Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

19.08.2014MS kap 81 Håndtering av drift/operasjoner (kap. 8) Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer.

Liknende presentasjoner


Presentasjon om: "19.08.2014MS kap 81 Håndtering av drift/operasjoner (kap. 8) Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer."— Utskrift av presentasjonen:

1 MS kap 81 Håndtering av drift/operasjoner (kap. 8) Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer) God tilgang til Internett er viktig for bedriftens forhold til kunder (når vi selger via e-post og Web må dette være tilgjengelig til enhver tid) Det moderne samfunn er avhengig at teknologien fungerer, backupsystemer hjelper bare i visse tilfeller (ved strømbrudd må de fleste virksomheter stanse) Jo mer automatiske tjenester, jo mer teknologiavhengig er vi (digitale penger kontra kontanter, kort/bestillingsnr kontra papirbillett på fly) Risikoreduksjon (jfr. N. Carr) Så selv drift om kan høres kjedelig ut er det ofte på dette nivået at suksessen til en ny tjeneste blir avgjort (jfr. mange sosiale nett før Facebook)

2 MS kap 82 Drift Her skal vi se på: Outsourcing Sikkerhet Katastrofeberedskap (distribuerte systemer)

3 MS kap 83 Nytt perspektiv

4 MS kap 84 Operasjoner (Drift) Ofte en vesentlig del av kostnadene Men mindre nå enn før: bedre utstyr billigere utstyr plug & play bedre programvare og ikke minst – flinkere brukere

5 MS kap 85 Problemer Feil Responstid (Web systemer) Data ikke tilgjengelig Data tilgjengelig, men galt format Fingertrøbbel (brukere)

6 MS kap 86 Løsninger Brannslukking Kjøpe mer utstyr Teste (ikke minst brukergrensesnitt) Dokumentere, måle, kontrollere. Finne de virkelige problemene, løse disse. Standarder og Strategi!

7 MS kap 87 Outsourcing Flere muligheter: Driftsstøtte (kjøper ekspertise istedenfor å ha eget personell) Kjøper spesialtjenester (kostbart å holde eget personell oppdatert på alle tjenester) Setter ut tjenester som er så enkle at hvem som helst kan ta seg av disse (f.eks. hjelpefunksjoner, drift av PC, nett, osv.) Outsource alle IT tjenester ASP (Application Service Providers) tilbyr slike tjenester Cloud Computing, tjenester over Internett

8 MS kap 88 Viktige spørsmål Kan vi stole på at vi får de tjenester vi trenger (ressurser, feilretting, stabilitet…)? Vil ASP’en kunne kjøre vår egen programvare, eventuelt de versjonene vi velger Har vi alternativer om vi ikke er fornøyd med servicenivået? Vil data være lagret sikkert? Er det flere eller færre ledd som kan gå galt? Dekker kontrakten med den eksterne leverandøren alle de oppgaver som utføres i dag, eller mister vi noe? Er det uinteressant at vi ikke lengre har denne kompetansen internt? Har vi et system som også vil virke i framtiden?

9 MS kap 89 Er det forskjell på at Hvilken bedrift/type som outsourcer IT: SAS Bank Røde Kors Legekontor

10 MS kap 810 Sikkerhet Med Internett etc. åpner vi bedriftens systemer mot omverdenen (vi kan sammenligne med utvikling i butikker, fra disk til selvbetjening) Mange trusler Interne og eksterne krav (for eksempel, lovgiving) for at sikkerhet ivaretas

11 MS kap 811 Sikkerhet kommer ofte sist… Utviklingen av biler: Få utviklet teknologien, driftssikkerhet Produksjon, overkommelig pris Design Driftsøkonomi Sikkerhet viktig 2005-Miljø

12 MS kap 812 Også slik med datamaskinen Få utviklet teknologien, kapasitet, driftssikkerhet Produksjon, overkommelig pris Funksjonalitet 2000-Sikkerhet begynner å bli viktig

13 MS kap 813 Typer av angrep

14 MS kap 814 Norske Internettbanker Utsatt for angrep på enkelte konto Kontoer er tappet De nasjonale mellommennene blir tatt Men av de 50 sakene som Kripos etterforsket i 2006 er ingen hovedmenn tatt Høyere sikkerhetsnivå nå (ekstra passord)

15 MS kap pilarer for sikkerhet Autentisering Er de den de sier de er? Identifisering Systemer for identifisering, sertifikater Datasikkerhet (beskyttelse mot misbruk) Data integritet (beholde data i original/riktig form) Verifisering av transaksjoner slik at ingen kan nekte for at de deltok i transaksjonen

16 MS kap 816 Biometri Snakket om i svært mange år Muligheter: Fingeravtrykk/håndflate Iris gjenkjenning Stemmegjenkjenning Problemer: Pålitelighet (se f.eks. ) Kan føles for nærgående Kostbart

17 MS kap 817 Fortsatt Pin-koder Passord Kort Spørsmål som bare du kjenner svaret på Med kortleser på alle maskiner kan sikkerhetsnivået økes (brukes i helseetaten)

18 MS kap 818 Bank-id – fra Web siden: BankID er en personlig og enkel elektronisk legitimasjon for sikker identifisering og signering på nettet. BankID tilbys av bankene i Norge, ta kontakt med banken din hvis du ønsker å skaffe deg BankID. BankID er basert på en samordnet infrastruktur som er utviklet av banknæringen gjennom BankID Samarbeidet, i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen. BankID er sikkert, og kundene kan være helt trygge når de benytter BankID. Det skriver FNHs adm. direktør, Arne Skauge, og Sparebankforeningens adm. direktør Arne Hyttnes i et brev til finanskomiteen og transport- og kommunikasjonskomiteen på Stortinget. Bakgrunnen er debatten i media om BankID-sikkerheten.

