håndtering av drift/operasjoner (kap. 8)
DESCRIPTION
Håndtering av drift/operasjoner (kap. 8). Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer) - PowerPoint PPT PresentationTRANSCRIPT
![Page 1: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/1.jpg)
21.04.23 MS kap 8 1
Håndtering av drift/operasjoner (kap. 8) Pålitelige operasjoner (drift) er viktig når organisasjoner blir
avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer)
God tilgang til Internett er viktig for bedriftens forhold til kunder (når vi selger via e-post og Web må dette være tilgjengelig til enhver tid)
Det moderne samfunn er avhengig at teknologien fungerer, backupsystemer hjelper bare i visse tilfeller (ved strømbrudd må de fleste virksomheter stanse)
Jo mer automatiske tjenester, jo mer teknologiavhengig er vi (digitale penger kontra kontanter, kort/bestillingsnr kontra papirbillett på fly)
Risikoreduksjon (jfr. N. Carr) Så selv drift om kan høres kjedelig ut er det ofte på dette
nivået at suksessen til en ny tjeneste blir avgjort (jfr. mange sosiale nett før Facebook)
![Page 2: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/2.jpg)
21.04.23 MS kap 8 2
Drift Her skal vi se på:
Outsourcing Sikkerhet Katastrofeberedskap (distribuerte systemer)
![Page 3: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/3.jpg)
21.04.23 MS kap 8 3
Nytt perspektiv
![Page 4: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/4.jpg)
21.04.23 MS kap 8 4
Operasjoner (Drift)
Ofte en vesentlig del av kostnadene
Men mindre nå enn før: bedre utstyr billigere utstyr plug & play bedre programvare og ikke minst – flinkere brukere
![Page 5: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/5.jpg)
21.04.23 MS kap 8 5
Problemer
Feil Responstid (Web systemer) Data ikke tilgjengelig Data tilgjengelig, men galt format Fingertrøbbel (brukere)
![Page 6: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/6.jpg)
21.04.23 MS kap 8 6
Løsninger
Brannslukking Kjøpe mer utstyr Teste (ikke minst brukergrensesnitt) Dokumentere, måle, kontrollere. Finne de virkelige problemene, løse
disse. Standarder og Strategi!
![Page 7: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/7.jpg)
21.04.23 MS kap 8 7
Outsourcing Flere muligheter:
Driftsstøtte (kjøper ekspertise istedenfor å ha eget personell)
Kjøper spesialtjenester (kostbart å holde eget personell oppdatert på alle tjenester)
Setter ut tjenester som er så enkle at hvem som helst kan ta seg av disse (f.eks. hjelpefunksjoner, drift av PC, nett, osv.)
Outsource alle IT tjenester ASP (Application Service Providers) tilbyr slike
tjenester Cloud Computing, tjenester over Internett
![Page 8: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/8.jpg)
21.04.23 MS kap 8 8
Viktige spørsmål Kan vi stole på at vi får de tjenester vi trenger
(ressurser, feilretting, stabilitet…)? Vil ASP’en kunne kjøre vår egen programvare, eventuelt
de versjonene vi velger Har vi alternativer om vi ikke er fornøyd med
servicenivået? Vil data være lagret sikkert? Er det flere eller færre ledd som kan gå galt? Dekker kontrakten med den eksterne leverandøren alle
de oppgaver som utføres i dag, eller mister vi noe? Er det uinteressant at vi ikke lengre har denne
kompetansen internt? Har vi et system som også vil virke i framtiden?
