Apps og smartphones HMI. mobil devices og produktions-it. Anders Rolann, evikali A/S

Cybersikkerhed på vandværker V./ Per Rhein Hansen Sikkerhedsrådgiver Solid IT

Transkript:

Trusler, IT sikkerhed og awareness

C-cure IT sikkerhed siden 1993 IT Sikkerhed, rådgivning, rapporter, løsninger, implementering og support. Danske og internationale leverandører Stort internationalt netværk af sikkerhedsspecialister. Leverandør til stat, kommuner, internationale organisationer, små og store virksomheder og organisationer i Danmark og udland. Udvalgsmedlem af Sikkerhedsudvalget under Dansk Industri/ ITEK

Hvad vil den nye EU persondataforordning, Internet og Things og Big data, outsourcing, Hosting og Cloud betyde for virksomheder i de nærmeste år? Hvordan bør IT politikker, ansvarsfordeling, drift, produktionsprocesser og IT sikkerhed generelt planlægges, når man samtidigt skal tage højde for trusselsbilledet? Tendenser i trusselbilledet og hvilke menneskelige og teknologiske tiltag, der skal til for at dæmme op bedst muligt, under hensyntagen til brugervenlighed, driftsoptimering og administrationsoverblik. Interne og eksterne trusler. Der er lagt op til debat og diskussioner indimellem de forskellige emner der berøres.

Vurder jeres rolle Informationssikkerhed på internettet ikke er stærkere end det svageste led. Man kan være smittebærer til en vigtig samarbejdspartner, kollega, ven eller endnu værre en kunde, som I nødigt vil miste. IT Sikkerhed handler ikke kun om omdømme, men desværre om vigtige værdier - også for samfundet. Er man leverandør til væsentlige forsyningskilder, forsvaret og regeringen, er man et oplagt angrebsmål for identitetstyveri

Trusselsbilledet før og nu Første virus i 1980 erne. Harmløs grafitti se hvad jeg kan Antivirus i 90erne: Opdateringer hver 3 måned, på floppy disks Hacking som blær jeg er kommet ind i din virksomhed. Som en indbrudstyv der lukker døren op og lægger et visitkort Værktøjer udviklet af dem der brugte dem > Motivation kombineret med skills 00 erne: Scripts og byggeklodser som værktøjer. Nogle skills, begrænset funktionalitet større udbredelse af malware I dag: Ransomware som en service. 200 mio. kr. genereret af en enkelt ransomware world wide Alle kan købe værktøjer, services (DDos, botnets etc.) 10 $ for at ligge NemId ned!

Persondataloven I dag Persondataloven Baseret på persondatadirektivet Forskelle i implementering fra land til land Fremtiden Samme forordning i hele EU Samme regler Divergerende fortolkning

Lovgivning Overordnede principper beholdes Lovlig og loyal behandling Formålet skal være specifikt Data skal være præcise og ajour Data må kun opbevares, så længe de er nødvendige Dataansvarlige er ansvarlige for behandlingen Personhenførbare data må ikke kunne komme trediepart til kendskab, heller ikke hosting- eller cloud providere. Større fokus på: Gennemsigtighed Dokumentation Datasubjektets egen kontrol Regelmæssige PIA s DPO roller

Hvad er fortrolige data? Investeringbeviser Retslige dokumenter Røntgenbilleder Produktudviklingsbeskrivelser Test resultater Kreditkortbetalinger Kortlægning af IT og rettigheder Certifikater og signaturer Musik, Film osv Indkøbsordrer Patientjournaler Køretøjs- og pakkesporing Licenser Kontooversigter Forskningsresultater Forsikringspapirer Låne informationer Ansættelseskontrakter HR- Medarbejder data Sagsakter Kurspåvirkende informationer Patenter Påtænkte fusioner

Datakriminalitet afpresning og tyveri i enormt omfang Inficeringer med henblik på tyveri foregår lydløst Kunder Kontrakter Leverancebeskrivelser Ansættelsesforhold Viden Forretningshemmeligheder Fortrolig korrespondance Brugerprofiler / identiteter Jeres adgange ud mod partnere og kunder Jeres datakraft = VÆRDIER

