Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -

PublisertKaroline Corneliussen Endret for 7 år siden

Liknende presentasjoner

Presentasjon om: "Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -"— Utskrift av presentasjonen:

1 Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. - 20. mars 2007

2 20.3.2007Annikken.Seip@Kredittilsynet.no2 Det jeg skal snakke om Vidunderlige nye verden Skrækk og gru!! Bortenfor frykten Oppsummering

3 20.3.2007Annikken.Seip@Kredittilsynet.no3 Elektronisk informasjonsbehandling fra ende til annen Samlet informasjon om pasienter på sykehus GPS og RFID Nettbank

4 Fysiske dokumenter med underskrift Lover/offentlig myndighet Signatar Mottaker Signatur Dokument

5 20.3.2007Annikken.Seip@Kredittilsynet.no5 Aktører rundt digitale signaturer Signatar Sertifiseringsautoritet Nettverk Sertifikat Tekstbehandlings- verktøy Tilbakekallingsliste Digital signatur PC og basis programvare Mottaker Registreringsautoritet Lover/offentlig myndighet Dokument Signaturprogram Programvare- leverandør

6 20.3.2007Annikken.Seip@Kredittilsynet.no6 Egenskaper ”Lovlig overbelastning” Feile med et smell –Elektroniske valg –Falske positiver –Hvem sin risiko? Bare må ha det! –Hvem sin informasjon? –Biometri er en egenskap nær deg –Hvem sin PC? Sikkerhetskarusellen –Internett –Nettbank §§ §§ §§

7 20.3.2007Annikken.Seip@Kredittilsynet.no7 Egenskaper ved datateknologien Annen type hjelpemiddel enn papir og jern –0 eller 1, ikke kontinuitet –Trenger maskinvare for å se Vanskelig å få til det samme som på papir –Regelverket bør uttrykkes teknologiuavhengig –Vanskelig å implementere vurderinger Kompleksitet, sammenkoplinger, stor utbredelse –Klipp og lim * 1 000 000 –Flere aktører, veldig komplekst, mange feil –Andre typer angrep og fallgruver Vi tørr ikke fortelle beslutningstakere om alle risikoene –Hvem sin risiko?

8 20.3.2007Annikken.Seip@Kredittilsynet.no8 Stadig endringer! Store og hyppige endringer på regelverkssiden –Bokføringsloven Konflikter mellom økonomisk styring, leveranse til rett tid og å levere rett kvalitet. Bestillerkompetanse –Krevende å tilpasse allerede utviklede systemer til norske forhold –Krevende å utvikle systemer selv Opprettholde kompetanse innen teknologi og sikkerhet i Norge

9 20.3.2007Annikken.Seip@Kredittilsynet.no9 Elektroniske valg New Mexico 2002 –Elektronisk stemmegivning –48 000 avga stemmer –36 000 registrerte stemmer Demokrati –Kontrolltelle stemmesedler

10 20.3.2007Annikken.Seip@Kredittilsynet.no10 Datasystemer skal feile ”grasiøst” Falske positiver: –Å identifisere en person som terrorist som ikke er det. F.eks. 1 av 100, 99% korrekt Falske negativer: –Å identifisere en terrorist som ok. F.eks. 1 av 100 000, 99,999% korrekt 1 263 413 passasjerer på Gardermoen jan 07 –12 634 falske terrorister – 13 terrorister slapp igjennom i januar Alle terroristene som ikke fins i registrene

11 20.3.2007Annikken.Seip@Kredittilsynet.no11 Implementere elektronisk ID EU: Roadmap for eID Plan 2010 –Ser ingen risikoanalyse i opplegget eID-kort i Storbritannia –“..there is still much detailed planning work to be done, and we shall learn many lessons as we start to deliver.“ Pass i Storbritannia –RFID-brikken er avlesbar for uvedkommende –Chip garantert 1 år mot passets levetid som er 10 år –Automatiske systemer for ansiktsgjenkjenning er ikke pålitelige nok Politidirektoratet har ikke levert risikoanalyse for elektroniske pass til Datatilsynet

12 20.3.2007Annikken.Seip@Kredittilsynet.no12 Personvern og kryssende hensyn RFID-brikker –Kan leses på lang avstand –Standarder mangler –How would you like it if, for instance, one day you realized your underwear was reporting on your whereabouts? Trafikkinformasjon Identitetstyveri Biometriske egenskaper kan ikke byttes

13 20.3.2007Annikken.Seip@Kredittilsynet.no13 Google Earth PRIVACY POLICY Protecting users' privacy is very important to Google. As a condition of downloading and using the Software, you agree to the terms of the Google Privacy Policy at http://www.google.com/privacy.html, which may be updated from time to time and without notice. Information collected by Google in connection with your use of the Software may be stored and processed in the United States or any other country in which Google or its agents maintain facilities. Accordingly, by using the Software you consent to any transfer of such information outside of your country. You acknowledge and agree that Google may access, preserve, and disclose your account information if required to do so by law or in a good faith belief that such access preservation or disclosure is reasonably necessary to: (a) satisfy any applicable law, regulation, legal process or governmental request, (b) enforce these Terms and Conditions, including investigation of potential violations hereof, (c) detect, prevent, or otherwise address fraud, security or technical issues (including, without limitation, the filtering of spam), (d) respond to user support requests, or (e) protect the rights, property or safety of Google, its users, and the public.

