jonas major forsvarets efterretningstjeneste center for ...€¦ · • hvad er risikoen for...
TRANSCRIPT
1
Jonas Major Forsvarets Efterretningstjeneste Center For Cybersikkerhed Rådgivning og Tele [email protected]
22. september 2017
2
Center for Cybersikkerhed Center for Cybersikkerhed (CFCS), der blev oprettet i 2012, er en del af FE. CFCS skal bidrage til at beskytte Danmark mod internettrusler og herunder opdage, varsle om og imødegå cyberangreb mod danske interesser. Samtidig varetager CFCS opgaven som Danmarks nationale it-sikkerhedsmyndighed, der gennemfører og håndhæver regler og foretager sikkerhedsgodkendelser på it-området. Læs mere om CFCS og i tema om cybersikkerhed. -
3
Hvem er Jonas
22 år i Forsvaret Major fra Flyvevåbnet –operativ HAWK fortid Udsendt 3 gange IT side af sagen: - FKIT – Serversektion - SAP DeMars Udvikling - CFCS Rådgivning og akkreditering Ikke specielt hemmelig
22. september 2017
Præsentation
4
Efterspurgt information om: • Hvordan de kriminelle arbejder og tænker • Hvad er risikoen for identitetstyveri osv. • Gode råd til hvorledes kommunerne bør sikre sig • Hvad gør de offentlige myndigheder (FE) og politiet af indsatser
osv. • Hvordan er det internationale samarbejde
Agenda
5
Hvem er de kriminelle: • Statsfinansierede hackergrupper - Kina, Iran, Rusland, Nordkorea • It-kriminelle syndikater – udbredt primært i Asien – men it er for alle – alle steder på kloden så
ingen er sikre • Aktivister – Anonymous • Den sure forbigåede medarbejder • Enkelte hackere fra kælderen i Sdr. kedsomhed
Motiver • Viden er magt • Økonomisk vinding direkte – Pay up • Økonomisk vinding indirekte – Information gathering – dernæst salg på det sorte marked • Politisk budskab – ” We are the world…” • Hævnmotivet – ” de andre er nogle røvhuller …. Jeg går min vej, men inden jeg går/smides
ud…….
Hvordan de kriminelle arbejder og tænker
6
Sikkerhedshændelser
Hvordan de kriminelle arbejder og tænker
9
Hvordan de kriminelle arbejder og tænker
10
Hackere ødelægger højovn på tysk stålværk Ved hjælp af målrettede e-mails til udvalgte medarbejdere fik hackere adgang til netværket på et tysk stålværk og kunne forstyrre kontrolsystemerne til produktionsanlægget. Jesper Stein Sandal@jespersandal Fredag, 19. december 2014 Et hackerangreb mod et tysk stålværk har resulteret i, at én af værkets højovne ikke længere kan bruges. Det skriver Der Spiegel. Det er det tyske nationale center for it-sikkerhed, som oplyser, at angrebet har fundet sted, men uden at oplyse, hvilket stålværk der er ramt, eller hvornår angrebet skete. Angrebet foregik angiveligt efter en opskrift, som er almindelig ved infiltration af virksomheders it-systemer. Første fase var et målrettet spear-phishing-angreb i form af e-mails til udvalgte medarbejdere, som skulle lokkes til at installere en bagdør på deres pc'er. Derfra kunne hackerne få adgang til resten af stålværkets netværk, indtil de til sidst også fik adgang til de computere, som bruges til at styre produktionsudstyret. Her kunne hackerne udnytte specialviden om industrisystemer til at sætte højovnen ud af spillet. Truslen mod industrisystemer kom for alvor på it-sikkerhedsdagsordenen efter angrebet med Stuxnet-ormen, som angiveligt var fremstillet specifik til at sabotere urancentrifuger på et iransk atomanlæg.
Hvordan de kriminelle arbejder og tænker
11
Øvrige IT-Hændelser
Hyggede hjemme i sofaen – så endte de på pornoside Smarte fjernsyns sikkerhed er hullet som en si.
