Velkommen til Sikkerhed i Praksis Michael Hein, Adm. Direktør
Hvem er jeg Navn: Michael Hein 42 år Beskæftigelse: Administrerende direktør i CGM, tidligere bl.a. chef for Drift, teknik og support. Herunder både den interne drift og hosting i Danmark og Norge. Samtidigt er jeg en del af Praksis Leverandør sammenslutningen, og deltager derfra i diverse projekter, bl.a. IT sikkerhed i forbindelse med de nye EU regler. Baggrund: Jeg har arbejdet med IT i praksis, og dermed både direkte og indirekte sikkerhed i 14 år dog med 2 års afstikker til et pengeinstitut, hvor jeg primært arbejdede med sikkerhed og kontrol af sikkerhed.
Overordnet Program På dette kursus vil vi først undervise generelt i it-sikkerhed. Begreber og redskaber vil blive gennemgået kort i plenum. Herefter vil det primære fokus være på praktiske og anvendelige råd, som man kan bruge i sin egen klinik. Flere af følgende emner vil blive berørt: Hvordan ser det overordnede trusselsbillede ud lige nu? Hvad kan man gøre selv, og hvad skal man lade professionelle stå for? Sikker daglig omgang med computere og server i klinikken Netværket i klinikken Sundhedsdatanettet Almindelig e-mail Passwords Backup Egen server kontra fjernserver Virus, spam, spyware, malware, ransomware og crapware Hvad gør man, når det går galt?
Hvad er IT sikkerhed Drift IT sikkerhed Personlig IT sikkerhed Teknisk IT sikkerhed Fysisk IT sikkerhed
Hvad er IT sikkerhed Hvad er IT sikkerhed? I dag skal vi tale om 4 discipliner (Fysisk, teknisk, personlig og drift) og måske en smule om en enkelt ekstra, nemlig juridisk sikkerhed. IT sikkerhed handler ikke kun om online trusler, det er også indbrud, nedbrud, datatab, korrekt anvendelse, svindel (udefra og indefra) og vigtigst af alt hvordan man undgår dette!
Hvorfor sikkerhed Citat Ekstrabladet: Bølger af it-kriminalitet skyller lige nu ind over Danmark, og de digitale tricktyve og hackere tager mere og mere avancerede metoder i brug for at lænse myndigheder, borgere og virksomheder for penge eller værdifulde oplysninger. Sidste år blev omkring 150.000 danskere ramt af it-kriminalitet, og i denne uge kom Nationalt Cyber Crime Center (NC3) under Rigspolitiet med en vurdering om, at ni ud af ti danske virksomheder har oplevet en eller anden form for angreb fra itkriminelle. Der er ingen tvivl om at It-kriminalitet er blevet en gigantisk trussel mod myndigheder, virksomheder og borgere over hele verden. På verdensplan vurderes det, at ofre for it-kriminalitet hvert år mister over tre billioner kroner (3000 milliarder), hvilket gør det mere indbringende for de kriminelle end illegal handel med heroin, marihuana og kokain lagt sammen. Herhjemme blev 150.000 danskere udsat for it-kriminalitet i 2014, hvilket gav et samlet økonomisk tab på 271 mio. kroner. Og tallet er kun stigende i takt med, at flere og flere organiserede kriminelle bander har fået øje på det lukrative marked, og at deres metoder bliver mere raffinerede.
