Upload
c-media-scandinavia
View
262
Download
7
Embed Size (px)
DESCRIPTION
Et bilag utgitt av NorSIS med fokus IT-sikkerhet og hvordan man bygger en god sikkerhetskultur. Utgitt i Aftenposten 2. mars
Citation preview
Hele dette bilaget er en annonse fra NorSIS
Hacking er et eget fag. Det er det å stoppe den også.Det er et økende behov for individuelt tilpassede IKT-sikkerhetstiltak. Bouvet er en ledendenorsk IKT-leverandør og ser dette hver dag. Derfor har vi også egne sikkerhetseksperter. Snakk med oss om hvordan akkurat din virksomhet best kan sikres.
Ring Are Sørenstuen på tlf. 913 81 955 – eller se bouvet.no/sikkerhet
Forskning og utdanning
Side 10
Slik bygger du en god
sikkerhetskultur Side 13
Angriper gjennom
telefonsamtale Side 15
Er du godt nok sikret eller er du sikkerhetshullet i brannmuren? Her er rådene som vil hjelpe deg Side 6
Justis- og beredskapsminister Grete Faremo:
”Økt kompetanse – en forutsetning for bedre informasjonssikkerhet” Side 8
Hvordan bruke nettskyen trygt? Side 4
STOPP TENK KLIKK
Satser for fullt på:
Hele dette bilaget er en annonse fra NorSIS
2
Prosjektledelse & sAlG: Are okkenhaug jerstad/jan Arne dagsvik tekst: Christian sømme · GrAFIsk ForM & IllUstrAtIoN: daniel jernberg · trYkk: Media Norge trykk As oslo dIstrIBUsjoN: AftenpostenFor mer informasjon om annonsebilag på papir og nett, kontakt Are okkenhaug jerstad på telefon: 21 37 70 75, mobil 926 123 53 eller e-post: [email protected]
C MedIA er et PUBlIserINGsForetAk soM ProdUserer AVIsBIlAG I rIksPresseN oG PÅ Nett· WWW.CMedIA.No
For mer inFormasjon:
tore larsen ordreløkken og Hans Marius tessem,prosjektlederee-post: [email protected]
www.norsis.no
I henhold til Wikipedia gjør stealth-teknologi fartøyer, luftfartøyer, kjøretøy og andre objekter mindre synlige for radarer og andre sensorer. Hackere – som på norsk kalles angripere – bruker også teknologi for å kunne angripe i det skjulte. Blant annet finns stealth-virus som ikke blir oppdaget av anti-virus systemer. Men også på forsvarssiden har vi stealth-teknologi. Angriperne søker etter innganger – porter – til data-maskinen. Ved å sette brann muren i datamaskinen i stealth modus, går det an å bruke portene og likevel holde dem skjult.
Sikre og robuste datasystemer og -nett er en viktig forutsetning for økonomisk vekst og produktivitet. Samfunnets økte avhengighet av IKT (informasjons- og kommuni-kasjonssystemer) gjør oss sårbare, med ditto behov for å iverksette forebyggende tiltak. Dette har myndighetene grepet fatt i, og NorSIS spiller en nøkkelrolle i regjeringens satsing på infor-masjonssikkerhet.
Fra etableringen i 2006 har senteret engasjert seg i infor-
masjonsspredning, konferanser og kontakt med media, for å bidra til bevisstgjøring om trusler og sårbarheter og opplyse om konkrete sikkerhetstiltak.
Informasjonssikkerhet handler mye om deling av kunnskap. NorSIS deltar i verdens fremste inter-nasjonale nettverk og forsknings-miljøer, både for å lære bort og selv lære.
Slaget om informasjonssikkerhet handler om langt mer enn bare
maskiner og programvare. Den største trusselen er valgene hver og en av oss foretar seg. NorSIS ønsker å styrke fokuset på indivi-duelle holdninger til sikkerhet. Dette kalles for den sosiale brannmur. Nettopp hvordan vi som individer behandler og forholder oss til den økende mengden tilgjengelig informasjon blir stadig viktigere. Derfor vil våre egen sosiale brannmur være vel så viktig som sikkerhetsløsningene på serverrommet.
IT-sikkerhet – brukes om sikkerhet tilknyttet informasjons- og kommunikasjonsteknologi (IKT).
Informasjonssikkerhet – dekker IT-sikkerhet i tillegg til organis-asjon og ledelse, menneskelige aspekter og juridiske aspekter.
Norsk senter for informasjons-sikring (NorSIS) jobber på mandat fra regjeringen for å gjøre informasjonssikkerhet til en naturlig del av hverdagen.
hvem er vi?
Angriperei steAlthmodus
Begreper
Bevisstgjørelse som mål
Informasjonssikkerhet
En nAturlig dEl Av HvErdAgEn
Norsk Senter for informasjonssikring (NorSIS) jobber for å bevisst gjøre næringsliv og innbyggere på betydningen av informasjons sikkerhet. NorSIS ønsker at sikkerhet skal bli en naturlig del av vår hverdag – gjerne ved at hver og en av oss slår på og videre utvikler vår innebygde, sosiale brannmur.
Identifikasjons tyveri inne bærer at noen misbru-ker fortrolige data om deg. Det kan være personnum-mer og kredittkortnummer. Følgene kan være drama-tiske for berørte. For eksempel kan det komme inkassokrav på varer du aldri har kjøpt og kreditt-verdigheten din kan bli rammet. Er du i risikosonen? Gjør en selvtest på: www.idtyveri.info/ selvtesten/index.html
Er det riktig at du og jeg skal være det siste forsvarsleddet mellom en angriper og dine eller bedriftens verdier? Om det er riktig eller ikke, så er det slik hverdagen har blitt for de fleste av oss. Vi må oppdatere, oppgradere, ikke klikke på lenker, ikke åpne vedlegg, ikke svare på telefonen når det ringer fra ”Windows” eller i hvert fall ikke gi fra oss opplysninger til noen som utgir seg for å være banken vår. Dette er utfordringene vi i NorSIS jobber med, nemlig hvordan få ut budskapet om at det er viktig å ta vare på informasjonen vår samtidig som vi ikke skal skremme brukere unødvendig. Vi leser i media nesten daglig om virksomheter og personer som er utsatt for datakriminalitet. Tapt omdømme, kundeflukt, nedetid og tap av bedriftshemmeligheter koster penger. I Mørketallsundersøkelsen fra i fjor anslås det at datakriminalitet koster norske virksomheter over 20 milliarder kroner i året.
Vi må forvente en enda større utfordring i forhold til angrep mot mobile plattformer. Risikofaktorer er plattformuavhengig skadevare, hacking av NFC (Near Field Communication), blåtann og andre trådløse forbindelser. En av de store utfordringene i denne sammenhengen er
distribusjonen av mobilapplikasjoner og hvordan sikkerheten er ivaretatt i disse.
Informasjonssikkerhet må inn i ryggraden allerede fra barnsben av. Nyhetene flommer over av saker som omhandler bildedelingsprogrammer og mapper med uanstendige bilder som sirkulerer på nettet. Foreldre og lærere må ta tak i disse utfordringene mye tidligere enn de tror og handle deretter.
Vi er avhengig av god informasjonssikkerhet for å ivareta omdømme, tilitt, hemmeligheter og personvern. Å ha gjort en verdivurdering og en risikoanalyse er en god start for å kunne vite hvilke sikkerhetstiltak som er nødvendig å iverksette, og hvilken informasjon vi skal beskytte. Dette gjelder både når du skal legge ut informasjon på sosiale medier og når du arbeider med virksomhetens informasjon. Stopp – Tenk – Klikk er fortsatt en god leveregel.
tore Orderløkken, daglig leder
pAss på id-en din
Hele dette bilaget er en annonse fra NorSIS
3
Komplett utdanningsprogram fra bachelor til doktorgradDu må til Zurich eller London for å finne et tilsvarende dybdestudium i informasjonssikkerhet som Høgskolen i Gjøvik tilbyr ved Norsk informasjonssikkerhetslaboratorium (NISlab). Studietilbudet dekker bachelor-, master- og doktorgrad.
Informasjonssikkerhetsstudier ved Høgskolen i Gjøvik
– Vi har et helhetlig program som er utformet for å gi både bredde og dybde innenfor informasjonssikkerhet, sier seksjonsleder Nils Kalstad Svendsen ved NISlab. – Vi dekker alt; fra krypto og hacking til beskyttelse av kritisk infrastruktur, fra biometri, cyberforsvar og mobilsikkerhet til informasjonssikkerhetsledelse og digital granskning. Dette er bare en liten del av emnene i studiene.
