Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
IN1030
Systemer, krav og konsekvenser
Innebygd informasjonssikkerhet
Audun Jøsang
Institutt for Informatikk
Universitetet i Oslo
16. april 2020
God og dårlig oversettelse
Engelsk
• Security
• Safety
• Certainty
• Security
• Safety
• Certainty
Norsk
• Sikkerhet
• Trygghet
• Visshet
• SikkerhetDårlig
God
IN1030 2020 Innebygd informasjonssikkerhet 2
Hva er sikkerhet ?
Sikkerhet er beskyttelse av verdier mot skadeeiendom, infrastruktur, demokrati, liv/helse, miljø, informasjon
– Fysisk sikkerhet (hindre innbrudd og tyveri)
– Samfunnssikkerhet (opprettholdelse av kritisk infrastruktur)
– Nasjonal sikkerhet (politisk stabilitet)
– Trygghet (beskyttelse av liv og helse)
– Miljøsikkerhet (hindre forurensing og fremmede arter)
– Informasjonssikkerhet og personvern
IN1030 2020 Innebygd informasjonssikkerhet 3
Hva er informasjonssikkerhet ?
• Informasjonssikkerhet betyr å beskytte informasjonsressurser
mot skade.
• Hvilke informasjonsressurser skal beskyttes?
– Eksempel: data, programvare, konfigureringer, utstyr og infrastruktur
• Dekker både tilsiktet og utilsiktet skade
– Trusselagenter kan være mennesker eller naturlige hendelser
– Mennesker kan gjøre skade både tilsiktet og utilsiktet
• Definisjon av informasjonssikkerhet:
– Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet.
I tillegg kan andre egenskaper, f.eks. autentisitet, sporbarhet,
uavviselighet og pålitelighet omfattes. (ISO 27000:2016)
IN1030 2020 Innebygd informasjonssikkerhet 4
IN1030 2020 Innebygd informasjonssikkerhet 5
Generelle informasjonssikkerhetsmål: KIT+P
• Informasjonssikkerhet er tradisjonelt definert som
opprettholdelse av KIT:
• Engelsk: CIA
– Confidentiality
– Integrity
– Availability:
• Personopplysningsvern (data protection) er et tilleggsmål
som bl.a. forutsetter KIT.
Tilgjengelighet
Informasjons-
sikkerhet
Personopplysningsvern
Konfidensialitet
• Egenskapen av at informasjon ikke blir gjort tilgjengelig
eller vist til uautoriserte individer, entiteter eller
prosesser. (ISO 27000)
• Trusler:
– Datatyveri (ekstern trussel)
– Datalekkasje (intern trussel).
• Sikkerhetstiltak eksempler:
– Kryptering,
– Kryptografiske kommunikasjonsprotokoller, f.eks. TLS
– Autentisering og tilgangskontroll,
– Anonymisering, f.eks. gjennom pseudonym eller VPN
– Skallsikring
– Bevissthet
– …IN1030 2020 Innebygd informasjonssikkerhet 6
Integritet
• Dataintegritet: Egenskapen av at data ikke har blitt
endret eller slettet på en uautorisert måte. (X.800)
• Systemintegritet: Egenskapen av å opprettholde
korrekthet og kompletthet av dataressurser (ISO 27000)
• Trusler: Ødelagte data og miskonfigurerte systemer
• Sikkerhetstiltak eksempler:
– Kryptografisk integritetssjekk, hashing
– Konfigurasjonsstyring
– Endringsledelse
– Tilgangskontroll
– Skallsikring
– Sertifisert programvare
– Bevissthet
– …IN1030 2020 Innebygd informasjonssikkerhet 7
Tilgjengelighet
• Egenskapen av at data og tjenester er
tilgjengelige og anvendbare ved forespørsel
fra en autorisert entitet. (ISO 27000
• Trusler:
– Tjenestenekt (DoS / DDoS)
– Hindring av autorisert tilgang til ressurser
– Forsinkelse av tidskritiske funksjoner.