Bug in latest version of OS X gives attackers unfettered root privileges
Cyber espionage attack aimed at Swiss defense firm RUAG was carried out by the Russia-linked threat group known as Turla.
117 millioner LinkedIn-profilers data sat til salg. Medlemmers e-mails og passwords fra det fire år gamle hackerangreb er blevet frigivet og sat til salg
Hvordan de kriminelle arbejder og tænker
12
It-indbrud var forklædt som ansøgninger Unimerco modtager uskyldigt udseende jobansøgninger sendt i
PDF-filer PDF-filen indholdt en lille stump aktiv kode Koden kunne afvikles da firmaets PDF program ikke var opdateret Der ved kunne man få fat i oplysninger om selskabets
amerikanske bankforbindelse Hackerne brugte stråmænd i både Kina, USA og Ungarn til at
høste udbyttet En af stråmændene kontaktede Unimerco. Tab over to millioner kroner CITTI bank vil ikke erstatte beløbet
Hvordan de kriminelle arbejder og tænker
13
Ordbog: Social engineering - En fællesbetegnelse for metoder kriminelle benytter til at manipulere personer til at afgive eller indtaste oplysninger (id, pass-word og nøglekortkoder) til de it-kriminelle. Phishing – Når it-kriminelle benytter mails , der giver sig ud for at være fra en ”pålidelig” afsender til at få personer til at afgive eller indtaste personlige oplysninger (Ingen konkrete målpersoner) Spearphishing – Det samme som phishing, men her med et konkret mål for øje, mere detaljeret og mere ihærdig indsats. Smishing - Når it-kriminelle benytter sms-beskeder, der giver sig ud for at være fra en ”pålidelig” afsender til at få folk til at afgive eller indtaste personlige oplysninger. Vishing - Når it-kriminelle benytter telefonopkald, hvor de overtaler personer til at afgive personlige oplysninger.
Hvordan de kriminelle arbejder og tænker
14
Metoder for uautoriseret adgang….
Herunder er nogle af de mest populære metoder hos it-kriminelle: Ransomware: En virus, der vil forhindre brugen af computeren, internettet, eller specifikke programmer, og som kræver en løsesum for at give ejeren adgang igen. Malware: Software, der skaffer sig adgang til computere og herfra kopierer personlige oplysninger eller udfører andre uønskede kommandoer. DDoS: Distributed Denial of Service. Et angreb, hvor it-kriminelle via et stort netværk af computere sender så mange forespørgsler til et system, at det lukker ned. APT: Advanced Persistent Threat: er avancerede angreb, der er målrettet en bestemt virksomhed eller organisation i et forsøg på at kompromittere eller stjæle virksomhedens intellektuelle værdier, også kaldet IP (intellectual property). Disse data udnyttes til alt lige fra spionage og kopiering af varer til udnyttelse af personfølsomme oplysninger. Afpresning: Kan eksempelvis ske, hvis it-kriminelle kommer i besiddelse af kompromitterende billeder eller film, hvorefter de vil kræve penge eller for eksempel flere billeder eller seksuelle tjenester. Kilde: informationsordbogen.dk, Europol
Hvordan de kriminelle arbejder og tænker
15
Naivitet og berøringsangst gør danske virksomheder til let bytte for it-kriminelle Danske virksomheder undlader at lave undersøgelser af deres frygt for, hvad sådanne undersøgelser måtte vise. Samtidig er mange danske virksomheders it-systemer som trevlede kludetæpper af gamle systemer, som er sårbare. Derfor er det ekstra naivt, når man undlader at se sin egen sikkerhed efter i sømmene…. »Det kan ikke undgå at strejfe mig, at visse virksomheder undlader at lave den slags analyser, fordi de er bekymrede for, hvad de vil vise – at der måske ikke er styr på det – for hvem sidder så med ansvaret for det? De vil hellere fokusere på, hvordan data kan gøre dem mere effektive og spare medarbejdere,« siger lederen af EY’s efterforskningsafdeling, Torben Lange. Sjældent folk udefra Hans afdeling får hovedsageligt sager, der handler om interne stridigheder eller it-kriminalitet begået af tidligere medarbejdere. Langt sjældnere er der tale om angreb udefra. Når en tidligere medarbejder er centrum for hans arbejde er der oftest tale om ulovlige prisaftaler, ansatte, der tager data med sig ved jobskifte eller som på anden måde udnytter virksomhedens digitale struktur til egen vindings skyld. For eksempel ved at udnytte et it.system til at overføre penge til sig selv.