Utdanningen er unik i Norden og sjelden i internasjonal sammenheng. Du må enten til ETH Zurich eller Royal Holloway University of London for å finne tilsvarende. Andre norske universiteter og høgskoler tilbyr informasjonssikkerhet som
emner i en informatikkutdanning, men ingen andre tilbyr en komplett utdanning innen informasjonssikkerhet.
Yrkesrettet for godt jobbmarked– Du blir godt rustet for arbeidsmarkedet. Vi har et nært og godt samarbeid med arbeidslivet, for eksempel gjennomføres bacheloroppgavene i samarbeid med bedrifter. Gjennom dette blir oppgavene praktisk anlagt og arbeidslivsrelevante, forklarer Svendsen, og legger til:
– Etter endt studium er du à jour på siste metoder og teknologier på feltet, og er blitt en attraktiv arbeidstaker.
Jobbmarkedet for kandidatene er meget godt og vil, i hen
hold til Svendsen, bare bli enda bedre.
Voksende behov– Behovet er overveldende, og Norge er ikke godt forberedt. Trusselbildet vokser og blir stadig mer komplekst. Dessuten byr ny teknologi som skytjenester og mobiltelefoner, og sosiale endringer som fleksibilitet og mobilitet blant ansatte, på nye utfordringer blant annet rundt drift og datasikkerhet, sier han.
– Spionasjenivået i Norge er nå høyere enn under den kalde krigen, og retter seg også mot høyteknologi og kompetansebedrifter. For å sikre oss mot disse truslene, kreves en systematisk bruk av teknologi og
organisatoriske virkemidler i tillegg til at vi må evne å lære av hendelser. Dette gjenspeiles i vår mastergrad hvor studentene spesialiserer seg innen teknologi, ledelse eller digital granskning, legger Svendsen til.
Nasjonal funksjonLaboratoriet Svendsen leder, er med sine 50 medarbeidere en av de største faggruppene i informasjonssikkerhet i Europa og er internasjonalt kjent.
– Når politiet i Tokyo sender en etterforsker hit for å få dybdekunnskap, da har ryktet vårt spredd seg langt, sier Svendsen.
– I fjor ble det skrevet om prosjektene våre i aviser på alle kontinenter, vi nådde en leser
masse på over 40 millioner.NISlab har også opparbeidet
seg en viktig, nasjonal funksjon, og samarbeider i økende grad med næringslivet, det nye Cyberforsvaret og KRIPOS. I 2012 ble NISlab tildelt rollen som leder av en nasjonal forskerskole i informasjonssikkerhet, en oppgave som innebærer å koordinere doktorgradsutdanningene innen informasjonssikkerhet ved universitetene i Trondheim, Bergen, Oslo, Tromsø, Stavanger og Agder.
– Det er ikke en liten anerkjennelse av vårt kompetansemiljø, sier Svendsen.
Norsk informasjonssikker-hetslaboratorium (NISlab) hører til innunder Avdeling for informatikk og medie-teknikk ved Høgskolen i Gjøvik, og driver både utdanning og forskning.
www.nislab.no www.hig.no
Bachelor i informasjonssikkerhet og Bac-helor i drift av nettverk og datasystemer: Treårig utdanningsløp med ca. 70 studen-ter. Inntakskrav er generell studiekompe-tanse og matematikk (R1 eller S2).
Master i informasjonssikkerhet: Toårig masterutdanning med spesialisering innen teknologi, informasjonssikkerhetsledelse og digitale granskning. Har ca. 80 studenter, både norske og utenlandske. Favner
heltidsstudenter samt deltids studenter og avstandsstudenter som ofte jobber ved siden av.
DoktorgraDsutDanning i informa-sjons sikkerhet: Tre- eller fireårig forskerut-danning med ca. 20 kandidater pr. i dag. Forskningstemaene er knyttet til veileder-nes interessefelt og pågående norske og internasjonale forsknings prosjektene ved høgskolen.
Utdanningsløp
Ingeniørutdanningen har et kvalitets-stempel helt tilbake fra 70-tallet. – Vi har et godt studentmiljø og masse aktiviteter. Blant annet deltar lag fra skolen hvert år i Capture The Flag (CTF), som er en internasjonal konkurranse i å angripe ulike sikkerhetssystemene. 72 timer med moro hvor vi alltid markerer oss sterkt, sier seksjonsleder Nils Kalstad Svendsen.
Foto
: An
de
rs G
. Gu
le
Foto: Hanno langweg
Hele dette bilaget er en annonse fra NorSIS
4
Begrepet nettskyen (cloud computing) er straks allemannseie. Det innebærer at du lagrer data og til og med bruker programvare som ligger i internettet.
Mange skytilbydereGoogle Drive er en tjeneste i skyen hvor du har lagringsplass og kan bruke programvare som kalender, epost og tekstbehandling. Dropbox er et kjent lagringssted. Mindre kjent er at de fleste programvaretilbydere så som Visma, SuperOffice, SAP, IBM og Microsoft har lagring og programvare i skyen.
– Sett deg inn i hvordan leverandøren sikrer dataene dine, og bruk bare dem som gir deg tilfredsstillende svar, sier forskningssjef Eli Winjum ved Forsvarets forskningsinstitutt (FFI). FFI forsker på sikkerhet i militære og sivile IKTsyste
mer, noe Winjum har arbeidet med i en årrekke.
– I nettskyen overlater du dataene dine til profesjonelle. Gitt at de tar sikkerhet alvorlig, burde dette for de fleste være mye bedre og tryggere enn å gjøre jobben selv, sier hun.
SikkerhetWinjum mener det er viktig å unngå at nettskyen gjør kjente sikkerhetshull større. Hun understreker at du selv må kunne bestemme hvem som skal ha hvilken type tilgang på dataene, og at leverandøren virkelig klarer å holde utenforstående unna. For eksempel bør dataene kunne krypteres. Dessuten må de sikres under transport, både mellom deg og skyen, og inne i skyen. Hva leverandøren er ansvarlig for, bør nøye avtales og avklares.
– Uansett løsning, blir det viktig for deg å skaffe oversikt over lover og regelverk, hvem som er ansvarlig ved sikkerhetsbrudd og hvor i verden skyen ligger. Tenk også gjennom hvilke dingser du ønsker å knytte opp mot skyen, sier hun.
– Husk at sikkerheten aldri blir sterkere enn det svakeste leddet, som kanskje er en liten, trådløs enhet.
Følg regelverketNorsk lov forbyr utenlandsk lagring av visse typer data. At loven må følges, fikk Narvik kommune erfare i begynnelsen av 2012, da Datatilsynet nektet kommunen å bruke skytjenesten Google Apps fordi det ”stred med personvernlovgivningen”. Men i høst fikk kommunen klarsignal etter å ha ”brakt [visse] forhold i orden”, i henhold til Computerworld.
Sannsynligvis bruker du nettskyen allerede, det vil si at dine eller arbeidsgiverens kjære og verdifulle data lagres et sted ute i internettet, for eksempel på en e-post-server. Verken skyen eller andre informasjonssystemer kan bli helt sikre. Mye koker ned til tillit og risikovurdering.
Helt i skyeneForskningssjef Eli Winjum tror at skyer med gode sikkerhetsløsninger kan være et godt valg for mange.
Trafikken i internettet er nøye regulert. Ulike typer trafikk går, enkelt og greit, gjennom ulike porter. Når du surfer på nettet, bruker du world wide web-delen av Internett. Vanlig trafikk (http) går over port 80, mens sikker datatrafikk (https) går over port 443. Sende mail (smtp) har port 25, imap-mail går på port 143 og sikret imap (imaps) på port 993.
Hva så med dette for folk flest? Jo, med brannmurene på PC-ene våre kan vi stenge porter. Stenger du port 80 for trafikk ut og inn, så går det ikke å surfe lenger. Ofte er brannmurene lagd slik, at de stenger de fleste portene og så velger vi hvilke som skal åpnes. Dersom ungene ikke får brukt et online dataspill, kan det skyldes at porten for dette er sperret. Dersom du får surfet på Internett men ikke sendt mail på et åpent (”public”) trådløst nett, kan det skyldes at portene for utgående mail er sperret – noe netteiere gjør for å unngå at nettet brukes som utgangspunkt for å sende spam.
porter i dAtAverden
Hvordan står det til på din egen datamaskin? Først – en advarsel? Dersom du får blinkende vinduer med ”test datamaskinen din gratis nå”, så la dem blinke i fred. På www.norsis.no finner du imidlertid sikkerhetssjekker og annen sikkerhetsprogramvare du kan stole på.
skAnn dAtAmAskinen din
Vanlige forbrukerrettede operativ-systemer er Microsoft Windows og Mac OS. Hos mer ivrige datahob-byister og profesjonelle miljøer finner vi også Unix og Linux (en avart av Unix). Også Mac OS har røtter i Unix.