14 20.3.2007Annikken.Seip@Kredittilsynet.no14 Angrep og forsvar i første halvdel av 2006 Angrep utvikles på 3 dager –Bl.a. mot MS, Sun, HP, IBM, Cisco, Oracle Forsvar utvikles på 31 dager Ondsinnet kode tilgjengelig ≥ 28 dager ? Tid Oppdagelses tidspunkt Lage patch 31 dager Utvikle angrep 3 dager Eksponeringstid

15 20.3.2007Annikken.Seip@Kredittilsynet.no15 Din Personlige Computer er ikke din lenger. MicroSoft følger med på det du gjør

16 20.3.2007Annikken.Seip@Kredittilsynet.no16 Kappløpet om sikkerhet Gerd Buer 8473 3392 1101 8735 187 65 Gerd Buer 8473 3392 1101 8735 Kort, relieff, magnetstripe, hologram, CVC, chip Gerd Buer 8473 3392 1101 8735 Kort, relieff, magnetstripe, hologram, CVC Kort, relieff, magnetstripe, hologram Kort, relieff, magnetstripe Kort, relieff Kort Fritt etter Chris Mitchell

17 20.3.2007Annikken.Seip@Kredittilsynet.no17 Vet du ikke at det er enklere med nettbank? Ansvar Mann-i-midten Ondsinnet kode Tvister FIN-forslag

18 20.3.2007Annikken.Seip@Kredittilsynet.no18 Jeg kan jo ikke noe om sikkerhet! Det er ikke brukerne som har laget PC-ene –Vi vet ikke nok om hvordan de virker –Vi kan ikke reparere dem hvis de blir angrepet –Man kan ikke kreve at folk skal ta ansvar hvis man ikke gir dem informasjon til å vurdere ut fra Løsninger –Stikke hodet i sanden –Ta ansvar

19 20.3.2007Annikken.Seip@Kredittilsynet.no19 - er det hardt arbeid Regelverk Risikovurdering Evaluering Opplæring

20 20.3.2007Annikken.Seip@Kredittilsynet.no20 Kredittilsynsloven § 9. Avviks- og endrings- håndtering § 10. Krav til kontinuitet § 11. Driftsavbrudd og katastrofeberedskap § 12. Utkontraktering § 13. Dokumentasjon § 14. Dispensasjon § 15. Ikrafttredelse § 1. Virkeområde § 2. Planlegging og organisering § 3. Risikoanalyse § 4. Kvalitet § 5. Sikkerhet § 6. Utvikling og anskaffelse § 7. Systemvedlikehold § 8. Drift § 3. Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. IKT-forskriften

21 20.3.2007Annikken.Seip@Kredittilsynet.no21 Mottatt svar på kontrollspørsmål Mottatt aktuell dokumentasjon IT-tilsynsom virkemiddel Gjennomgang Analyser IT-tilsynsmøte Tilsynsrapport Foretaket Merknader Foretaket Introduksjonsmøte Offentlige Unntatt offentlighet

22 20.3.2007Annikken.Seip@Kredittilsynet.no22 Subjektiv og objektiv risiko

23 20.3.2007Annikken.Seip@Kredittilsynet.no23 Risikovurdering En god øvelse i administrative avgjørelser Kostnadene ved feil vurdering av goder, sårbarheter og trusler Kostnadene ved potensiell skade Kostnadene ved å ta i bruk vernetiltak Kostnader ved å reparere skader Kostnader ved ikke å gjøre noe Kostnader som er vanskelige å måle (tillit) Risiko = sannsynlighet for uønsket hendelse * konsekvenser av hendelsen Hva er sikkert nok?

