Embed Size (px)
Citation preview
S28 January, 2019 1
> DKCERT og Danskernes informationssikkerhedFujitsu Security Event, 29. januar 2019Henrik Larsen
S28 January, 2019 2
> Hvem er DKCERT?
> Grundlagt 1991 efter en af de første store hackersager i Danmark
> Dengang en del af UNI·C - Siden 2012 en tjeneste fra Danish e-Infrastructure Cooperation (DeiC), under Styrelsen for Forskning og Uddannelse, UFM
> DKCERT indgår bl.a. i FIRST, et verdensomspændende netværk bestående af p.t. 450 CERT/CSIRT teams i 90 lande
> Betjener forsknings- og uddannelsesinstitutioner, tilknyttet forskningsnettet med
– behandling af sikkerhedshændelser, – sårbarhedsscanninger, – databeskyttelsesrådgivning samt – information og vejledning om cyber- og informationssikkerhed
S28 January, 2019 3
> DKCERT: Borgernes / Danskernes Informationssikkerhed
> Statistiske rapporter for Digitaliseringsstyrelsen om Borgernes informationssikkerhed 2013, 2014 og 2015
> Danskernes informationssikkerhed 2016- inkl. offentligt ansatte og privatansatte
> Danskernes informationssikkerhed 2018- inkl. offentligt ansatte. Udgivet december 2018
S28 January, 2019 4
> Hvad gjorde vi?
> I foråret 2018 lod vi Danmarks Statistik stille mere end 100 spørgsmål, udarbejdet af DKCERT i samarbejde med Digitaliseringsstyrelsen, KL og Danske Regioner
> Formålet med undersøgelsen er at afdække, dels hvilke trusler mod informations-sikkerheden deltagerne oplever, dels hvad de ved om informationssikkerhed og deres mulighed for at beskytte sig
> Undersøgelsen stillede en række spørgsmål til et repræsentativt udvalg af den voksne danske befolkning om deres erfaringer med informationssikkerhed. Undersøgelsen bygger på svar fra 1.505 personer i alderen 18-74 år
> DKCERT har efterbehandlet materialet, sammenlignet med tidligere års undersøgelser og udarbejdet rapporten (60 sider, 52 grafer)
S28 January, 2019 5
> Borgerne
> Borgerne viser stor usikkerhed over for trusler i hverdagen
> Lidt over en tredjedel mener ikke, at de efter egen opfattelse er godt klædt på til at beskytte sig mod cybertrusler mod enheder som pc eller telefon (37 procent/ 1.200.000) og beskyttelse af personlige oplysninger på nettet (34 procent/1.100.000)
> Andre observationer
> 25 procent af de private borgere (700.000) undlader at sikre computeren med sikkerhedssoftware
> 58 procent (1.600.000) tager ikke sikkerhedskopi af pc/mobile enheder
> 37 procent af borgerne (1.200.000) anvender samme adgangskode til flere online-tjenester
> 87 procent (2.400.000) holder programmer på pc opdateret
S28 January, 2019 6
> Samlet har 44 procent af borgerne været udsat for mindst et af fire sikkerhedsproblemer ̶ Det er en stigning fra 34 procent i 2016
> Fem procent (140.000) har været ude for, at nogen har misbrugt deres personoplysninger på nettet
> Otte procent (210.000) har mistet penge som følge af et informations-sikkerhedsproblem
> 17 procent (460.000) har mistet data som følge af et it-sikkerhedsproblem (fx et computernedbrud)
> 34 procent (950.000) har oplevet at pc’en var inficeret
S28 January, 2019 7
> 41 procent tager jævnligt sikkerheds-kopi af data på deres computer (1.150.000). 58 procent gør ikke
> 68 procent anvender trådløse netværk uden for hjemmet. Ud af dem anvender 49 procent netværk, der ikke kræver en adgangskode og dermed er ukrypterede og usikre
> 72 procent oplyser, at de får deres viden om informationssikkerhed fra nyhedsmedier
> 86 procent af brugerne af off. digitale tjenester har nogen, stor eller meget stor tillid til offentlige tjenester
S28 January, 2019 8
> Flere borgere har tillid til, at det offentlige håndterer personlige oplysninger sikkert og fortroligt
S28 January, 2019 9
> Børn i alderen 5-16 år?