Sikkerheten på operativsystemene varierer. På Windows-plattformen er det vanlig å installere antivirus-programvare. Også på Mac OS bør du installere slik programvare. Det
kan komme trusler mot dette operativsystemet, og du risikerer også å motta og videresende virusinfiserte filer fra andre systemer. En trussel i seg selv, kan være å anse operativsystemet som virus-fritt og dermed bli sårbar.
For smarttelefoner er det flere operativsystemer å velge i enn for datamaskiner. Vi har iOS (iPhone), Google Android, Windows Phone, Symbian og BlackBerry OS. iOS er
forbehold Apple iPad og iPhone. Blant annet for å stoppe skadelig programkode, er det begrenset hvor du kan laste ned program-vare. Andre plattformer er åpne og lar deg laste ned programvare fra flere steder. Dette gir økt sårbar-het.
Debatten om åpne versus lukkede plattformer har imidlertid flere aspekter enn skadelig program-vare.
operAtivsystemerOperativsystem (OS) er grunnleggende programvare på datamaskinen som holder styr på både maskinvare og annen programvare.
pAssordfrifremtidGoogle har i 2013 presentert flere forslag til løsning på en passordfri hverdag. En ring på fingeren eller nøkkel for USB-kontakten er løsninger Google ser på, melder NRK.no.
Foto
: FFI
Foto
: Ia
n B
arb
ou
r
”Sett deg inn i hvor-dan leverandøren sikrer dataene dine, og bruk bare dem som gir deg tilfreds-stillende svar”Eli Winjum, forskningssjef FFi
Hele dette bilaget er en annonse fra NorSIS
5
Sikker betaling rett fra mobilen
Tyveri og manipulasjon av informasjon er et betydelig og raskt voksende problem. Du tror kanskje ikke dette berører deg, men økt bruk av nye «dingser» gjør det mulig for organiserte kriminelle å stjele din identitet, sensitiv informasjon eller overta din konto - leverandørene av apper og nettjenester gjør lite for å beskytte deg som bruker.
organisert nettkriMinalitetNettkriminelle utnytter svakheter i apper, programvare og operativsystemer uten at brukeren har mulighet til å oppdage aktiviteten. Det er i dag grunn til å anta at en betydelig andel av datamaskiner er infiserte med skadevare som kan gjøre det mulig for nettkriminelle å stjele eller manipulere informasjon.
sikkerhetsløsninger – liten effektTradisjonell sikkerhetsprogramvare, som antivirus, ble utviklet på 1980tallet for å stoppe angrep som først og fremt kunne ødelegge dine data. Metodene tradisjonell sikkerhetsprogramvare benytter er ikke effektive mot nye trusler og kan ikke benyttes på smarttelefoner eller nettbrett.
Din DataMaskin eller telefon er ikke sikker! Sikkerhetsselskaper rapporterer at 3050% av PCer er infiserte med ondsinnet programvare som kan stjele eller manipulere informasjon. Dette må anses å være alvorlig, men sikkerhetstester av apper gjennomført av Promon viser alarmerende funn; ingen av appene i testene hadde tilfredsstillende beskyttelse mot tyveri eller manipulasjon av informasjon.
hveM Bør ta ansvar?Den dramatiske veksten i bruken av mobile datamaskiner, smarttelefoner og nettbrett sammen med en eksplosiv tilvekst av apper gjør det umulig for brukeren å beskytte seg mot nye trusler. Brukeren har verken kontroll på datamaskinen eller appene og er prisgitt leverandørene av apper eller informasjon.
App og tjenesteleverandøren oppbevarer og behandler dine data – utenfor din kontroll – det bør også være helt naturlig at de sikrer dine data mot nettkriminalitet.
Vær kritisk – app og tjenesteleverandørene kan beskytte deg hvis de vil!
BaneBrytenDe norsk teknologiPromon er et norsk teknologiselskap som har utviklet og patentert unik teknologi som gjør det mulig å beskytte informasjonen på din datamaskin, smarttelefon eller nettbrett uten at du som bruker må gjøre noe som helst!
Promon Shield leveres som en integrert del av appen eller programvaren som installeres på brukerens datamaskin eller er innebygget i nettleseren. Dette gjør det mulig for app eller tjenesteleverandøren å sikre brukeren mot nettkriminelle.
BankID på mobil, som er et alternativ som ikke krever BankIDpassord og kodekalkulator, har vært tilgjengelig siden 2009. I dag er det kunder i DNB, Skandiabanken, Terra Gruppen og SpareBank 1, som bruker Telenor, Djuice, Talkmore, Hello Norway*, Phonero*, Telipol og Dipper, som kan bestille BankID på mobil. Løsningen gir en økt fleksibilitet for brukerne, fordi de kan bekrefte betalinger og gjøre pålogginger kun ved hjelp av mobilen. I tillegg kan man logge på fra alle enheter,
også nettbrett og smarttelefoner.Nylig annonserte ytterligere
22 banker og teleoperatørene Tele 2, MyCall, OneCall og Network Norway, med sine 1,2 millioner kunder at de vil gjøre løsningen tilgjengelig i løpet av første halvår.
– Vi tror at hele den norske banknæringen og alle sentrale teleoperatører vil tilrettelegge for BankID på mobil i løpet av 2013. Da vil alle kunder som ønsker det kunne bruke løsningen, sier produktsjef Nils Inge Brurberg i BankID Norge.
Nå kan BankID dessuten brukes i den offentlige IDporten. IDporten brukes av mange offentlige tjenester, inkludert NAV.no, Altinn.no, Helsenorge.no, Lånekassen.no og Skatteetaten.no. Dersom du innen 1. mars registrerer deg som såkalt ebruker hos Skatteetaten, får du tilgang til selvangivelsen to uker før andre: 19. mars.
– For brukerne er det praktisk med én sikker påloggingsløsning. Da blir det færre passord å huske på, sier Brurberg.(* bestill nytt SIM-kort)
Når du logger deg på i nettbanken, eller 270 offentlige nettjenester, kan du bruke BankID. BankID eies av Finans Norge, som hele bank-Norge står bak. Løsningen har sikret tilgang til folks penger og personsensitive data gjennom mange år.
På www.skatteetaten.no kan du logge på med BankID, registrere deg som e-bruker og få selvangivelsen din før andre.
Kontakt banken din for mer informasjon om BankID på mobil. Se også www.bankid.no/dette-er-BankID/BankID-pa-mobil
www.bankid.no
Nils Inge Brurberg, produktsjef i BankID Norge.
Hele dette bilaget er en annonse fra NorSIS
6
Noen komponenter spiller en så viktig rolle i en virksomhet at de bør være sertifiserte. Sertifise-ringen kan gjelde både maskinva-ren og programvaren i en komponent, og innebærer økt sikkerhet for at komponenten har egenskapene som den skal ha. Risikoen ved usertifisert hard-ware kan for eksempel være at den har bakveier som gjør at andre kan få tilgang til enheten eller dataene som passerer gjennom den.
SERTIT er den offentlige sertifiseringsmyndigheten for IT-sikkerhet og utsteder sertifika-ter og sertifiseringsrapporter. Standarden som SERTIT bruker kalles Common Criteria (CC). Typis-ke sertifiserte komponenter er brannmurer, strømmålere, enheter i sikkerhetsgraderte systemer og nettverkskomponenter.
Sertifiserte produkter kan være merket, men det enkleste er nok å stille krav til leverandøren om hvilke komponenter som må være sertifiserte.
ekstrA trygghet med sertifiserte komponenter
hold mAskinen
oppdAtertNår datamaskinen din melder at nye versjoner av programvare er tilgjenge-lig, bør du følge anvisnin-gene for oppgradering. Nye trusler kommer fort-løpende, og derfor kommer nye programvareversjoner som beskytter mot dette.
Ikke alle oppgraderinger varsles automatisk. Derfor bør både bedrifter og privatpersoner regelmes-sig besøke nettstedene til programvareleverandører som er viktige for dem: Er det kommet noe nytt å laste ned?
En måte å huske dette på, er å legge inn påmin-nelse i kalendersystemet ditt. De fleste kalendersys-temer lar deg registrere gjentagende hendelser, dvs. at hendelsen/avtalen kommer opp med for eksempel én måneds mellomrom. For ikke å gå glipp av påminnelsen, kan du legge inn at du vil ha beskjed med alarm eller ved at kalendersystemet sender en e-post til deg.
1. Pass på hva du sier Del aldri viktige passord med andre.
2. vær kritisk til hvem som ringer Det er sjelden noen med gode intensjoner ringer og ber om brukernavn/passord.
3. Slå brannmur på En brannmur begrenser tilgangen til maskinen din.
4. Passordbeskytt trådløst nettverkTilgang kun for de som kjenner passordet (merk! Det er ofte ett passord for å gjøre innstillinger på trådløs ruter og ett for selve nettverket).
5. gjestenettverk på kontoret Tilby gjester generøst et eget nettverk som er sperret (har stengte ”porter”) for mange tjenester.
6. Sperret med kode og ”kill pill” • Still inn at skjermen må låses opp dersom telefonen ikke blir brukt på noen minutter. • Still inn at telefonen kan fjernslettes med ”kill pill”(*) eller etter et visst antall mislykkete kodeforsøk.
7. velg tallkode andre ikke kan gjetteFødselsdagen din er en dårlig idé.
8. Pålogging på nett Variér brukernavn og passord. Velg gjerne bruk av BankID, Buypass (med for eksempel Norsk Tippingkort og MinID.
9. Operativsystem Installér antivirus/malwareprogramvare uansett hvilket operativsystem du har. Se www.norsis.no
10. All post er ikke koselig SPAM er navnet på uønsket epost. Ikke klikk på lenker eller åpne vedlegg fra ukjente avsendere. Er tilbud for gode til å være sanne, så er de nettopp det.
11. Backup Husk å ta backup. Lagre backupen hos noen andre. Velg passordbeskyttelse/kryptéring, og husk passordet!
12. Opp i skyene Du kan lagre og ta backup til skyen. Tenk nøye på hvor i verden filene havner. Husk at restore/hente fra backup kan ta mye lengre tid enn fra fysisk backup.
Har du sett en slik grønn lenke med hengelås før? Symbolet forteller at koblingen til siden er kryptert med et digitalt sertifikat – såkalt EV-sertifi-kat hvor bokstavene står for Exten-ded Validation. Bak sertifikatet står internasjonale virksomheter som går gode for at nettstedet eies av den som gir seg ut for å eie det. Du kan
forvente at nettsteder, hvor sikkerhet er ekstra viktig, har et slikt sertifikat – som påloggingssider og nettbanker. Klikker du på hengelåsen, får du opp hvem som har utstedt sertifikatet. VeriSign, Verizon og GeoTrust er noen av disse. Første gang sertifikatet dukker opp, og det kan det gjøre både på nettsteder og i epostpro-
grammer, må du godkjenne sertifika-tet. Da gjelder det å lese grundig. Når du bekrefter sertifikatet, registreres dette i datamaskinen din.
Dessverre slurver selv store virksomheter med å fornye sertifika-tene sine. Får du melding om at et sertifikat er utløpt, bør du logge av og ta kontakt med nettstedseieren.
grønt nettlys med hengelås
* ”Kill pill” er en vanlig betegnelse på tjeneste du kan abonnere på. Dersom du mister telefonen, kan du sende en ”kill pill” fra en annen telefon eller datamaskin som innebærer at data slettes.
12 trinn til økt sikkerhet
Foto
: lo
risfl
ickr
Hele dette bilaget er en annonse fra NorSIS
8
dokument-sikkerheti prAksis
Justis- og beredskapsminister Grete Faremo:
”Økt kompetanse – enforutsetning for bedre informasjonssikkerhet”
– Informasjonsteknologi er en helt selvfølgelig del av hverdagen vår, både i jobb og fritid. Fordelene ved teknologien er store og å klare oss uten er utenkelig. Derfor må vi alle også forholde oss til sårbarheten teknologibruken medfører, sier Faremo til Stopp. Tenk. Klikk.
Teknologien er med oss blant annet som PCer, smarttelefoner og nettbrett. Nye enheter og nye versjoner av enheter kommer fortløpende. Vi er dessuten på vei inn i et tinginternett hvor forskjellige dingser som blodtrykksmålere, kjøleskap, strømmålere og alarmsystemer står i kontinuerlig i kontakt med omverdenen via internettet.
informasjonssikkerhet del av hverdagen– For mange, både som privatpersoner og arbeidstakere, har den digitale hverdagen kommet brått på. Stort sett gir dette nye muligheter vi oppfatter som positive, men også noen utfordringer. Mange mangler kompetanse på hvordan å best ta vare på sikkerheten, sier hun, og legger til:
– Derfor ønsker jeg i min posisjon å skape økt oppmerksomhet rundt behovet for kompetanse, lederfokus og valg av gode sikkerhetsløsninger. Informasjonssikkerhet må kort og godt bli en naturlig del av hverdagen hjemme, i små så vel som store virksomheter.
Informasjonssikkerhet er et sentralt og velkjent tema for justis og beredskapsministeren. Hun var blant de første styre
medlemmene i NorSIS – Norsk senter for informasjonssikring – som er underlagt Justis og beredskapsdepartementet og utgiver av dette avisbilaget. I 2012 byttet Justis og politidepartementet dessuten navn til Justis og beredskapsdepartementet, for å reflektere beredskap og sikkerhet som sentralt arbeidsområde. Alt under Faremos ledelse.
rett hjemHun mener at bevisstgjøringsarbeidet rundt trusler og sårbarhet – som NorSIS driver på nasjonalt nivå – må inn i hjem og organisasjoner.
– Uansett er forsvarsvåpnene våre bevissthet og kompetanse. Virksomhetsledere må sørge for at medarbeiderne er à jour. Hver og en av oss må dessuten kunne forebygge og avverge angrep som kommer gjennom datadingsene våre.
– Men kunnskapen har også et annet, viktig aspekt: Vi må kunne håndtere en krise dersom den likevel inntreffer, sier Grete Faremo.
Bevisstgjøring, kompetanseutvikling og ledelse. Det mener justis- og beredskapsminister Grete Faremo (Ap) er avgjørende for infor-masjonssikkerheten for hver enkelt av oss og arbeidsplassene våre.
”Jeg ønsker økt opp-merksomhet rundt kompetanse, lederfo-kus og gode sikker-hetsløsninger”grete Faremo, justis- og bered-skapsminister
– Vi trenger økt bevissthet og kompetanse både for å forhindre angrep og kunne håndtere situasjoner som likevel skulle oppstå, sier justis- og beredskapsminister Grete Faremo.
Første steg i et sikkerhets-opplegg er å etablere en bevisst sikkerhetskultur i virksomheten og holde denne ved like. Mye informasjon kommer trolig på avveie som følge av ubevisste handlinger og mangel på gode løsninger som støtter deling av sensitiv informasjon.
Videre må virksomheter ha et gjennomtenkt regelverk med forskjellige nivåer for hvem som får tilgang og hvordan informasjonen kan deles. Det er for eksempel vanlig med forbud om deling via e-post av visse typer informasjon.
Skal regelverket ha noen verdi, må det kunne etter-følges i praksis. Og der-som dokumenter ikke kan sendes per e-post til Brasil eller Kuala Lumpur, så er kurér eller flytransport bare sjeldent et alter-nativ. Såkalte Document Compliance Management Systems (DCM) sørger for at delingsregelverk kan etterleves i praksis og loggfører hvem som bruker informasjonen. Da kan man avdekke og forhindre både uforsiktighet eller misbruk.
For 7. gang arrangerer vi konfe-ranse om Sikkerhetskultur. Denne gang på Hafjell ved Hunderfoss-trollet, 13. og 14. mars.
Konferansen arrangeres av NorSIS i samarbeid med Nasjonal Sikkerhetsmyndighet. Program-met for Sikkerhetskulturkonferan-sen er variert og spennende. Vi avslutter med mulighet til å delta på en workshop om Nasjonal Sikkerhetsmåned. Her er det begrenset til 20 deltakere.
Les mer på: norsis.no/nyheter/2013-02-17-Sikkerhets-kultur
kAn vi temme
trollet?
Foto
: Ma
rte
eyd
e k
juu
s
Hele dette bilaget er en annonse fra NorSIS
9
Buypass ASNydalsveien 30 AP.O. box 4364 NydalenN-0402 Oslo NorwayTel.: +47 23 14 59 00Fax :+47 23 14 59 00
• Visste du at Buypass står bak id- og betalingstjenesten som sørger for at over 2 millioner nordmenn får levert og betalt for spill hos Norsk Tipping - trygt og enkelt på internett, hos kommisjonærer, på spill- terminaler og i mobilen?
• Visste du at idretts-Norge har tatt i bruk en ny løsning som gjør det enkelt å melde seg på og betale for idrettsarrangementer på internett og mobil? Buypass leverer betalingstjenestene og har utviklet mobil-løsningen.
• Visste du at Buypass leverer id og e-signaturløsningen som gjør at helse-personell effektivt og sikkert kan sende sykemeldinger, resepter og andre sensitive data elektronisk?
• Visste du at du kan få trygg elektronisk tilgang til offentlige tjenester som selvangivelsen, dine resepter, pensjon og mye mer ved å bruke ditt Buypass Smartkort for å identifisere deg?
• Visste du at Buypass id- og betaling benyttes over 25 millioner ganger hver måned? Besøk buypass.no og les mer om hvordan du skaffer deg Buypass ID på smartkort og mobil, og se hvor du kan bruke din Buypass ID.
TrygT
ENKELT
elektronIsk ID & BetalIng
smartDet sier Mari Grini som er leder av ITsikkerhet i SpareBank 1 Gruppen. I motsetning til hva en legmann intuitivt ville tro, dreier ikke ITsikkerhet seg først og fremst om maskinvare og programvare som kontrollerer, avdekker, sporer og beskytter.
– Denne type sikkerhet er selvsagt viktig. Det vil være feil å tro at sikkerheten er på plass såfremt du installerer bokser og pro gramvare. Utfordringen er at mennesker – som regel ubevisst og uten uredelige hensikter – kan gjøre store skade. Ved å stramme inn for mye til på ITsiden, kan vi gå glipp av fordeler som veier opp for ulempene ved å gjøre det litt friere, forklarer Vidar Espeland Eide, som er seniorrådgiver ITsikkerhet i banken.
regelverkRegler – eller policy som det kalles – finnes det mange av. SpareBank 1 har gjort kort prosess, og tillater ikke oppkobling av private enheter i sine interne nettverk – trådløse som kablete. Men, generøst nok har banken etablert et gjestenett. Fra gjestenettet kommer ingen over i bankens interne nettverk og dataene der.
utstyrskontroll– Vi er avhengige av at PCer og andre enheter som kobles i vårt nett har en viss sikkerhetsmessig kvalitet. Det får vi blant annet
ved selv å eie dem og dermed ha kontroll på konfigurasjonen, sier Eide.
Ingen regler uten unntak. Noen brukere får bruke sine smarttelefoner til for eksempel epost og kalendersystemene. Men da har banken lagt opp til det den kaller en sand boxteknologi.
– Det er et program på smarttelefoner som andre programmer kan kjøres inni, forklarer Grini.
– Vi har full kontroll på sand boxen og kan fjernslette den med noen tastetrykk. Alt annet på telefonen forblir uberørt.
Sikkerhet innunder hudenBanken er også nøye på hvordan eksterne leverandører behandler data. Men har, i motsetning til mange andre, ikke sperret for Dropbox og skytjenester medarbeidere benytter.
– I dag er det Dropbox, i morgen er det noe annet. Medarbeiderne får regelmessig opplæring i ITsikkerhet. Det posisjonerer oss også for å håndtere fremtidig trusler, sier Grini, og lar Eide runde av med bankens lille trumfkort.
– Vi overvåker nettverkstrafikken. Dersom PCer i nettverket gjør noe uvanlig, som for eksempel tar kontakt med datamaskiner som vi ikke bør ha noe som helst å gjøre med, så ser vi det og kan iverksette sikkerhetstiltak.
it-sikkerhet hos spAreBAnk11. Sikkerhetskultur | 2. Regelverk | 3. Maskinvare | 4. Programvare og kontroll
– Det er en styrke at medarbeidere i SpareBank 1 er oppegående og gjør gode beslutninger. Dette gjelder også IT-sikkerhet, sier Mari Grini og Vidar Espeland Eide.
Bruker sosiAle medierSpareBank 1 gir sikkerhetsråd til sine kunder via Facebook, blogger, Youtube og Twitter. Også bankens egne medarbeidere følger med på dette.
n ”Bring your own device”: medarbeidere bringer egne dingser inn i bedriftsnettverket.
n ”Bring your own app”: medarbeiderne tar med egne app-er/programmer.
Satser på oppegående bankmedarbeidereI dag truer noe. I morgen noe annet. – Også når det gjelder sikkerhet, må vi må sette medarbeiderne i stand til å treffe de riktige beslutningene. Kunnskapsløshet er den største trusselen.
Foto
: Ma
rte
eyd
e k
juu
s
Hele dette bilaget er en annonse fra NorSIS
10
Sikrer datatrafikk i virksomheter og industrinettverk
– Den største utfordringen kan være folks følelse av maktesløshet overfor potensielle sikkerhetstrusler. Mange føler at de ikke har annet valg enn å lukke øynene, akseptere advarslene og håpe på det beste. Vår fokus er å legge til rette for at folk kan operere mest mulig fritt og likevel sikkert, sier ansvarlig for sikkerhetsområdet, Hugo Fernandez.
Vil avhjelpe avmaktsfølelseFernandez og f lere kolleger har sikkerhetskultur innunder huden fra sin tidligere arbeidsgiver Forsvaret. Han påpeker at
mange føler avmakt i forhold til det de leser og hører om trusselbildet.
Enda verre er falsk trygghet. Virksomheter flest installerer brannmurer. I brannmurer er det et sett av regler som tillater eller stopper trafikk internt og ekstern. Helt trygt blir det først når all trafikk stoppes, men da får man til gjengjeld ikke brukt nettverket. To porter som alltid er åpne er port 80 for vanlig Internett og port 443 (https).
Analyserer datatrafikken– Stenger man disse portene, ville det være jevngodt med å
nappe nettverkspluggen ut av veggen. At portene står åpne hos de fleste, er på den annen side nesten som å ha døren til bankhvelvet på vidt gap uten vakthold, sier Fernandez, og legger til:
– I slike situasjoner gir vanlige brannmurer en falsk trygghetsfølelse. Mange tror at den ene brannmuren er like god som den andre. Vi leverer imidlertid brannmurer som har kapasitet til å analysere datatrafikken – kodene – som går igjennom åpne porter, uavhengig av hvilket program eller app som brukes. Derfor kan vi bidra til sikker bruk og informasjonsflyt, sier han.
Brannmurer er nettverkskomponenter med programvare, og følgelig ikke noe man tar med seg under armen på reise. Brannmurene Data Equipment leverer, fungerer imidlertid slik
at de holder kontroll på at PCer og andre dingser følger sikkerhetsreglene selv om de befinner seg utenfor det gode, trygge bedriftsnettverket hjemme.
Global brannmur– Det betyr at dersom man for eksempel skulle være fristet til å logge seg på ”free WiFi”, som egentlig er et nettverk opprettet av person med skumle hensikter ved nabobordet, så passer brannmuren like fullt på.
Det gjør den også dersom man klikker seg inn på fildelingstjenester med uheldig innhold, på en YouTubevideo med malware, en snikete Facebookapp eller en fristende lenke fra ukjent epostavsender.
30 års erfaringData Equipment feirer 30 år i år. Selskapet har lang fartstid innen nettverkssikkerhet og
infrastruktur bl. a. innenfor kraftbransjen. At slike systemer fungerer, er avgjørende for at et moderne land som Norge kan fungere godt. Fokus har derfor vært på å levere robuste løsninger med lang levetid.
Men nå er også den infrastrukturen blitt et angrepsmål. I tillegg får de åpninger mot Internett. Det foreligger multimilliardplaner for å gjøre strømnettet ”smart” hvor stikkord er AMS og Smartgrid.
– Gode sikkerhetsløsninger en er en forutsetning for å ta ut gevinstene av moderniseringen og investeringene, sier senior systemarkitekt Jon Erlend Berg.
– Det er ikke slik at infrastruktur står med åpne, gapende hull mot omverdenen og det er fritt frem for angrep. Men, trusselbildet øker og det er vi godt forberedt på å håndtere, sier han.
Data Equipment på Ryen i Oslo vil gjøre sikker datatrafikk ukomplisert og mulig. Selskapet benytter de beste nettverkskomponentene på markedet og sikrer trafikk i alt fra sosiale medier via lokalnettverk til avansert infrastruktur.
– Vi hjelper virksomheter til å ta i bruk tjenester på internett, i stedet for å sperre disse, sier Hugo Fernandez i Data Equipment.
• Spesialist på nettverkssikkerhet og infrastruktur – video-, tale- og datakommunikasjon.
• Fundament i infrastrukturleveranser til kraft, bane og telekommunikasjon – nettverk som er drifts-kritiske for Norge som nasjon.
• Designer og leverer robuste og sikre nettverk til alle typer virksomheter. Tilbyr feilsøking og analyse.
• Orientert mot å håndtere trusler – ikke skape avmakt i forhold til trusselbildet.
• Høyest sertifisert partner til brannmurprodusenten Palo Alto Networks.
• Produkt-uavhengige og kan derfor alltid ha de beste produktene på hånden.
• Stor kundebase blant private og offentlige virksom-heter.
• Bistår offentlige virksomheter i å ivareta krav fra Nasjonal sikkerhetsmyndighet (NSM).
www.dataequipment.no
Foto: CF-Wesenberg
Hele dette bilaget er en annonse fra NorSIS
11
Vil du forske på informasjonssikkerhet?Hvordan holde uvedkommende unna uten å hindre nødvendig informasjonsdeling? Hvordan oppdage inntrengere i IKT-systemer? Hvordan beskytte høyt gradert informasjon? Hvordan tette sikkerhetshullene i trådløse enheter? Hvordan gjøre IKT-infrastruktur motstandsdyktig?
Vi lyser ut stillinger innen informasjonssikkerhet. Les mer på www.ffi.no/IKT-sikkerhet
Full utlysning
finner du på
www.ffi.no
Foto: Shutterstock.com
Sentralt er NISlab– Norsk informasjonssikkerhetslaboratorium – ved Høgskolen i Gjøvik som har bachelor, master og doktorgradsutdanninger. NISlab er også koordinator for COINS (Research School of Computer and Information Security). COINS er en nasjonal forskerskole for informasjonssikkerhet som, i tillegg
til å skape felles aktivitet for de akademiske miljøene i Norge, forbedrer og rasjonaliserer forskerutdanningen nasjonalt.
Universitetene i Trondheim, Bergen, Oslo, Stavanger og Agder har alle delemner innenfor fagområdet. Også Forsvarets ingeniørhøgskole på Jørstadmoen utenfor Lillehammer tilbyr
utdanning med fokus på informasjonssikkerhet. Forsvarets forskningsinstitutt på Kjeller ved Lillestrøm har også aktiviteter innenfor fagområdet.
I skjæringspunktet mellom akademia og andre offentlige og private virksomheter finner vi FRISC (Forum of Research and Innovation in
Security and Communications). FRISC er et verdinettverk finansiert gjennom Forskningsrådets VERKDIKTprogram, og fungerer som forum for deling og profilering av utfordringer, resultater og innovasjon innen informasjonssikkerhet i Norge.
Forskning og utdanningI Norge har vi et forsknings- og utdanningstilbud innenfor informa sjons sikkerhet som du må godt utenfor landets grenser for å finne tilsvarende av.
NISlab ved Høgskolen i Gjøvik er sentralt i det norske forsknings- og utdanningstilbudet innenfor informasjons-sikkerhet.
skrytehAckereSelv hacking er nok mest moro når noen legger merke til det. zone-h.org er navnet på skrytesiden til hackere – eller angripere som det heter på norsk.
Mange har opplevd svindelforsøk hvor avsender bredt har fyrt av e-post til alle og enhver med e-postadresse. Derfra har utviklingen gått til forsøk rettet mot demografiske variabler
(alder, kjønnn, bosted) og interesser. Trenden har nå gått så langt at angrep skreddersys mot én person basert på innhold fra sosiale medier. Sannsynligheten for å lykkes er større
når innholdet på denne måten reflekterer enkeltpersoners liv og bekjentskapskrets.
skreddersydd svindel
Foto: espen dalmo
Høgskolen i Gjøvik satser for fullt på:
Hele dette bilaget er en annonse fra NorSIS
12
Integrated Communications — Delivered.
24/7 betjening av viktig og sensitiv informasjon.
Black Box Network Services
BLACK BOX®
Black Box har i løpet av 35 år levert avanserte kontrollrom løsninger over hele verden. I Norge har vi solid erfaring innen krevende miljøer som kraft, trafikk, sikkerhet samt olje og gass.
55 300 700 | www.blackboxas.no
1 eller 370 maskiner - spør oss Plasser arbeidsstasjoner på en sikker lokasjon, ivareta flere nivå og visningssteder.
Kobber, fiber eller IP? Ja, takk!Høye sikkerhetskrav? vi kan levere løsninger som er godkjent for "restricted" svitsjing.
Stort utvalg å finne på www.blackboxas.noMange brukere mot mange maskiner + video vegg.
Det ledende prinsippet bak Information Security Management Systems (ISMS) er at organisasjoner skal utvikle, iverksette og vedlikeholde sammenhengende regelsett, prosesser og støttesystemer. Målet med ISMS er å redusere risikoen for at fortrolig informasjon lekker ut eller havner på avveie.
Konfidensiell informasjon – fra forskningsresultater via styredo
kumenter og interne kalkyler – er lagret som dokumenter. Profesjonelle virksomheter har skriftlige regelsett for hvem som kan ha tilgang og hvordan informasjon skal behandles. Brainloop© sin Document Compliance Management (DCM)teknologi støtter slike regelsett.
Reglene kan for eksempel inkludere at informasjonen kun
kan redigeres av enkelte medarbeidere og ikke kan sendes per epost. Men, hva gjør man dersom en leverandør i Kina eller partner i USA må motta et dokument når emailforsendelse er utelukket?
– Brainloops DCMløsning gjør denne informasjonsutvekslingen mulig. Du gir dine medarbeidere et verktøy for å løse samhandlingsutfordringer,
samtidig som dine regelsett blir respektert, forklarer daglig leder Bernd Gutbier i Begu Consulting. Gutbier er også medgründer av telefonselskapet TalkMore.
Brukerne trenger kun nettleser. Pålogging skjer med samme sikkerhetsnivå som for nettbanker. Informasjonstilgangen kontrolleres via roller i systemet. Nivåene går fra leserrettigheter med brukerens identitet som vannmerke, rett til redigering, nedlasting, printing, sending etc. Dokumentene kan blant annet ha tidsbegrenset levetid.
– All bruk loggføres – nyttig ved mistanke om misbruk. Dette er betryggende for informasjonseieren og avskrekkende for personer som vil misbruke informasjonen, sier Gutbier.
Brukerens tilgang og roller styres av informasjonseieren. Hverken din egen IT-avdeling eller vi som leverandør har dermed tilgang til dine fortrolige dokumenter eller informasjon.
Ta kontakt på: www.begu.no/index.php/contact
ISMS fra begu consulting og Brainloop:
Gjør sikker informasjonsdeling mulig i praksis
God Informasjonssikkerhet (IS) krever solid kunnskap innen IKT og om de utfordringer IS gir i dagens samfunn. Denne kunnskapen må være godt forankret hos et bredt spekter av systemutviklere, alle må kunne noe og noen må kunne mye.
Med bred basis og fokus påInformasjonssikkerhet
Institutt for informatikk (Ifi) ved Universitetet i Oslo er landets største universitetsinstitutt innen IKT. Her utføres forskning og undervisning innen en bred portefølje av IKT-emner, og sikkerhetsrelevante områder har høy oppmerksomhet. Gjennom studiet forberedes studentene på de sikkerhetsmessige utfordringer utvikling av IS gir og masterstudiet gir mulighet for spesialisering.
Ved UNIK - Universitetssenteret på Kjeller kan master-og phd-studenter ta oppgaver og forske innen ulike aspekter av IS i nært samarbeid med forskningsmiljøene på Kjeller og med samarbeidende næringsliv.
• Mobiltelefoni uten sikkerhet er farlig. Når mobilen skal måle blodtrykk og insulinnivå, trengs robust sikkerhetsarkitektur som vi studerer.
• Om få år vil vi omgi oss med 50-100 dingser. Når bilen, kjøleskapet og kaffetrakteren ”snakker” med hverandre og med omverdenen kan dette gi stor trussel for privatesfæren. Vi utvikler modeller hvor mobilen styrer hva dingsene gir av spor.
• Sikre og velfungerende informasjonssystemer innebærer samspill mellom teknologi og mennesker. Vi forsker på hvordan brukeren og sikkerhetsløsningene sammen kan bidra til sikre systemer.
Hvorfor er oppmerksomhet om IS så viktig – og hvorfor trenger vi spesialister?
Søk informasjonsteknologistudiene ved UiO frist 15. april.
For mer informasjon se ifi.uio.noog unik.no
UNIK - Universitetssenteret på Kjeller
begubegu
Regelverk for deling av konfidensiell informasjon får først verdi når de involverte personer kan etterleve regelverket i praksis. Begu Consulting er Brainloop©-forhandler i Norge, Sverige og Danmark. Løsningen muliggjør sikker intern og ekstern informasjonsdeling.
Brainloop has been cited in Gartner's "Cool Vendors in Content Management, 2112" Report.
Hele dette bilaget er en annonse fra NorSIS
13
Tipsene kommer fra Nasjonal sikkerhetsmyndighet (NSM) som koordinerer forebyggende sikkerhetstiltak og kontrollerer sikkerhetstilstanden i virksomheter som omfattes av sikkerhetsloven.
– For oss i NSM handler kultur om sikkerhetsadferd, sier seniorrådgiver Roar Thon i NSM. NSM har gjennom flere år påpekt at sikkerhetstilstanden i Norge er for dårlig.
– Virksomheter fokuserer ikke på sikkerhet, forstår ikke sikkerhet og tar ikke risiko og trusler på alvor. Typisk norsk er å tenke at ”ingen er interessert i lille meg”. Det er de. Du kan aldri vite om du er siste eller første brikken i puslespillet som noen legger for å kartlegge arbeidsgiveren din, sier han.
god eller dårlig sikkerhetsadferdHva er feil og hva er bra? Noe som utpeker seg? Et eksempel kan være at medar
beidere ukritisk åpner vedlegg og klikker på lenker i eposter fra ukjente avsendere. Den risikoatferden må endres.
trusselbilde og verdivurderingHva er trusselbildet? Hvilken informasjon er viktig å beskytte? En rettesnor: ikke bare ledelsen, men alle i bedriften må vite hva de ikke kan snakke høyt om på bussen!
KOnSEKvEnSErHva er konsekvensene dersom trusler slår til? Kan virksomheten for eksempel leve uten internett og strømtilknytning et par dager? Kan lekkasjer skade omdømmet vårt?
MÅl Og HAndlingSPlAnEtter kartlegging må virksomheten sette mål og meisle ut en handlingsplan for å endre kultur og atferd.
tiltAKTiltakene vil feile dersom de ikke er forankret i ledelsen. Den enkeltes oppgaver og ansvar må synliggjøres.
KulturBYgging; OPPlÆring Og ØvElSEFolk må forstå. Derfor er opplæring, informasjon og øvelse viktig. Dersom man snakker over hodet på folk, blir det mye ”ulv, ulv” og folk slutter å forholde seg til sikkerhetstemaet.
KOrrigErEndE KulturSpesialavdelinger i Forsvaret er avhengig av en kultur hvor man – uten å bli sure – kontrollerer og gir tilbakemeldinger til hverandre. Også til inspirasjon for en god sivil sikkerhetskultur.
Brukernavn og passord: Variér både brukernavn og passord. Dersom du bruker samme brukernavn og passord overalt, kan noen utnytte dette på mange nettjenester og datamaskiner.
Du bør bytte passord regelmes-sig (iallfall årlig). Noen passord, som for eksempel til det trådløse nettverket ditt hjemme, deler du med andre. Ikke bruk slike passord på viktige tjenester som nettban-ken din og eller datasystemet på jobben med konfidensielle person- eller pasientopplysninger.
Mange nettsteder har ikke begrensninger i passordlengde. Dakanpassordetvaresomdette.
Legg til et tall du lett kan huske, bytt ut de tre første vokalene med en bokstav eller et tegn og legg til de første bokstavene i nettstedsnavnet (for eksempel fra www.norsis.no).
E-post og vedlegg:Mange e-poster går over nettet uten kryptering (koding). De som vil, kan da få tak i innholdet. For å unngå dette, kan mailene kodes. Se på mailkontoen din og forsøk å krysse av for SSL. Kort fortalt innebærer dette sikring av mailene. De fleste mail leverandører lar deg bruke SSL. Gjør ikke din det, så bør du vurdere å bytte.
E-post-vedlegg kan komprimeres (zippes) med passordbeskyttelse
og – enda sterkere – kodes med passordbeskyttelse. Programvare for dette kan du handle på Inter-nett for under et par hundrelapper. Uvedkommende vil neppe klare å få tak i innhold i en kodet og passordbeskyttet fil.
Bruk et par sekunder til:Les gjennom e-post en gang til og spør deg om følgende: Hvorfor mottar du en slik e-post? Ventet du en slik e-post? Er det logisk at akkurat du mottar en e-post fra avsender? Vær kritisk til vedlegg og linker som du får tilsendt og husk at ting som er for gode til å være sant er som regel nettopp det.
Slik bygger du god sikkerhetskultur
De fleste virksomheter ønsker høy informasjonssikkerhet. For å oppnå dette, må de bygge en god sikkerhetskultur. Her er tips til hvordan.
enkle grep for økt trygghet
På sikker-hetssjekk.norsis.no kan du teste ut om sikkerhe-ten til
bedriften/organisasjonen du jobber i holder mål.
sikker Bedrift?
Slettmeg.no er en gratistjeneste som drives av NorSIS på Gjøvik og som hjelper deg å fjerne uønsket, krenkende innhold fra nett. På nettsiden kan du søke deg frem til veiledninger ved for eksempel å skrive navn på et nettsted. Dersom du ikke finner frem, kan du få hjelp ved å sende en epost til [email protected], fylle ut kontaktskjema på slettmeg.no, eller ringe 911 29 392 (mandag til torsdag, kl. 12–17).
I 2012 besvarte Slettmeg.no henvendelser fra nesten 7 000 personer og hadde 1,4 millioner sidevisninger. Uønsket nettinnhold berører folk i alle aldre – like mange henvendelser kom fra folk under som over 25 år. I overkant av 30 prosent av alle henvendel-ser knyttet til krenkelser gjald assistanse til å fjerne bilder fra nettet. Slettmeg.no er ikke moraliserende, men hjelper fordomsfritt.
kAster du hemmeligheter?Hva skjer med det gamle dataut-styret når du skifter det ut til fordel for en nyere modell? De fleste sørger for å overføre viktige data til den nye maskinen og puster lettet ut når jobben er unnagjort. Så havner den gamle datamaskinen i en glemselens krok, hos barna eller i elektro-returboksen på returstasjonen.
Men, overføring av data innebærer ikke at de blir slettet fra den gamle maskinen. Sammen med FBI (Forbrukerinspektørene) på NRK, har NorSIS ved de reneste garbiologi-metoder fra Gateavisa på 80-tallet avslørt store mengder sensitive data på maskinvare som var kastet.
Slett derfor harddisker før du kasserer eller gir bort en maskin. Det er ikke nok med formatering. Du må velge overskriving én eller flere ganger av hele harddisken. For noen operativsystemer er denne muligheten innebygd, for an-dre kan du kjøpe programvare som sørger for overskriving. Du må kjøre prosessen fra en CD/DVD-stasjon eller fra en annen datamaskin via kabel. Etterpå må du re-installere operativsystem og annen pro-gramvare. Ta derfor godt vare på originaldisker når du kjøper maskin.
Foto: dominic Hargreave
Foto
: sh
utt
ers
tock
Hele dette bilaget er en annonse fra NorSIS
14
Vi beskytter Verdens informasjon
Iron Mountain beskytter og arkiverer doku-menter for mer enn 140 000 organisasjoner over hele verden – mer enn noe annet sel-skap. Forretningsinformasjon har enormt stor verdi, men innebærer også risiko, kostnader og utfordringer knyttet til forvaltning. Iron Mountain beskytter og arkiverer dokumenter for mer enn 140 000 organisasjoner over hele verden – mer enn noe annet selskap. Iron Mountain kan ta hånd om disse utford-ringene for dere, optimalisere verdien av informasjonen og redusere kostnad og risiko. En profesjonell samarbeidspartner kan hjelpe med å sikre dere mot tap, uønsket innsyn og forringelse.
Iron Mountain hjelper dere med å håndtere økte arkive ring-, personal -og administrasjons-kostnader samt over holde lover og regler.
DOKUMENTARKIVERING: Deres arkiver flyttes til vårt sikre anlegg. Når dere trenger dem, leverer vi dem hurtig tilbake til dere – fysisk eller digitalt. Så enkelt er det. FORVALTNING AV AKTIVE FILER: Aktive arkiver, tilgjengelige fil for fil, men med alle fordelene med en ekstern tjeneste.
SKANNING OG DIGITALISERING: Selektiv skanning kan gi drastiske reduksjo ner i konverteringskostnader samtidig som alle krav til tilgjengelighet av dokumentene møtes. SPESIALPROSJEKTER: Våre fagpersoner på feltet arkivforvaltning kan hjelpe til med klassifisering, indekse ring, rydding, destruksjon og flytting.
Sørg for at dere overholder lover og regler, til enhver tid. Et skreddersydd program for overholdelse av regelverk kan proaktivt sikre deres fysiske og elektroniske arkiver, beskytte dere mot unødvendig risiko og kontrollere
kostnadene. Med Iron Mountain vet dere at rett informasjon gjenfinnes til rett tid.
SPESIALISERT ARKIVERING I HVELV Ved å sørge for riktige omgivelser for langtids-oppbevaring av medier kan vi sørge for å opprettholde integriteten og lesbarheten deres i tiår fremover. Vi tilbyr en rekke private, delte og tilpassede hvelv med optimale forhold for bevaring av alle typer medier.
