IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon

IN1030

Systemer, krav og konsekvenser

Innebygd informasjonssikkerhet

Audun Jøsang

Institutt for Informatikk

Universitetet i Oslo

16. april 2020

God og dårlig oversettelse

Engelsk

• Security

• Safety

• Certainty

• Security

• Safety

• Certainty

Norsk

• Sikkerhet

• Trygghet

• Visshet

• SikkerhetDårlig

God

IN1030 2020 Innebygd informasjonssikkerhet 2

Hva er sikkerhet ?

Sikkerhet er beskyttelse av verdier mot skadeeiendom, infrastruktur, demokrati, liv/helse, miljø, informasjon

– Fysisk sikkerhet (hindre innbrudd og tyveri)

– Samfunnssikkerhet (opprettholdelse av kritisk infrastruktur)

– Nasjonal sikkerhet (politisk stabilitet)

– Trygghet (beskyttelse av liv og helse)

– Miljøsikkerhet (hindre forurensing og fremmede arter)

– Informasjonssikkerhet og personvern


Hva er informasjonssikkerhet ?

• Informasjonssikkerhet betyr å beskytte informasjonsressurser

mot skade.

• Hvilke informasjonsressurser skal beskyttes?

– Eksempel: data, programvare, konfigureringer, utstyr og infrastruktur

• Dekker både tilsiktet og utilsiktet skade

– Trusselagenter kan være mennesker eller naturlige hendelser

– Mennesker kan gjøre skade både tilsiktet og utilsiktet

• Definisjon av informasjonssikkerhet:

– Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet.

I tillegg kan andre egenskaper, f.eks. autentisitet, sporbarhet,

uavviselighet og pålitelighet omfattes. (ISO 27000:2016)



Generelle informasjonssikkerhetsmål: KIT+P

• Informasjonssikkerhet er tradisjonelt definert som

opprettholdelse av KIT:

• Engelsk: CIA

– Confidentiality

– Integrity

– Availability:

• Personopplysningsvern (data protection) er et tilleggsmål

som bl.a. forutsetter KIT.

Tilgjengelighet

Informasjons-

sikkerhet

Personopplysningsvern

Konfidensialitet

• Egenskapen av at informasjon ikke blir gjort tilgjengelig

eller vist til uautoriserte individer, entiteter eller

prosesser. (ISO 27000)

• Trusler:

– Datatyveri (ekstern trussel)

– Datalekkasje (intern trussel).

• Sikkerhetstiltak eksempler:

– Kryptering,

– Kryptografiske kommunikasjonsprotokoller, f.eks. TLS

– Autentisering og tilgangskontroll,

– Anonymisering, f.eks. gjennom pseudonym eller VPN

– Skallsikring

– Bevissthet

– …IN1030 2020 Innebygd informasjonssikkerhet 6

Integritet

• Dataintegritet: Egenskapen av at data ikke har blitt

endret eller slettet på en uautorisert måte. (X.800)

• Systemintegritet: Egenskapen av å opprettholde

korrekthet og kompletthet av dataressurser (ISO 27000)

• Trusler: Ødelagte data og miskonfigurerte systemer


– Kryptografisk integritetssjekk, hashing

– Konfigurasjonsstyring

– Endringsledelse

– Tilgangskontroll

– Skallsikring

– Sertifisert programvare

– Bevissthet

– …IN1030 2020 Innebygd informasjonssikkerhet 7

Tilgjengelighet

• Egenskapen av at data og tjenester er

tilgjengelige og anvendbare ved forespørsel

fra en autorisert entitet. (ISO 27000

• Trusler:

– Tjenestenekt (DoS / DDoS)

– Hindring av autorisert tilgang til ressurser

– Forsinkelse av tidskritiske funksjoner.