• Sikkerhetstiltak eksempler:
– Redundans av ressurser,
– Backup
– Hendelsesrespons og beredskap,
– Failover-konfigurasjon
IN1030 2020 Innebygd informasjonssikkerhet 8
Typer av autentisering
IN1030 2020 Innebygd informasjonssikkerhet 9
Autentisering
Entitets-
autentisering
Bruker-
authentisering
System-
autentisering
Data-
autentisering
Basert på
kryptografiske
teknikker,
f.eks MAC & DigSig
Basert på passord
og andre typer av
autentifikatorer
Basert på
kryptografiske
protokoller f.eks. TLS
Identitets- og tilgangshåndtering
IAMIdentity and Access Management
IN1030 2020 Innebygd informasjonssikkerhet 10
Tilgangs-
håndtering
Oppgi login-
identitet
Autentisering med
autentifikator(er)
Tilgangskontroll
Registrering av
ny identitet
Klargjøring av
autentifikator(er)
Tilgangs-
autorisering
Identitets-
håndtering
I konfigureringsfasen I driftsfasen
IAM scenarioSystem Owner Domain
Identity Provider
System Owner
Access approval function
registration
System resource
PAP
PAP: Policy Administration Point PEP: Policy Enforcement Point Configuration
PDP: Policy Decision Point IdP: Identity Provider Operations
policy
PDP
PEP
provisioning2
1
3
67
8
User
authentication
function
decision
access
request
request
authorization
request
resource &access type
5
4
log-on
Id
Cr+
User
IN1030 2020 11Innebygd informasjonssikkerhet
Personvern i grunnloven
• § 102: Enhver har rett til respekt for sitt privatliv og
familieliv, sitt hjem og sin kommunikasjon.
Husransakelse må ikke finne sted, unntatt i
kriminelle tilfeller. Statens myndigheter skal sikre et
vern om den personlige integritet.
IN1030 2020 Innebygd informasjonssikkerhet 12
IN1030 2020 Innebygd informasjonssikkerhet 13
Personopplysningsvern
Hva er det personopplysningsloven skal beskytte?
Er det kun sikkerheten rundt selve informasjonen ?
Nei – ikke bare det
En krenkelse av personvernet kan skje selv om du
beskytter personinformasjonen aldri så godt …
• … hvis informasjonen du har er feil
• … hvis personen selv skal bestemme om det er lov å innhente og
behandle informasjonen, men du har ikke fått samtykke
Personopplysningsvern er mer enn bare informasjonssikkerhet
IN1030 2020 Innebygd informasjonssikkerhet 14
10101
01101101
10110
Personopplysningsvern
Beskytte spesifikke aspekter ved informasjon som kan
relateres til fysiske personer (personinformasjon)
• Forhindre urettmessig innsamling og oppbevaring av
personinformasjon
• Forhindre urettmessig bruk av innsamlet personinformasjon
• Sørge for at personinformasjon er korrekt
• Sørge for åpenhet og innsyn
• Sørge for adekvat informasjonssikkerhet (KIT) rundt
personinformasjon
• Definere klar ansvarsfordeling
IN1030 2020 Innebygd informasjonssikkerhet 15
General Data Protection Regulation
Personvernforordningen (PVF)
• Tredde ikraft som lov i EU 25.05.2018, i Norge 20.07.2018
(Personopplysningsloven)
• Brudd kan medføre bøter opp til €20 mill. eller 4% av omsetning
• Håndheves av Datatilsynet
• EUs lovtekst (GDPR) oversatt uten endring, 99 artikler
• Art. 5: Prinsipper for behandling av personopplysninger
• Art. 25: Innebygd personvern
• Art. 32: Innebygd informasjonssikkerhet
• Krever at den behandlingsansvarlige har personvernombud
ved betydelig behandling av personopplysninger
IN1030 2020 Innebygd informasjonssikkerhet 16
Roller i GDPR
IN1030 2020 Innebygd informasjonssikkerhet 17
Den registrerte
(Data Subject)
Personopplysninger
(Personal Data)
Den behandlings-
ansvarlige
(Data Controller)
Databehandleren
(Data Processor)
(Data Protection Authority)
Databehandleravtale
(Data Processing Agreement)
Tilsyn
(Audit)
