Sikkerhet og robusthet i IKT-system

Hvilke typer sikkerhet snakker vi om når vi snakker om security?

Datasikkerhet, informasjonssikkerhet, IKT-sikkerhet, cybersikkerhet og nettverkssikkerhet

Hvilke typer informasjon må beskyttes?

Vital, personlig, strategisk og high-cost informasjon

Hva er security?

Beskytte IKT-infrastruktur mot uønsket aktivitet

Hva er confidentiality?

Sikre at kun de som er autorisert har adgang til informasjon

Hva er integrity?

Sikre at man ikke skal kunne endre eller slette informasjon

Hva er availability?

Sikre at informasjon er tilgjengelig for de som skal ha den

Hva er autenticity?

Bekrefte kilden til informasjon

Hva er nonrepudiation?

Å forhindre at en sender eller mottaker kan benekte informasjon

Hva er responsibility?

Å kunne forbinde informasjon til den den tilhører

Hva er privacy?

Beskytte personlig informasjon

Hva er personlig informasjon?

Informasjon som kan knyttes til en person, f.eks. navn, personnummer, posisjonsdata

Hvem er data subject?

Den personen det blir hentet personlig informasjon om

Hvem er data controller?

Den som bestemmer hvorfor og hvilke data som skal hentes

Hvem er data processor?

Den som henter ut den personlige informasjonen

Hva er dependability?

Systemet skal levere tjenesten som den skal

Hva er availability (i dependability)?

Evnen til å forsyne tjenester til en gitt tid

Hva er reliability?

Evnen til å forsyne uavbrutte tjenester

Hva er maintainability?

Evnen til et system til å vende tilbake til den tilstand hvor den kan levere tjenesten sin

Hva er safety?

Evnen til å ikke ha en uønsket effekt på systemets miljø og unngåelsen av katastrofiske feil

Hva er forskjellen mellom safety og security?

Safety er beskyttelse mot uønskede hendelser, mens security er beskyttelse mot bevisste hendelser

Hva er performance?

Evnen et system har til å forsyne de ressursene som trengs for at systemet skal levere tjenesten sin

Hva er capacity?

Den maksimale andelen data et system kan håndtere til enhver tid

Hva er gjennomstrømning (throughput)?

Delen av et systems kapasitet som blir utnyttet av brukerne

Hva er forsinkelse (delay)?

Tiden det tar å fullføre en prosess

Hva er funksjonelle krav?

Krav til hva systemet burde gjøre

Hva er ikke-funksjonelle krav?

Krav til hvordan systemet burde oppføre seg

Hva er asymptotic availability?

Sannsynligheten for at systemet fungerer i et tilfeldig tidspunkt i framtiden

Hva er instantaneous availability?

Sannsynligheten for at systemet fungerer i et gitt tidspunkt i framtiden

Hva er interval availability?

Den gjennomsnittlige tilgjengeligheten til et system i et gitt tidsintervall

Hva er de tre typene uønskede hendelser?

Tilfeldig, uten intensjon og med intensjon

Eksempler på tilfeldige uønskede hendelser

Systemsvikt, naturhendelser

Eksempler på uønskede hendelser uten intensjon

Menneskelig svikt (dokument sendt feil, sletting av filer, gravd over ledninger...)

Eksempler på uønskede hendelser med intensjon

Malware, man-in-the-middle, DDoS

Hva er uønskede hendelser innenfor security?

Threat - Vulnerability - Incident. Her er ofte et menneske innblandet i hendelsene (angrep)

Hva er uønskede hendelser innenfor dependability?

Fault - Error - Failure

Hva er fault?

En defekt i systemet

Hva er error?

Systemet er i en feiltilstand, et avvik fra hvordan tjenesten skal operere

Hva er failure?

Systemet feiler med å levere tjenesten sin / krasjer

Hva er en sårbarhet?

En feil eller svakhet i systemet som påvirker sikkerheten til systemet

Hvilke sårbarheter er det i den nasjonale norske IKT-infrastrukturen?

- Mange aktører involvert (som f.eks. har kabler i samme grøft eller bruker samme radioantenner)

- Pga geografien i Norge er nettet mer sentralisert, mindre robust utenfor de store byene

- Ikke dimensjonert for "topper" i trafikken

- Mangel på redundans (tilført ny kunnskap)

Hva er en ukjent sårbarhet?

En sårbarhet man ikke vet om enda, ikke vet hvordan man skal rapportere eller en sårbarhet man har undervurdert alvorlighetsgraden til

Hva er en zero-day-sårbarhet?

Når en ukjent sårbarhet blir en kjent sårbarhet (når produksjonsselskapet får vite om den)

Hva er et zero-day-marked?

Et stort marked for kjøp og salg av sårbarheter. Deles inn i tre; white, black og grey market

Hva er White Market?

Sårbarheter blir solgt for å få hjelp til å fikse de, altså der målet er å utbedre sikkerhetsfeilene. Eksempel er bug bounty

Hva er Black Market?