Hvordan de kriminelle arbejder og tænker
16
CEO - fraud
It-kriminelle snyder ansatte på Statens Museums for Kunst til at udbetale 805.000 kr. Ansatte troede, at det var chefen, der sendte mail om at overføre penge til engelsk bankkonto. Statens Museum for Kunst blev i vinterferien franarret 805.000 kr., men museet er langt fra ene om at blive ramt af såkaldt CEO-fraud, hvor it-kriminelle ved hjælp af falske mail udgiver sig for at være en virksomheds direktør og beder økonomiafdelingen foretage nogle hurtige pengeoverførsler. Franarret 300 mio. Kr. Europas største leverandør af ledninger, elektriske og optiske fiberkabler, tyske Leoni, er blevet snydt i et mail-svindelnummer for knap 300 millioner kroner. Leoni omsætter for lige godt 35 milliarder kroner og svindelnummeret mod virksomheden blev sat ind den 12. august i Nordrumænien. Optakten til svindlen var, at selskabets lokale økonomidirektør i Rumænien modtog en mail, som var designet til at ligne en besked fra en af Leonis topchefer i Tyskland. I mailen var der en opfordring til den store pengeoverførsel. Mailen var derudover udformet, så Leonis interne procedurer for godkendelse af pengeoverførsler var imødekommet. Desuden var Leoni-fabrikken i Rumænien blot én ud af fire af selskabets tilholdssteder, men det var den eneste, som var autoriseret til at godkende pengeoverførsler. Dermed havde svindlerne nærstuderet selskabets måde at overføre store beløb på, skriver Softpedia. Overfører 20 milliarder kroner Denne form for mailsvindel går under mange navne - blandt andet direktør-svindel eller 'CEO Fraud' på engelsk. Det amerikanske forbundspoliti FBI har tidligere vurderet, at denne form for CEO Fraud i de seneste tre år har kostet virksomheder over 20 milliarder kroner.
Hvordan de kriminelle arbejder og tænker
17
Hackernes angrebsfaser
Fase 1: Hackergruppen bag udfører en omfattende undersøgelse af det netværk, der skal angribes. Det er i denne fase, at angriberne får viden, som kan bruges til at tilpasse den malware, der skal bruges i angrebet.Det er også i denne fase, at angriberne gør sig begreb om, hvordan de bedst kan bruge metoderne social engineering og spear phishing. Fase 2: Her afsendes malwaren. Denne er ofte enten vedhæftet en e-mail som en legitimt udseende fil eller indeholdt i en e-mail som et link. Når offeret klikker på den vedhæftede fil eller linket i e-mailen, bliver malwaren installeret og offerets computer inficeret.
Hvordan de kriminelle arbejder og tænker
18
Fase 3: Når Hackergruppen har fået fodfæste i det ramte netværk, bestræber den sig på, at dens aktiviteter ikke bliver bemærket. Hackerne vil forsøge at gemme sig i netværkstrafikken inden for normal kontortid. Hackerne vil gøre brug af VPN-forbindelser, hvor de ved hjælp af brugernavne og passwords får fjernadgang til det netværk, de gerne vil angribe. Når angriberne har adgang kan de bevæge sig forholdsvist ubemærket og tilsyneladende legitimt rundt på det netværk, der er angrebet.