Art. 5: Prinsipper for behandling av
personopplysninger
1. Personopplysninger skal behandles med:
a) Lovlighet, rettferdighet og åpenhet
b) Formålsbegrensning
c) Dataminimering
d) Riktighet
e) Lagringsbegrensning
f) Integritet og konfidensialitet
2. Den behandlingsansvarlige har ansvar for pkt. 1 ovenfor.
IN1030 2020 Innebygd informasjonssikkerhet 18
Art. 25: Innebygd personvern og
personvern som standardinnsstilling
Det skal gjennomføres egnede tekniske og organisatoriske
tiltak for å sikre at det som standard bare behandles
personopplysninger som er nødvendige for spesifikke
formål. Dette gjelder mengden personopplysninger som
samles inn, omfanget av behandlingen av opplysningene,
hvor lenge de lagres og deres tilgjengelighet.
IN1030 2020 Innebygd informasjonssikkerhet 19
Art. 32: Sikkerhet ved behandlingen
Det skal gjennomføre egnede tekniske og organisatoriske
tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til
risikoen, herunder blant annet:
a) pseudonymisering og kryptering av personopplysninger
b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet
og robusthet i behandlingssystemene og -tjenestene,
c) evne til å gjenopprette tilgjengeligheten og tilgangen til
personopplysninger i rett tid ved tekniske hendelser
d) regelmessig testing, analysering og vurdering av hvor effektive
behandlingens tekniske og organisatoriske sikkerhetstiltak er
IN1030 2020 Innebygd informasjonssikkerhet 20
Begreper rundt ledelse av informasjonssikkerhet
(Information Security Management)
IN1030 2020 Innebygd informasjonssikkerhet 21
IT Security OperationsDrift/Administrasjon av informasjonssikkerhet
Information Security ManagementLedelse av informasjonssikkerhet
(Internkontroll)
InformationSecurity
GovernanceStyring
av informasjonssikkerhet
Oppfylle foretakets
mål.
Definere foretakets visjoner og
verdier. Balansere
eieres mål og prioriteter.
Styringshjulfor ledelse av informasjons-
sikkerhet
Ledelse av informasjonssikkerhet (ISO27001)
IN1030 2020 Innebygd informasjonssikkerhet 22
Plan-legging
Sikkerhetsrisiko-
vurdering
TiltakOppfølging og kontroll
Rapport-ering
Generell risikomodell for IT-sikkerhet
• Generell modell for risiko
– Jo mere verdier du har, jo flere trusler du er utsatt for, og jo mere
sårbar du er, desto større risiko har du.
IN1030 2020 Innebygd informasjonssikkerhet 23
Trusler Sårbarheter
Verdier
Risiko
Detaljert risikomodell
• Enhver risiko er et
resultat av et gitt
trusselscenario som kan
fører til en hendelse som
skader verdier.
• Motivasjon, kapasitet,
sårbarhet og konsekvens
bestemmer risikonivået.
IN1030 2020 Innebygd informasjonssikkerhet 24
Trusselaktør-
styrke
Sårbarhet for
trusselscenario
Sannsynlighet for (at
trusselscenario skal
forårsake) hendelseHendelsens
konsekvens
Konkret risikonivå
Trusselaktør-
motivasjon
Trusselaktør-
kapasitet
Forklaring:
har aspekt
bidrar til
Trussel-
scenario
Trusselaktør
Hendelse
Verdier, Trusler, Sårbarheter og Tiltak• Verdier: Informasjon av verdi.