Hvorfor sikkerhed De tal vi her taler om, er endda uden at tænke hvad et nedbrud koster, eller hvad intern svindel kan koste eller hvad tab af klinikkens data ville koste! Hvordan ser det overordnede trusselsbillede ud lige nu? https://cybermap.kaspersky.com/ Øvelse: Prøv at kig på nedenstående eller brug f.eks. Google til at finde alternative steder. http://home.mcafee.com/virusinfo/global-virus-map https://www.f-secure.com/en/web/labs_global/threat-descriptions http://map.norsecorp.com/ http://globe.f-secure.com/
Typer af online trusler Herunder er nogle af de mest populære metoder hos it-kriminelle: Ransomware: En virus, der vil forhindre brugen af computeren, internettet, eller specifikke programmer, og som kræver en løsesum for at give ejeren adgang igen. Malware: Software, der skaffer sig adgang til computere og herfra kopierer personlige oplysninger eller udfører andre uønskede kommandoer. Phishing: Her skyder de it-kriminelle med spredehagl typisk via en standard-mail for at franarre brugere personlige oplysninger som NemID og bankoplysninger med henblik på misbrug. Spear-phishing: Er et målrettet angreb rettet mod enkeltindivider med en langt højere succesrate end et almindelig phishing-angreb. Målet er typisk at skaffe eksempelvis fortrolige forretningsoplysninger, bruger-id eller information, der kan føre til et økonomisk tab. DDoS: Et angreb, hvor it-kriminelle via et stort netværk af computere sender så mange forespørgsler til et system, at det lukker ned. Afpresning: Kan eksempelvis ske, hvis it-kriminelle kommer i besiddelse af kompromitterende billeder eller film, hvorefter de vil kræve penge eller for eksempel flere billeder eller seksuelle tjenester. Kilde: informationsordbogen.dk, Europol, Center for Cybersikkerhed Øvelse: Prøv at søg på Google efter eksempler på phishing eller Spear-phishing eksempler kan være: Post Danmark, Nets eller Danske bank
Fysisk sikkerhed Fysik sikkerhed er egentligt noget vidste vi godt i forvejen, men har måske glemt at fokusere på i tidens løb. Eksempler kan være: Aflåst rum til server Ikke opbevare backup sammen med originalen Ikke have skærme så uvedkommende kan se på dem Alarm Brandsikring Monteret PC er så de ikke nemt kan stjæles Ikke have åbne netværksadgange som andre kan bruge Ikke lade pc ere stå åbne når man ikke er ved dem Demo: (screen keeper og Lenovo s biometriske sikkerhed) Øvelse: Sæt screensaver på og hvordan man låser maskinen
Personlig sikkerhed Den personlige sikkerhed, handler primært om adfærd og sund fornuft. I praksis kommer man langt med at tænke lidt over hvad man trykker på, undersøge ting der virker mistænkelige og være god til at vælge fornuftige passwords. IT-sikkerhed er ikke kun noget, du skal tænke på, mens du er på arbejde. IT-sikkerhed er en 24-timers bevidsthed, der også skal være med, når du f.eks. lige kobler din arbejdscomputer op på netværket på cafeen eller andre af byens gratis netværk. Tager du ikke dine forholdsregler, er der folk og programmer, der kan kravle indenfor, mens du nyder din kaffe. Eksempler: Forsigtig med usikre tjenester logmein, google drev, skype, mail Deler man sin pc med andre, så huske at vær varsom Sikker daglig omgang computere og server i klinikken (ikke lade eksterne parter være alene) Tag forholdsregler og vær paranoid på et fornuftigt plan (eksterne parter osv.) Vælg gode passwords, og pas på dem! Aldrig dele adgange eller passwords
Personlig sikkerhed Adgangskoder er den vigtigste beskyttelse af dine personlige oplysninger. Gode råd om adgangskoder: De består af minimum 8 tegn Brug både små og store bogstaver Brug et eller flere tal Brug evt. specialtegn som #,!,? eller * Demo: Skift passwords og snak om gode passwords. Husk passwords på netværksdelinger m.v.! Øvelse: Prøv at lad som om i skifter password og test passwords på nedenstående sider: https://howsecureismypassword.net/ http://www.passwordmeter.com/)
Teknisk sikkerhed Den tekniske sikkerhed handler om de mange tiltag man kan gøre for at sikre sig på teknisk vis. Den tekniske sikkerhed kan være firewalls, sikre netværk og antivirus. Den tekniske IT-sikkerhed handler også dit eget helt private wifi-netværk derhjemme. Hvilke spil og tjenester ligger der på husets andre computere, som går på samme netværk som din arbejdscomputer? De tekniske forhold har vi med tiden lært af b.la. Edward Snowden, er en svær størrelse, mange firmaer man ville have troet var garanter for sikkerhed, kan eller har arbejdet sammen med f.eks. Efterretningstjenester. Det betyder i praksis at man aldrig kan være 100% sikker men omvendt betyder det ikke at man ikke kan tage gode fornuftige forholdsregler. Jeg går ud fra alle i dag ved at man bør have en firewall og ikke have sine computere og servere direkte på internettet. En firewall er naturligvis ikke bedre end den er opsat men man kan komme langt med selv en basal opsætning. For mange af de tekniske tiltag gælder at de sikkert højst er 99% sikre, men hvis man eller ens leverandør handler ud fra almindelig kendt best practice og holder alt opdateret, så er man så sikker som man kan være.
