Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Avdeling for forvaltningsinformatikk, UiO Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 1 Informasjonssikkerhet og digitale signaturer.

Liknende presentasjoner


Presentasjon om: "Avdeling for forvaltningsinformatikk, UiO Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 1 Informasjonssikkerhet og digitale signaturer."— Utskrift av presentasjonen:

1 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 1 Informasjonssikkerhet og digitale signaturer Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet – hvilke trusler har vi og hvilke verdier bør vi beskytte Litt om sikkerhets- og sårbarhetsanalyse Hvor og hvordan kan vi sikre oss – noen eksempler på sikkerhetstiltak Litt om PKI og digital underskrift Sikkerhet og etikk - noen sammenhenger Førsteamanuensis Arild Jansen, AFIN, Universitetet i Oslo

2 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 2 En liten øvelse Hva er etter deres mening de tre viktigste sikkerhetstruslene truslene dere kan bli utsatt for Hvilke 3 sikkerhetstiltak (eller flere) mener dere er særlig viktig Mener dere sikkerheten på Universitetets datanett og maskiner er god nok ?

3 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 3 Definisjon av informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for informasjonen og også for det informasjons- systemet informasjonen inngår i. Sagt på en annet måte Robuste og effektive informasjonssystemer, som gir korrekt informasjon til rette personer til rett tid

4 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 4 Noen viktige begreper til informasjonssikkerhet Konfidensialitet Sikkerhet for at kun autoriserte brukere får tilgang til informasjonen. Eks: Kontrollere tilgang til filer på lokal PC, nettverk, databaser,… Integritet Sikkerhet for at informasjonen er fullstendig, nøyaktig og gyldig. Eks: Beskytte bankkonto, personregister, pasientinformasjon,… Tilgjengelighet Sikkerhet for at informasjonen er tilgjengelig for autoriserte brukere til rett tid. Eks: Sørge for at vi har tilgang til de ressurser (utstyr, programmer og data vi har rett til på og behov for ).

5 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 5 Viktige begreper (2) Autentisering Benyttes for å bevise at en bruker er den brukeren han eller hun utgir seg for å være. Eks: passord, pin-kode, pass,…. som bare jeg har Autorisasjon Benyttes for å gi en bruker tilgang til kun den informasjonen eller til det informasjonssystemet han eller hun skal ha tilgang til. Eks: at jeg som bruker har bestemte rettigheter på en PC Ikke-benekting (nonrepudiation) Benyttes for at en bruker ikke senere skal kunne nekte for at det er han eller hun som har utført handlingen. Eks: at jeg ikke kan fraskrive meg en avtale jeg har underskrevet

6 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 6 Hvorfor bør vi tenke (mer) på informasjonssikkerhet Dere vil ha stadig mer av deres ”verdier” tilgjengelig på nettet Økonomiske forhold, personopplysninger (f eks. helseopplysninger), annen informasjon dere er avhengig av eller er viktig for dere Krav om generell tilgjengelighet, men også økende avhengighet Sikkerhetshendelser som virus, spam, tyveri med mer kan skape store problemer for dere eller andre dere samhandler med Dette berører også oss privatpersoner mer enn før Økonomiske forhold Helseopplysninger Andre typer følsomme opplysninger

7 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 7 Noen problemområder og trusler På lokalt utstyr: Virus, ormer, hacking, informasjonskapler (cookies) Dårlig brukergrensesnitt som skaper ’unødvendige’ feil Menneskelige/organisatoriske feil I nettverket/infrastrukturen Avlytting, ødeleggelse/misbruk Tyveri av identitet, falske nettsteder, Trådløse nett innebærer spesielle sikkerhetsproblemer ”På sentrale ressurser Virus, ormer, hacking,.tjenestenekting, kapasitetsproblemer,.. Data- og informasjonskvalitet knyttet til både tekniske og organisatoriske forhold

8 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 8 Noen trusler ved bruk av IKT systemer Nettverk/infrastruktur Lokalt utstyr Grensesnitt bruker - system Sentrale dataressurser Bruker Feil bruk Slurv Misbruk av passord … Avlytting,Tapping ødeleggelse/ misbruk Tyveri av identitet, (phishing), falske nettsteder Blokkering av tilgang Virus, ormer, hacking, Informasjonskapler (cookies) Dårlig brukergrensesnitt Menneskelige/ organisatoriske feil …. hacking, Virus, ormer spam Misbruk, tjenestenekting, kapasitetsproblem Dårlig datakvalitet …….