Trusselsbilledet er voksende Kriminaliteten er faldende Cyberkriminaliteten stigende..! Økonomisk vinding Organiseret kriminalitet Mindre straffe Enheder/platforme (BYOD) Øget antal sårbarheder Nemmere at gemme sig Nemt at komplicere juridisk (int) Mindre fysisk fare for en selv

Truslernes bagmænd

Adgange, adfærd og awareness

De kriminelles metoder og værktøjer

En IT kriminel kan, udføre følgende opgaver Opsnapning af indtastede passwords til interne eller eksterne systemer Opsnapning af dokumenter / konfidentielle informationer Omprogrammering eller inficering af software Aflytning af samtaler i rummet eller på mobiltelefonen Fotografering af brugere bag computerskærmen (hvis den har kamera). Anvendelse af virksomhedens IT til spamming, DDoS angreb eller lign. Distribution eller lagring af f.eks. børneporno eller pirat software, musik, film etc. Malwareinficering og kryptering af filer eller drev for afpresning

Social Engineering En intelligent måde at udnytte menneskets naturlige tendens til at vise tillid Eks.: Du er med i en tilfredshedstest, hvis du svarer på mine spørgsmål, kan du vinde en rejse. Vil du lige først oplyse, Dit navn, Brugernavn og password, så vi kan registrere dig korrekt.. Social engineering kan også nemt udføres ved at finde alle de oplysninger der er at finde på nettet om dig og derfra skabe anciennitet og lyde som en der er autoriseret til at komme med forespørgsler.

Phishing

Ransomware/cryptolockers

Advanced persistent threats

Zero-day attacks

Botnets

Disse interne faktorer udgør trusler

Lokale administratorrettigheder og passwords Svage passwords, lemfældig omgang med passwords og for hyppigt brug af samme passwords flere steder, kan udgøre en meget stor risiko for at virksomhedens systemer hackes. Interne passwords til f.eks. FTP må aldrig deles eksternt. Kompromitteres en enhed f.eks. Pgr. Af svage password og den samtidigt har lokale administratorrettigheder, kan hackeren bruge disse rettigheder

Hvor udbredt er dette problem?

Deling af adgange og devices Brugere der uden omtanke deler sine brugernavne og passwords med andre kan derved udsætte virksomheden for hacking og malwareangreb. Deling af f.eks. Devices med børn og unge i familien, der ikke er kompetente og i forhold til virksomheden ansvarlige brugere, kan også udgøre en trussel, både ved deres downloads, besøg af websteder og informationer de deler fra enheden. (Mange tjenester, spil og sociale medier beder om adgang til billeder, mikrofon GPS etc. På enheden før at man kan bruge det)

Brug af uautoriseret software og opdateringskilder Brugere der selv har lov til at installere software, kan på grund af manglende viden eller tid,- installere piratkopier, der bærer malware. Det samme kan ske ved opdateringer af softwaret, hvis det er overladt til brugeren selv. Problemet med individuelt brug af software og eget ansvar for opdateringer er derudover at IT administrator mister overblikket og de operationelle muligheder for sikkerheden i virksomheden.

Adgang fra usikre netværk eller enheder Kobler man sig op fra usikre netværk på stationer, cafe er, hoteller eller i lufthavne udgør dette en risiko for hacking, hvis beskyttelsen på PC en er ringe. Anvender man andre udstyr til opkobling til virksomhedens netværk, kan dette udgøre en trussel mod virksomheden, hvis ikke udstyret er tilstrækkeligt beskyttet og hvis ikke virksomheden har NAC (Network Admission Control).

Cloud/Hosting Mange virksomheder regner med at ansvaret for sikkerheden ligger hos hosting- eller cloududbyderen. Der tales ofte ikke om ansvarsfordeling og sikkerhed i løsningerne. Hvilke data har I placeret ude og har andre placeret data hos Jer?

