Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen 19. -

Slides:



Advertisements
Liknende presentasjoner
Konsekvenser av ny teknologi Over the course of a few years a new communications technology annihilated distance and shrank the world faster and further.
Advertisements

Hvem skal oppdra selgerne?
Hvordan utvikle og gjøre kandidater og parti kjent? - å drive kampanje.
Kan det lages et felles internkontrollsystem i kommunen. Åre
KVALITET I SKOLEN.
 Galls lov og erstatningsprosjekter Johannes Brodwall Chief scientist, Steria.
Strategi -og system workshop HiL Tor Holmen, Gunnar Bøe HiL,
Medisinsk tekniske tjenester Organisering Internhandelmodellen Stig Koteng, avd.sjef, MTA MTFL, 27. mai 2009.
Levende HMS-system – hva betyr det i praksis?
Leif Erik Nohr Juridiske rammer for utveksling av helseinformasjon - et nordisk overblikk Leif Erik Nohr
Konsekvenser ved samlokalisering av IKT-systemer
Usikkerhet skal integreres i prosjektstyringen
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
Pasientsikkerhet i et brukerperspektiv
Kvalitetssikring av analyser til forskningsbruk
Member Access Ny prosedyre for registrering og innlogging på RI’s medlemsdatabase Member Access. Denne prosedyren gjelder ALLE rotarianere.
Kryptering og nettverkssikkerhet Third Edition by William Stallings.
Method for evaluating authentication system quality Morten Sporild.
HMS i de lokale og regionale energibedriftene Hvordan ivaretar bedriftene helse, miljø og sikkerhet? KS Bedriftenes Møteplass 2011, 17.februar.
Terras jubileumskonferanse 22. november 2007 Tegn i tiden- for bank, finans og myndigheter Finn Hvistendahl, Styreleder Kredittilsynet.
UTFORDRINGER I TVERRFAGLIGE ENDRINGSPROSESSER Dagny Stuedahl stipendiat InterMedia.
Av Donald Norman. Normans hovedanliggende: Information appliances An appliance specializing in information: knowledge, facts, graphics, images, video,
Standardisering av IT-virksomheten. Bakgrunn Lokal – sentral, arbeidsgruppe under IHR IT Kartlegging høsten 2011 Diskusjonsnotat februar 2012 Høringsnotat.
1 Oppgave gjennomgang Kap. 1 og 2. 2 Oppgaver -Kap 1: 5, 6, 7, 10, 12, 16, 22 og 25 -Kap 2: 2, 6, 10, 12, 13, 14 og 20.
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Mosjøen 17
N O R P R O F F Quality Management SAMARBEIDSPARTNER FOR
Damasio om rasjonelle valg og somatiske markører
Planning and controlling a project Content: Results from Reflection for action The project settings and objectives Project Management Project Planning.
3/29/2015 Et skolebygg å være stolt av!. 2 Nøkkeltall  etablert 1. januar 2002  eier og drifter alle skolebygningene i Oslo  ca. 1,3 millioner kvm,
Telenors satsing på fri programvare Paul Skrede - GoOpen 2009.
PKI – Norge Gruppe 3  Thorstein  Rune  Kjersti  Rasmus.
1 Kap. 57 – Cloud Computing How Information Technology Is Conquering the World: Workplace, Private Life, and Society Professor Kai A. Olsen, Universitetet.
Internprising F. Zimmer V06.
Beredskap Risikohåndtering, kontinuitets- og katastrofeplaner.
1 Utvikling av kritiske systemer Kort sammendrag Kap. 1 og 2.
The Thompson Schools Improvement Project Process Improvement Training Slides (Current State Slides Only) October 2009.
BÆREKRAFTIGE EPLER. Læringsmål Bærekraftig utvikling – refleksjon – kritisk tenking – ta beslutninger – handlingskompetanse Utarbeidet av Bård Knutsen.
Revisjon i Skolen.  Each Party shall ensure that:  1. the training and assessment of seafarers, as required under the Convention, are administered,
Revisjonsutvalget Temalunsj 12. februar PwC Bakgrunn EU vedtok den 16. april 2014 en ny forordning og endringer i direktivet om revisjon og revisorer.
Bærekraftige produktvalg
Kvalitet, risiko og avvik
Find Fraud B4 it Finds You!
Fra innovasjonsstrategiens ordbok
Om forvaltningens kommunikasjon med innbyggerne
Digital bestillingsprosess for Armering, direkte fra modell
Hendelse Prosjekt: Nyhamna EPCm Site/Land/Dato: Nyhamna B340/ Norge/
Title: «How to use different tools and/or machines in the workshop»
Utredning av personvernkonsekvenser
Hvordan lærer vi på bransjenivå? Hva gjør Norsk olje og gass?
Endringer, læring og robusthet
Relevant questions for the Reference Group
Økonomiske forutsetninger
CAMPAIGNING From vision to action.
Using nursery rhymes and songs
The Scoutmaster guides the boy in the spirit of another brother.
Hva er XP ? Ikke ekstrem, men heller meget forsiktig
CSM-RA Sikkerhetsvurderingsrapport
Project Honolulu - An Island or a new way to manage servers ????????
Når virker 1:1 kommunikasjon? Miriam Gade Nicolaisen
Juristsamling - Ålesund
Myndighetene - en viktig lagspiller når ny teknologi skal tas i bruk
Standardisering av IT-virksomheten
Enkel brukerveiledning
Dynamisk DNS registrering for Windows 10
Dag Wiese Schartum, AFIN
Semester survey 2018 Mariana Hatzianastasiou, Amit Chitra Knutepunktet
The courts February 2018 Court Administration.
- Endelig forslag til ønsketsituasjon
Utskrift av presentasjonen:

Kan brukerne stole på teknologien? Informasjonssikkerhet i et brukerperspektiv Annikken Seip Seniorrådgiver IT-tilsynet eForvaltningskonferansen mars 2007

Det jeg skal snakke om Vidunderlige nye verden Skrækk og gru!! Bortenfor frykten Oppsummering

Elektronisk informasjonsbehandling fra ende til annen Samlet informasjon om pasienter på sykehus GPS og RFID Nettbank

Fysiske dokumenter med underskrift Lover/offentlig myndighet Signatar Mottaker Signatur Dokument

Aktører rundt digitale signaturer Signatar Sertifiseringsautoritet Nettverk Sertifikat Tekstbehandlings- verktøy Tilbakekallingsliste Digital signatur PC og basis programvare Mottaker Registreringsautoritet Lover/offentlig myndighet Dokument Signaturprogram Programvare- leverandør

Egenskaper ”Lovlig overbelastning” Feile med et smell –Elektroniske valg –Falske positiver –Hvem sin risiko? Bare må ha det! –Hvem sin informasjon? –Biometri er en egenskap nær deg –Hvem sin PC? Sikkerhetskarusellen –Internett –Nettbank §§ §§ §§

Egenskaper ved datateknologien Annen type hjelpemiddel enn papir og jern –0 eller 1, ikke kontinuitet –Trenger maskinvare for å se Vanskelig å få til det samme som på papir –Regelverket bør uttrykkes teknologiuavhengig –Vanskelig å implementere vurderinger Kompleksitet, sammenkoplinger, stor utbredelse –Klipp og lim * –Flere aktører, veldig komplekst, mange feil –Andre typer angrep og fallgruver Vi tørr ikke fortelle beslutningstakere om alle risikoene –Hvem sin risiko?

Stadig endringer! Store og hyppige endringer på regelverkssiden –Bokføringsloven Konflikter mellom økonomisk styring, leveranse til rett tid og å levere rett kvalitet. Bestillerkompetanse –Krevende å tilpasse allerede utviklede systemer til norske forhold –Krevende å utvikle systemer selv Opprettholde kompetanse innen teknologi og sikkerhet i Norge

Elektroniske valg New Mexico 2002 –Elektronisk stemmegivning – avga stemmer – registrerte stemmer Demokrati –Kontrolltelle stemmesedler

Datasystemer skal feile ”grasiøst” Falske positiver: –Å identifisere en person som terrorist som ikke er det. F.eks. 1 av 100, 99% korrekt Falske negativer: –Å identifisere en terrorist som ok. F.eks. 1 av , 99,999% korrekt passasjerer på Gardermoen jan 07 – falske terrorister – 13 terrorister slapp igjennom i januar Alle terroristene som ikke fins i registrene

Implementere elektronisk ID EU: Roadmap for eID Plan 2010 –Ser ingen risikoanalyse i opplegget eID-kort i Storbritannia –“..there is still much detailed planning work to be done, and we shall learn many lessons as we start to deliver.“ Pass i Storbritannia –RFID-brikken er avlesbar for uvedkommende –Chip garantert 1 år mot passets levetid som er 10 år –Automatiske systemer for ansiktsgjenkjenning er ikke pålitelige nok Politidirektoratet har ikke levert risikoanalyse for elektroniske pass til Datatilsynet

Personvern og kryssende hensyn RFID-brikker –Kan leses på lang avstand –Standarder mangler –How would you like it if, for instance, one day you realized your underwear was reporting on your whereabouts? Trafikkinformasjon Identitetstyveri Biometriske egenskaper kan ikke byttes

Google Earth PRIVACY POLICY Protecting users' privacy is very important to Google. As a condition of downloading and using the Software, you agree to the terms of the Google Privacy Policy at which may be updated from time to time and without notice. Information collected by Google in connection with your use of the Software may be stored and processed in the United States or any other country in which Google or its agents maintain facilities. Accordingly, by using the Software you consent to any transfer of such information outside of your country. You acknowledge and agree that Google may access, preserve, and disclose your account information if required to do so by law or in a good faith belief that such access preservation or disclosure is reasonably necessary to: (a) satisfy any applicable law, regulation, legal process or governmental request, (b) enforce these Terms and Conditions, including investigation of potential violations hereof, (c) detect, prevent, or otherwise address fraud, security or technical issues (including, without limitation, the filtering of spam), (d) respond to user support requests, or (e) protect the rights, property or safety of Google, its users, and the public.