9 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 9 Hvordan vurdere behov for sikring Forela en sikkerhets- og sårbarhetsanalyse: Hvilke verdier vil jeg beskytte Menneskeliv /helse, økonomi, informasjon,… Hvilke trusler kan inntreffe Innbrud, hacking, virus, misbruk, dårlig datakvalitet Hva er sannsynligheten for at disse trusler finner sted Stor, middels, liten, (ingen?) Hva blir konsekvensene (”skadekostnad”) Risikokostnad = skadekostnad * skadefrekvens Hvilke tiltak bør/må vi iverksette : En vurdering av utgifter til tiltak versus (potensielle kostnader ved et ”uhell”) Unødvendig strenge sikkerhetstiltak er ikke en god løsning

10 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 10 En enkel sårbarhetsanalyse: Skal jeg installere et reservekopieringsprogram hjemme

11 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 11 Eksempler på tekniske tiltak Brukernavn og passord (som skiftes?), ++ Antivirus, spamfilter Restriktiv til cookies Begrense nedlasting (?) Reservekopiering Autentiserings- og autorisasjonsmekanismer Brannmur VPN (Virtual Private Network) Innbruddsdetektering, overvåkning,.. PKI (Offentlig nøkkel infrastruktur) og elektronisk signatur Filtrering av nettsider, Ulike personvernøkende teknologier

12 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 12 Eksempler på tiltak Nettverk/infrastruktur Lokalt utstyr Grensesnitt bruker - system Sentrale dataressurser Bruker Riktig bruk Slurv ikke Gjem passord Rutiner for Reservekopiering Reduser nedlasting, sjekk nettsteder,… Antivirus, spamfilter Brukernavn/ passord Antivirus, spamfilter Autentiserings- og autorisasjons-mekanismer Innbruddsdetektering, overvåkning,.. Sikre nettet fysisk Brannmurer Kryptering

13 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 13 Internett og sikkerhet Internett protokollene ble opprinnelig laget med tanke på en kommunikasjon basert på åpenhet og fleksibilitet, og ikke med tanke på sikkerhet. De første sikkerhetshendelser ble oppdaget fra midten og mot slutten av 1980-tallet. I dag skal ”alle” bruke Internett til ”alt”. Vår bruk av Internett blir overvåket, både ”lovlig” av programvareselskaper og tjenesteleverandører og ulovlig av alt fra nysgjerrige til organiserte kriminelle Med bakgrunn i den voldsomme økningen i bruk av Internett, er det utrolig viktig å ”tenke” sikkerhet.

14 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 14 Litt om kryptering og digitale signaturer Brukernavn og passord Brukernavn er kjent, passordet holdes skult, blir kodet i en database på lokal maskin eller server. Nettbank Symmetrisk og assymmetrisk kryptering SSL: (Secure Sockets layer ) En protokoll for sikker overføring av informasjon over Internett, basert krypteringsteknologi. Vanligvis URL som begynner med "HTTPS", + liten gul hengelås nederst i høyre hjørnet i nettleservinduet. PKI: (public Key infrastruktur) : En felles løsning for digitale signaturer og sertifikater

15 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 15 Noen eksempler Oppdatere en hjemmeside: Elektronisk bank :

16 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 16 Hvorfor elektronisk ID og –signatur (PKI)? Det har blitt stadig klarere at en infrastruktur for elektronisk ID og signatur er avgjørende for å realisere mange nye elektroniske tjenester. Det er vanskelig og dyrt å rulle ut og vedlikeholde nye sikkerhetsmekanismer, og offentlige virksomheter kan ikke gjøre dette hver for seg. Borgere har allerede altfor mange passord og PIN-koder å forholde seg til. Dette må forenkles. Elektronisk ID og signatur er den sikkerhetsmekanismen som møter fremtidens krav til sikkerhet og funksjonalitet.

17 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO PKI – hva er det og hva kan det brukes til? Lånt fra : Katarina de Brisis Avdelings for IT-politikk, Fad

18 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 18 Hvordan virker digital signatur

19 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 19 Asymmetrisk kryptografi – digital signatur Privat signeringsnøkkel Offentlig signeringsnøkkel Privat autentiseringsnøkkelOffentlig autentiserinsgnøkkel Offentlig krypteringsnøkkel Privat krypteringsnøkkel 23700yyGhNNjZZ0868 Avtale om.. Med hilsen Avtale om.. Med hilsen Avtale om.. Med hilsen gZZ45xxxCYY 9i6hhbg SignererVerifiserer Sender SignererVerifiserer Sender Sender tilbake Sender KryptererDekrypterer AVSENDERMOTTAKER

20 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 20 BankID-infrastruktur Bank (Sertifikatkontroll) Sertifikatholder Tjenesteavtale Sertifikatmottaker (Tjenestetilbyder) Interbank regler Kommunikasjons- behov VA-forespørsel

21 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 21 Anvendelsesområder Web-tjenester for publikum, autentisering og signering, formidling av vedtak fra forvaltningen E-post fra publikum til forvaltning Utveksling av informasjon/dokumenter mellom offentlige virksomheter Pålogging som ansatt eller som profesjonell Signering av meldinger, som ansatt eller som profesjonell, direkte eller indirekte Person- sertifikater Virksomhets- sertifikater Person- sertifikater anskaffet i yrkes- sammenheng Virksomhets- sertifikater Virksomhets- sertifikater

22 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 22 Web-tjenester for publikum Pålogging / autentisering Signering Sesjon som sikres (krypteres) med SSL Sjekk av nettstedets SSL-sertifikat Borger Offentlig nettsted Personsertifikat brukt til autentisering mot web-tjeneste og evt. signering