Vigtigt at vide om virtuelle servere Enhver med adgang til den virtuelle host, har fuld kontrol over den virtuelle server, uanset rettigheder og sikkerhed på den virtuelle server. Dette stiller særlige krav til samtlige driftfolk internt, såvel som hos en eventuel hosting eller cloud udbyder, og fordrer derfor at data er krypterede INDEN de rammer de virtuelle servere. Kryptering umiddelbart efter ankomst til serverne er ikke tilstrækkeligt!

Manglende viden og awareness Brugere med ringe viden om IT sikkerhed, virksomhedens værdier og konsekvenser Oplagte brugerfejl (e-mail til den forkerte person, stavefejl når der Googles etc.) Udsendelse af interne dokumenter f.eks. Regnskaber, prislister, databaser persondata m.m. via email Brug af eksternt udstyr i virksomheden,- privat telefon, PC eller f.eks. Privat eller fundet USB Ligegyldige eller utilfredse medarbejdere Brugeres adfærd i sociale fora,- hvilke informationer deler de? Adgang til konfidentielle data for uautoriserede brugere Manglende kendskab til virksomhedens sikkerhedspolitikker Manglende kendskab til loven

Tekniske Overvejelser

Next-Generation firewalls Applikations kontrol Avanceret IPS Deep packet inspection Reputation malware detection Advanced threat protection Bruger styring, LDAP integration Transperant mode Log management og rapportering

Next-Generation firewalls

Bruger/enhed kontrol og rettigheder 96% af alle kritiske sårbarheder kan undgås ved at begrænse brugeres rettigheder (fjerne administrator rettigheder) 60% af alle sårbarheder i Windows i 2013 kunne undgås alene ved at begrænse brugeres rettigheder Meget malware kan ikke gøre mere end brugerne giver dem lov til (Der er dog undtagelser) Begrænsede rettigheder Anti malware perimeter beskyttelse - opdateringer

Bruger/enhed kontrol og rettigheder

Den nemmeste vej

Kontrol og management

Vulnerability management

Interne Processer Hvem, hvad og hvornår

Er I i kontrol? Kender I til Jeres dataudveksling med jeres kunder og holdes det op mod trusselsbilledet? Ved I hvad der sker på Jeres netværk? Kan jeres forretningsforbindelser være trygge i kommunikationen med Jer og brugen af Jeres løsninger? Udsættes I eller kunderne, for APT angreb, hacking, spearphishing, ransomware eller f.eks. misbrug af jeres datakraft til kriminelle formål? Foregår der, eller har der foregået noget ulovligt på Jeres servere? Er I direkte eller indirekte underlagt compliance bestemmelser? Hvis en af Jeres kunder har et sikkerhedsproblem, kan det muligvis sprede sig ind i Jeres egen infrastruktur, eller til andre af jeres kunder. Er der tænkt et forsvar og en handlingsplan ind i den sammenhæng?

Hvilke tiltag har I truffet? Har I signaleret tydelige retningslinjer til medarbejdere og samarbejdspartnere omkring Jeres IT Politik? Hvordan informeres der om trusselsbilledet og IT Politikkerne til de nødvendige parter? Er der repressalier hvis IT politikkerne ikke overholdes? Hvis I udsættes for kriminalitet har I så værktøjer til at logge og dokumentere det? Er der nødvendige værktøjer og procedurer på plads for at beskytte virksomheden, værdierne og medarbejderenes identitet? Er der faste og centralt styrede procedurer for patching og opdatering/opgradering ved autentifiserede softwareleverandører?

Risikovurderinger

Hvad er Jeres mål? Hvilket et niveau af sikkerhed ønsker I at arbejde med - hvor konfidentielle er de informationer der bæres? Er de omfattet af lovgivning på området? Må medarbejderne tilgå netværket hjemmefra? Evt. Via en fast etableret VPN tunnel og I givet fald, hvordan ser man forskel på om det er medarbejderen der skaber forbindelsen ind til netværket eller om det er en hacker? Må medarbejderne synkronisere mails også til enheder der ikke ejes af virksomheden? Vil man tillade BYOD (Bring Your Own Device)? Hvordan sikrer man at alle anvendte enheder beskyttes af antivirus, kun kan tilgås med sikre passwords og at de eventuelt også er krypteret? Må medarbejdere hente filer og modtage attachments på hjemmepc ere, USB sticks og mobile enheder? Ønsker man snarere at anvende lagring og kryptering af filer i netværket eller på servere i skyen, som kan tilgås via links?

