Upload
dansk-it
View
175
Download
4
Embed Size (px)
Citation preview
10 teser om sikkerhed i balanceRasmus Theede, formand, Rådet for Digital Sikkerhed
Indlæg på DANSK IT’s konference It-sikkerhed 2016Onsdag den 3. februar 2016
Cyber: Fast and furious
DANSK IT FEB 16
03-02-2016
RASMUS THEEDE
Twitter: @RtheedeWeb: www.digitalsikkerhed.dk
Chief Security Officer, Vice President (2013-)KMDGroup responsible for Identity & Access, Quality, Information Security, Internal Audit and Physical Security.
Chief Information Security Officer (2011-2013)NNITGroup responsible for Identity & Access, Quality, Information Security, Internal Audit and Physical Security.
General Manager (2001-2011)A.P.Moller-MaerskGlobal Responsible for information security infrastructure in the A.P.Moller-Maersk Group
Chief Security Officer, Vice President (1994-2000)Royal Danish NavyLeader in the Danish defense with specialty in "Electronic Warfare" and "Combat Information".
Chairman of the Board (2014-)Danish Council for Digital SecurityThe council is a independent member organization with highly specialized knowledge and experience within information security and data privacy.
The internet of
everything
SKAKMAT
Voksende
trussel
Offentlige og private
institutionerLeverandørerne
Mistillid
Det sker, men
Hvad?
Hvem?
Hvornår?
Hvad er cybertruslerne i 2016?
03-02-2016 7
0
5
10
15
20
25
30
Crimeware Cyberspionage
Insidermisbrug
Hacking Fejl Tab / tyveri DDOS
Årsager til datatab, gennemsnit
Hvem tuer os?
03-02-2016 8
Spionage Hacking Crimeware Denial of Service
POS Andet
Aktivister 5% 61% 3% 31%
Organiseret kriminalitet 20% 73% 6%
Statsstøttet 97% 3%
Opportunister 5% 15% 40% 3% 7% 30%
Rundt om
sikkerhed
Adfærd Strategi
Teknik Processer
03-02-2016 10
Interne krav
Eksterne krav
Brugerkrav
Deadlines
Regulativer
Burgervenlighed
Bemanding
Økonomi
Milestones
Driftsstabilitet
Sikkerhed
STRATEGI:
Sikkerhed skal
balancere!
STRATEGI: Angreb lykkedes hurtigere, vi opdager dem
langsommere
03-02-2016 11
Tid for angreb
Tid for opdagelse
STRATEGI: Cyberspionage, avancerede,
stædige, mange, hvem?
03-02-2016 12
03-02-2016 13
Eksterne angreb
Interne angreb
Partner angreb
STRATEGI: Intern vs. eksterne
TRE grunde til at organisationen ikke forstår SIKKERHED:
1. De sikkerhedsansvarlige taler et sprog som folk uden
for sikkerhedsorganisationen ikke forstår
2. Organisationen forstår ikke risikoappetit og
trusselsbillede
3. Sikkerhedsledere forsøger ofte at udvikle tekniske
strategier uden strategisk forretningsforankring
De vigtigste dele af sikkerhedsstrategien:
• Sikkerhedsstrategien skal støtte op om forretningsstrategien
• Den øverste ledelse skal tage ansvar for sikkerheden i
organisationen
• Organisationen skal kende sin risikoprofil. Hvad vil virksomheden
med informationssikkerhed og hvorfor?
• Medarbejderne skal forstå hvad organisationen vil med sikkerhed
Kommunikation: hvorfor fejler sikkerheden?
STRATEGI: Beskytter vi alt beskytter vi intet
03-02-2016 15
0-Tolerance
Det skal vi have styr på
Det acceptere vi
San
dsy
nlig
hed
Konsekvens
03-02-2016 16
0-Tolerance
Det skal vi have styr på
Accept
0-Tolerance
Det skal vi have styr på
Accept
0-Tolerance
Det skal vi have styr på
Accept
Forsvaret IT-Leverandør Shipping
Hvilken risici vil vi tage? Tre eksempler.
STRATEGI: Truslerne er branchespecifikke.
03-02-2016 17
Finans Sundhed Produktion Offentlig Detail Information
Crimeware 36 1 34 51 11 14
Cyber Spionage 0 4 60 5 0 37
DDOS 0 0 0 0 0 0
Tyveri / Tab 2 16 0 3 0 2
Fejl 7 32 0 23 0 5
Card Skimmers 14 0 0 0 10 0
POS 0 12 0 0 70 0
Insider 11 16 4 11 3 7
Hacker 31 9 1 6 5 35
PROCESS: Vi skal have styr på den basale IT hygiejne!
03-02-2016 18
Basal IT hygiene90%
Advancerede angreb
9%
Sucessfulde angreb1%
• Dårlig ændringsstyring• Manglende logning• Svag adgangskontrol• Almindelig vira• Sårbarheder• Svag arkitektur• Manglende overblik• Skygge IT
99.9% af alle sårbarheder bliver udnyttet mere end et år efter at de
er blevet kendt
03-02-2016 19
PROCESS: VI SKAL HELE VEJEN RUNDT…IGEN OG
IGEN
Data Leak
Legal TrafikPORTSCAN
IOC
Abnormality IOCData Leak
Vi skal have forståelse for teknikken
03-02-2016 21
Denial of Service Protection
State full inspection
Firewalls
VPN
Intrusion Detection
Anti Malware Anti Spam
Advance Persistent Threat
Detection
Log Management
Web Security Gateway
FEJL!
”Det gjorde jeg bare ikke” – Sender forkert data til forkerte modtagere – 30%
”Åh nej” – Publicerer fortrolige data på Internettet – 17%
”Ups!” – Usikker destruktion af fortrolige data – 12%
ADFÆRD
60% af alle fejl bliver begået af systemadministratorer
0 5 10 15 20 25 30 35
Fejllevering
Kapacitetsplanlægning
Publiceringsfejl
Fejldestruktion
Fejlkonfiguration
50% af brugere klikker på e-mail links inden for én time
ADFÆRD: Vi skal have medarbejderne med, hele vejen
03-02-2016 23
1. Sørg for at ledelsens holdning til sikkerhed er dokumenteret og kommunikeret klart til de ansatte.
2. Find og fasthold de rette sikkerhedsmedarbejdere. Eller få hjælp udefra.
3. Sørg før først og fremmest at uddanne medarbejdere i de mest basale sikkerhedskrav og sørg for løbende vedligeholdelse. Overvej om der skal der er grupper der har brug for særligt målrettet uddannelse
4. Mål på de ansattes sikkerhedskompetencer, og gør det til et målepunkt for virksomheden
5. Sørg for at sikkerhedsuddannelse er en del af det årlige budget
ADFÆRD: Uddan medarbejderne så det giver mening
Sikkerhedskompasset
03-02-2016 26
CodeX – trygiskolen.digital
03-02-2016 27