1

IT-sikkerhed i Københavns Kommune

Andreas Hare // KS It-driftscenter

Andreas.hare@ks.kk.dk Tel: 26286364

04-02-2016

Agenda

1. Ransomware i Københavns Kommune

2. Generelt indblik i IT-Sikkerhed i Københavns Kommune

04-02-2016

3

Ransomware i Københavns kommune

Andreas Hare It-Driftscenter

4

Pakkeleg…

•

5

Overskydende skat i Norge

• Fra: Skatteetaten - Skatt i Norge [mailto:server@ccnetwork.com] Sendt: 30. november 2015 10:03 Til: Emne: Skatt 4550,17 KRN validation&h=4C5C05500D59 Prioritet: Høj

•

• Kjære kunde,

• Våre rapporter viser at du har rett til en skatterefusjon: 4550,17 KRN. Fyll ut skjemaet før 02/12/2015.

• >>> Klikk her for å få tilgang til skatterefusjon. : http://www.Skatteetaten.no/?p=msg&t=validation&h=e4562f61a7cf5b488827ce9d60bad3dd

• Den raskeste og enkleste måten å få refusjon er en direkte innskudd til din personlige / sparekonto.

• Copyright © 2015 Skatteetaten

6

7

RANSOMWARE I KK

KK har været udsat for 4 større angreb det seneste år

Opdages ved at bruger ringer ind

Kriseberedskab aktiveres

400 brugere modtog mails med links til ransomware

Ca. 10 % klikkede og eksekverede

150.000 filer blev krypteret

Flere tusinde brugere kunne ikke skrive på fællesdrev

Produktionen siden seneste backup forsvandt

8

Mailscanner AV/MV

@

FW

CSIS

X X

X

X

X

Mange forhindringer!!

9

Det sker igen!

Vi kan ikke sikre os mod at blive ramt…

Jeg må være ærlig og sige, at man kan være nervøs for, hvad de her kriminelle hjerner finder på næste gang. (Citat: Stig Lundbech, Metroexpress)

Fra meget reaktiv til proaktiv adfærd

Nuværende proces

Servicedesk orienterer visitator i IT-Driftcenter

Vurderer problemet

Eskalerer til teknikere

Kommunikation til berørte brugere

Problemhåndtering

Bruger(e) disables i AD

PCen afhentes

Berørte drev/shares sættes i read only

Mails af samme type slettes hos andre brugere

Orienterer CSIS

Når problemet er inddæmmet køres backup

10

Hvordan proaktivitet??

Overvågning/logning af mistænkelig brugeradfærd (Alarmer)

Sandboxing værktøj Netværksscanning Bruger kan ikke hente exe.filer Etablering af overvågningsteam Test af beredskab – klare roller Udarbejd procedurer Løbende Awareness kampagner Har en pålidelig backup…

04-02-2016

?

12

IT-sikkerhed i Københavns Kommune

Andreas Hare

/ KS It-driftscenter

04-02-2016

Formål med it-sikkerhed

at sikre kommunens og borgernes oplysninger mod misbrug og uvedkommende adgang

at beskytte kommunes it-systemer og andre it-aktiver

at sikre mod datatab

at sikre mod besvigelse og økonomisk tab

at sikre at borgernes og virksomheders oplysninger behandles med den fornødne fortrolighed og integritet

at beskytte medarbejdere

04-02-2016

Fokus på IT-Sikkerhed

Efterslæb og manglende fokus på området

Modenhedsanalyse i sommeren 2014 viste at Københavns Kommune ikke havde nok fokus på IT-Sikkerhed

Der EU og national fokus på området, gældende lovgivning bliver strammet op – ny EU forordning

Borgerrådgiveren har kritiseret at KS ikke laver tilstrækkeligt tilsyn med om forvaltningerne overholder It-sikkerhedsregulativet

04-02-2016

Det aktuelle trusselsbillede

Avancerede angreb fra statslige aktører, spionage og kriminelle. DDoS angreb: hackere blokerer for brug af webtjenester Malware på traditionelle enheder (ondsindede programmer) Ransomware – kryptering og krav om løsesum Mobile enheder er svære at styre Godtroende brugere sender oplysninger rundt Privilligerede brugere Medarbejdere med adgang til borgerdata og udbetalingssystemer Manglende overblik over medarbejderes rettigheder Mange ubeskyttede lokationer KK har det hele!

04-02-2016

Hvordan imødegås truslerne?

0. Handlingsplan

1. Processer

2. Ledelse

3. Protection

4. Monitorering

5. Awareness

04-02-2016

Handlingsplan BR 2015

SIEM – overvågning / logningsløsning

Administratorrettigheder på PC - er gennemført

Ekstern overvågning af hjemmesider og IP-adresser – CSIS mv. - er i drift

802.1X indføres

Webscanner – kk.dk og multisites – er i drift

IDM-foranalyse – tildeling af rettigheder på baggrund af jobfunktion og mulighed for ledelsestilsyn – BC klar primo 2016

Flere årsværk til at arbejde med IT-sikkerhed fra 2016

04-02-2016

Processer

Sikre beskrevne processer hvis det går galt Optimere processer i forhold til sikkerhedsvurderinger (Sikkerhed

vurderes som en klods om benet) ISO 27001/2 Risikovurderinger af infrastruktur Beredskabsplaner Sundhedscheck af systemer (dokumentation, driftsstabilitet) Etablere grundlag for logning, proces for logning, mulighed for udtræk

af lister til brug for ledelsestilsyn Etablere proces for at overtage ansvar for opfølgning på hændelser –

central logning Undervisning af systemejere ITIL processer Årshjul for og gennemførelse af ledelsestilsyn

04-02-2016

19

Ledelse

Prioritering af arbejdet med sikkerhed – sikkerhed er kommet på agendaen

Ledelsesforum for it-sikkerhed Den personaleansvarlige leder skal sikre, at

medarbejderne kender og overholder regler og retningslinjer på it-sikkerhedsområdet.

Sikre at ledere er bekendte med deres ansvar Generel information om det ledelsesmæssige ansvar

for it-sikkerheden. Gennemførelse af ledelsestilsyn og kontroller på it-

sikkerhedsområdet Se https://vimeo.com/117152615

Oktober 2015

Protection - Vi har ”næsten” det hele

Firewall Antivirus/malwarebeskyttelse Netværksscanning Trafik analyse APT prevention Mailscanning SIEM/logning Sikker mail Patchning/årshjul Virtuel patchning EMM/MDM Secure DNS Ddos beskyttelse Dubleret infrastruktur MRTG Fjernelse af lokaladministrator LAPS Segmentering af net og Firewall 802.1x Skærpet fysisk overvågning/adgangskontrol MV…..

04-02-2016

Monitorering

Overvågning af kritisk infrastruktur (24/7)

Etablering af overvågnings og analyseenhed

SIEM – overvågning / logningsløsning

Ekstern overvågning af hjemmesider og IP-adresser – CSIS mv.

Webscanner – kk.dk og multisites

IDM-foranalyse – tildeling af rettigheder på baggrund af jobfunktion og mulighed for ledelsestilsyn – BC klar primo 2016

04-02-2016

Awareness

Awarenesskampagner (ledere og medarbejdere)

Løbende information og artikler om sikkerhed

Et site på intranettet, hvor man kan se information om sikkerhed

Orientering om grundlæggende sikkerhedsregler i ansættelsesbrev

Informationsmøder med forvaltningerne

04-02-2016

04-02-2016

?