![Page 9: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/9.jpg)
21.04.23 MS kap 8 9
Er det forskjell på at
Hvilken bedrift/type som outsourcer IT: SAS Bank Røde Kors Legekontor
![Page 10: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/10.jpg)
21.04.23 MS kap 8 10
Sikkerhet Med Internett etc. åpner vi bedriftens
systemer mot omverdenen (vi kan sammenligne med utvikling i
butikker, fra disk til selvbetjening) Mange trusler Interne og eksterne krav (for eksempel,
lovgiving) for at sikkerhet ivaretas
![Page 11: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/11.jpg)
21.04.23 MS kap 8 11
Sikkerhet kommer ofte sist… Utviklingen av biler: 1900-1920 Få utviklet teknologien,
driftssikkerhet 1920-1950 Produksjon,
overkommelig pris 1950-1970 Design 1970-1990 Driftsøkonomi 1990-2005 Sikkerhet viktig 2005- Miljø
![Page 12: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/12.jpg)
21.04.23 MS kap 8 12
Også slik med datamaskinen
1943-1970 Få utviklet teknologien, kapasitet,
driftssikkerhet 1970-1985 Produksjon,
overkommelig pris 1985-2000 Funksjonalitet 2000- Sikkerhet begynner å bli
viktig
![Page 13: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/13.jpg)
21.04.23 MS kap 8 13
Typer av angrep
![Page 14: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/14.jpg)
21.04.23 MS kap 8 14
Norske Internettbanker Utsatt for angrep på enkelte konto Kontoer er tappet De nasjonale mellommennene blir
tatt Men av de 50 sakene som Kripos
etterforsket i 2006 er ingen hovedmenn tatt
Høyere sikkerhetsnivå nå (ekstra passord)
![Page 15: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/15.jpg)
21.04.23 MS kap 8 15
5 pilarer for sikkerhet Autentisering
Er de den de sier de er? Identifisering
Systemer for identifisering, sertifikater Datasikkerhet (beskyttelse mot misbruk) Data integritet (beholde data i
original/riktig form) Verifisering av transaksjoner slik at
ingen kan nekte for at de deltok i transaksjonen
![Page 16: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/16.jpg)
21.04.23 MS kap 8 16
Biometri Snakket om i svært mange år Muligheter:
Fingeravtrykk/håndflate Iris gjenkjenning Stemmegjenkjenning
Problemer: Pålitelighet (se f.eks.
http://www.youtube.com/watch?v=MAfAVGES-Yc) Kan føles for nærgående Kostbart
![Page 17: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/17.jpg)
21.04.23 MS kap 8 17
Fortsatt Pin-koder Passord Kort Spørsmål som bare du kjenner
svaret på Med kortleser på alle maskiner kan
sikkerhetsnivået økes (brukes i helseetaten)
![Page 18: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/18.jpg)
21.04.23 MS kap 8 18
Bank-id – fra Web siden: BankID er en personlig og enkel elektronisk
legitimasjon for sikker identifisering og signering på nettet. BankID tilbys av bankene i Norge, ta kontakt med banken din hvis du ønsker å skaffe deg BankID.
BankID er basert på en samordnet infrastruktur som er utviklet av banknæringen gjennom BankID Samarbeidet, i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen.
BankID er sikkert, og kundene kan være helt trygge når de benytter BankID. Det skriver FNHs adm. direktør, Arne Skauge, og Sparebankforeningens adm. direktør Arne Hyttnes i et brev til finanskomiteen og transport- og kommunikasjonskomiteen på Stortinget. Bakgrunnen er debatten i media om BankID-sikkerheten.
![Page 19: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/19.jpg)
21.04.23 MS kap 8 19
Er Bank id sikker? En gruppe ledet av professor Kjell Jørgen
Hole ved UiB hevder at systemet ikke er sikkert
Systemet baserer seg på PKI (Public Key Infrastructure) med en privat og en offentlig løsning
Den som disponerer den private nøkkelen kan signere dokumenter, logge inn på kontoer, overføre penger m.m.
Av praktiske grunner er den private løsningen lagret sentralt
![Page 20: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/20.jpg)
21.04.23 MS kap 8 20
Er betalingskortet sikkert Forskere ved Cambridge har laget
en kopling fra en datamaskin til et betalingskort som får terminalen til å tro at transaksjonen skal gå kodefri.
Selv om en taster inn feil kode går transaksjonen igjennom
Virker ikke der alt går via bankens server
![Page 21: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/21.jpg)
21.04.23 MS kap 8 21
Problemer med sentral lagring
Prinsipielt: Hvordan skal vi forsikre oss om at
nøkkelen ikke blir misbrukt av de som oppevarer den (banker, myndigheter)
Praktisk: Hvordan skal vi fortelle banken at vi
vil bruke nøkkelen?
