Informasjonssikkerhet og digitale signaturer

Slides:



Advertisements
Liknende presentasjoner
Personopplysningsloven: -innhold, styrker og svakheter
Advertisements

Astrid Øksenvåg Rådgiver EKOR AS
Etablering av effektiv produksjon på tvers av landegrenser
Er datasikkerhet viktig for deres firma ? Hva ville dere gjøre hvis alle data plutselig ble borte ved: •Tyveri ? •Brann ? •Datahavari ? •Menneskelig svikt.
Litt mer om PRIMTALL.
Norm for informasjonssikkerhet Modul 1 – Normen – en oversikt
Presentasjon av tjenesten
Lynkursdagene høsten 2011 Ansvar for egen PC ved UiO Hva bør jeg som bruker vite og gjøre..?
Sikkerhet - bakgrunn og introduksjon til kryptosystemer
Norm for informasjonssikkerhet Helse-, omsorgs- og sosialsektoren.
D ATASIKKERHET For foreldre med barn og unge som bruker datamaskin og internett - Hvilke trusler står vi ovenfor, og hvordan kan vi avverge disse?
Prof. Dag Wiese Schartum, AFIN
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, AFIN.
Jus som ramme for beslutningssystemer i forvaltningen Aktøranalyse og systemavgrensing Dag Wiese Schartum.
Sikring av personopplysninger i offentlig forvaltning Prof. Dag Wiese Schartum, AFIN.
Innføringskurs IT- tjenester for AFIN Ole Christian Rynning
FUNNKe Risikovurdering informasjonssikkerhet Nettverksmøte Tromsø 10. okt Eva Henriksen, Eva Skipenes,
IN320 Statoil Hjemmekontor Gruppe1 1 Statoil Hjemmekontor -Ett Lite Skritt Videre.
Sikkerhet og internett Kan vi være vi trygge? Kan vi beskytte oss? Bør vi slå av nettet …
Hva er Fronter.
1 Innføring i IDS (Intrusion Detection System) Som en enkel start på forskjellige måter å oppdage inntrengere på, skal vi se på en variant av dette som.
Kryptering og nettverkssikkerhet Third Edition by William Stallings.
Anne Marie Dalen Øverhaug Kvalitetsregisterkonferansen
Instruktørnotater: Instruktør må ha videokanon Velkommen til kurset
Informasjonssikkerhet
Sikker oktober UiOs sikkerhet – vårt felles ansvar Espen Grøndahl
Elektroniske signaturer i praksis Pål Kristiansen
Avdelings ingeniør ved HiB (AHS)
Dag Wiese Schartum, AFIN
Nasjonal Sikkerhetsdag 2009 Røros kommune. Hva er Nasjonal Sikkerhetsdag? En mulighet til å lære mer om informasjonssikkerhet En dugnad for å bedre informasjonssikkerheten.
En oversikt over personopplysningsloven Dag Wiese Schartum, AFIN.
Noen rettslige problemstillinger vedrørende elektronisk samhandling i offentlig sektor Prof. Dag Wiese Schartum, Senter for rettsinformatikk, Avdeling.
Meta- og grunnopplysninger Dag Wiese Schartum. Utgangspunkter “Infrastruktur” betegner et nett av ressurser for felles bruk i et samfunn Når ressursene.
DRI2001 h05 - Introduksjon 17. aug Arild Jansen 1 Introduksjon til DRI 2001– 1. forelesning 17. august 2005 Forelesningsplanen og pensum
Nøkkelinfrastrukturer - Hva er galt med det vi har? Endre Grøtnes, Statskonsult.
Inneholder din applikasjon personopplysninger?
Overvåking Feilhåndtering
| 1 Instruktørkurs for kommuner Veiledere; tilknytning til helsenett og fjernaksess (30 minutter)
DRI 1001 Digital forvaltning Introduksjon Arild Jansen 1 DRI 1001 Digital forvaltning Hva skal dere få vite i dag Litt om avdeling for forvaltningsinformatikk.
Om personopplysningslovens betydning for systemutvikling Dag Wiese Schartum, Avdeling for forvaltningsinformatikk (AFIN), UiO.