– Redundans av ressurser,

– Backup

– Hendelsesrespons og beredskap,

– Failover-konfigurasjon


Typer av autentisering


Autentisering

Entitets-

autentisering

Bruker-

authentisering

System-

autentisering

Data-

autentisering

Basert på

kryptografiske

teknikker,

f.eks MAC & DigSig

Basert på passord

og andre typer av

autentifikatorer

Basert på

kryptografiske

protokoller f.eks. TLS

Identitets- og tilgangshåndtering

IAMIdentity and Access Management


Tilgangs-

håndtering

Oppgi login-

identitet

Autentisering med

autentifikator(er)

Tilgangskontroll

Registrering av

ny identitet

Klargjøring av

autentifikator(er)

Tilgangs-

autorisering

Identitets-

håndtering

I konfigureringsfasen I driftsfasen

IAM scenarioSystem Owner Domain

Identity Provider

System Owner

Access approval function

registration

System resource

PAP

PAP: Policy Administration Point PEP: Policy Enforcement Point Configuration

PDP: Policy Decision Point IdP: Identity Provider Operations

policy

PDP

PEP

provisioning2

1

3

67

8

User

authentication

function

decision

access

request

request

authorization

request

resource &access type

5

4

log-on

Id

Cr+

User

IN1030 2020 11Innebygd informasjonssikkerhet

Personvern i grunnloven

• § 102: Enhver har rett til respekt for sitt privatliv og

familieliv, sitt hjem og sin kommunikasjon.

Husransakelse må ikke finne sted, unntatt i

kriminelle tilfeller. Statens myndigheter skal sikre et

vern om den personlige integritet.




Hva er det personopplysningsloven skal beskytte?

Er det kun sikkerheten rundt selve informasjonen ?

Nei – ikke bare det

En krenkelse av personvernet kan skje selv om du

beskytter personinformasjonen aldri så godt …

• … hvis informasjonen du har er feil

• … hvis personen selv skal bestemme om det er lov å innhente og

behandle informasjonen, men du har ikke fått samtykke

Personopplysningsvern er mer enn bare informasjonssikkerhet


10101

01101101

10110


Beskytte spesifikke aspekter ved informasjon som kan

relateres til fysiske personer (personinformasjon)

• Forhindre urettmessig innsamling og oppbevaring av

personinformasjon

• Forhindre urettmessig bruk av innsamlet personinformasjon

• Sørge for at personinformasjon er korrekt

• Sørge for åpenhet og innsyn

• Sørge for adekvat informasjonssikkerhet (KIT) rundt

personinformasjon

• Definere klar ansvarsfordeling


General Data Protection Regulation

Personvernforordningen (PVF)

• Tredde ikraft som lov i EU 25.05.2018, i Norge 20.07.2018

(Personopplysningsloven)

• Brudd kan medføre bøter opp til €20 mill. eller 4% av omsetning

• Håndheves av Datatilsynet

• EUs lovtekst (GDPR) oversatt uten endring, 99 artikler

• Art. 5: Prinsipper for behandling av personopplysninger

• Art. 25: Innebygd personvern

• Art. 32: Innebygd informasjonssikkerhet

• Krever at den behandlingsansvarlige har personvernombud

ved betydelig behandling av personopplysninger


Roller i GDPR


Den registrerte

(Data Subject)

Personopplysninger

(Personal Data)

Den behandlings-

ansvarlige

(Data Controller)

Databehandleren

(Data Processor)

(Data Protection Authority)

Databehandleravtale

(Data Processing Agreement)

Tilsyn

(Audit)

Art. 5: Prinsipper for behandling av

personopplysninger

1. Personopplysninger skal behandles med:

a) Lovlighet, rettferdighet og åpenhet

b) Formålsbegrensning

c) Dataminimering

d) Riktighet

e) Lagringsbegrensning

f) Integritet og konfidensialitet

2. Den behandlingsansvarlige har ansvar for pkt. 1 ovenfor.


Art. 25: Innebygd personvern og

personvern som standardinnsstilling

Det skal gjennomføres egnede tekniske og organisatoriske

tiltak for å sikre at det som standard bare behandles

personopplysninger som er nødvendige for spesifikke

formål. Dette gjelder mengden personopplysninger som

samles inn, omfanget av behandlingen av opplysningene,

hvor lenge de lagres og deres tilgjengelighet.