Undergrunnsmarked der målet er å utnytte sårbarheten til egen vinning

Hva er Grey Market?

Mellomting, ukjent hvordan sårbarheten brukes. Ligger i en gråsone for hva som er lovlig ettersom sårbarhetene ofte blir brukt til overvåkning eller offensive OPS

Hva er et teknisk, målrettet angrep?

Angrep rettet mot feilkonfigureringer eller svakheter

Hva er et teknisk, opportunistisk angrep?

Angrep uten noe spesifikt mål, vil bare hacke noen. Målet er ofte systemer som allerede har noen sårbarheter

Hva er sosial manipulering, målrettet?

Spear phishing. Går ut på å finne informasjon om noen og deretter tilpasse angrepet etter informasjonen som ble funnet

Hva er sosial manipulering, opportunistisk?

Phishing. Vanlig eksempel; å sende ut masse mail med noe gjenkjennbart og en link som ikke leder dit det hevdes

Hvem er innsidere?

Personer på innsiden av en virksomhet og som utgjør en trussel mot virksomheten

Hvem er thrill seekers?

Personer som ikke er utdannet i hacking, men som bruker automatiske verktøy

Hvem er hacktivists?

Personer eller grupper som er motivert av ideologi, ofte relativt lave tekniske ferdigheter. Målet er å påvirke

Hvem er cyberkriminelle?

Alt fra enkeltpersoner til organiserte grupper som kjenner til svært avanserte teknikker. Angriper for egen vinning, for å tilegne seg informasjon og stjele teknologi

Hvordan utføres et DDoS-angrep?

Flere datamaskiner som sender overflødig data til en server eller nettapplikasjon for å "oversvømme" den. Serveren må da ta imot mer data enn den kan takle om gangen, serveren kan krasje og tjenesten blir utilgjengelig.

Hva er sikkerhetstiltak?

Mottiltak som kan brukes for å unngå, oppdage eller minimere risikoen for angrep. Beskytte konfidensialitet, integritet og tilgjengeligheten til tjenesten (CIA)

Hva er preventive measures?

Ment for å forhindre at en uønsket hendelse skjer

Hva er detective measures?

Ment for å finne og klassifisere en uønsket hendelse når den skjer

Hva er corrective measures?

Ment til å begrense skaden forårsaket av en uønsket hendelse

Svakheter ved passord

- Brukere velger enkle passord som er lette å gjette

- Brukere skriver ned passordene deres

- Brukere bruker samme passord for flere forskjellige systemer

- Mange systemer beskytter ikke brukernes passord ordentlig

Passordbasert autentisering kan bli forbedret ved å ...

- Unngå bruken av vanlige eller svake passord

- Tillate bruken av alle karakterer, inkludert mellomrom og UNICODE

- Kreve lange passord (men ha maksimum grense)

- Inkludere passordets styrke når brukeren velger passord

- Lagre passord som hasher

Hva er de 5 gylne reglene for bruk av kryptografiske nøkler?

- Hold nøkkelen hemmelig

- Beskytt nøkkelen mot modifikasjon

- Vit viktigheten av nøkkellengden

- Generer en sterk nøkkel

- Distribuer nøkkelen trygt

Hva menes med "need to know"?

Handler om å sørge for at personer som spesifikt trenger informasjon skal ha den tilgjengelig

Hva menes med "need to share"?

Handler om at man vil sørge for at alle kan ha tilgang til informasjon i tilfelle de skulle trenge den

Hva brukes digitale sertifikat til?

Til å binde en spesifikk offentlig nøkkel til en spesifikk entitet (bruker, system eller tjeneste)

Hva er fault avoidance?

Å forhindre forekomst eller introduksjonen av feil

Hva er fault tolerance?

Å unngå at en fault fører til en failure

Hva er fault removal?

Å redusere antallet og alvorlighetsgraden av feil

Hva er fault forecasting?

Å estimere det nåværende antallet, den fremtidige fremkomsten og den sannsynlige konsekvensen av feil

Hvordan oppnå fault avoidance?

- Ikke la feil bli introdusert under designet og implementasjonen av tjenesten

- Beskytte systemet slik at forstyrrelser fra miljøet ikke kan skape distraksjoner

- Bruke testede design og komponenter som reduserer fysiske feil til et minimum

Hvordan oppnå fault removal under utvikling?

- Verifisering: å sjekke om systemet møter et sett med forhold

- Diagnostisering: hvis verifikasjonen feiler blir feilen diagnostisert

- Korreksjoner: nødvendige korreksjoner blir utført

Hvordan oppnå fault removal under operasjon?

- Korrigerende vedlikehold: utført etter at en feil har skjedd for å returnere systemet til sin riktige tilstand

- Forebyggende vedlikehold: deler blir byttet ut og justeringer blir gjort før feilen skjer

Hvordan er fault tolerance oppnådd?

Ved redundans i

- hardware

- software

- informasjon

- tid

Hva er modulær redundans?

