Internet och sedan

1
Internet och sedan

• IT nya risker
• Nicklas Lundblad

2
Agenda

• IT-risker idag arbetsmetod och
  informationssäkerhetspolicy
• Den nya sårbarhetens orsaker acceleration,
  skörhet och mänsklighet, något om nya risker
• IT-risker och beteendeforskning

3
IT-risker i dag

• Fråga Vad är IT-risker?
• Svar Alla risker som berör eller följer av
  användningen av informations- och
  kommunikationsteknik.

4
Mål med arbetet med IT-risker

• Sekretess/Konfidentialitet
• Kontroll över vem som får access till vad
• Integritet
• Kontroll över vem som förändrar vad
• Tillgänglighet
• Säker tillgång till informationssystem
• Spårbarhet
• Vem har gjort vad?

5
Hur arbetar vi med IT-risker?

• Genomför en riskanalys
• Utforma en informationssäkerhetspolicy
• Undersök försäkringar och avtal

6
Riskanalys

1. Resursidentifiering. De resurser som skall
   skyddas måste först identifieras. Vad är det som
   företaget skall skydda?
2. Hotidentifiering. Vilka hot kan dessa resurser
   utsättas för?
3. Sannolikhetsuppskattning. Vilken är sannolikheten
   för att de olika hoten realiseras?
4. Konsekvensanalys. Vad sker om hoten realiseras?

(LIS ISO 17799)
7
Kritiska resurser några exempel

• Kommunikation
• Webbplats
• Affärssystem
• Produktdatabaser
• Kunddata
• Med mera!!!

8
Efter riskanalysen utforma en informationssäkerhe
tspolicy

• Vad är en policy?
• Hur utformas en säkerhetspolicy?
• Formulera
• Förankra!
• Kommunicera!
• Uppdatera!

9
Stöd för riskanalys och policyarbete

• Standarder
• Ex. vis ISO 17799 - LIS
• Metoder
• OCTAVE m.fl.
• Mjukvara för scenarioanalys
• Ex.vis SBA Scenario
• Breda referensgrupper och förankringsarbete

10
En policy bör

• vara övergripande (komplettera med konkreta
  anvisningar om det behövs)
• inte vara för lång och omfattande (två pärmar?)
• läsas!
• utformas för att hantera och inte eliminera
  risker
• kopplas till anställningen rättsligt

11
Policyns innehåll - exempel

• Behörighetsadministration/åtkomststyrning
• Behörighetskontroll
• Loggning och spårbarhet
• Informationsklassning
• Införande
• Systemssäkerhetsplan
• IT-säkerhetsinstruktioner
• Skydd mot skadlig programkod

• IT-nätverk (internt)
• IT-nätverk (externt)
• Brandväggar
• E-post
• Distansarbete och mobildatoranvändning
• Kontinuitetsplanering
• Incidenthantering
• Säkerhetskopiering och lagring

Källa PTS
12
Avtal och försäkringar

• Ofta glöms avtalen bort i riskanalysen
• Vad ansvarar din ISP egentligen för?
• Försäkringar
• Ännu en ganska outvecklad marknad

13
Riskarbete
14
Sårbarhetens grunder

• Acceleration
• Skörhet
• Mänsklighet

15
Acceleration
16
(No Transcript)
17
(No Transcript)
18
(No Transcript)
19
(No Transcript)
20
We estimate that new stored information grew
about __ a year between 1999 and 2002.
Berkeley Information Growth Project
21
We estimate that new stored information grew
about 30 a year between 1999 and 2002.
22
Kungliga bibliotekets vanliga samlingar
(1483-2005) mäter __ hyllkilometer.Om man skrev
ut de digitala samlingarna från 1996-2003 skulle
de mäta ungefär __ hyllkilometer
23
Kungliga bibliotekets vanliga samlingar
(1483-2005) mäter 80 hyllkilometer.Om man skrev
ut de digitala samlingarna från 1996-2003 skulle
de mäta ungefär 160 hyllkilometer
24
(No Transcript)
25
(No Transcript)
26
(No Transcript)
27
Nya risker

• Brus
• Informationsförgiftning
• OSI-sårbarheter

28
Skörheten
29
Det sköra nätet
30
(No Transcript)
31
(No Transcript)
32
Felsäkert, men sårbart
33
(No Transcript)
34
(No Transcript)
35

36
(No Transcript)
37
(No Transcript)
38
(No Transcript)
39
(No Transcript)
40
(No Transcript)
41
Nya risker

• Nätkatastrofer Six Apart Google
• Rutten information och sköra system
• Politiska angrepp kampanjer

42
Mänsklighet
43
Usability
Security
44
(No Transcript)
45
(No Transcript)
46
(No Transcript)
47
(No Transcript)
48
__ av användare gav bort sitt lösenord för
choklad.
49
70 av användare gav bort sitt lösenord för
choklad.
50

• Onel de Guzman
• Onel De Guzman I am not a hacker I am a
  programmer.
• CNN Host Question from There What do you
  think a virus writer's motivation is?
• Onel De Guzman They want to learn. They want to
  be creative.

51
(No Transcript)
52
(No Transcript)
53
(No Transcript)
54
Nya risker

• Nya svagheter i nya system
• Användarvänlighet automatiserade angrepp
• Säkerhetstristess!

55
Risker, beteendeforskning och IT

• Tillgänglighetsfällan
• Sannolikhetsblindhet
• Systemblindhet
• Naturens godhet
• Förlusträdsla

56
Tillgänglighetsfällan (värmebölja,
flygplanskrasch)

• när vi skyddar oss mer mot hackers än mot
  insiders
• när vi skyddar oss mer mot virus än mot
  hårdvarufel
• när vi oroar oss mer över cyberterrorism än över
  elavbrott

57
Sannolikhetsblindhet (hajattacker)

• när vi har lösenord som är femtio tecken långa
• när vi raderar våra hårddiskar sjutton gånger
  (eller mikrar dem)
• när vi

58
Systemblindhet (amalgam och arsenik)

• när vi uppmuntrar backuper och ser USB-minnen på
  vift
• när vi skaffar bärbara som tappas bort
  okrypterade (MI6)
• när vi inför loggar utan att kontrollera dem
  eller ha tid att kontrollera dem

59
Naturens godhet (gm mot naturlig mat)

• när vi tror att irisavtryck är bättre än
  lösenord
• när vi tror att papper är säkrare än
  digitaliserad information (Dell)

60
Förlusträdsla (fågel i handen)

• när vi inte uppgraderar för att vi inte kan
  tillräckligt mycket om den nya patchen
• när vi inte skaffar nya säkerhetssystem eller
  byter koderna tillräckligt ofta

61
Patch och hot
62
WoW