Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Informasjonssikkerhet og digitale signaturer

PublisertLena Simonsen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Informasjonssikkerhet og digitale signaturer"— Utskrift av presentasjonen:

1 Informasjonssikkerhet og digitale signaturer
Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet – hvilke trusler har vi og hvilke verdier bør vi beskytte Litt om sikkerhets- og sårbarhetsanalyse Hvor og hvordan kan vi sikre oss – noen eksempler på sikkerhetstiltak Litt om PKI og digital underskrift Sikkerhet og etikk - noen sammenhenger Førsteamanuensis Arild Jansen, AFIN, Universitetet i Oslo Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 1

2 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
En liten øvelse Hva er etter deres mening de tre viktigste sikkerhetstruslene truslene dere kan bli utsatt for Hvilke 3 sikkerhetstiltak (eller flere) mener dere er særlig viktig Mener dere sikkerheten på Universitetets datanett og maskiner er god nok ? Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

3 Definisjon av informasjonssikkerhet
Definisjon av informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for informasjonen og også for det informasjons- systemet informasjonen inngår i. Sagt på en annet måte Robuste og effektive informasjonssystemer, som gir korrekt informasjon til rette personer til rett tid Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

4 Noen viktige begreper til informasjonssikkerhet
Konfidensialitet Sikkerhet for at kun autoriserte brukere får tilgang til informasjonen. Eks: Kontrollere tilgang til filer på lokal PC, nettverk, databaser,… Integritet Sikkerhet for at informasjonen er fullstendig, nøyaktig og gyldig. Eks: Beskytte bankkonto, personregister, pasientinformasjon,… Tilgjengelighet Sikkerhet for at informasjonen er tilgjengelig for autoriserte brukere til rett tid. Eks: Sørge for at vi har tilgang til de ressurser (utstyr, programmer og data vi har rett til på og behov for ). Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

5 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
Viktige begreper (2) Autentisering Benyttes for å bevise at en bruker er den brukeren han eller hun utgir seg for å være. Eks: passord, pin-kode, pass,…. som bare jeg har Autorisasjon Benyttes for å gi en bruker tilgang til kun den informasjonen eller til det informasjonssystemet han eller hun skal ha tilgang til. Eks: at jeg som bruker har bestemte rettigheter på en PC Ikke-benekting (nonrepudiation) Benyttes for at en bruker ikke senere skal kunne nekte for at det er han eller hun som har utført handlingen. Eks: at jeg ikke kan fraskrive meg en avtale jeg har underskrevet Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

6 Hvorfor bør vi tenke (mer) på informasjonssikkerhet
Hvorfor bør vi tenke (mer) på informasjonssikkerhet Dere vil ha stadig mer av deres ”verdier” tilgjengelig på nettet Økonomiske forhold , personopplysninger (f eks. helseopplysninger) , annen informasjon dere er avhengig av eller er viktig for dere Krav om generell tilgjengelighet, men også økende avhengighet Sikkerhetshendelser som virus, spam, tyveri med mer kan skape store problemer for dere eller andre dere samhandler med Dette berører også oss privatpersoner mer enn før Økonomiske forhold Helseopplysninger Andre typer følsomme opplysninger Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

7 Noen problemområder og trusler
Noen problemområder og trusler På lokalt utstyr: Virus, ormer, hacking, informasjonskapler (cookies) Dårlig brukergrensesnitt som skaper ’unødvendige’ feil Menneskelige/organisatoriske feil I nettverket/infrastrukturen Avlytting, ødeleggelse/misbruk Tyveri av identitet, falske nettsteder, Trådløse nett innebærer spesielle sikkerhetsproblemer ”På sentrale ressurser Virus, ormer, hacking,.tjenestenekting, kapasitetsproblemer, .. Data- og informasjonskvalitet knyttet til både tekniske og organisatoriske forhold Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

8 Noen trusler ved bruk av IKT systemer
Noen trusler ved bruk av IKT systemer Feil bruk Slurv Misbruk av passord Lokalt utstyr Grensesnitt bruker - system Sentrale dataressurser Bruker Nettverk/infrastruktur Virus, ormer, hacking, Informasjonskapler (cookies) Dårlig brukergrensesnitt Menneskelige/ organisatoriske feil …. Avlytting,Tapping ødeleggelse/ misbruk Tyveri av identitet, (phishing), falske nettsteder Blokkering av tilgang hacking, Virus, ormer spam Misbruk, tjenestenekting, kapasitetsproblem Dårlig datakvalitet ……. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