Awareness Kæden er ikke stærkere end det svareste led C-cure underviser både udbydere, virksomheder og medarbejdere i awareness. C-cure kan tilbyde en Security Awareness Portal, hvor kan man teste sin almindelige brugerviden om IT Sikkerhed og hvor virksomheder kan bestille awareness kampagner, designet efter individuelle behov.

Anbefalede links IT Sikkerhed https://www.c-cure.dk https://www.securityawarenessportal.dk http://www.theregister.co.uk/security http://www.darkreading.com http://www.f-secure.com/weblog http://www.sophos.com/blogs/sophoslabs http://www.portcullis-security.com IT Governance http://www.itgovernance.com/00/index.php

Kontakt os gerne for råd og sparring Christian Rutrecht: cr@c-cure.dk Kim Weiss-Poulsen: Tlf. 45411446 kwp@c-cure.dk

Lidt gode råd For at beskytte virksomhedens data og de ansattes identitet og integritet, bør IT Politikker, awareness, og korrekte værktøjer vedligeholdes: Sørg for at have styr på- og at så få som muligt-, har lokale administratorrettigheder. Sikkerhed på klientniveau kan udbygges med løsninger der yder sikker patching, whitelisting og/eller yder sikker DNS. Den nemmeste måde at opretholde konfidentialitet på, er ved, at afgrænse læse, skrive og administrationsrettigheder til data. Dette opnås simpelt ved kryptering af filer og drev. Autoriseret adgang til data opretholdes via 2 faktor autentificering, der hindrer uvedkommende adgang ind i jeres systemer og hindrer succes med identitetstyveri. DDOS beskyttelse på web kan desuden også være anbefalelsesværdigt. Med Next Generation Firewall og diverse blades, vil desuden angreb på websites og APT mod netværket kunne opbremses. (Dette har I fået på plads i 2015)

Husk at holde jeres IT politik opdateret i forhold til anvendt teknologi Opsæt regler for komplekse passwords, hyppighed i udskiftning og genbrug af passwords Sæt sikkerhedskrav til eksterne enheder, der tillades permanent eller midlertidig adgang til netværket. F.eks. Tillad kun adgang til netværket for opdaterede enheder. Sørg for at de medier der lagres data på, er behørigt beskyttet, uanset hvor de er. Hvis det er konfidentielle data der lagres, så anvend kryptering. Ønsker man at lagre data i skyen, brug da ikke åbne steder som Dropbox, men bedre beskyttede servere (se efter udbyderens sikkerhedpolitikker). Anvend kun servere der er beskyttet af EU lovgivningen (altså opbevaret i godkendte lande). Husk at slette data på PC ere og servere korrekt, når de ikke længere skal bruges af organisationen.

Vælg så vidt muligt at indkøbe ensartede platforme der opdateres jævnligt og kan administreres fra centralt hold. Anvend såvidt muligt et administrationsværktøj, hvor det er muligt at opsætte regler for adgang til netværket på mobile enheder f.eks. At en smartphone eller tablet ikke må være jailbroken eller Rootet (fordi den da kan bære på inficerede applikationer) At enheden ikke tillades adgang til netværket med mindre den er opdateret til et bestemt niveau. At der som minimum, er en sikker browser på enheden At der anvendes komplekse og lange nok passwords At der eventuelt er en sikker krypteret container til opbevaring af mails og andet fortroligt materiale. osv. At der man så vidt muligt begrænser Applikationers adgang til kamera, mikrofon, GPS, billeder og video.

Håndbog om IT-sikkerhed i forsyningsbranchen http://www.danva.dk/danva/publikationer.aspx Fysisk sikkerhed (enhver med fysisk adgang kan få adgang til servere mm)

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback