forsvarssektorens egen eiendomsekspert · 2017. 3. 30. · - personvern /annet vern og lovgivning...
TRANSCRIPT
1
Forsvarssektorens egen eiendomsekspert
Sammenstilling av data
- Sikkerhet / Personvern ?- Løpende IT - avveiinger er påkrevd !
- Hvem og hva er Forsvarsbygg?
- Hva skjer uten vår påvirkning?
- Personvern /annet vern og lovgivning
- Ytre trusler og digital sikring
- Ny teknologi kommer / og er kommet
- Vi bygger for å drifte morgendagens bygg
Geomatikkdagene 29-31.mars 2017 29.mars 2017 v/ Knud Mohn
2
• Samfunnet endrer seg i aksellerende tempo . Endring skaper
utrygghet
• BAE-næringen er i omstilling med økende krav på nesten alle
områder, også pga PARIS-avtalen.
• Den må også lage «tidløse bygninger», på «endret» bruks
premisser.
• Digitaliseringen vil skape og løse noen utfordringer. BAE-
næringen må standardisere for å utnytte digitalisering.
• Global e-handel og bruk av internett endrer BAE-næringen
• Stor innflytning av ukjente aktører og endret trusselbilde
«Burning platform»
Datamengdene aksellererer
Antall enheter som kobles mot Internett øker med 30% i år
I 2020 vil 26 milliarder enheter være tilkoblet
IoT-produkter vil i 2020 generere et marked på 200 milliarder dollar
3
Vi har gjennom de siste årene bygd
"øyer" av informasjon!
Data integrasjon har blitt en stor utfordring i alle bransjer.
Datavarehus, integrasjonsmodeller, standardiserte
utvekslingsformater, etc. har hittil blitt brukt for å integrere data.
BAKTEPPE
«Øyer» av informasjon er nå blitt «Silo-er» av informasjon
Data integrasjons utfordringene blir mer kompleks og kritisk,
og de eksisterende integrasjon verktøy for begrenset!
Kravet til real-time-data for styring gjør datavarehus foreldet.
4
Big Data, kommersialisering og
eierskap til informasjon
Alle sammenstilte data blir fort BigData. Da er tilgjengelighet og smart fremhenting gode kriterier
Og jussen da?
En forutsetning for å kunne bruke Big Data
– er at du har rett til å kunne bruke opplysningene
Avtaler, avtaler og avtaler………
PersonopplysningslovenNytt regelverk fra EU på vei
Trilogforhandling ferdig før jul 2015, i kraft 2017 (?)
Åndsverksloven – databasevern
Markedsføringsloven
Rikets tilstand - trusselbildet
5
Moro på Kickstarter
Hva detekterer den?
Er du klar over at alt dette kan spores?
6
Ny sikkerhetsrisiko
Denne trenden har pågått i 50 år, og vil ikke avta
Personvernrett
«Personopplysning» omfatter alt som direkte
eller indirekte kan knyttes til en person
Internettbruk, bilbruk, treningsmodus,
arbeidstakerinformasjon
Nesten all teknologibruk av mennesker omfattes
Hvem bestemmer over hvordan
personopplysninger kan brukes?
Den det gjelder – via en avtale (eller annet
rettsgrunnlag) kan kommersielle aktører gjøre nytte av
informasjonen
Og ved signatur i tillegg som forplikter.
7
Verdivurdering av informasjon
• Hvilke sikringstiltak er gjort i og rundt bygg og anlegg.
• Informasjon rundt lokalisering av spesielle rom.
• Føringsveier og kabelkart for IT-infrastruktur.
• Infrastruktur (kabeltraceer, strøm, deler av vann og avløp)
dvs all informasjon en trusselaktør vil ha nytte av å ha kunnskap om.
Balanse personvern /samfunnsvern
Økt trusselbilde gir økt behov for å sikre både
arbeidsplasser, og at ansatte og kundene blir
ivaretatt på en sikker måte.
Enten verdiene er i offentlig eller private sektor, og uavhengig om de er av
fysisk, økonomisk, menneskelig eller immateriell karakter, er det god
forvaltning å kartlegge risiko, trusler og verdier.
8
Objektsikkerhet for å hindre
uønskede handlinger
Balanse personvern /samfunnsvern
Alle disse forholdene blir belyst og prøvd satt i en sammenheng, hvor de
ulike aktørene må ta hensyn til dette sett i et verdikjedeperspektiv.
Alle temaer med relevante eksempler er fra virkeligheten og blir fremført av
fagfolk fra ulike miljøer.
Det foregår uønskede hendelser i eksisterende bygg,
så eier/leietaker og forvalter av bygg må ta sin del av
ansvaret for å hindre slike forhold, og ikke overlate alt
til politi og myndigheter.
Balanse personvern /samfunnsvern
9
Inntoget av organisert kriminalitet i
samfunnet gjelder nå også for BAE-næringen.
Dette er avdekket i forbindelse med under-kontraktsregimer og økning av svart
arbeid i proffmarkedet. Nå har også «falske produkter» kommet.
Nye utfordringer for Forsvarsbygg
Inntoget av organisert kriminalitet i
samfunnet gjelder nå også for BAE-næringen.
Dette er avdekket i forbindelse med dokumentasjon - at leveranser
ikke stemmer overens med leveranse av de «virkelige produktene».
Hvem, som ikke er en dyktig fagperson, kan vite at de innbygde dører,
vinduer og isolasjon er som identisk som gitt i dokumentasjonen
Hva er trusselen hvis org.krim står bak?
10
Gjør produktinformasjonene tilgjengelig på WEB
Bruk GTIN – Global Trade Item Number
Bare internasjonale digitale produkt-indentifikasjoner
kan forhindre bruk av «falske produkter, ukjent innhold?
Fra Teknisk rom Visund
SD-anlegget er topp,
men kan utnyttes mer
Kan denne anlegget styres fra «utsiden»?
11
Security top priority for infrastructure
Example (for illustration only)
Påstander om sikkerhet og digitalisering(Dette forsinker nødvendige endringer, som følge av samfunnsendringene)
• bestillerorganisasjoner har pr i dag ofte ikke høy nok
kompetanse til å stille krav og følge opp sikkerhetsbehov! (Opplæringsbehov er alltid nødvendig for noen. Det kan gjøres frivillig og med sertifikater, slik at det gir omdømme ved å lære seg dette.)
• Må ha stort nok kompetansemiljø (et grunnlag for varig endring)
• Sikkerhetshensyn er ofte en «showstopper» i forhold til
å ta i bruk ny teknologi (leverandører av «siloløsninger» hevder ofte dette for å
beskytte egne leveranser/produkter)
• Digitalisering og sikkerhet kan spille på lag
12
hver mann sin kabel
Fra Teknisk rom VisundSlik løses ofte sikkerhet løses i dag.
ITB-ansvarlig på alle nye bygg og infrastruktur,
som skal inngå i fremtidens sentraldrift:
Person/kontraktspartner som har fullmakt til å sørge for at prosessene
som er beskrevet i denne standarden, gjennomføres og dokumenteres,
dvs mandat til å gjennomføre sin oppgave. (Dette understreker behovet for egen
kontrakt.)
- ITB-ansvarlig er ikke ansvarlig for brukerkrav til inneklima og
tekniske dimensjoneringer av luftmengder, vannmengder, lysnivå
osv.
Hovedoppgaver for ITB-ansvarlig - Koordinering og kvalitetssikring er vesentlige oppgaver for ITB-ansvarlig, mens de enkelte
kontraktspartnerne selv sørger for at integreringen av egne leveranser inn mot de øvrige tekniske
installasjonene, skjer i henhold til kontraktfestede spesifikasjoner.
Det vil ikke være mulig å gjennomføre sitt ITB-ansvar med mindre alle
relevante prosjekterende og entreprenører er klar over at ITB-
ansvarlig er engasjert.
Også viktig for å hindre utilsiktede hendelser
13
Foto: Gunhild M. Haugnes
Med logikk og komplisert matematikk skal Optique-prosjektet, med Arild Waaler (til venstre) og Martin Giese ved Forskergruppen
for logikk og intelligente data (LogID) i spissen, prøve å løse en av dataalderens vanskeligste utfordringer.
De løser dataalderens tøffeste utfordring et gigantisk EU-prosjekt.
UiO-forskere står i bresjen for OPTIQUE, som skal gjøre det raskere og
enklere å få riktig informasjon ut av enorme databaser. Publisert 22. apr. 2014
https://www.mn.uio.no/ifi/forskning/aktuelt/aktuelle-saker/__de-loser-dataalderens-toffeste-utfordring.html
Og nå er første industrielle løsning på plass
Ny teknologi må tas i bruk når sikker
La dataene være der de er, desentralisert lagring
Gi tilgang på mekanismer for å muliggjøre spørsmål som skal
utføres på tvers av flere data siloer av sluttbrukerne selv.
Ny IT-teknologi muliggjør
14
Waaler påpeker at Optique handler om Big Data, og at tankegangen bak
Semantic Web er beslektet - men at det likevel ikke er helt det samme.
–Vårt prosjekt forholder seg ikke til internett, men til databaser. Google og
andre søkemotorer på nett gir deg rangerte resultater etter søk i ustrukturert
informasjon som nettsider eller PDF-dokumenter, mens Optique handler om å
kombinere og filtrere strukturert informasjon i databaser. Vår teknologi går ut
på å finne frem til eksakte data i strukturert databaser, poengterer han.
Personstyrt programvare, basert på End-user (brukers) behov fra samling fra Big-data.
Ved at de er personstyrt, kan informasjons-sikkerhet ivaretas og skyløsning gjør forsøk på «hacker»-brudd sporbart.Det kan være et persons sykdomshistorie, hvor alle opplysninger og tapping av disse kan spores.
Deltakende miljøer i dette EU-prosjektSom er ledet av Veritas (DnV GL)
15
Roller til ulike «end-user’s» i verdikjeden til BAE-næringen
IT-eksperter
Databaser som anvendes i byggverkene
for hele verdikjeden av byggverkene ?
Nivåer:
IV rollestyrt (fagspråk)
II adgangskontroll-rollestyrt
III vurdere de ulike kilder
I sentral koordinering I
IV
II
III
Ny IT-teknologi muliggjør (Optique)
BIM er her
SD anlegg – skrittvis etablering og visjon (prinsipp)
Alle kommunikasjoner skal kunne anvende ulikt utstyr (devices)
FBFelles-
sentralMO
leirbygg
bygg
bygg
bygg
bygg
leir
I Integrasjonsnivåer (1-4)
4 3 2 1
II Adgangskontroll - roller
Fiber
el. WEB
WEB
WEB
kryptet digital-kommunikasjon,
etter teknologi som er godkjent
av CYBER-forsvaret
3 vurdere de ulike data kilder4 rollestyrt (fagspråk)
Felles Teknisk Driftssentral for bygg i Forsvarsbygg
16
• Å forberede for sentraldrift vil også bety at dette må kommuniseres mot FD/FST, for å dokumentere for dem
at slik standardisering er nødvendig for å «bygge forsvarsevne hver dag» i den digitale byggeverden. Dette gir LCC-
gevinst og noe ekstra på investeringssiden i starten.
• Og vi i Forsvarsbygg må bli mer edruelige på at de
prioriteringer som må gjøres, kan bemannes tilstrekkelig og få jobbe i fred for at resultater skal oppnås.
For moderne sentraldrift, er det Cyber, som er samtalepartneren
• Temaer med relevante eksempler fra virkeligheten
• Nytteverdien vil være stor for alle aktører i verdikjeden
prosjekterende, utførende, eier og leier, inkl de som arbeider i byggene og som
besøker dem
Bruken av BigData i daglig drift får stadig
høyere aktualitet i dagens samfunn
17
Risk Management og risikovurderinger
Pilenes start angir nåværende risiko.Pilenes slutt angir fremtidig risiko, forutsatt gjennomføring i henhold til planlagt strategi
Dette krever klargjøring av roller, rolle ansvar, og også nye.
Risikovurdering
Hvem truer, hvem beskyttes
TAKK FOR OPPMERKSOMHETEN