– KIT (konfidensialitet, integritet og tilgjengelighet) for data og
systemressurser tilhørende organisasjoner
– Personopplysningsvern for de registrerte (privatpersoner)
• Trussel: Et potensielt angrepsscenario som styres eller
trigges av en trusselaktør, og som kan ha negative
konsekvenser for verdier (brudd på sikkerhet/personvern)
• Sårbarhet: Fravær av sikkerhetstiltak mot trusler.
• Sikkerhetstiltak (Security Control): Metode for å forhindre
trusler eller redusere konsekvenser
IN1030 2020 Innebygd informasjonssikkerhet 25
Trinn 1
Trusselaktør
Trinn 2 Trinn 3
Trusselscenario / Angrep
utfører skaper hendelse
verdiSårbarheter
konsekvens
Ingen sårbarhet
uten en trussel
IN1030 2020 Innebygd informasjonssikkerhet 26
Ny trussel
oppstod i 2016
Trussel blokkert
(dvs. sårbarhet fjernet)
Nice
Berlin
London
Barcelona
Trusselmodellering
• Nye trusler oppstår hele tiden (trusselinnovasjon)
• Utfordringen er å identifisere relevante trusler
• Tenk: Hva kan skje? Hvordan kan våre verdier skades?
Hvem kunne være interessert i å skade oss og hvordan?
IN1030 2020 Innebygd informasjonssikkerhet 27
Front-end
webtjener
Back-end
app. logikk
MySQL
databaseInternett
KlientplattformBruker
Trusselaktør med angrepsmålsettinger
Trusselscenarier
Mange risikoer
• Flere ulike trusler (scenarier) kan identifiseres
• Hver trussel kan potensielt forårsake en sikkerhetshendelse
• Hver potensielle hendelse har et risikonivå
• Mange trusler ⇒ mange risikoer
•
IN1030 2020 Innebygd informasjonssikkerhet 28
Trussel 1 Hendelse 1 Risiko 1
Trussel 2 Risiko 2
Trussel 3 Risiko 3
Hendelse 2
Hendelse 3
Innebygd informasjonssikkerhet 29
Strategier for risikostyring
• Etter å ha fullført risikovurderingen, må sikkerhetsteamet velge
en av fire strategier for å kontrollere hver risiko:
1. Redusere risikoen med sikkerhetstiltak (stoppe trussel
eller redusere konsekvens)
2. Dele/overføre risikoen til andre (cyberforsikring eller
outsourcing av aktivitet som medfører risiko)
3. Beholde risikoen (forstå og tolerere potensiell skade)
4. Unngå risikoen (stanse aktivitet som skaper risikoen)
IN1030 2020
Ris
iko
redu
ksjo
n($
)
Negativ ROI
Det lønner seg
ikke å innføre
sikkehetstiltaket
Null ROI
Gjør en vurdering
om det er
fornuftig å innføre
sikkerhetstiltaket
Positiv ROI
God grunn til
å innføre
sikkerhets-
tiltaket
ROI for sikkerhetstiltak (Return on Investment)
?
IN1030 202030
Innebygd informasjonssikkerhet
ROI =
Kostnad av sikkerhetstiltaket ($)
Risikoreduksjon − Kostnad av tiltak
Kostnad av tiltak
Tiltak/virkemidler/controller for
sikkerhet
IN1030 2020 Innebygd informasjonssikkerhet 31
Fysiske tiltak•Adgangskontroll
•Vektere
•Låser
•Overvåking
•Alarmer
•Utrykning
•Strøm / VVS
Tekniske tiltak•Brukerautentisering
•Tilgangskontroll
•Kryptografi
•Systemsikkerhet
•Nettverksikkerhet
•Inntrengingsalarm
•Digital etterforskning
Administrative
tiltak•Internkontroll / ISMS
•Policyer / Standarder
•Prosedyrer og praksis
•Bagrunnsjekk
•Bevissthetstrening
•Hendelseshåndtering
Informasjonssikkerhet
IN1030 2020 Innebygd informasjonssikkerhet 32
Sikkerhetstiltak – ulike faser
• Preventive tiltak: – Forhindre og avskrekke angrepsforsøk
• Eksempel: kryptering av filer for konfidensialitet
• Detektive tiltak: – Varsle angrep som forsøkes eller som allerede er skjedd.