Art. 32: Sikkerhet ved behandlingen

Det skal gjennomføre egnede tekniske og organisatoriske

tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til

risikoen, herunder blant annet:

a) pseudonymisering og kryptering av personopplysninger

b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet

og robusthet i behandlingssystemene og -tjenestene,

c) evne til å gjenopprette tilgjengeligheten og tilgangen til

personopplysninger i rett tid ved tekniske hendelser

d) regelmessig testing, analysering og vurdering av hvor effektive

behandlingens tekniske og organisatoriske sikkerhetstiltak er


Begreper rundt ledelse av informasjonssikkerhet

(Information Security Management)


IT Security OperationsDrift/Administrasjon av informasjonssikkerhet

Information Security ManagementLedelse av informasjonssikkerhet

(Internkontroll)

InformationSecurity

GovernanceStyring

av informasjonssikkerhet

Oppfylle foretakets

mål.

Definere foretakets visjoner og

verdier. Balansere

eieres mål og prioriteter.

Styringshjulfor ledelse av informasjons-

sikkerhet

Ledelse av informasjonssikkerhet (ISO27001)


Plan-legging

Sikkerhetsrisiko-

vurdering

TiltakOppfølging og kontroll

Rapport-ering

Generell risikomodell for IT-sikkerhet

• Generell modell for risiko

– Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere

sårbar du er, desto større risiko har du.


Trusler Sårbarheter

Verdier

Risiko

Detaljert risikomodell

• Enhver risiko er et

resultat av et gitt

trusselscenario som kan

fører til en hendelse som

skader verdier.

• Motivasjon, kapasitet,

sårbarhet og konsekvens

bestemmer risikonivået.


Trusselaktør-

styrke

Sårbarhet for

trusselscenario

Sannsynlighet for (at

trusselscenario skal

forårsake) hendelseHendelsens

konsekvens

Konkret risikonivå

Trusselaktør-

motivasjon

Trusselaktør-

kapasitet

Forklaring:

har aspekt

bidrar til

Trussel-

scenario

Trusselaktør

Hendelse

Verdier, Trusler, Sårbarheter og Tiltak• Verdier: Informasjon av verdi.

– KIT (konfidensialitet, integritet og tilgjengelighet) for data og

systemressurser tilhørende organisasjoner

– Personopplysningsvern for de registrerte (privatpersoner)

• Trussel: Et potensielt angrepsscenario som styres eller

trigges av en trusselaktør, og som kan ha negative

konsekvenser for verdier (brudd på sikkerhet/personvern)

• Sårbarhet: Fravær av sikkerhetstiltak mot trusler.

• Sikkerhetstiltak (Security Control): Metode for å forhindre

trusler eller redusere konsekvenser


Trinn 1

Trusselaktør

Trinn 2 Trinn 3

Trusselscenario / Angrep

utfører skaper hendelse

verdiSårbarheter

konsekvens

Ingen sårbarhet

uten en trussel


Ny trussel

oppstod i 2016

Trussel blokkert

(dvs. sårbarhet fjernet)

Nice

Berlin

London

Barcelona

Trusselmodellering

• Nye trusler oppstår hele tiden (trusselinnovasjon)

• Utfordringen er å identifisere relevante trusler

• Tenk: Hva kan skje? Hvordan kan våre verdier skades?

Hvem kunne være interessert i å skade oss og hvordan?


Front-end

webtjener

Back-end

app. logikk

MySQL

databaseInternett

KlientplattformBruker

Trusselaktør med angrepsmålsettinger

Trusselscenarier

Mange risikoer

• Flere ulike trusler (scenarier) kan identifiseres

• Hver trussel kan potensielt forårsake en sikkerhetshendelse

• Hver potensielle hendelse har et risikonivå

• Mange trusler ⇒ mange risikoer

•


Trussel 1 Hendelse 1 Risiko 1

Trussel 2 Risiko 2

Trussel 3 Risiko 3

Hendelse 2

Hendelse 3

Innebygd informasjonssikkerhet 29

Strategier for risikostyring

• Etter å ha fullført risikovurderingen, må sikkerhetsteamet velge

en av fire strategier for å kontrollere hver risiko:

1. Redusere risikoen med sikkerhetstiltak (stoppe trussel

eller redusere konsekvens)

2. Dele/overføre risikoen til andre (cyberforsikring eller

outsourcing av aktivitet som medfører risiko)

3. Beholde risikoen (forstå og tolerere potensiell skade)

4. Unngå risikoen (stanse aktivitet som skaper risikoen)

IN1030 2020

Ris

iko

redu

ksjo

n($

)

Negativ ROI

Det lønner seg

ikke å innføre

sikkehetstiltaket

Null ROI

Gjør en vurdering

om det er

fornuftig å innføre

sikkerhetstiltaket

Positiv ROI

God grunn til

å innføre

sikkerhets-

tiltaket

ROI for sikkerhetstiltak (Return on Investment)

?