24 20.3.2007Annikken.Seip@Kredittilsynet.no24 Hvem sin risiko? En uønsket hendelse Lagre kopi i portalenGi eksterne tilgang lokalt Verdi for regelforvalter Konsekvens for regelforvalter Nytte for regelforvalter Verdi for informasjonseier Konsekvens for informasjonseier Nytte for informasjonseier Offentlig portal

25 20.3.2007Annikken.Seip@Kredittilsynet.no25 Tillit til systemer, produkter og organisasjoner 1. Stole på leverandørens forsikringer 2. Utføre egne tester 3. Få uttalelser fra en tredje part Selvdeklarasjon kan baseres på alle tre punktene Tredjeparten i punkt 3 kan være En bekjent, som bruker det samme systemet, Et uavhengig, tiltrodd, organ som er akkreditert til å utføre evalueringer og sertifiseringer

26 20.3.2007Annikken.Seip@Kredittilsynet.no26 Opplæring Bruk av internett i storskala er nytt –Opplæring i risikovurderinger og nytte-kostnadsanalyser Informasjonssikkerhet er noe nytt –1992: Sikkerhet var i kapittel 19 i bok om systemutvikling –2007: Sikkerhet er i kapittel 3 –Opplæring i sikkerhet for hele prosesser og systemer Stadig bedre forståelse for teknologien –Hva den kan brukes til –Sårbarheter og trusler –Aktuelle sikkerhetstjenester

27 20.3.2007Annikken.Seip@Kredittilsynet.no27 Konklusjon Ta ansvar selv –En hjelper kan ha andre interesser Lær om informasjonssikkerhet Kommunikasjon mellom profesjoner –Teknologer må formidle risikoer til sjefer –Krev forståelige svar av teknologene Diskuter sikkerhet, regleverk og standarder Skynd deg langsomt –Og ta backup! Ha reserveløsninger

28 20.3.2007Annikken.Seip@Kredittilsynet.no28 Oppsummering Teknologien har gitt oss flotte muligheter Det fins overveldende mange sikkerhetshull –Forstår ikke teknologiens særegenheter –Risiko- og konsekvensanalyser er ofte ufullstendige –Sikkerhetstjenester dekker ikke det de skal Tiltak –Ta ansvar, teknologi koster tid og ressurser –Lær om informasjonssikkerhet, kompetanse i Norge –Regelverk som sikrer fordeling av godene Skynd deg langsomt

Laste ned ppt "Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -"

Liknende presentasjoner

Konsekvenser av ny teknologi Over the course of a few years a new communications technology annihilated distance and shrank the world faster and further.

Konsekvenser av ny teknologi Over the course of a few years a new communications technology annihilated distance and shrank the world faster and further.
Hvem skal oppdra selgerne?

Hvem skal oppdra selgerne?
Hvordan utvikle og gjøre kandidater og parti kjent? - å drive kampanje.

Hvordan utvikle og gjøre kandidater og parti kjent? - å drive kampanje.
Kan det lages et felles internkontrollsystem i kommunen. Åre

Kan det lages et felles internkontrollsystem i kommunen. Åre
KVALITET I SKOLEN.

KVALITET I SKOLEN.
 Galls lov og erstatningsprosjekter Johannes Brodwall Chief scientist, Steria.

 Galls lov og erstatningsprosjekter Johannes Brodwall Chief scientist, Steria.
Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL, 2013-02-05.

Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL,
Medisinsk tekniske tjenester Organisering Internhandelmodellen Stig Koteng, avd.sjef, MTA MTFL, 27. mai 2009.

Medisinsk tekniske tjenester Organisering Internhandelmodellen Stig Koteng, avd.sjef, MTA MTFL, 27. mai 2009.
Levende HMS-system – hva betyr det i praksis?

Levende HMS-system – hva betyr det i praksis?
Leif Erik Nohr leif.erik.nohr@telemed.no Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr leif.erik.nohr@telemed.no.

Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Konsekvenser ved samlokalisering av IKT-systemer

Konsekvenser ved samlokalisering av IKT-systemer
Usikkerhet skal integreres i prosjektstyringen

Usikkerhet skal integreres i prosjektstyringen
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt. 2013 Eva Henriksen, Eva Skipenes,

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
Pasientsikkerhet i et brukerperspektiv

Pasientsikkerhet i et brukerperspektiv
Kvalitetssikring av analyser til forskningsbruk

Kvalitetssikring av analyser til forskningsbruk
Member Access www.rotary.org Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.

Member Access Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.
Kryptering og nettverkssikkerhet Third Edition by William Stallings.

Kryptering og nettverkssikkerhet Third Edition by William Stallings.
Method for evaluating authentication system quality Morten Sporild.

Method for evaluating authentication system quality Morten Sporild.
HMS i de lokale og regionale energibedriftene Hvordan ivaretar bedriftene helse, miljø og sikkerhet? KS Bedriftenes Møteplass 2011, 17.februar.

HMS i de lokale og regionale energibedriftene Hvordan ivaretar bedriftene helse, miljø og sikkerhet? KS Bedriftenes Møteplass 2011, 17.februar.
Terras jubileumskonferanse 22. november 2007 Tegn i tiden- for bank, finans og myndigheter Finn Hvistendahl, Styreleder Kredittilsynet.

Terras jubileumskonferanse 22. november 2007 Tegn i tiden- for bank, finans og myndigheter Finn Hvistendahl, Styreleder Kredittilsynet.

Liknende presentasjoner

Annonser fra Google