Eksempel: Inntrengingsdeteksjon (IDS)
• Korrigerende tiltak:– Gjenopprette skade på dataressurser etter angrep.
• Eksempel: Hendelseshåndterering og hente backup vedødelagte data
• Det er alltid nødvendig å benytte en kombinasjon av tiltak fra alle tre faser for å opprettholde dekkende beskyttelse.
Sikkerhetstjenester og tiltak/controller
• Sikkerhetsmål
– Uavhengig av spesifikk implementering
– Kan implementers med ulike tiltak/controller
• Sikkerhetstiltak / controller / mekanismer
– Basert på spesifikk implemntering, ofte bundet til spesifikke
produkter
IN1030 2020 Innebygd informasjonssikkerhet 33
f.eks. konfidensialitet – integritet – tilgjengelighet
f.eks. låser – kryptering – bevissthet
Sikkerhetstjenester:
Sikkerhetstiltak/controller:
støtter
Innebygd personvern og
informasjonssikkerhet
Veileder fra Datatilsynet
• Rutiner for metode
• Regler for koding
• Verktøyvalg
• Gjennomtenkt testing
• Gjør nødvendige sikkerhetstiltak
Oppsummering: Programmer seriøst!
IN1030 2020 Innebygd informasjonssikkerhet 34
Opplæring i personvern og
informasjonssikkerhet
• Mål: Basiskunnskap og forståelse for personvern og
informasjonssikkerhet, og risiko tilknyttet dette
• Hva skal det gis opplæring i: Når og hvorfor
personvern og informasjonssikkerhet er viktig i de
ansattes daglige arbeidsoppgaver.
• Suksesskriterier er at virksomheten har etablert
retningslinjer for personvern og informasjonssikkerhet,
og at det gis opplæring i disse retningslinjene
IN1030 2020 Innebygd informasjonssikkerhet 35
Krav til sikkerhet og personvern
• Definer type personopplysninger som skal behandles
• Definer behandlingsansvarlig og databehandler
• Hvem er 3.parts mottager av personinformasjon
• Åpenhet, vis hvilken informasjon som lagres, så den
registrerte kan ivareta sine rettigheter.
• Velg adekvate tiltak for informasjonssikkerhet
• Dokumenter
IN1030 2020 Innebygd informasjonssikkerhet 36
To typer personvernrisiko
Tilfelle og konsekvens av
personvernhendelser
(Personvernkonsekvens) f.eks.:
• Urettmessig diskriminering basert
på personinfo og profilering
• Re-identifisering basert på data
som skal være anonyme eller
pseudonym
• Uønsket innsamling
• Lagring lenger enn nødvendig
• … (se neste side)
Vurderes med DPIA (Data
Protection Impact Assessment) Personvernkonsekvensanalyse, Art.29
Sannsynlighet og
konsekvens av
sikkerhetshendelser, f.eks.:
• Brudd på KIT (konfidensialitet,
integritet, tilgjengelighet) for
personinfo.
• Tyveri og publisering av
personinfo
Vurderes med
sikkerhetsrisikoanalyse.
IN1030 2020 Innebygd informasjonssikkerhet 37
Design av innebygd personvern
• Dataorienterte designkrav:
– Minimer innhenting - «Select before you collect»
– Minimer prosessering og overføring - «gjem og skjul»
– Separer behandlinger
– Personvern som standardinnstilling
• Prosessorienterte designkrav
– Styre
– Håndheve
– Informere
– Demonstrere
IN1030 2020 Innebygd informasjonssikkerhet 38
Design av innebygd sikkerhet
• Analyser angrepsflaten på det planlagte systemet og
vurdere hvordan man kan redusere muligheter til å utnytte
eventuelle svake punkter og sårbarheter.