Organisering og arbeidsdeling i den digitale forvaltning Dag Wiese Schartum, AFIN.
Hva skal dere få vite i dag ? Litt om avdeling for forvaltningsinformatikk og vi som er her : Om studieprogrammet.
Opplæring: Pålogging Prosedyre for logge på og av, låse og åpne PC’er DatoVersjonForfatterGodkjent avEndringer utført André S. MathiesenTore.
FINF 4001 forelesning Arild Jansen, AFIN 1 Digital forvaltning Introduksjon Hva er digital forvaltning Nasjonale og internasjonale perspektiver.
Systemutvikling, organisasjonsutvikling og regelverksutvikling Dag Wiese Schartum, AFIN.
Dokumentasjon av rettslige beslutningssystemer Dag Wiese Schartum, AFIN.
Mads Lomholt, USIT Trådløst nett ved UiO Muligheter og begrensninger Lynkursdagene 2009.
Befolkning og arbejdsmarked 7. Mikroøkonomi Teori og beskrivelse © Limedesign
Taushetsplikt og andre begrensninger i tilgangen til personopplysninger Dag Wiese Schartum, AFIN.
Grunnleggende begreper i personopplysningsloven (legaldefinisjoner)
DRI1001 h04 - Introduksjon 16 aug Arild Jansen 1 Introduksjon til DRI – med vekt på IKT 1. forelesning 16. august Om kursopplegget og pensum Hva.
USIT/UiO, Jasmina Hodzic Noen utfordringer knyttet til sertifikatbasert innholdssikring SSL-sertifikater Jasmina Hodzic, USIT
FINF- H -04, 21 september 2004 Arild Jansen. AFIN/UiO 1 FINF Forelesning uke 39 Personvern som premiss for SU-prosessen Diskusjon om personvern som.
FINF- H -05, 13. september 2005 Arild Jansen. AFIN/UiO 1 FINF Forelesning 13.sept Personvern som premiss for SU-prosessen Diskusjon om personvern.
Introduksjon til FINF 4001: Systemutvikling, organisasjonsutvikling og regelverksutvikling Dag Wiese Schartum, AFIN.
DRI2001 h04 - fforelesning Arild Jansen 1 DRI 2001 Forelesning 1. september Offentlige tjenester på Internett – hva og hvordan Litt om ulike.
Om personopplysningslovens betydning for forvaltningens beslutningssystemer og nettsider Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Om personopplysningslovens betydning for systemutvikling -grunnkrav Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, AFIN.
Krav til sikring av personopplysninger Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2 Prof. Dag Wiese Schartum, AFIN.
Krav til sikring av personopplysninger
Regjeringens digitaliseringsprogram Hvorfor, hva og hvordan
Oversikt over lovgivning med stor betydning for digital forvaltning
DRI Regjeringens digitaliseringsprogram Hvorfor, hva og hvordan
Krav til sikring av personopplysninger i hht pol § 13 og pof kap. 2
Oversikt over lovgivning med stor betydning for digital forvaltning
I: Jus som ramme for beslutningssystemer i
Utskrift av presentasjonen:

Informasjonssikkerhet og digitale signaturer 05.03.06 Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet – hvilke trusler har vi og hvilke verdier bør vi beskytte Litt om sikkerhets- og sårbarhetsanalyse Hvor og hvordan kan vi sikre oss – noen eksempler på sikkerhetstiltak Litt om PKI og digital underskrift Sikkerhet og etikk - noen sammenhenger Førsteamanuensis Arild Jansen, AFIN, Universitetet i Oslo Arildj@jus.uio.no, http://www.afin.uio.no/ Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 1

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 05.03.06 En liten øvelse Hva er etter deres mening de tre viktigste sikkerhetstruslene truslene dere kan bli utsatt for Hvilke 3 sikkerhetstiltak (eller flere) mener dere er særlig viktig Mener dere sikkerheten på Universitetets datanett og maskiner er god nok ? Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Definisjon av informasjonssikkerhet 05.03.06 Definisjon av informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for informasjonen og også for det informasjons- systemet informasjonen inngår i. Sagt på en annet måte Robuste og effektive informasjonssystemer, som gir korrekt informasjon til rette personer til rett tid Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Noen viktige begreper til informasjonssikkerhet 05.03.06 Konfidensialitet Sikkerhet for at kun autoriserte brukere får tilgang til informasjonen. Eks: Kontrollere tilgang til filer på lokal PC, nettverk, databaser,… Integritet Sikkerhet for at informasjonen er fullstendig, nøyaktig og gyldig. Eks: Beskytte bankkonto, personregister, pasientinformasjon,… Tilgjengelighet Sikkerhet for at informasjonen er tilgjengelig for autoriserte brukere til rett tid. Eks: Sørge for at vi har tilgang til de ressurser (utstyr, programmer og data vi har rett til på og behov for ). Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 05.03.06 Viktige begreper (2) Autentisering Benyttes for å bevise at en bruker er den brukeren han eller hun utgir seg for å være. Eks: passord, pin-kode, pass,…. som bare jeg har Autorisasjon Benyttes for å gi en bruker tilgang til kun den informasjonen eller til det informasjonssystemet han eller hun skal ha tilgang til. Eks: at jeg som bruker har bestemte rettigheter på en PC Ikke-benekting (nonrepudiation) Benyttes for at en bruker ikke senere skal kunne nekte for at det er han eller hun som har utført handlingen. Eks: at jeg ikke kan fraskrive meg en avtale jeg har underskrevet Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Hvorfor bør vi tenke (mer) på informasjonssikkerhet 05.03.06 Hvorfor bør vi tenke (mer) på informasjonssikkerhet Dere vil ha stadig mer av deres ”verdier” tilgjengelig på nettet Økonomiske forhold , personopplysninger (f eks. helseopplysninger) , annen informasjon dere er avhengig av eller er viktig for dere Krav om generell tilgjengelighet, men også økende avhengighet Sikkerhetshendelser som virus, spam, tyveri med mer kan skape store problemer for dere eller andre dere samhandler med Dette berører også oss privatpersoner mer enn før Økonomiske forhold Helseopplysninger Andre typer følsomme opplysninger Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Noen problemområder og trusler 05.03.06 Noen problemområder og trusler På lokalt utstyr: Virus, ormer, hacking, informasjonskapler (cookies) Dårlig brukergrensesnitt som skaper ’unødvendige’ feil Menneskelige/organisatoriske feil I nettverket/infrastrukturen Avlytting, ødeleggelse/misbruk Tyveri av identitet, falske nettsteder, Trådløse nett innebærer spesielle sikkerhetsproblemer ”På sentrale ressurser Virus, ormer, hacking,.tjenestenekting, kapasitetsproblemer, .. Data- og informasjonskvalitet knyttet til både tekniske og organisatoriske forhold Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Noen trusler ved bruk av IKT systemer 05.03.06 Noen trusler ved bruk av IKT systemer Feil bruk Slurv Misbruk av passord … Lokalt utstyr Grensesnitt bruker - system Sentrale dataressurser Bruker Nettverk/infrastruktur Virus, ormer, hacking, Informasjonskapler (cookies) Dårlig brukergrensesnitt Menneskelige/ organisatoriske feil …. Avlytting,Tapping ødeleggelse/ misbruk Tyveri av identitet, (phishing), falske nettsteder Blokkering av tilgang hacking, Virus, ormer spam Misbruk, tjenestenekting, kapasitetsproblem Dårlig datakvalitet ……. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Hvordan vurdere behov for sikring 05.03.06 Hvordan vurdere behov for sikring Forela en sikkerhets- og sårbarhetsanalyse: Hvilke verdier vil jeg beskytte Menneskeliv /helse, økonomi, informasjon,… Hvilke trusler kan inntreffe Innbrud, hacking, virus, misbruk, dårlig datakvalitet Hva er sannsynligheten for at disse trusler finner sted Stor, middels, liten , (ingen?) Hva blir konsekvensene (”skadekostnad”) Risikokostnad = skadekostnad * skadefrekvens Hvilke tiltak bør/må vi iverksette : En vurdering av utgifter til tiltak versus (potensielle kostnader ved et ”uhell”) Unødvendig strenge sikkerhetstiltak er ikke en god løsning Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO En enkel sårbarhetsanalyse: Skal jeg installere et reservekopieringsprogram hjemme Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Eksempler på tekniske tiltak 05.03.06 Eksempler på tekniske