Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -

Liknende presentasjoner


Presentasjon om: "Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -"— Utskrift av presentasjonen:

1 Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen mars 2007

2 Det jeg skal snakke om Vidunderlige nye verden Skrækk og gru!! Bortenfor frykten Oppsummering

3 Elektronisk informasjonsbehandling fra ende til annen Samlet informasjon om pasienter på sykehus GPS og RFID Nettbank

4 Fysiske dokumenter med underskrift Lover/offentlig myndighet Signatar Mottaker Signatur Dokument

5 Aktører rundt digitale signaturer Signatar Sertifiseringsautoritet Nettverk Sertifikat Tekstbehandlings- verktøy Tilbakekallingsliste Digital signatur PC og basis programvare Mottaker Registreringsautoritet Lover/offentlig myndighet Dokument Signaturprogram Programvare- leverandør

6 Egenskaper ”Lovlig overbelastning” Feile med et smell –Elektroniske valg –Falske positiver –Hvem sin risiko? Bare må ha det! –Hvem sin informasjon? –Biometri er en egenskap nær deg –Hvem sin PC? Sikkerhetskarusellen –Internett –Nettbank §§ §§ §§

7 Egenskaper ved datateknologien Annen type hjelpemiddel enn papir og jern –0 eller 1, ikke kontinuitet –Trenger maskinvare for å se Vanskelig å få til det samme som på papir –Regelverket bør uttrykkes teknologiuavhengig –Vanskelig å implementere vurderinger Kompleksitet, sammenkoplinger, stor utbredelse –Klipp og lim * –Flere aktører, veldig komplekst, mange feil –Andre typer angrep og fallgruver Vi tørr ikke fortelle beslutningstakere om alle risikoene –Hvem sin risiko?

8 Stadig endringer! Store og hyppige endringer på regelverkssiden –Bokføringsloven Konflikter mellom økonomisk styring, leveranse til rett tid og å levere rett kvalitet. Bestillerkompetanse –Krevende å tilpasse allerede utviklede systemer til norske forhold –Krevende å utvikle systemer selv Opprettholde kompetanse innen teknologi og sikkerhet i Norge

9 Elektroniske valg New Mexico 2002 –Elektronisk stemmegivning – avga stemmer – registrerte stemmer Demokrati –Kontrolltelle stemmesedler

10 Datasystemer skal feile ”grasiøst” Falske positiver: –Å identifisere en person som terrorist som ikke er det. F.eks. 1 av 100, 99% korrekt Falske negativer: –Å identifisere en terrorist som ok. F.eks. 1 av , 99,999% korrekt passasjerer på Gardermoen jan 07 – falske terrorister – 13 terrorister slapp igjennom i januar Alle terroristene som ikke fins i registrene

11 Implementere elektronisk ID EU: Roadmap for eID Plan 2010 –Ser ingen risikoanalyse i opplegget eID-kort i Storbritannia –“..there is still much detailed planning work to be done, and we shall learn many lessons as we start to deliver.“ Pass i Storbritannia –RFID-brikken er avlesbar for uvedkommende –Chip garantert 1 år mot passets levetid som er 10 år –Automatiske systemer for ansiktsgjenkjenning er ikke pålitelige nok Politidirektoratet har ikke levert risikoanalyse for elektroniske pass til Datatilsynet

12 Personvern og kryssende hensyn RFID-brikker –Kan leses på lang avstand –Standarder mangler –How would you like it if, for instance, one day you realized your underwear was reporting on your whereabouts? Trafikkinformasjon Identitetstyveri Biometriske egenskaper kan ikke byttes

13 Google Earth PRIVACY POLICY Protecting users' privacy is very important to Google. As a condition of downloading and using the Software, you agree to the terms of the Google Privacy Policy at which may be updated from time to time and without notice. Information collected by Google in connection with your use of the Software may be stored and processed in the United States or any other country in which Google or its agents maintain facilities. Accordingly, by using the Software you consent to any transfer of such information outside of your country. You acknowledge and agree that Google may access, preserve, and disclose your account information if required to do so by law or in a good faith belief that such access preservation or disclosure is reasonably necessary to: (a) satisfy any applicable law, regulation, legal process or governmental request, (b) enforce these Terms and Conditions, including investigation of potential violations hereof, (c) detect, prevent, or otherwise address fraud, security or technical issues (including, without limitation, the filtering of spam), (d) respond to user support requests, or (e) protect the rights, property or safety of Google, its users, and the public.