• Trusselmodellering for å se om det fins mulighet for
misbruk av tilgangspunkter, funksjoner, og dataflyt i systemet
– avdekke relevante trusselscenarier for misbruk av programvaren
– hvordan designet kan forbedres for å stoppe trusselscenarier
(dvs. å fjerne sårbarheter)
• Resultatet er et mer herdet og robust sluttprodukt.
IN1030 2020 Innebygd informasjonssikkerhet 39
Sikker koding
• Beskriv bruksområde for
koden
• Vurder trusselmodeller fra
design-fasen
• Vurder sårbarheter i
støttekomponenter
• Vurder sårbarheter i
verktøy
• Sørg for at sårbarheter er
fjernet eller tilstrekkelig
redusert
IN1030 2020 Innebygd informasjonssikkerhet 40
Test om kravene er implementert
• Er personvern- og
sikkerhetskrav ivaretatt gjennom
design og koding?
• Er kravene riktig implementert?
• Er alle komponenter med?
IN1030 2020 Innebygd informasjonssikkerhet 41
Sikkerhetstesting
• Dynamisk testing
– Test funksjonalitet i kjørende kode
(verktøy eller manuelt)
– Undersøk ulike brukerrettigheter, også
ved simulerte sikkerhetsfeil
• Fuzz testing
– Fremprovoser feil i programvaren
– Bruk verktøy som sender tilfeldig og
misformet data inn i programvaren
– Test alle grensesnitt
• Penetrasjonstesting / sårbarhetsanalyse
– Kjøres før produksjonssetting og jevnlig
– Lovlig og autorisert forsøk på å finne og
utnytte sårbarheter
IN1030 2020 Innebygd informasjonssikkerhet 42
Produksjonssetting
• Utarbeid plan for hendelseshåndtering for effektiv
håndtering av hendelser som kan oppstå etter
produksjonssetting.
– Hva en hendelse er og hvilken livssyklus den har (omfatter å
detektere, analysere, rapportere, håndtere og normalisere)
– Ressurser, kontaktpunkt/responssenter, kontaktinformasjon,
responstid, kanaler, logger, rutiner, patching, evaluering mm.
– Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse
IN1030 2020 Innebygd informasjonssikkerhet 43
Forvaltning
• Håndtere hendelser og avvik etter planen
– Når akutte hendelser opptrer, er det viktig å bevare roen og å
bruke tid på å analysere hendelsen.
– Responsteamet skal kunne håndtere situasjonen, og vite hvem
som er i stand til å bygge, teste og installere oppdateringer.
– Responsteamet må vite hvilke prioriteringer som gjelder, samt
vite nøyaktig hva de kan og skal gjøre, og hvem de skal
kontakte når det virkelig er krise.
– Øv !!!
IN1030 2020 Innebygd informasjonssikkerhet 44
Forvaltning
• Forvaltning, drift og vedlikehold av programvaren
skal følge etablerte rutiner for hvordan
personvern og sikkerhet skal ivaretas over tid.
IN1030 2020 Innebygd informasjonssikkerhet 45
• Ha styringssystem for personvern
og informasjonssikkerhet
(internkontroll) som omfatter
anskaffelse, forvaltning, drift og
vedlikehold.
– Rutiner for regelmessige testing og
revidering, sikkerhetsovervåkning,
målinger, forbedring mm.
Referanser
Veiledere fra Datatilsynet:
• Hva betyr de nye personvernreglene for din virksomhet?https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/
• Programvareutvikling med innebygd personvernhttps://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/
IN1030 2020 Innebygd informasjonssikkerhet 46