tiltak Brukernavn og passord (som skiftes?), ++ Antivirus, spamfilter Restriktiv til cookies Begrense nedlasting (?) Reservekopiering Autentiserings- og autorisasjonsmekanismer Brannmur VPN (Virtual Private Network) Innbruddsdetektering, overvåkning,.. PKI (Offentlig nøkkel infrastruktur) og elektronisk signatur Filtrering av nettsider, Ulike personvernøkende teknologier Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Eksempler på tiltak Sentrale dataressurser Nettverk/infrastruktur 05.03.06 Eksempler på tiltak Riktig bruk Slurv ikke Gjem passord Rutiner for Reservekopiering Reduser nedlasting, sjekk nettsteder,… Sentrale dataressurser Lokalt utstyr Grensesnitt bruker - system Bruker Nettverk/infrastruktur Brannmurer Kryptering Antivirus, spamfilter Autentiserings- og autorisasjons-mekanismer Innbruddsdetektering, overvåkning,.. Sikre nettet fysisk Antivirus, spamfilter Brukernavn/ passord Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Internett og sikkerhet 05.03.06 Internett og sikkerhet Internett protokollene ble opprinnelig laget med tanke på en kommunikasjon basert på åpenhet og fleksibilitet, og ikke med tanke på sikkerhet. De første sikkerhetshendelser ble oppdaget fra midten og mot slutten av 1980-tallet. I dag skal ”alle” bruke Internett til ”alt”. Vår bruk av Internett blir overvåket, både ”lovlig” av programvareselskaper og tjenesteleverandører og ulovlig av alt fra nysgjerrige til organiserte kriminelle Med bakgrunn i den voldsomme økningen i bruk av Internett, er det utrolig viktig å ”tenke” sikkerhet. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Litt om kryptering og digitale signaturer 05.03.06 Brukernavn og passord Brukernavn er kjent, passordet holdes skult, blir kodet i en database på lokal maskin eller server. Nettbank Symmetrisk og assymmetrisk kryptering SSL: (Secure Sockets layer ) En protokoll for sikker overføring av informasjon over Internett, basert krypteringsteknologi. Vanligvis URL som begynner med "HTTPS" , + liten gul hengelås nederst i høyre hjørnet i nettleservinduet. PKI: (public Key infrastruktur) : En felles løsning for digitale signaturer og sertifikater Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 05.03.06 Noen eksempler Oppdatere en hjemmeside: http://www.uio.no/studier/emner/jus/afin/DRI1002/v06/ Elektronisk bank : http://www.postbanken.no/ Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Hvorfor elektronisk ID og –signatur (PKI)? 05.03.06 Hvorfor elektronisk ID og –signatur (PKI)? Det har blitt stadig klarere at en infrastruktur for elektronisk ID og signatur er avgjørende for å realisere mange nye elektroniske tjenester. Det er vanskelig og dyrt å rulle ut og vedlikeholde nye sikkerhetsmekanismer, og offentlige virksomheter kan ikke gjøre dette hver for seg. Borgere har allerede altfor mange passord og PIN-koder å forholde seg til. Dette må forenkles. Elektronisk ID og signatur er den sikkerhetsmekanismen som møter fremtidens krav til sikkerhet og funksjonalitet. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

og hva kan det brukes til? 05.03.06 969 PKI – hva er det og hva kan det brukes til? Lånt fra : Katarina de Brisis Avdelings for IT-politikk, Fad Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Hvordan virker digital signatur 05.03.06 Hvordan virker digital signatur Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Asymmetrisk kryptografi – digital signatur 05.03.06 AVSENDER MOTTAKER Sender Signerer Verifiserer Avtale om.. Med hilsen Avtale om.. Med hilsen Offentlig signeringsnøkkel Privat signeringsnøkkel Sender Signerer Verifiserer 23700yyGhNNjZZ0868 Sender tilbake Privat autentiseringsnøkkel Offentlig autentiserinsgnøkkel Sender Krypterer gZZ45xxxCYY 9i6hhbg Dekrypterer Avtale om.. Med hilsen Privat krypteringsnøkkel Offentlig krypteringsnøkkel Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