Hvordan de kriminelle arbejder og tænker
19
Fase 4: Endelig vil angriberne forsøge at vedligeholde deres adgang til det ønskede netværk. Dette betyder eksempelvis, at de vil forsøge at installere yderligere malware skjult dybt i systemet på den enkelte computer, som kan vækkes til live, hvis den dør, APT-gruppen kommer ind ad, lukkes.
Hvordan de kriminelle arbejder og tænker
20
Mobileenheder 1) MMS sendes til en telefon 2) Onsindet kode installeres på telefonen 3) Uden brugeren behøver at åbne beskeden 4) Herefter sletter man sine spor 5) Telefon brugeren vil så ikke
opdage ”bagdøren”
Hvordan de kriminelle arbejder og tænker
21
Android malware
22
21
1 af 10 APPS er MALware 99% af malwaren er rettet mod Android
22
Hvordan den Mobile enhed kan blive inficeret Mobile Enheders Interfaces
NFC
GSM/UMTS - TCP IP - SMS/MMS
BlueTooth
WIFI
USB
Alle disse Interfaces kan benyttes af en hacker!
SD card
JTAG (Produktions interface)
23
• CFCS anbefaler som minimum at nulstille telefonens data efter endt tjenesterejse. (Menu ligger typisk under indstillinger). Således at alle brugerens data slettes.
• CFCS anbefaler pga. risikoen for sporing (tracking) enten via telefonens IMEI ellers SIM kortes IMSI kun
at medbringe en ”låne telefon + SIM kort” på rejser, således at de enkelte medarbejdere ikke kan identificeres via deres telefon.
• CFCS anbefaler såfremt man ønsker helt at eliminere risikoen for sporing at destruerer anvendte
telefoner+SIM efter endt rejse. • CFCS anbefaler pga. risikoen for aflytning via WIFI (hotel hotspots), at man skifter passwords på de
tjenester man evt. har anvendt. (F.eks. Facebook, LinkedIN, OWA mail)
• CFCS anbefaler pga. risikoen for at blive inficeret ikke at oplade via USB fra andres PC’er (eller offentlige USB lader standere)
• CFCS anbefaler aldrig at have PIN Kode/passwords på sin telefon.
CFCS generelle anbefalinger ift. brugen af mobileenheder ved tjenesterejser:
24
• Send aldrig fortrolige oplysninger i e-mails og giv aldrig fortrolige og personlige oplysninger på sociale medier. • Knyt telefonnummer til mailkontoen. På den måde øger du sikkerheden betydeligt. • Tænk over om de oplysninger, du lægger online, kan misbruges. Det kan fx være personfølsomme oplysninger i et CV. • Log af. Hvis du tjekker din mail eller Facebook-profil på offentlige computere, skal du huske at logge af og slette browserens
historik, før du går. • Spær dit CPR-nr. Det er blevet muligt at spærre sit CPR-nr., så virksomheder kan få en advarsel, hvis nogen forsøger at låne penge
ved at bruge CPR-nummeret. Advarslen kan være relevant, hvis du fx har mistet dit pas eller kørekort og er bekymret for, at det vil blive misbrugt
• Tjek dit papiraffald. Undlad at smide papir med personlige oplysninger i skraldespanden, eller riv papiret itu eller overstreg de personlige oplysninger først.
• Beskyt din PC, tablet og mobiltelefon • Skift passwords jævnligt. Dit password bør bestå af mindst otte tegn med både store og små bogstaver, tal og specialtegn.
Anvend ikke det samme password flere steder. • Hold din software opdateret og brug både antivirusprogram og firewall. Læs om firewalls og om computervirus, og hvordan du
beskytter dig . • Mange programmer kan indstilles så de opdaterer til nye og mere sikre udgaver automatisk. Brug eventuelt programmer, der
holder øje med, at din computer hele tiden er opdateret. Nogle internetudbydere tilbyder gratis tjek af sikkerheden på din computer.
• Krypter dit trådløse netværk. Se, hvordan du gør i brugsvejledningen til din trådløse router, eller kontakt din internetudbyder.
