INFORMASJONSSIKKERHET
20170912
Folke Haugland
Instituttleder IKT, Fakultet for teknologi og realfag
Faculty of Engineeering and Science, ICT Department 2
Introduction
• University of Agder: 2 Campuses
• Campus Kristiansand
• Campus Grimstad
• Faculty of Engineering and Science
• Mathematical and Natural Sciences in Kristiansand
• ICT and Engineering Sciences in Grimstad
• Statistics
• 8500 students in Kristiansand
• 3500 students in Grimstad
• 730 academic staff
• 430 administrative staff
Statistics
• The ICT department has about 75 employees including
• 9 professors
• 11 associate professors
• 11 assistant professors
• 6 adjunct associate professors
• 8 postdocs
• Approx 20 PhD
• 10 technical/administrative staff
• 1/3 non-norwegians
• Approx 500 students at our own study programs
Faculty of Engineeering and Science, ICT Department 3
Faculty of Engineeering and Science, ICT Department 4
Technical education on all levels
Qualifying Courses
Bachelor of Engineering
Engineering: Computer Science
Engineering: Network Management and Security
Multimedia Technology and Design
Engineering: Electronics
PhD Programme
ICT – Information and Communication Technology
Master of Science
ICT – Information and Communication Technology
(IIM – Industrial and Information Management)
Multimedia and Education Technology
Continuing Education
Lysne utvalget I – Digital sårbarhet (2015)Lysne utvalget II – Digitalt grenseforsvar(2016)
Lysne• -utvalget I
kartlagt samfunnets digitale sårbarhet, og foreslår tiltak for å styrke beredskapen og redusere den digitale
sårbarheten i samfunnet.
Lysne• -utvalget II
Ser på balansen mellom det sikkerhets- og etterretningsmessige og det personvernrelaterte
Bakgrunn: Politiet og norske myndigheter har vesentlige mangler for å avdekke og håndtere digitale
angrep
Utfordringer
• Digitalisering
• Flere koblinger - kjøleskapet ber om service via eget kall på web)
• Mer komplisert – kompliserte prosesser styres automatisk
• Uklare eierforhold – infrastruktur, landegrenser
• Tjenester leveres uten nasjonal kontroll – personvern
• Sammensatte verdikjeder –betaling med mobil i utlandet
• Falske basestasjoner
Digital sårbarhet - proaktiv
• konfidensialitet, det vil si at sensitiv eller gradert informasjon bare skal
være tilgjengelig for autoriserte personer og prosesser
• Informasjonskvalitet(information assurance) og -integritet,
det vil si at informasjonen er fullstendig, nøyaktig og gyldig, og et
resultat av autoriserte og kontrollerte aktiviteter
• tilgjengelighet, det vil si oppfyllelse av krav til service, slik at alle
berettigede krav om tilgang til informasjonen dekkes ved behov.
(accountability – du har lov, men gjør noe du ikke skal – loggføring)
Digital sårbarhet - reaktiv
Alle systemer vil bli utsatt for angrep som av og til lykkes (detection
and response)
gjenopprette tilstanden-
Da kan du bedre tilgjengeligheten ved å gjenopprette raskt-
1800 vannverk i Norge Maroochy Shire-hendelsen i Australia i år 2000
En tidligere innleid IT-konsulent hadde installert DriftsKontrollSystem som styrte 300 pumpestasjoner for avløp via radiokommunikasjon. Konsulenten fikk ikke jobb i vannverket og hevnet seg ved å manipulere pumpestasjoner, ventiler og luker slik at en million liter ubehandlet avløpsvann rant ut i nærliggende vassdrag.1
1J. Slay and M. Miller: «Lessons Learned from the
Maroochy Water Breach» in Critical Infrastructure Protection, vol. 253, E. Goetz and S. Shenoi, Eds., ed: Springer Boston, 2007, pp. 73–82.
Anbefalinger
Telenors Kjernenett er godt utbygd, det er profesjonelt operert, og det har historisk sett meget høy •
stabilitet. Likevel vil det kunne settes ut av spill ved menneskelige feil, rutinesvikt, sabotasje, terror eller
utro tjenere. En aktør til (Broadnet elller Altibox)
Fjern reglene for regulering/forbud av kryptering•
Vi trenger flere som kan forstå•
• Grunnleggende forståelse av digitale sårbarheter
a) IKT som gjennomgripende faktor
“Cyber Physical System”
b) Cyber Security sårbarheter (trussel analyse)
• Vurderinger krever kompetanse
• Tiltak og mottiltak krever spesialkompetanse
c) Kompetanse
• Underdekning på IKT
• Stor underdekning på IKT sikkerhet
• Basis sikkerhetskunnskap må inn i all IKT utdanning
• Internasjonale trender (Information Assurance and Security - IAS)
• På alle nivåer: BSc, Msc og PhD
• UH sektoren mangler til dels kompetanse til å gjennomføre dette
Nasjonale Aktører
NSM(justis og forsvars)•
PST(justis ved justis)•
FSA (internt militær Forsvaret Sikkerhets Avdeling)•
Etteretningstjenesten• – CyFOR (Lillehammer)
Aktører
NIST National • Institute of standards and Technology
NVD National • Vulnerability Database
http://nvd.nist.gov•