(Sertifikatkontroll) 05.03.06 BankID-infrastruktur Bank (Sertifikatkontroll) Sertifikatholder Tjenesteavtale Sertifikatmottaker (Tjenestetilbyder) Interbank regler Kommunikasjons- behov VA-forespørsel Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Anvendelsesområder 05.03.06 Person- sertifikater Web-tjenester for publikum, autentisering og signering, formidling av vedtak fra forvaltningen E-post fra publikum til forvaltning Utveksling av informasjon/dokumenter mellom offentlige virksomheter Pålogging som ansatt eller som profesjonell Signering av meldinger, som ansatt eller som profesjonell, direkte eller indirekte Virksomhets- sertifikater Virksomhets- sertifikater Virksomhets- sertifikater Person- sertifikater anskaffet i yrkes-sammenheng Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Web-tjenester for publikum 05.03.06 Web-tjenester for publikum Sjekk av nettstedets SSL-sertifikat Pålogging / autentisering Signering Borger Offentlig nettsted Sesjon som sikres (krypteres) med SSL Personsertifikat brukt til autentisering mot web-tjeneste og evt. signering Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

E-post mellom publikum og forvaltning 05.03.06 Personsertifikat brukt til pålogging på nettsted eller signering av epost Mottagers virksomhetssertifikat eller SSL brukes for kryptering Offentlig nettsted Signert/ autentisert Melding over web Borger Signert og kryptert Melding som epost Postmottak/ ekspedisjon Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 05.03.06 Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter Postmottak/ ekspedisjon Postmottak/ ekspedisjon Signert og kryptert melding ( epost ) Saksbehandler Saksbehandler Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Adresseliste m. mottageres Sertifikater (offentlig krypterings nøkkel) Dokumenter etc. sendes pr epost fra en virksomhet til en annen. Signert med (privat nøkkel tilhørende ) avsenders sertifikat OG Kryptert med (offentlig nøkkel tilhørende) mottagers sertifikat Eksempel 1 :Manuell bruk av sertifikat i ekspedisjon og postmottak Signeres med avsenders Virksomhetssertifikat, krypteres med mottagers. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter 05.03.06 Arkiv-/ saksbehandlingssystem Arkiv-/ saksbehandlingssystem Saksbehandler Saksbehandler Signert og kryptert melding Modul for automatisert sikker postgang Modul for automatisert sikker postgang (epost / web services / filutveksling) Adresseliste m. mottageres sertifikater (offentlig krypterings nøkkel) Eget Virksomhets- sertifikat (privat signeringsnøkkel) Eget Virksomhets- sertifikat (privat krypteringsnøkkel) Eksempel 2: System-til-system kommunikasjon. Automatisert og integrert med virksomhetens arkiv- og saksbehandlingssystemer. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Felles sikkerhetsportal 05.03.06 Felles sikkerhetsportal eID lev. 1 Andre Sikkerhetsportal Etater/ kommuner Min side AltInn Borgere og næringsliv eID lev. 2 Integrasjonsmodul eID/e-signatur Reg. tjeneste Sikkerhetsportalen integrerer løsninger fra tilbyderne av elektronisk ID og signatur i markedet, som tilfredstiller fellse Kravspesifikasjon for PKI (enten ved at de er blitt godkjent av den offentlige myndigheten, eller ved at det er gjennomført en frittstående sikkerhetsrevisjon). Dette gjør at offentlige virksomheter kan la borgerne benytte de sikkerhetsløsningene de allerede har fra andre sammenhenger, slik som smartkortet fra Norsk Tipping/Buypass og BankID-løsningen fra deres bank. Sikkerhetsportalen tilbyr sikker pålogging og signering av transaksjoner og dokumenter. Dette gjør det enkelt for offentlige virksomheter å tilby tjenester basert på elektronisk ID og signatur. De forholder seg kun til en avtalepart som er sikkerhetsportalen og får en enkel integrasjon mot denne, sikkerhetsportalen igjen håndterer de forskjellige leverandørene bak, både teknisk og avtalemessig. En sikkerhetsportal, er ikke noe borgeren ser. Den ligger bak de virkelige portalene og nettstedene, og blir koblet inn for å identifisere brukere og signere dokumenter når dette skal gjøres på de forskjellige nettstedene. Dette gjør at brukerne får et felles og kjent brukergrensesnitt å forholde seg til, for legitmering og signering på nett, uavhengig av offentlig virksomhet. I tillegg får de mulighet til å benytte den sikkerhetsløsningen de allerede har. Dette vil også gi muligheter for single sign-on på tvers av offentlige virksomheter. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 26