Teknisk sikkerhed Den tekniske sikkerhed i lægeklinikker berører generelt: Opsætning af server og netværksdrev Opsætning af pc er Database sikkerhed Netværket / netværkene i klinikken Firewalls VPN forbindelser Sundhedsdatanettet Egen server kontra fjernserver Et eksempel på hvor nemt det er, hvis først man er indenfor: Demo: Wireshark
Drift sikkerhed Drift sikkerheden handler om de tiltag man kan gøre for ikke at åbne døren for et angreb, forholdsregler og hvad man kan gøre hvis uheldet er ude. Her skal man huske at det jo også er en del af IT sikkerheden at undgå at miste vigtige data ved f.eks. et nedbrud, brand, tyveri, oversvømmelser eller svindel. Gode forholdsregler kan være: Backup Sørg for at opdatere Interne procedurer og retningslinjer, måske endda en egentlig IT politik? Overvågning Kontrol logfiler kan fortælle meget Brug forskellige konti man behøver ikke være administrator hele tiden Øvelse: Opdater Windows
Hvad gør man så Det bedste råd er at bruge sin sunde fornuft. Og så skal man huske, at CPRnumre, Nem ID og kortoplysninger er private og personlige. Ingen seriøse parter vil bede om, at de bliver uploadet eller sendt i en mail. Ukendt eller falsk afsender: Det er muligt for de it-kriminelle at udarbejde en mail, hvor den synlige afsender er forskellig fra den virkelige afsender. Kontroller derfor de skjulte oplysninger. I Outlook kan dette gøres ved at flytte markøren over afsenderen; herved vises adressen på afsenderen. Kontroller mailens egenskaber: Ved en kontrol af egenskaberne i headeren for en mail vil det i mange tilfælde kunne afsløres, hvorfra en mail er afsendt. I Outlook kan disse oplysninger findes under fanen Filer. Falske hyperlinks: Links i mailen peger på andre domæner end dem, der er vist. Domænet kan kontrolleres ved f.eks. i Outlook at føre markøren over på de enkelte links. Herved vises den bagvedliggende web-adresse. Underlige navne på vedhæftede filer: Det ses ofte, at phishing-mails har vedhæftede filer, der er navngivet på en måde, der slører den egentlige filtype. Eksempelvis som i filnavnet Personaleændringer.pdf.exe.
Hvad gør man så Dårligt sprog: Phishing-mails er ofte oversat automatisk eller af personer uden kendskab til dansk. Derfor er sproget ofte skrevet på ubehjælpeligt dansk. Opfordring til handling: I mange phishing-mails opfordres brugeren til at kontakte en hjemmeside eller at indsende oplysninger øjeblikkeligt. Er du i tvivl, så kontakt afsender direkte f.eks. via telefon og spørg til henvendelsen. Udlevering af personlige oplysninger: Ingen privat virksomhed eller myndighed vil opfordre til, at man fremsender personlige oplysninger i en almindelig mail. Her bør man ligeledes kontakte afsender direkte f.eks. via telefon og spørge til henvendelsen. Vindere af lotteri/konkurrencer: Denne form for phishing-mails, også kaldet Nigeriabreve, er havnet hos mange brugere, der i god tro har udleveret oplysninger og indbetalt penge til svindlere. Mails om ukendte lotterier eller lignende bør slettes straks. Skadelige vedhæftede filer: Åbn aldrig en vedhæftet fil, medmindre du er fuldstændig klar over, hvad den vil indeholde. Kontakt om muligt den umiddelbare afsender via telefon med henblik på verifikation af indholdet.
Hvad gør man så Det bedste råd er at bruge sin sunde fornuft. Jeg ved det også var det første råd, men det er også det vigtigste. Dernæst bør man altid alliere sig med en partner man har tillid til. Hvis uheldet er ude, er det vigtigt at få hjælp af nogen med ekspert viden både for at få stoppet spredning, reddet hvad reddes kan, og hurtigst muligt komme tilbage i drift. Selvom man vælger en partner man stoler på, så husk at de aldrig behøver at have adgang til alting, og sjældent behøver arbejde uden kontrol eller opsyn.
Spørgsmål
Tak for din opmærksomhed!