S28 January, 2019 10
> Det samlede prioriterede trusselsbillede for borgerne
> Skadelig software inficerer computere
> Borgerne mister data som følge af et it-sikkerhedsproblem/manglende backup
> Uvedkommende kan få adgang til fortrolige data ved at udnytte usikre trådløse netværk
> Borgerne genbruger – for korte – passwords til flere tjenester, hvilket giver risiko for uvedkommende adgang til systemer og data
S28 January, 2019 11
> Offentligt ansatte ̶ tal og statistikker
S28 January, 2019 12
˃ 11 procent har været ude for, at computeren har været inficeret med virus eller andre typer skadelige programmer
˃ To procent har mistet data som følge af et angreb
˃ Otte procent har mistet data som følge af manglende backup
˃ Knap en procent har oplevet, at uvedkommende har fået fat i data, de har ansvaret for
S28 January, 2019 13
˃ 42 procent har ikke sat sig ind i arbejdspladsens sikkerhedspolitik – i 2016 var det over 50 procent
˃ 35 procent er ikke blevet oplyst om sikkerhedspolitikken af ledelsen (nyt spørgsmål)
˃ I 2016 oplyste 12 procent, at de havde været på kursus i it-sikkerhed
S28 January, 2019 14
> Otte procent undlader nogle gange at følge it-sikkerheds-reglerne, fordi de gør det besværligt at udføre arbejdet. Af dem gør 33 procent det mindst en gang om ugen (25.000)
> 31 procent oplyser, at der ikke tages sikkerhedskopier af data på computeren (280.000)
> 55 procent oplyser, at der ikke tages sikkerhedskopier af data på telefon eller tablet-computer
S28 January, 2019 15
> Cirka halvdelen anvender trådløst net uden for arbejde. Godt en fjerdedel af dem, benytter netværk uden kode
> Én ud af tre har sendt cpr-nummer eller andre personlige oplysninger via mail. 21 procent af dem i åbne mails uden kryptering
> 37 procent bruger samme adgangskode til flere systemer eller tjenester på arbejdet. 54 procent af dem, der bruger samme password til flere systemer, gør det også til systemer, som behandler følsomme data
0
10
20
30
40
50
60
70
80
90
1. Sikker mail(krypteret)
2. Åben mail 4. Ved ikke
Sendes oplysninger via krypteret eller åben mail
S28 January, 2019 16
> Fire nøgleanbefalinger til offentligt ansatte/ledelsen
> Sæt dig ind i arbejdspladsens regler for informationssikkerhed og følg dem, selv om det kan være besværligt
> Brug forskellige passwords til forskellige tjenester og systemer. Bed om at få systemer som single sign-on eller password manager stillet til rådighed. Benyt to-faktorsikkerhed, hvis det er muligt, og stærke passwords
> Undgå at sende følsomme data over åbne trådløse netværk (netværk uden kryptering)
> Vær opmærksom på at kryptere forsendelser med følsomme persondata
S28 January, 2019 17
> Du finder rapporten her, sammen med tidligere års rapporter:
> https://www.cert.dk/da/information/borgernes_informationssikkerhed
S28 January, 2019 18
> Trusler
S28 January, 2019 19
> Hvad er udviklingen i trusselsbilledet lige nu?
> Stadig økonomisk kriminalitet som væsentligste driver
> Mindre ransomware?
> Mere cryptomining-malware
> Tyveri af databaser med brugernavn og password
> Afpresning
S28 January, 2019 20
> Hvad er udviklingen i trusselsbilledet lige nu?
> Phishing, phishing, phishing ….
> DDoS
> Cyberspionage
S28 January, 2019 21
> ”Direktørsvindel”
S28 January, 2019 22
> Direktørsvindel (Business Email Compromise)
S28 January, 2019 23
> Sextortion
> Kriminelle bruger sex, adgangskoder og telefonnumre til at skræmme dig til at betale løsepenge
> Sofistikerede afpresningsmails med informationer om din adgangskode eller dit telefonnummer – bølge i sommeren 2018
> Password og mailadresse fra (ældre) hack
> Ny bølge i september/oktober – og igen efter nytår tilsyneladende
S28 January, 2019 24
> Ny organisering af samfundets cyberberedskab
S28 January, 2019 25
S28 January, 2019 26
> National Strategi for Cyber- og Informationssikkerhed
> Implementerer NIS-direktivet (EU Network and Information Security directive)
> Styregruppe og advisory board mhp. national koordinering (Initiativ 3.4)
> Informationsportal om cybersikkerhed til borgerne (Initiatv 2.2)
> Sektorvise strategier og decentrale cybersikkerhedsenheder i seks samfundskritiske sektorer (initiativ 3.1)
> (DKCERT er stadig sektor-CERT for forsknings- og uddannelsessektoren)
> Nyt døgnbemandet Cybersituationscenter i CFCS (Initiativ 1.1)
> Kommende lovændring for CFCS (Initiativ 1.3)
> Landsdækkende center for behandling af sager vedrørende it-relateret kriminalitet (Initiativ 1.6)
S28 January, 2019 27
> Den Nationale Strategi for Cyber- og Informationssikkerhed
> De seks samfundskritiske sektorer + to områder:˃ Energi˃ Sundhed˃ Transport˃ Tele˃ Finans ˃ Søfart---˃ Drikkevandsforsyning og spildevand˃ Domænenavnssystemer og digitale tjenester (visse cloud-services)
S28 January, 2019 28
> Hvad anbefaler DKCERT ?
S28 January, 2019 29
> DKCERTs anbefalinger til brugere
> Brug lange passwords – mindst 12 karakterer
> Brug forskellige passwords til forskellige tjenester og systemer
> Benyt to-faktorsikkerhed, hvor det er muligt
> Lad være med at browse internet med en konto, der har lokaladministrator-rettigheder
> Brug VPN, hvis du benytter åbne trådløse netværk (netværk uden kryptering) eller andre ukendte netværk- og altid når du tilgår virksomhedens data udefra
> Vær opmærksom på at kryptere forsendelser med følsomme og fortrolige (person)data
S28 January, 2019 30
> DKCERTs anbefalinger til virksomheder
> Hold dine systemer opdaterede og lad jævnligt dit netværk scanne for sårbarheder
> Tillad lange passwords – 64 karakterer eller mere. Og forlang mindst 12 karakterer
> Benyt to-faktorsikkerhed ved log-ind – og gerne Single Sign-On
> Lad ikke dine brugere have lokaladministrator-rettigheder på deres pc
> Kontrollér, hvilke programmer og applikationer, dine brugere installerer
> Giv mulighed for VPN og kryptering – slå disk-kryptering til på dine brugeres pc’er
> Giv dine brugere opmærksomhedstræning og gennemgå sikkerhedspolitikken med dem