Identitetstyveri
Beskyt din identitet
25
Cyberforsvar der virker
26
Punkt 1
Forankring i topledelsen * Vigtigste informationer * Betydning for vores forretning, hvis data mistes, stjæles, lækkes eller bliver utilgængelig. * Er vores informationer tilstrækkeligt beskyttet? * Har vi en nedskrevet informationssikkerhedspolitik * Videndeling med lignende organisationer * Har vi en sikkerhedsorganisation * Bliver vi løbende opdateret om cybertruslen * Har vi gjort os klart, at topledelsen selv er et oplagt mål
27
Punkt 2
Den rette tekniske kompetence * Gode systemadministratorer * Medarbejdere med analytiske kompetencer. * Samt at disse forstår og formår at kommunikere med topledere * Ved uddelegering er det vigtigt at den enkelte organisation selv tager ansvaret for sikkerheden
28
Punkt 3
Implementér ”top fire”
Sikringstiltag Medarbejdermodstand
Udarbejd positivliste over applikationer
Medium
Opdatér programmer Lav
Opdatér operativ-systemet Lav
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Medium
29
Punkt 3
Implementér ”top fire”
Sikringstiltag Etableringsomkostninger
Udarbejd positivliste over applikationer
Høj
Opdatér programmer Høj
Opdatér operativ-systemet Medium
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Medium
30
Punkt 3
Implementér ”top fire”
Sikringstiltag Driftsomkostninger
Udarbejd positivliste over applikationer
Medium
Opdatér programmer Høj
Opdatér operativ-systemet Medium
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Lav
31
Punkt 3
Implementér ”top fire”
Sikringstiltag Designet til at forhindre eller detektere
Udarbejd positivliste over applikationer
Begge
Opdatér programmer Forhindre
Opdatér operativ-systemet Forhindre
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Forhindre
32
Punkt 3
Implementér ”top fire”
Sikringstiltag Designet til at hjælpe med at modvirke angrebsfase 1
Udarbejd positivliste over applikationer
Ja
Opdatér programmer Ja
Opdatér operativ-systemet Muligt
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Muligt
33
Punkt 3
Implementér ”top fire”
Sikringstiltag Hjælper med at modvirke angrebsfase 2
Udarbejd positivliste over applikationer
Ja
Opdatér programmer Muligt
Opdatér operativ-systemet Muligt
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Ja
34
Punkt 3
Implementér ”top fire”
Sikringstiltag Hjælper med at modvirke angrebsfase 3
Udarbejd positivliste over applikationer
Ja
Opdatér programmer Nej
Opdatér operativ-systemet Muligt
Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.
Muligt
35
Punkt 4
Gennemfør løbende awareness * Tekniske foranstaltninger bliver bakket op af velinformerede medarbejdere * Informer om truslen fra ”Social engineering” (både via fysisk kontakt, telefonsamtaler og mail ) * Husk at informere medarbejderne ved ansættelsen
36
Punkt 5
Opbyg en reaktiv kapacitet * God logning * Erkend egne begrænsninger Intet forsvar er 100 % sikkert. Succesfulde angreb vil forekomme, men de skal forudses og opdages.
37
Punkt 6
Løbende sikkerhedstekniske undersøgelser * Skab en sikkerhedsorienteret virksomhedskultur * Løbende vedligeholdelse af sikkerheden
38
Punkt 7
Indfør yderligere sikringstiltag * Når de grundlæggende tiltag er på plads, indføre yderligere sikringstiltag * På forskellige komponenter fordelt over hele it-miljøet
39
1. Forankring i topledelsen • Forstå cybertruslen, støt cyberforsvaret og uddelegér ansvar • Gennemfør en overordnet risikovurdering 2. De rette tekniske kompetencer • Sørg for at organisationen råder over de rette tekniske kompetencer eller har adgang til dem 3. De grundlæggende sikringstiltag • Implementér tiltagene til sikring af højrisikomål • Udbred derefter til øvrige risikomål 4. Awareness, awareness, awareness • Introducér sikkerhedspolitikken til nyansatte • Udsend løbende information om cybertruslen 5. En reaktiv kapacitet • Start i det små og prioritér højrisikomål • Opyg televante reaktive kompetencer 6. Løbende sikkerhedstekniske undersøgelser • Test det reelle sikkerhedsniveau løbende • Afhold kriseøvelser og simuler angreb 7. Flere tekniske og organisatoriske tiltag • Styring af mobile enheder, to-faktor autentifikation, segmentering af netværk
40
Gode råd til hvorledes kommunerne bør sikre sig Er kommunernes låsesystemer centralt styrede ? Er kommunernes varmesystemer centralt styrede ? Hvorledes er screeningen af en PDF-ansøgning til kommunens HR-afdeling ? Foretages der IT-revison af kommunerne? Er kommunernes it-systemer segmenterede - To be continued…..
Hvordan de kriminelle arbejder og tænker
41
Internationalt samarbejde om cybersikkerhed Cyber- og informationssikkerhed fylder stadigt mere på den internationale dagsorden, og emnet behandles efterhånden af de fleste større internationale organisationer og institutioner. CFCS deltager i mere end 30 internationale samarbejdsfora fordelt på en række områder indenfor cyber- og informationssikkerhed, herunder i EU, NATO og OSCE-regi. CFCS netsikkerhedstjeneste indgår også i en række internationale fora og samarbejder. Særligt på det nordiske område er der et stærkt og veludviklet samarbejde netsikkerhedstjenesterne imellem. EU I EU-regi har man vedtaget den Digitale Dagsorden for Europa, der bl.a. i februar 2013 førte til, at EU-Kommissionen og EU’s udenrigstjeneste udsendte en fælles strategi for cybersikkerhed. Strategien har som overordnet formål at sikre et åbent og sikkert cyberspace. CFCS bidrager til forhandlinger, der er initieret af den fælles strategi for cybersikkerhed. Derudover er CFCS involveret i flere aspekter af det arbejde, som foregår i EU’s agentur for net- og informationssikkerhed (ENISA). Arbejdet har til formål at bidrage til at højne netværk- og informationssikkerheden i EU samt facilitere et bredt samarbejde mellem offentlige og private aktører. Blandt andet arrangeres den tilbagevendende cybersikkerhedsøvelse ”Cyber Europe”, som tester centrale europæiske aktørers evne til at opretholde og videreføre samfundsvigtige funktioner i en situation, hvor disse funktioner trues, svækkes, afbrydes eller ødelægges af cyberangreb. NATO Danmark bidrager til NATO’s arbejde med, at alliancen og dens medlemslande fortsat styrker deres evne til at beskytte egen infrastruktur mod cyberangreb. Desuden udgør NATO et effektivt forum for drøftelser og eventuelt fælles modsvar i tilfælde af cyberangreb på et alliancemedlem. CFCS´s aktiviteter i NATO spænder bredt fra implementering af it-sikkerhedsstandarder over kryptering til håndtering af klassificeret information. Centeret deltager også i NATO’s årlige tekniske cybersikkerhedsøvelse ”Cyber Coalition”, hvor samarbejde på tværs af NATO-landene trænes. OSCE I OSCE (Organisationen for Sikkerhed og Samarbejde i Europa) arbejdes med tillidsskabende foranstaltninger inden for cybersikkerhed, væsentligst i form af åbenhed om landenes cybersikkerhedsstrategier, -politikker, -programmer og tiltag. 11 tillidsskabende foranstaltninger er allerede vedtaget, og et arbejde pågår med at få udarbejdet og vedtaget yderligere foranstaltninger.
42
Du er en vigtig brik i sikkerheden !