Originalsystemet er multiplisert til et tall av identiske, simultant aktive delsystemer

Hva er stand-by redundans?

To eller flere kopier av det originale systemet. Bare en av kopiene er aktive om gangen

Hva er noen problemer ved å legge til ekstra redundans?

- Dyrt

- Øker kompleksiteten

- Hvor skal man sette grensa?

- Ikke så lett som det kan forekomme

- Er det virkelig no single point of failure etter at man har lagt til redundans?

Hva er de 4 fasene i å gjenopprette etter en feil?

- Deteksjon: trenger å finne ut om systemet ikke fungerer

- Lokalisering: hvor er feilen?

- Isolasjon: ikke alltid, men innimellom må man isolere feilen fra å gjøre mer skade

- Reparasjon: bringe systemet tilbake til sin arbeidstilstand igjen

Hva er et fail-safe design?

Brukes for å sikre safety. Oppdagelsen av feil tvinger systemet til å feile på en kontrollert og akseptert måte

Hvorfor er det vanskelig å gjøre oljebransjen mer digitalisert?

- Et skille mellom nyere og eldre systemer

- Isolert miljø og lite teknisk kompetanse on-site

- Langt livsløp på utstyr og komponenter + til dels utdaterte styringssystemer

- Plattformene har ekstremt kompliserte avhengigheter til annen kritisk infrastruktur

- Hundrevis av leverandører

Hva er en ressurs (asset)?

Alt av verdi for en stakeholder

Hva er en uønsket hendelse?

En hendelse som skader eller reduserer verdien til en ressurs

Hva er risiko?

En sannsynlighet for en uønsket hendelse og dens konsekvens

Hva er en konsekvens?

Virkningen til en uønsket hendelse relatert til en ressurs

Hva er risikonivå?

Omfanget av risiko som ventet fra dens sannsynlighet og konsekvens

Risikohåndteringens 5 steg:

Steg 1: Context establishment

Bestemme hvordan man gjør risikovurderingen og for hvem man gjør det, samt hvilke deler av systemet som skal bli inkludert i omfanget av vurderingen

Risikohåndteringens 5 steg:

Steg 2: Risk identification

Identifisere hvilke trusler som kan ramme hver enkelt ressurs og danne forståelse rundt hvordan truslene kan lede til uønskede hendelser

Risikohåndteringens 5 steg:

Steg 3: Risk analysis

Estimere nivået av identifiserte risikoer ved å estimere sannsynligheten og konsekvensen for hver uønsket hendelse (risikomatrise) (ØVING 1B!)

Risikohåndteringens 5 steg:

Steg 4: Risk evaluation

Sammenligne resultater fra risikoevalueringen ved å vurdere hvilke risikoer som skal behandles først

Risikohåndteringens 5 steg:

Steg 5: Risk treatment

Identifisere og velge tiltak som skal redusere risikoens sannsynlighet og begrense skade

Hva er de fire måtene å håndtere risiko?

1. Avoid: unngå hele aktiviteten som fører til den uønskede hendelsen

2. Reduce: redusere risikoen assosiert med hendelsen, enten gjøre sannsynlighet mindre eller minimere skadene

3. Transfer: overføre oppgaven om å håndtere hendelsen til en annen organisasjon

4. Accept: akseptere risikoen

Hva er NKOM?

En statlig etat, myndigheten for sektoren EKOM, som følger opp loven om elektronisk kommunikasjon

Hva er nodegrad?

Antallet kanter hver node har

Hva er degree centrality?

Antall naboer en node har / antall noder - 1

Hva er betweenness centrality?

For den korteste veien mellom alle nodepar, hvor mange av de går gjennom node v? Antallet korteste veier som går gjennom v / det totale antallet korteste veier

Hva er closeness centrality?

Hvor nærme en node er med alle de andre nodene. Antallet noder - 1 / summen av alle avstandene fra node v til alle de andre nodene

Hva er outsourcing?

En organisasjon går over til å skaffe en tjeneste fra en ekstern leverandør i stedet for å implementere den selv

Hva er en service-level-agreement (SLA)?

En avtale mellom en tjenesteutsteder og en bruker. Handler om kvalitet, tilgjengelighet, sikkerhet og ansvar.

Hva er typisk innhold i en SLA?

1. Beskrivelse av tjenesten

2. Tjenestenivået til tjenesten

3. Hvordan tjenesten vil bli monitotert og vurdert

4. Tjenestehåndtering

5. Avhjelpende tiltak i tilfelle leverandøren ikke er i stand til å oppfylle det angitte nivået

6. Når og hvordan avtalen kan sies opp eller fornyes

Hva er Terms of Service (ToS)?

Lovlige avtaler mellom en tjenesteutsteder og en person som har lyst til å bruke tjenesten. Beskriver reglene for bruk av tjenesten.

Hva er en Data Processing Agreement (DPA)?

En avtale som regulerer prosesseringen av personlige data under outsourcing. Sikrer at personlig data blir prosessert i henhold til loven, selv om den er outsourcet.