IN1030 202030

Innebygd informasjonssikkerhet

ROI =

Kostnad av sikkerhetstiltaket ($)

Risikoreduksjon − Kostnad av tiltak

Kostnad av tiltak

Tiltak/virkemidler/controller for

sikkerhet


Fysiske tiltak•Adgangskontroll

•Vektere

•Låser

•Overvåking

•Alarmer

•Utrykning

•Strøm / VVS

Tekniske tiltak•Brukerautentisering

•Tilgangskontroll

•Kryptografi

•Systemsikkerhet

•Nettverksikkerhet

•Inntrengingsalarm

•Digital etterforskning

Administrative

tiltak•Internkontroll / ISMS

•Policyer / Standarder

•Prosedyrer og praksis

•Bagrunnsjekk

•Bevissthetstrening

•Hendelseshåndtering

Informasjonssikkerhet


Sikkerhetstiltak – ulike faser

• Preventive tiltak: – Forhindre og avskrekke angrepsforsøk

• Eksempel: kryptering av filer for konfidensialitet

• Detektive tiltak: – Varsle angrep som forsøkes eller som allerede er skjedd.

Eksempel: Inntrengingsdeteksjon (IDS)

• Korrigerende tiltak:– Gjenopprette skade på dataressurser etter angrep.

• Eksempel: Hendelseshåndterering og hente backup vedødelagte data

• Det er alltid nødvendig å benytte en kombinasjon av tiltak fra alle tre faser for å opprettholde dekkende beskyttelse.

Sikkerhetstjenester og tiltak/controller

• Sikkerhetsmål

– Uavhengig av spesifikk implementering

– Kan implementers med ulike tiltak/controller

• Sikkerhetstiltak / controller / mekanismer

– Basert på spesifikk implemntering, ofte bundet til spesifikke

produkter


f.eks. konfidensialitet – integritet – tilgjengelighet

f.eks. låser – kryptering – bevissthet

Sikkerhetstjenester:

Sikkerhetstiltak/controller:

støtter

Innebygd personvern og

informasjonssikkerhet

Veileder fra Datatilsynet

• Rutiner for metode

• Regler for koding

• Verktøyvalg

• Gjennomtenkt testing

• Gjør nødvendige sikkerhetstiltak

Oppsummering: Programmer seriøst!


Opplæring i personvern og

informasjonssikkerhet

• Mål: Basiskunnskap og forståelse for personvern og

informasjonssikkerhet, og risiko tilknyttet dette

• Hva skal det gis opplæring i: Når og hvorfor

personvern og informasjonssikkerhet er viktig i de

ansattes daglige arbeidsoppgaver.

• Suksesskriterier er at virksomheten har etablert

retningslinjer for personvern og informasjonssikkerhet,

og at det gis opplæring i disse retningslinjene


Krav til sikkerhet og personvern

• Definer type personopplysninger som skal behandles

• Definer behandlingsansvarlig og databehandler

• Hvem er 3.parts mottager av personinformasjon

• Åpenhet, vis hvilken informasjon som lagres, så den

registrerte kan ivareta sine rettigheter.

• Velg adekvate tiltak for informasjonssikkerhet

• Dokumenter


To typer personvernrisiko

Tilfelle og konsekvens av

personvernhendelser

(Personvernkonsekvens) f.eks.:

• Urettmessig diskriminering basert

på personinfo og profilering

• Re-identifisering basert på data

som skal være anonyme eller

pseudonym

• Uønsket innsamling

• Lagring lenger enn nødvendig

• … (se neste side)

Vurderes med DPIA (Data

Protection Impact Assessment) Personvernkonsekvensanalyse, Art.29

Sannsynlighet og

konsekvens av

sikkerhetshendelser, f.eks.:

• Brudd på KIT (konfidensialitet,

integritet, tilgjengelighet) for

personinfo.