Angrep og forsvar i første halvdel av 2006 Angrep utvikles på 3 dager –Bl.a. mot MS, Sun, HP, IBM, Cisco, Oracle Forsvar utvikles på 31 dager Ondsinnet kode tilgjengelig ≥ 28 dager ? Tid Oppdagelses tidspunkt Lage patch 31 dager Utvikle angrep 3 dager Eksponeringstid

Din Personlige Computer er ikke din lenger. MicroSoft følger med på det du gjør

Kappløpet om sikkerhet Gerd Buer Gerd Buer Kort, relieff, magnetstripe, hologram, CVC, chip Gerd Buer Kort, relieff, magnetstripe, hologram, CVC Kort, relieff, magnetstripe, hologram Kort, relieff, magnetstripe Kort, relieff Kort Fritt etter Chris Mitchell

Vet du ikke at det er enklere med nettbank? Ansvar Mann-i-midten Ondsinnet kode Tvister FIN-forslag

Jeg kan jo ikke noe om sikkerhet! Det er ikke brukerne som har laget PC-ene –Vi vet ikke nok om hvordan de virker –Vi kan ikke reparere dem hvis de blir angrepet –Man kan ikke kreve at folk skal ta ansvar hvis man ikke gir dem informasjon til å vurdere ut fra Løsninger –Stikke hodet i sanden –Ta ansvar

- er det hardt arbeid Regelverk Risikovurdering Evaluering Opplæring

Kredittilsynsloven § 9. Avviks- og endrings- håndtering § 10. Krav til kontinuitet § 11. Driftsavbrudd og katastrofeberedskap § 12. Utkontraktering § 13. Dokumentasjon § 14. Dispensasjon § 15. Ikrafttredelse § 1. Virkeområde § 2. Planlegging og organisering § 3. Risikoanalyse § 4. Kvalitet § 5. Sikkerhet § 6. Utvikling og anskaffelse § 7. Systemvedlikehold § 8. Drift § 3. Tilsynet skal se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter. IKT-forskriften

Mottatt svar på kontrollspørsmål Mottatt aktuell dokumentasjon IT-tilsynsom virkemiddel Gjennomgang Analyser IT-tilsynsmøte Tilsynsrapport Foretaket Merknader Foretaket Introduksjonsmøte Offentlige Unntatt offentlighet

Subjektiv og objektiv risiko

Risikovurdering En god øvelse i administrative avgjørelser Kostnadene ved feil vurdering av goder, sårbarheter og trusler Kostnadene ved potensiell skade Kostnadene ved å ta i bruk vernetiltak Kostnader ved å reparere skader Kostnader ved ikke å gjøre noe Kostnader som er vanskelige å måle (tillit) Risiko = sannsynlighet for uønsket hendelse * konsekvenser av hendelsen Hva er sikkert nok?

Hvem sin risiko? En uønsket hendelse Lagre kopi i portalenGi eksterne tilgang lokalt Verdi for regelforvalter Konsekvens for regelforvalter Nytte for regelforvalter Verdi for informasjonseier Konsekvens for informasjonseier Nytte for informasjonseier Offentlig portal

Tillit til systemer, produkter og organisasjoner 1. Stole på leverandørens forsikringer 2. Utføre egne tester 3. Få uttalelser fra en tredje part Selvdeklarasjon kan baseres på alle tre punktene Tredjeparten i punkt 3 kan være En bekjent, som bruker det samme systemet, Et uavhengig, tiltrodd, organ som er akkreditert til å utføre evalueringer og sertifiseringer

Opplæring Bruk av internett i storskala er nytt –Opplæring i risikovurderinger og nytte-kostnadsanalyser Informasjonssikkerhet er noe nytt –1992: Sikkerhet var i kapittel 19 i bok om systemutvikling –2007: Sikkerhet er i kapittel 3 –Opplæring i sikkerhet for hele prosesser og systemer Stadig bedre forståelse for teknologien –Hva den kan brukes til –Sårbarheter og trusler –Aktuelle sikkerhetstjenester

Konklusjon Ta ansvar selv –En hjelper kan ha andre interesser Lær om informasjonssikkerhet Kommunikasjon mellom profesjoner –Teknologer må formidle risikoer til sjefer –Krev forståelige svar av teknologene Diskuter sikkerhet, regleverk og standarder Skynd deg langsomt –Og ta backup! Ha reserveløsninger

Oppsummering Teknologien har gitt oss flotte muligheter Det fins overveldende mange sikkerhetshull –Forstår ikke teknologiens særegenheter –Risiko- og konsekvensanalyser er ofte ufullstendige –Sikkerhetstjenester dekker ikke det de skal Tiltak –Ta ansvar, teknologi koster tid og ressurser –Lær om informasjonssikkerhet, kompetanse i Norge –Regelverk som sikrer fordeling av godene Skynd deg langsomt

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.