Dersom dere har spesielle lagringsbehov, for eksempel bevaring av store volum eller materiell som krever spesiell miljøkontroll, kan vi utforme og lage tilpassede hvelv til deres organisasjon hos oss. I Norge har vi stor kompetanse og erfaring fra bransjer som olje og energi, teknisk produksjon og flyindustrien, bransjer som krever stor sikkerhet, kvalitet og sikring. Internasjonalt har vi banker, forsikringsselskap, helse- og forskningsforetak. Våre sikkerhetssentre er spesial beskyttet mot innbrudd og brann, ansatte politi og sikkerhetssjekkes og all bevegelse av kunders informasjon spores elektronisk.
Iron MountaIn Incorporated (NYSE:IRM) er verdensledende innen beskyttelse og arkivering av forretningsinformasjon og tilbyr løsninger og tjenester for arkivering, backup og skanning av fysiske dokumenter til bedriften, samt digital forretningsinformasjon og datamedier. Sammen med kundene mestrer Iron Mountain komplekse utfordringer med informasjon, som for eksempel økende lagringskostnader, strengere offentlige og juridiske krav, nye risikoer innen katastrofe håndtering og forretningskontinuitet. Iron Mountain ble grunnlagt i 1951 og er en betrodd samarbeids-partner for over 140 000 bedrifter globalt. Selskapet har mer enn 17 000 ansatte og omsatte i 2012 for over $ 3 milliarder. www.ironmountain.no
iron mountain vil hjelpe deg ta vare på informasjonen din på hvert trinn av sitt liv, redusere kostnader og øke effektiviteten.
ANALYSERE OG GI RåD
ARKIVERE OG BESKYTTE
SKANNING OG DIGITALISERE
FLEKSIBEL TILGANG
SIKKER DESTRUKSJON
Hele dette bilaget er en annonse fra NorSIS
15
n Har du betalt noe eller oppgitt kontonumre e.l.? Ring banken din.n Skann maskinen din med antivirusprogram, for eksempel det som følger gratis med Windows-PC-er. n Forandre passordene dine overalt. Passord kan ligge lagret på maskinen din.
lurte de deg? gjør dette!
– Så lønnsomt er det å svindle nordmenn at svindlerne investerer i telefonoppringninger. Legg på uten høflighetsfraser dersom ”Microsoft” ringer, sier sikkerhetssjef Ole Tom Seierstad i Microsoft Norge.
Sikkerhetsvakter i butikker er der ikke bare for å følge med på kundene. Også medarbeidere utgjør potensielle tyver. I vanlige bedrifter består verdiene ofte av kundedatabase, strategier, konstruksjonstegninger, leverandørinformasjon – kort sagt informasjon som finnes elektronisk i databaser og dokumenter.
”Det er stadig vanskeligere å få tilgang til verdier direkte. Vi ser en klar internasjonal tendens til at kriminelle søker å omgå sikring ved å plassere egne folk i virksomheter”, skriver Næringslivets sikkerhetsråd på nettstedet sitt om denne overraskende og skjulte trussel.
Trusselen understreker hvor stor rolle den menneskelige faktor spiller innenfor informasjonssikkerhet. ITeksperter anklager norske ledere for å være naive og vil sende dem på kurs. Uansett hvor godt virksomheter kontrollerer og beskytter seg, vil noen imidlertid alltid kunne stjele kritiske data. Misfornøyde medarbeidere kan ha høyere tilbøyelighet enn andre. I tillegg til gode sikringssystemer basert på en tydelig definert policy for informasjonsdeling, er første og siste skanse derfor en god og tillitsbasert bedriftskultur.
illojAlt sikkerhetshull
Noen mener at det er større penger i datasvindel enn i narkotika. At det er store penger og relativt lett å svindle understrekes av fenomenet hvor nordmenn blir oppringt fra utlandet og blir fortalt at PCen deres er infisert av virus eller ondsinnet programvare.
vet ingenting om deg– Nei, de vet i utgangspunktet ingenting om verken deg eller datamaskinen din, beroliger Ole Tom Seierstad, sikkerhetssjef i Microsoft Norge.
– Svindlerne ringer tilfeldig. Vi har fått meldinger om svindelforsøk overfor folk uten WindowsPC og med andre maskintyper. Men, mange har PC og det er derfor lett å komme frem til noen i svindlernes målgruppe.
Oppringningen kommer som regel fra utlandet, selv om Microsoft har sett oppringninger som tilsynelatende er fra norske telefonnumre. Ofte er det en indisk klingende aksent i den andre enden av røret som utgir seg for et eller annet med Microsoft eller
Windows; Microsoft Solutions Partner, Microsoft Windows Support eller lignende.
Betydelig problem– Vi kjenner ikke omfanget, men har fått rapporter om svindelforsøk fra så mange som ti personer på en dag. Det tror vi bare er toppen av isfjellet, sier Seierstad.
Svindlerne tilbyr sin assistanse. For å fjerne skepsis, ber de ofrene slå opp i maskinens hendelseslogg. I hendelseslogger er det alltid mange hendelser som kan virke gresk for folk flest. De kan også påstå at de kjenner nummeret på maskinen og ber PCeieren slå opp på et nummer som er i programvare på alle maskiner.
Fritt frem– Noen går på limpinnen og lar svindlerne få kontroll med maskinen via Internett.
Så er det fritt frem. Svindlerne kan snoke i dataene dine, sjekke kontonummer, dersom det er lagret på maskinen, kopiere bilder osv. De kan også installere en bakdør – ”trojaner” – som lar dem komme inn på
maskinen senere. Noen selger falske antivirusprogram som umiddelbart og overbevisende avslører like falske virus – som de så tar betalt for å fjerne, akkurat som de gjør for telefonsupporten.
– De kan bli nokså aggressive og truende: ”Vil du ikke ordne opp i problemene på PCen din”, forteller Seierstad.
– Vårt beste råd er; legg på. Microsoft ringer ikke opp kunder som vi ikke allerede har en relasjon til. Skulle problemet vedvare, oppfordrer vi til å ta direkte kontakt med oss eller politiet.
Internasjonale politimyndigheter jobber for å finne bakmennene.
legg på telefonrøret!Dersom ”Microsoft” ringer uanmeldt:
Så store penger er det i datasvindel at svindlerne har råd til å engasjere telemarketingbyråer. Mange nordmenn er gått på limpinnen etter å ha blitt ringt opp fra ”Microsoft” som vil hjelpe med feil på PC-en.– Legg på røret, sier Microsoft Norges sikkerhetssjef.
Selv om virksomheter bruker betydelige ressurser på fysisk data sikkerhet, kan illojale med arbeidere like fullt representere store sikkerhetshull. Det er det viktig å ha i bakhodet både ved rekruttering, opplæring, ledelse og i bedrifts-kultur.
Brukervennlig progrAmvAre for AngripereBrukervennlig program-vare gjør hverdagen enklere. Dette gjelder også for angripere. Glem tanken om at angripere sitter og skriver komplisert kode. Internett er kilde til enkel og menystyrt program-vare, som også gjør hackingen enklere – ofte med tilhørende bruks an-visnings video.
”Ta det rolig. De vet i utgangspunktet ingenting om deg”Sikkerhetssjef Seierstad, Microsoft norge
Foto
: Ma
rte
eyd
e k
juu
s
Hele dette bilaget er en annonse fra NorSIS
DET ER IKKE SÅ OFTE IT-SJEFEN FÅR SKRYT PÅ JOBBEN
datametrix.no
IT-ansvarlig i bedriften er selve målestokken på hvor godt IT infrastrukturen fungerer. Når noe er nede, er det han som får høre det. Problemet må løses, og det kan ikke vente. Men når alt fungerer, er det stille. Ingen branner å slokke, og IT-ansvarlig kan bruke tiden til noe bedre. I Datametrix ønsker vi at kundene våre skal bruke tiden best mulig. Sammen med IT-ansvarlig går vi gjennom hele infrastrukturen i bedriften og sørger for å fjerne alle potensielle sinker, feil, bugs, flaskehalser – kall det hva du vil, og sørger for at alt går problemfritt – dag ut og dag inn.
Resultatet er at produktiviteten øker dramatisk. Og dét er vårt mål. Datametrix er spesialister på IT infrastruktur, og integrerer applikasjoner, designer, installerer og drifter komplekse IT løsninger.I Datametrix trives vi med å spille IT-sjefer gode. Så gode at de opplever en bedre hverdag. De får til og med skryt!
BA
Te
S U
niT
ed
Fo
to
: is
ido
r