9 Hvordan vurdere behov for sikring
Hvordan vurdere behov for sikring Forela en sikkerhets- og sårbarhetsanalyse: Hvilke verdier vil jeg beskytte Menneskeliv /helse, økonomi, informasjon,… Hvilke trusler kan inntreffe Innbrud, hacking, virus, misbruk, dårlig datakvalitet Hva er sannsynligheten for at disse trusler finner sted Stor, middels, liten , (ingen?) Hva blir konsekvensene (”skadekostnad”) Risikokostnad = skadekostnad * skadefrekvens Hvilke tiltak bør/må vi iverksette : En vurdering av utgifter til tiltak versus (potensielle kostnader ved et ”uhell”) Unødvendig strenge sikkerhetstiltak er ikke en god løsning Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

10 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
En enkel sårbarhetsanalyse: Skal jeg installere et reservekopieringsprogram hjemme Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

11 Eksempler på tekniske tiltak
Eksempler på tekniske tiltak Brukernavn og passord (som skiftes?), ++ Antivirus, spamfilter Restriktiv til cookies Begrense nedlasting (?) Reservekopiering Autentiserings- og autorisasjonsmekanismer Brannmur VPN (Virtual Private Network) Innbruddsdetektering, overvåkning,.. PKI (Offentlig nøkkel infrastruktur) og elektronisk signatur Filtrering av nettsider, Ulike personvernøkende teknologier Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

12 Eksempler på tiltak Sentrale dataressurser Nettverk/infrastruktur
Eksempler på tiltak Riktig bruk Slurv ikke Gjem passord Rutiner for Reservekopiering Reduser nedlasting, sjekk nettsteder,… Sentrale dataressurser Lokalt utstyr Grensesnitt bruker - system Bruker Nettverk/infrastruktur Brannmurer Kryptering Antivirus, spamfilter Autentiserings- og autorisasjons-mekanismer Innbruddsdetektering, overvåkning,.. Sikre nettet fysisk Antivirus, spamfilter Brukernavn/ passord Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

13 Internett og sikkerhet
Internett og sikkerhet Internett protokollene ble opprinnelig laget med tanke på en kommunikasjon basert på åpenhet og fleksibilitet, og ikke med tanke på sikkerhet. De første sikkerhetshendelser ble oppdaget fra midten og mot slutten av 1980-tallet. I dag skal ”alle” bruke Internett til ”alt”. Vår bruk av Internett blir overvåket, både ”lovlig” av programvareselskaper og tjenesteleverandører og ulovlig av alt fra nysgjerrige til organiserte kriminelle Med bakgrunn i den voldsomme økningen i bruk av Internett, er det utrolig viktig å ”tenke” sikkerhet. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

14 Litt om kryptering og digitale signaturer
Brukernavn og passord Brukernavn er kjent, passordet holdes skult, blir kodet i en database på lokal maskin eller server. Nettbank Symmetrisk og assymmetrisk kryptering SSL: (Secure Sockets layer ) En protokoll for sikker overføring av informasjon over Internett, basert krypteringsteknologi. Vanligvis URL som begynner med "HTTPS" , + liten gul hengelås nederst i høyre hjørnet i nettleservinduet. PKI: (public Key infrastruktur) : En felles løsning for digitale signaturer og sertifikater Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

15 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
Noen eksempler Oppdatere en hjemmeside: Elektronisk bank : Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

16 Hvorfor elektronisk ID og –signatur (PKI)?
Hvorfor elektronisk ID og –signatur (PKI)? Det har blitt stadig klarere at en infrastruktur for elektronisk ID og signatur er avgjørende for å realisere mange nye elektroniske tjenester. Det er vanskelig og dyrt å rulle ut og vedlikeholde nye sikkerhetsmekanismer, og offentlige virksomheter kan ikke gjøre dette hver for seg. Borgere har allerede altfor mange passord og PIN-koder å forholde seg til. Dette må forenkles. Elektronisk ID og signatur er den sikkerhetsmekanismen som møter fremtidens krav til sikkerhet og funksjonalitet. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

17 og hva kan det brukes til?
969 PKI – hva er det og hva kan det brukes til? Lånt fra : Katarina de Brisis Avdelings for IT-politikk, Fad Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

18 Hvordan virker digital signatur
Hvordan virker digital signatur Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

19 Asymmetrisk kryptografi – digital signatur
AVSENDER MOTTAKER Sender Signerer Verifiserer Avtale om.. Med hilsen Avtale om.. Med hilsen Offentlig signeringsnøkkel Privat signeringsnøkkel Sender Signerer Verifiserer 23700yyGhNNjZZ0868 Sender tilbake Privat autentiseringsnøkkel Offentlig autentiserinsgnøkkel Sender Krypterer gZZ45xxxCYY 9i6hhbg Dekrypterer Avtale om.. Med hilsen Privat krypteringsnøkkel Offentlig krypteringsnøkkel Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