23 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 23 E-post mellom publikum og forvaltning Borger Offentlig nettsted Postmottak/ ekspedisjon Signert og kryptert Melding som epost Signert/ autentisert Melding over web Personsertifikat brukt til pålogging på nettsted eller signering av epost Mottagers virksomhetssertifikat eller SSL brukes for kryptering

24 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 24 Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Postmottak/ ekspedisjon Postmottak/ ekspedisjon Saksbehandler Eksempel 1 :Manuell bruk av sertifikat i ekspedisjon og postmottak Signeres med avsenders Virksomhetssertifikat, krypteres med mottagers. ( epost ) Adresseliste m. mottageres Sertifikater (offentlig krypterings nøkkel) Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Signert og kryptert melding

25 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 25 Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Eksempel 2: System-til-system kommunikasjon. Automatisert og integrert med virksomhetens arkiv- og saksbehandlingssystemer. Signert og kryptert melding Arkiv-/ saksbehandlingssystem (epost / web services / filutveksling) Arkiv-/ saksbehandlingssystem Modul for automatisert sikker postgang Modul for automatisert sikker postgang Saksbehandler Adresseliste m. mottageres sertifikater (offentlig krypterings nøkkel) Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel)

26 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 26 Felles sikkerhetsportal eID lev. 1 Andre Sikkerhetsportal Etater/ kommunerMin sideAltInn Borgere og næringsliv eID lev. 2 Integrasjonsmodul eID/e-signatur Reg. tjeneste

27 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 27 Sikkerhet, etikk og moral Etikk: ”teori om rett og moral”, dvs. noen generelle, overordnede ”regler” eller retningslinjer (bud) som styrer ens atferd Handler om hva som er rett og galt og hvorfor Prinsipper for å handle riktig Er alle handliner som ikke er ulovlig også bra? Plikt-etikk og konsekvensetikk Forholdet mellom etikk og loven Eksempler på etikk i tilknytning til bruk av IKT

28 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 28 Konsekvensetikk og pliktetikk Normer Hva er ”riktige” og ”gale” handlinger Handlingene Er de ulovlige eller bare lite ønskelige? Pliktetikk Verdier Hva/hvem rammer de Resultatene Hvilke effekter – positive eller negative Konsekvensetikk KriterierFokusEtisk grunnsyn

29 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 29 Noen etiske ’ dilemmaer; Lese en feilsendt epost Låne bort eller låne et passord Prøve å knekke en kode for å demonstrere svakheten Legge ut ”mykporno” på UiO’s nettsider

30 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 30 UiO’s IT-reglement reglement.html reglement.html Den Norske Dataforening =Article.publicOpen;ID=2636 =Article.publicOpen;ID=2636 =Article.publicOpen;ID=2370 =Article.publicOpen;ID=2370 ACM -

31 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 31 Oppsummering IKT-løsninger og spesielt infrastrukturer innebærer en betydelig risiko og sårbarhet. Dette må legges realistiske sårbarhetsvurderinger til grunn Vi må ikke alene fokusere på å sikre datasystemer isolert, men som komplekse sosio-tekniske konstruksjoner hvor de organisatoriske og menneskelige aspekter er like viktige som de teknologiske Hva er akseptabel risiko og hvordan bestemmer vi den? Vi må stille spørsmålet om hvor stor risiko er vi villig til å ta; og hvem bør eller skal bære kostnadene ved dette. Vi kan ikke uten videre akseptere at forvaltning og næringsliv i samfunnets interesse utvikler nye løsninger hvor det er borgerne som må bære ”kostnadene” når noe går galt.

32 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 32 Forstår vi konsekvensene av den teknologiske utviklingen ”Det er sannsynlig at noe usannsynlig vil skje” (Aristoteles) Teknologiske systemer har alltid uventede og utilsiktede effekter: Sikkerhetsproblemer skapt av teknologien skal løses med bedre tekniske løsninger Vi forutsetter da at disse vil fungere som planlagt og ikke har vesentlig negative konsekvenser Det gjennomføres ofte ikke tilstrekkelig brede og gode risikovurderinger Eks Bankkort og pin-koder, nøkkelkort Vil elektronisk signatur fungere etter hensikten? Hvem vil det ramme når den svikter ? Vil vår sykejournal på smartkort ha tilstrekkelig kvalitet?

33 Avdeling for forvaltningsinformatikk, UiO Forelesning Arild Jansen. Avd. for forvaltningsinformatikk/UiO 33 Noen relevante litteratur mm Lov om elektronisk signatur (esignaturloven) eForvaltningsforskriften (Forskrift om sikker elektronisk kommunikasjon med og i forvaltningen) Lov om Personopplysninger med forskrift Noe relevant bakgrunnsstoff Jansen og Schartum, Informasjonssikkerhet i et rettslig perspektiv Hannemyr: Hva er Internett


Laste ned ppt "Avdeling for forvaltningsinformatikk, UiO Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 1 Informasjonssikkerhet og digitale signaturer."

Liknende presentasjoner


Annonser fra Google