• Tyveri og publisering av

personinfo

Vurderes med

sikkerhetsrisikoanalyse.


Design av innebygd personvern

• Dataorienterte designkrav:

– Minimer innhenting - «Select before you collect»

– Minimer prosessering og overføring - «gjem og skjul»

– Separer behandlinger

– Personvern som standardinnstilling

• Prosessorienterte designkrav

– Styre

– Håndheve

– Informere

– Demonstrere


Design av innebygd sikkerhet

• Analyser angrepsflaten på det planlagte systemet og

vurdere hvordan man kan redusere muligheter til å utnytte

eventuelle svake punkter og sårbarheter.

• Trusselmodellering for å se om det fins mulighet for

misbruk av tilgangspunkter, funksjoner, og dataflyt i systemet

– avdekke relevante trusselscenarier for misbruk av programvaren

– hvordan designet kan forbedres for å stoppe trusselscenarier

(dvs. å fjerne sårbarheter)

• Resultatet er et mer herdet og robust sluttprodukt.


Sikker koding

• Beskriv bruksområde for

koden

• Vurder trusselmodeller fra

design-fasen

• Vurder sårbarheter i

støttekomponenter

• Vurder sårbarheter i

verktøy

• Sørg for at sårbarheter er

fjernet eller tilstrekkelig

redusert


Test om kravene er implementert

• Er personvern- og

sikkerhetskrav ivaretatt gjennom

design og koding?

• Er kravene riktig implementert?

• Er alle komponenter med?


Sikkerhetstesting

• Dynamisk testing

– Test funksjonalitet i kjørende kode

(verktøy eller manuelt)

– Undersøk ulike brukerrettigheter, også

ved simulerte sikkerhetsfeil

• Fuzz testing

– Fremprovoser feil i programvaren

– Bruk verktøy som sender tilfeldig og

misformet data inn i programvaren

– Test alle grensesnitt

• Penetrasjonstesting / sårbarhetsanalyse

– Kjøres før produksjonssetting og jevnlig

– Lovlig og autorisert forsøk på å finne og

utnytte sårbarheter


Produksjonssetting

• Utarbeid plan for hendelseshåndtering for effektiv

håndtering av hendelser som kan oppstå etter

produksjonssetting.

– Hva en hendelse er og hvilken livssyklus den har (omfatter å

detektere, analysere, rapportere, håndtere og normalisere)

– Ressurser, kontaktpunkt/responssenter, kontaktinformasjon,

responstid, kanaler, logger, rutiner, patching, evaluering mm.

– Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse


Forvaltning

• Håndtere hendelser og avvik etter planen

– Når akutte hendelser opptrer, er det viktig å bevare roen og å

bruke tid på å analysere hendelsen.

– Responsteamet skal kunne håndtere situasjonen, og vite hvem

som er i stand til å bygge, teste og installere oppdateringer.

– Responsteamet må vite hvilke prioriteringer som gjelder, samt

vite nøyaktig hva de kan og skal gjøre, og hvem de skal

kontakte når det virkelig er krise.

– Øv !!!


Forvaltning

• Forvaltning, drift og vedlikehold av programvaren

skal følge etablerte rutiner for hvordan

personvern og sikkerhet skal ivaretas over tid.


• Ha styringssystem for personvern

og informasjonssikkerhet

(internkontroll) som omfatter

anskaffelse, forvaltning, drift og

vedlikehold.

– Rutiner for regelmessige testing og

revidering, sikkerhetsovervåkning,

målinger, forbedring mm.

Referanser

Veiledere fra Datatilsynet:

• Hva betyr de nye personvernreglene for din virksomhet?https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/

• Programvareutvikling med innebygd personvernhttps://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/


https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/

https://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/

Documents

IN1030 Systemer, krav og konsekvenser...2020/04/16 · (Information Security Management) IN1030 2020 Innebygd informasjonssikkerhet 21 IT Security Operations Drift/Administrasjon