14 Angrep og forsvar i første halvdel av 2006 Angrep utvikles på 3 dager –Bl.a. mot MS, Sun, HP, IBM, Cisco, Oracle Forsvar utvikles på 31 dager Ondsinnet kode tilgjengelig ≥ 28 dager ? Tid Oppdagelses tidspunkt Lage patch 31 dager Utvikle angrep 3 dager Eksponeringstid

15 Din Personlige Computer er ikke din lenger. MicroSoft følger med på det du gjør

16 Kappløpet om sikkerhet Gerd Buer Gerd Buer Kort, relieff, magnetstripe, hologram, CVC, chip Gerd Buer Kort, relieff, magnetstripe, hologram, CVC Kort, relieff, magnetstripe, hologram Kort, relieff, magnetstripe Kort, relieff Kort Fritt etter Chris Mitchell

17 Vet du ikke at det er enklere med nettbank? Ansvar Mann-i-midten Ondsinnet kode Tvister FIN-forslag

18 Jeg kan jo ikke noe om sikkerhet! Det er ikke brukerne som har laget PC-ene –Vi vet ikke nok om hvordan de virker –Vi kan ikke reparere dem hvis de blir angrepet –Man kan ikke kreve at folk skal ta ansvar hvis man ikke gir dem informasjon til å vurdere ut fra Løsninger –Stikke hodet i sanden –Ta ansvar

19 - er det hardt arbeid Regelverk Risikovurdering Evaluering Opplæring

20 Kredittilsynsloven § 9. Avviks- og endrings- håndtering § 10. Krav til kontinuitet § 11. Driftsavbrudd og katastrofeberedskap § 12. Utkontraktering § 13. Dokumentasjon § 14. Dispensasjon § 15. Ikrafttredelse § 1. Virkeområde § 2. Planlegging og organisering § 3. Risikoanalyse § 4. Kvalitet § 5. Sikkerhet § 6. Utvikling og anskaffelse § 7. Systemvedlikehold § 8. Drift § 3. Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. IKT-forskriften

21 Mottatt svar på kontrollspørsmål Mottatt aktuell dokumentasjon IT-tilsynsom virkemiddel Gjennomgang Analyser IT-tilsynsmøte Tilsynsrapport Foretaket Merknader Foretaket Introduksjonsmøte Offentlige Unntatt offentlighet

22 Subjektiv og objektiv risiko

23 Risikovurdering En god øvelse i administrative avgjørelser Kostnadene ved feil vurdering av goder, sårbarheter og trusler Kostnadene ved potensiell skade Kostnadene ved å ta i bruk vernetiltak Kostnader ved å reparere skader Kostnader ved ikke å gjøre noe Kostnader som er vanskelige å måle (tillit) Risiko = sannsynlighet for uønsket hendelse * konsekvenser av hendelsen Hva er sikkert nok?

24 Hvem sin risiko? En uønsket hendelse Lagre kopi i portalenGi eksterne tilgang lokalt Verdi for regelforvalter Konsekvens for regelforvalter Nytte for regelforvalter Verdi for informasjonseier Konsekvens for informasjonseier Nytte for informasjonseier Offentlig portal

25 Tillit til systemer, produkter og organisasjoner 1. Stole på leverandørens forsikringer 2. Utføre egne tester 3. Få uttalelser fra en tredje part Selvdeklarasjon kan baseres på alle tre punktene Tredjeparten i punkt 3 kan være En bekjent, som bruker det samme systemet, Et uavhengig, tiltrodd, organ som er akkreditert til å utføre evalueringer og sertifiseringer

26 Opplæring Bruk av internett i storskala er nytt –Opplæring i risikovurderinger og nytte-kostnadsanalyser Informasjonssikkerhet er noe nytt –1992: Sikkerhet var i kapittel 19 i bok om systemutvikling –2007: Sikkerhet er i kapittel 3 –Opplæring i sikkerhet for hele prosesser og systemer Stadig bedre forståelse for teknologien –Hva den kan brukes til –Sårbarheter og trusler –Aktuelle sikkerhetstjenester

27 Konklusjon Ta ansvar selv –En hjelper kan ha andre interesser Lær om informasjonssikkerhet Kommunikasjon mellom profesjoner –Teknologer må formidle risikoer til sjefer –Krev forståelige svar av teknologene Diskuter sikkerhet, regleverk og standarder Skynd deg langsomt –Og ta backup! Ha reserveløsninger

28 Oppsummering Teknologien har gitt oss flotte muligheter Det fins overveldende mange sikkerhetshull –Forstår ikke teknologiens særegenheter –Risiko- og konsekvensanalyser er ofte ufullstendige –Sikkerhetstjenester dekker ikke det de skal Tiltak –Ta ansvar, teknologi koster tid og ressurser –Lær om informasjonssikkerhet, kompetanse i Norge –Regelverk som sikrer fordeling av godene Skynd deg langsomt


Laste ned ppt "Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -"

Liknende presentasjoner


Annonser fra Google