19 MS kap 819 Er Bank id sikker? En gruppe ledet av professor Kjell Jørgen Hole ved UiB hevder at systemet ikke er sikkert Systemet baserer seg på PKI (Public Key Infrastructure) med en privat og en offentlig løsning Den som disponerer den private nøkkelen kan signere dokumenter, logge inn på kontoer, overføre penger m.m. Av praktiske grunner er den private løsningen lagret sentralt

20 MS kap 820 Er betalingskortet sikkert Forskere ved Cambridge har laget en kopling fra en datamaskin til et betalingskort som får terminalen til å tro at transaksjonen skal gå kodefri. Selv om en taster inn feil kode går transaksjonen igjennom Virker ikke der alt går via bankens server

21 MS kap 821 Problemer med sentral lagring Prinsipielt: Hvordan skal vi forsikre oss om at nøkkelen ikke blir misbrukt av de som oppevarer den (banker, myndigheter) Praktisk: Hvordan skal vi fortelle banken at vi vil bruke nøkkelen?

22 MS kap 822 Bruk av sentral lagret nøkkel Vi aksesserer nøkkelen med personnummer, PIN og engangskoder (som med banken i dag) Dvs. vi ”legitimerer” oss på denne måten

23 MS kap 823 Hva sier Hole & Co Med ”phishing” og ”man in the middle” kan vi lure engangskoder ut av kundene I praksis kan dette gjøres ved: 1.Åpne et falskt grensesnitt på brukerens maskin 2.Fange opp engangskoden (bruke den til vår innlogging i nettbanken) 3.Gi en feilmelding til bruker 4.Fange opp neste engangskode, og så bruke denne som bekreftelse på transaksjonen der vi tømmer kontoen Hole har kjørt vellykkede angrep etter denne oppskriften Problemet vil vokse om bankid skal brukes i mange sammenhenger

24 MS kap 824 Hva sier bankene Bank ID er sikkert Hole har ikke vist svakheter i BankID, bare at det finnes ”dumme” brukere

25 MS kap 825 Men Kredittilsynet er bekymret Det hjelper jo ikke om den sentrale del av Bankid er sikkert, dersom det svakeste ledd er hos brukeren Med en lokal lagring av nøkkelen ville mange av disse problemene vært unngått Det kunne i praksis skje ved å ha nøkkelen på et plastkort

26 Til slutt Det vi er ute etter er ikke formell sikkerhet men praktisk sikkerhet Vi låser huset med nøkkel, men likevel kan hvem som helst bryte seg inn. Likevel representerer låsen en praktisk sikkerhet.

27 Betalingssystemer Primitive i dag Personifisert sikkerhet er bedre: Ekstra kode i minibank Ikke tillate minibank Åpne for bruk i minibank med kode på mobilen Unngå kode i butikker du bruker ofte Unngå kode for småbeløp osv.

28 MS kap 828 Teknikker for sikkerhet PC-MCIA Sikkerhet for trådløse system.

29 MS kap 829 Men, sikkerhet er vanskelig Systemene er store og komplekse Der vi ellers kan teste for å se om funksjonene virker er det ikke like lett når det gjelder sikkerhet For skurkene gjelder det å finne svakeste leddet i kjeden Mye av de samme problemene som vi har med militære forsvarsannlegg: Hva hjelper de å ha en sterk linje på grensen mellom Tyskland og Frankrike når tyskerne kjører tanks gjennom Belgia i Tyskland visste at det kom en invasjon i 1944, men hvor kommer den?

30 MS kap 830 Vil vi være helt sikre Unngå å lagre konfidensielle data Kun lagre i systemer som ikke er koplet til Internett Men dette begrenser bruken Imidlertidig kan det være en god løsning å avgrense deler av systemet

31 MS kap 831 Katastrofeberedskap Interne ressurser: Backup av data Flere datasentre Distribuerte systemer Backup nett (redundans eller alternative samband) LAN, server farms, etc. (f.eks., CNN under terrorangrepet på World Trade Center) Testing er viktig Eksterne ressurser: Egne leverandører av backup tjenester Samarbeid med andre institusjoner (i forskj. tidssoner?)

32 MS kap 832 Backup Flere kopier av filer På forskjellige steder Forskjellige versjoner Viktig: Kontrollere at backup virker Rutiner på innlasting fra backup Gjennomgang på hva som kan skje – ”worst case” scenario


Laste ned ppt "19.08.2014MS kap 81 Håndtering av drift/operasjoner (kap. 8) Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer."

Liknende presentasjoner


Annonser fra Google