![Page 22: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/22.jpg)
21.04.23 MS kap 8 22
Bruk av sentral lagret nøkkel
Vi aksesserer nøkkelen med personnummer, PIN og engangskoder (som med banken i dag)
Dvs. vi ”legitimerer” oss på denne måten
![Page 23: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/23.jpg)
21.04.23 MS kap 8 23
Hva sier Hole & Co Med ”phishing” og ”man in the middle” kan
vi lure engangskoder ut av kundene I praksis kan dette gjøres ved:
1. Åpne et falskt grensesnitt på brukerens maskin2. Fange opp engangskoden (bruke den til vår
innlogging i nettbanken)3. Gi en feilmelding til bruker4. Fange opp neste engangskode, og så bruke denne
som bekreftelse på transaksjonen der vi tømmer kontoen
Hole har kjørt vellykkede angrep etter denne oppskriften
Problemet vil vokse om bankid skal brukes i mange sammenhenger
![Page 24: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/24.jpg)
21.04.23 MS kap 8 24
Hva sier bankene
Bank ID er sikkert Hole har ikke vist svakheter i
BankID, bare at det finnes ”dumme” brukere
![Page 25: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/25.jpg)
21.04.23 MS kap 8 25
Men Kredittilsynet er bekymret Det hjelper jo ikke om den sentrale del
av Bankid er sikkert, dersom det svakeste ledd er hos brukeren
Med en lokal lagring av nøkkelen ville mange av disse problemene vært unngått
Det kunne i praksis skje ved å ha nøkkelen på et plastkort
![Page 26: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/26.jpg)
Til slutt
Det vi er ute etter er ikke formell sikkerhet men praktisk sikkerhet
Vi låser huset med nøkkel, men likevel kan hvem som helst bryte seg inn.
Likevel representerer låsen en praktisk sikkerhet.
![Page 27: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/27.jpg)
Betalingssystemer Primitive i dag Personifisert sikkerhet er bedre:
Ekstra kode i minibank Ikke tillate minibank Åpne for bruk i minibank med kode på
mobilen Unngå kode i butikker du bruker ofte Unngå kode for småbeløp osv.
![Page 28: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/28.jpg)
21.04.23 MS kap 8 28
Teknikker for sikkerhet
PC-MCIA
Sikkerhet for trådløse system.
![Page 29: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/29.jpg)
21.04.23 MS kap 8 29
Men, sikkerhet er vanskelig Systemene er store og komplekse Der vi ellers kan teste for å se om funksjonene
virker er det ikke like lett når det gjelder sikkerhet
For skurkene gjelder det å finne svakeste leddet i kjeden
Mye av de samme problemene som vi har med militære forsvarsannlegg:
Hva hjelper de å ha en sterk linje på grensen mellom Tyskland og Frankrike når tyskerne kjører tanks gjennom Belgia i 1940.
Tyskland visste at det kom en invasjon i 1944, men hvor kommer den?
![Page 30: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/30.jpg)
21.04.23 MS kap 8 30
Vil vi være helt sikre
Unngå å lagre konfidensielle data Kun lagre i systemer som ikke er
koplet til Internett Men dette begrenser bruken Imidlertidig kan det være en god
løsning å avgrense deler av systemet
![Page 31: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/31.jpg)
21.04.23 MS kap 8 31
Katastrofeberedskap Interne ressurser:
Backup av data Flere datasentre Distribuerte systemer Backup nett (redundans eller alternative samband) LAN, server farms, etc. (f.eks., CNN under
terrorangrepet på World Trade Center) Testing er viktig
Eksterne ressurser: Egne leverandører av backup tjenester Samarbeid med andre institusjoner (i forskj. tidssoner?)
![Page 32: Håndtering av drift/operasjoner (kap. 8)](https://reader035.vdocuments.pub/reader035/viewer/2022062301/56814bf9550346895db8efe9/html5/thumbnails/32.jpg)
21.04.23 MS kap 8 32
Backup Flere kopier av filer På forskjellige steder Forskjellige versjoner Viktig:
Kontrollere at backup virker Rutiner på innlasting fra backup Gjennomgang på hva som kan skje –
”worst case” scenario