Sikkerhet, etikk og moral 05.03.06 Sikkerhet, etikk og moral Etikk: ”teori om rett og moral”, dvs. noen generelle, overordnede ”regler” eller retningslinjer (bud) som styrer ens atferd Handler om hva som er rett og galt og hvorfor Prinsipper for å handle riktig Er alle handliner som ikke er ulovlig også bra? Plikt-etikk og konsekvensetikk Forholdet mellom etikk og loven Eksempler på etikk i tilknytning til bruk av IKT Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Konsekvensetikk og pliktetikk 05.03.06 Konsekvensetikk og pliktetikk Normer Hva er ”riktige” og ”gale” handlinger Handlingene Er de ulovlige eller bare lite ønskelige? Pliktetikk Verdier Hva/hvem rammer de Resultatene Hvilke effekter – positive eller negative Konsekvensetikk Kriterier Fokus Etisk grunnsyn Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Noen etiske ’ dilemmaer; 05.03.06 Noen etiske ’ dilemmaer; Lese en feilsendt epost Låne bort eller låne et passord Prøve å knekke en kode for å demonstrere svakheten Legge ut ”mykporno” på UiO’s nettsider Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 05.03.06 UiO’s IT-reglement http://www.usit.uio.no/it/reglement/it- reglement.html Den Norske Dataforening http://dataforeningen.no/?module=Articles;action =Article.publicOpen;ID=2636 http://dataforeningen.no/?module=Articles;action =Article.publicOpen;ID=2370 ACM - http://www.acm.org/constitution/code.html Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO 05.03.06 Oppsummering IKT-løsninger og spesielt infrastrukturer innebærer en betydelig risiko og sårbarhet. Dette må legges realistiske sårbarhetsvurderinger til grunn Vi må ikke alene fokusere på å sikre datasystemer isolert, men som komplekse sosio-tekniske konstruksjoner hvor de organisatoriske og menneskelige aspekter er like viktige som de teknologiske Hva er akseptabel risiko og hvordan bestemmer vi den? Vi må stille spørsmålet om hvor stor risiko er vi villig til å ta; og hvem bør eller skal bære kostnadene ved dette. Vi kan ikke uten videre akseptere at forvaltning og næringsliv i samfunnets interesse utvikler nye løsninger hvor det er borgerne som må bære ”kostnadene” når noe går galt. Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Forstår vi konsekvensene av den teknologiske utviklingen 05.03.06 Forstår vi konsekvensene av den teknologiske utviklingen ”Det er sannsynlig at noe usannsynlig vil skje” (Aristoteles) Teknologiske systemer har alltid uventede og utilsiktede effekter: Sikkerhetsproblemer skapt av teknologien skal løses med bedre tekniske løsninger Vi forutsetter da at disse vil fungere som planlagt og ikke har vesentlig negative konsekvenser Det gjennomføres ofte ikke tilstrekkelig brede og gode risikovurderinger Eks Bankkort og pin-koder, nøkkelkort Vil elektronisk signatur fungere etter hensikten? Hvem vil det ramme når den svikter ? Vil vår sykejournal på smartkort ha tilstrekkelig kvalitet? Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Noen relevante litteratur mm 05.03.06 Lov om elektronisk signatur (esignaturloven) eForvaltningsforskriften (Forskrift om sikker elektronisk kommunikasjon med og i forvaltningen) Lov om Personopplysninger med forskrift Noe relevant bakgrunnsstoff Jansen og Schartum, Informasjonssikkerhet i et rettslig perspektiv Hannemyr: Hva er Internett http://www.nettvett.no/ http://odin.dep.no/fad/norsk/tema/ITpolitikk/pkiorgan/bn.html Forelesning 070306 Arild Jansen. Avd. for forvaltningsinformatikk/UiO

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.