20 (Sertifikatkontroll)
BankID-infrastruktur Bank (Sertifikatkontroll) Sertifikatholder Tjenesteavtale Sertifikatmottaker (Tjenestetilbyder) Interbank regler Kommunikasjons- behov VA-forespørsel Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

21 Anvendelsesområder Person- sertifikater Web-tjenester for publikum, autentisering og signering, formidling av vedtak fra forvaltningen E-post fra publikum til forvaltning Utveksling av informasjon/dokumenter mellom offentlige virksomheter Pålogging som ansatt eller som profesjonell Signering av meldinger, som ansatt eller som profesjonell, direkte eller indirekte Virksomhets- sertifikater Virksomhets- sertifikater Virksomhets- sertifikater Person- sertifikater anskaffet i yrkes-sammenheng Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

22 Web-tjenester for publikum
Web-tjenester for publikum Sjekk av nettstedets SSL-sertifikat Pålogging / autentisering Signering Borger Offentlig nettsted Sesjon som sikres (krypteres) med SSL Personsertifikat brukt til autentisering mot web-tjeneste og evt. signering Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

23 E-post mellom publikum og forvaltning
Personsertifikat brukt til pålogging på nettsted eller signering av epost Mottagers virksomhetssertifikat eller SSL brukes for kryptering Offentlig nettsted Signert/ autentisert Melding over web Borger Signert og kryptert Melding som epost Postmottak/ ekspedisjon Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

24 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Postmottak/ ekspedisjon Postmottak/ ekspedisjon Signert og kryptert melding ( epost ) Saksbehandler Saksbehandler Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Adresseliste m. mottageres Sertifikater (offentlig krypterings nøkkel) Dokumenter etc. sendes pr epost fra en virksomhet til en annen. Signert med (privat nøkkel tilhørende ) avsenders sertifikat OG Kryptert med (offentlig nøkkel tilhørende) mottagers sertifikat Eksempel 1 :Manuell bruk av sertifikat i ekspedisjon og postmottak Signeres med avsenders Virksomhetssertifikat, krypteres med mottagers. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

25 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Arkiv-/ saksbehandlingssystem Arkiv-/ saksbehandlingssystem Saksbehandler Saksbehandler Signert og kryptert melding Modul for automatisert sikker postgang Modul for automatisert sikker postgang (epost / web services / filutveksling) Adresseliste m. mottageres sertifikater (offentlig krypterings nøkkel) Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Eksempel 2: System-til-system kommunikasjon. Automatisert og integrert med virksomhetens arkiv- og saksbehandlingssystemer. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

26 Felles sikkerhetsportal
Felles sikkerhetsportal eID lev. 1 Andre Sikkerhetsportal Etater/ kommuner Min side AltInn Borgere og næringsliv eID lev. 2 Integrasjonsmodul eID/e-signatur Reg. tjeneste Sikkerhetsportalen integrerer løsninger fra tilbyderne av elektronisk ID og signatur i markedet, som tilfredstiller fellse Kravspesifikasjon for PKI (enten ved at de er blitt godkjent av den offentlige myndigheten, eller ved at det er gjennomført en frittstående sikkerhetsrevisjon). Dette gjør at offentlige virksomheter kan la borgerne benytte de sikkerhetsløsningene de allerede har fra andre sammenhenger, slik som smartkortet fra Norsk Tipping/Buypass og BankID-løsningen fra deres bank. Sikkerhetsportalen tilbyr sikker pålogging og signering av transaksjoner og dokumenter. Dette gjør det enkelt for offentlige virksomheter å tilby tjenester basert på elektronisk ID og signatur. De forholder seg kun til en avtalepart som er sikkerhetsportalen og får en enkel integrasjon mot denne, sikkerhetsportalen igjen håndterer de forskjellige leverandørene bak, både teknisk og avtalemessig. En sikkerhetsportal, er ikke noe borgeren ser. Den ligger bak de virkelige portalene og nettstedene, og blir koblet inn for å identifisere brukere og signere dokumenter når dette skal gjøres på de forskjellige nettstedene. Dette gjør at brukerne får et felles og kjent brukergrensesnitt å forholde seg til, for legitmering og signering på nett, uavhengig av offentlig virksomhet. I tillegg får de mulighet til å benytte den sikkerhetsløsningen de allerede har. Dette vil også gi muligheter for single sign-on på tvers av offentlige virksomheter. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 26

27 Sikkerhet, etikk og moral
Sikkerhet, etikk og moral Etikk: ”teori om rett og moral”, dvs. noen generelle, overordnede ”regler” eller retningslinjer (bud) som styrer ens atferd Handler om hva som er rett og galt og hvorfor Prinsipper for å handle riktig Er alle handliner som ikke er ulovlig også bra? Plikt-etikk og konsekvensetikk Forholdet mellom etikk og loven Eksempler på etikk i tilknytning til bruk av IKT Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

28 Konsekvensetikk og pliktetikk
Konsekvensetikk og pliktetikk Normer Hva er ”riktige” og ”gale” handlinger Handlingene Er de ulovlige eller bare lite ønskelige? Pliktetikk Verdier Hva/hvem rammer de Resultatene Hvilke effekter – positive eller negative Konsekvensetikk Kriterier Fokus Etisk grunnsyn Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

29 Noen etiske ’ dilemmaer;
Noen etiske ’ dilemmaer; Lese en feilsendt epost Låne bort eller låne et passord Prøve å knekke en kode for å demonstrere svakheten Legge ut ”mykporno” på UiO’s nettsider Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

30 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
UiO’s IT-reglement reglement.html Den Norske Dataforening =Article.publicOpen;ID=2636 =Article.publicOpen;ID=2370 ACM - Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

31 Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO
Oppsummering IKT-løsninger og spesielt infrastrukturer innebærer en betydelig risiko og sårbarhet. Dette må legges realistiske sårbarhetsvurderinger til grunn Vi må ikke alene fokusere på å sikre datasystemer isolert, men som komplekse sosio-tekniske konstruksjoner hvor de organisatoriske og menneskelige aspekter er like viktige som de teknologiske Hva er akseptabel risiko og hvordan bestemmer vi den? Vi må stille spørsmålet om hvor stor risiko er vi villig til å ta; og hvem bør eller skal bære kostnadene ved dette. Vi kan ikke uten videre akseptere at forvaltning og næringsliv i samfunnets interesse utvikler nye løsninger hvor det er borgerne som må bære ”kostnadene” når noe går galt. Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

32 Forstår vi konsekvensene av den teknologiske utviklingen
Forstår vi konsekvensene av den teknologiske utviklingen ”Det er sannsynlig at noe usannsynlig vil skje” (Aristoteles) Teknologiske systemer har alltid uventede og utilsiktede effekter: Sikkerhetsproblemer skapt av teknologien skal løses med bedre tekniske løsninger Vi forutsetter da at disse vil fungere som planlagt og ikke har vesentlig negative konsekvenser Det gjennomføres ofte ikke tilstrekkelig brede og gode risikovurderinger Eks Bankkort og pin-koder, nøkkelkort Vil elektronisk signatur fungere etter hensikten? Hvem vil det ramme når den svikter ? Vil vår sykejournal på smartkort ha tilstrekkelig kvalitet? Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

33 Noen relevante litteratur mm
Lov om elektronisk signatur (esignaturloven) eForvaltningsforskriften (Forskrift om sikker elektronisk kommunikasjon med og i forvaltningen) Lov om Personopplysninger med forskrift Noe relevant bakgrunnsstoff Jansen og Schartum, Informasjonssikkerhet i et rettslig perspektiv Hannemyr: Hva er Internett Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Laste ned ppt "Informasjonssikkerhet og digitale signaturer"

Liknende presentasjoner

Personopplysningsloven: -innhold, styrker og svakheter

Personopplysningsloven: -innhold, styrker og svakheter
Astrid Øksenvåg Rådgiver EKOR AS

Astrid Øksenvåg Rådgiver EKOR AS
Etablering av effektiv produksjon på tvers av landegrenser

Etablering av effektiv produksjon på tvers av landegrenser
Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.

Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.
Litt mer om PRIMTALL.

Litt mer om PRIMTALL.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt

Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Presentasjon av tjenesten

Presentasjon av tjenesten
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?

Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
Sikkerhet - bakgrunn og introduksjon til kryptosystemer

Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.

Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.
D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?

D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?
Prof. Dag Wiese Schartum, AFIN

Prof. Dag Wiese Schartum, AFIN
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.

Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.

Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.

Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Innføringskurs IT- tjenester for AFIN Ole Christian Rynning

Innføringskurs IT- tjenester for AFIN Ole Christian Rynning
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt. 2013 Eva Henriksen, Eva Skipenes,

FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
IN320 Statoil Hjemmekontor Gruppe1 1 Statoil Hjemmekontor -Ett Lite Skritt Videre.

IN320 Statoil Hjemmekontor Gruppe1 1 Statoil Hjemmekontor -Ett Lite Skritt Videre.
Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet …

Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet …
Hva er Fronter.

Hva er Fronter.

Liknende presentasjoner

Annonser fra Google