43
Inspirationslæsning:
http://statens-it.dk/media/6107/adgangen-til-it-systemer-der-understoetter-samfundsvigtige-opgaver.pdf https://sikkerhedstjekket.dk/pdf/sikkerhedstjekket_anbefalinger.pdf
44
Opsamling Bent Soelberg
45
1. Ledelsen skal forholde sig til It-sikkerheden 2. Identificér de kritiske informationer og systemer 3. Udarbejd en risikovurdering 4. Dokumentér jeres IT-sikkerhedsarbejde 5. Håndtér personoplysninger korrekt 6. Udarbejd en proces for håndtering af ændringer i IT-systermen 7. Hav styr på medarbejdernes adgang til jeres informationer og systemer 8. Få en uvildig gennemgang af jeres sikkerhedsniveau 9. Back up af jeres systemer 10. Styrk jeres medarbejders viden om IT-sikkerhed 11. Beskyt jeres datanetværk 12. Opdatér jeres IT-systemer og programmer 13. Beskyt virksomheden mod virusangreb og malware 14. De fysiske forhold vedr. jeres IT-udstyr 15. Effektiv plan for sikkerhedshændelser 16. Overvågning og logning af IT-systemer 17. Sikkerhedsaspekter i relation til samarbejdspartnere 18. Databehandleraftale
46
Anbefalinger • Forstå og beskriv jeres
risikovillighed, dvs. hvilken risiko ledelsen er villig til at acceptere for at kunne drive virksomhedens kerneforretning.
• Ledelsen skal påtage sig et ansvar og optræde som rollemodel i forhold til virksomhedens arbejde med IT-sikkerhed.
• Ledelsen skal sikre en løbende styring af virksomhedens IT-sikkerhedsarbejde.
1. Ledelsen skal forholde sig til It-sikkerheden
47
Anbefalinger • Få overblik over jeres
behandling af personoplysninger samt kritiske forretningsdata, og IT-systemer.
• Lav en risikovurdering. • Udarbejd retningslinjer for
beskyttelse af jeres kritiske informationer og IT-systemer.
2. Identificér de kritiske informationer og systemer
48
Anbefalinger • Forstå, hvilke trusler der kan
ramme jeres virksomhed. • Forstå, hvilken konsekvens det
har, hvis en given trussel rammer jeres virksomhed.
• Find ud af, om I er beskyttet og planlæg, hvilke sikkerhedsforanstaltninger jeres virksomhed har brug for.
3. Udarbejd en risikovurdering
49
Anbefalinger • I bør udarbejde en overordnet
IT-sikkerhedspolitik for virksomheden.
• Der skal udarbejdes konkrete retningslinjer eller processer for virksomhedens IT-sikkerhedsarbejde.
4. Dokumentér jeres IT-sikkerhedsarbejde
50
Anbefalinger • Følsomme personoplysninger. • Andre typer personoplysninger
om private forhold. • Almindelige personoplysninger. • GDPR (General Data Protection
Regulation)
5. Håndtér personoplysninger korrekt
51
Anbefalinger • I skal udarbejde retningslinjer
for ændringer i jeres IT-systemer – både hvis I selv foretager ændringerne, eller hvis de bliver udført af jeres IT-leverandør.
• I skal sørge for at have den rigtige bemanding og evt. support fra jeres IT-leverandør, når I foretager ændringerne.
• I skal stille krav til, hvordan jeres IT-leverandør håndterer ændringerne i jeres systemer.
6. Udarbejd en proces for håndtering af ændringer i IT-systermen
52
Anbefalinger • Beslut, hvordan I vil håndtere
medarbejdernes adgang til forskellige systemer.
• Undgå at give alle medarbejdere administratorrettigheder.
• Stil krav til medarbejdernes passwords.
7. Hav styr på medarbejdernes adgang til jeres informationer og systemer
53
Anbefalinger • Få vurderet, om jeres
eksisterende IT-sikkerhedsniveau matcher jeres trusselniveau.
• Få vurderet, om I har en robust IT-arkitektur.
• Få simuleret et cyberangreb mod jeres IT-systemer.
8. Få en uvildig gennemgang af jeres sikkerhedsniveau
54
Anbefalinger • Fastlæg, hvilke backuprutiner I
har brug for. • Udpeg en medarbejder eller
vælg en leverandør, som tager backup.
• Tjek, at jeres backup virker.
9. Back up af jeres systemer
55
Anbefalinger • I skal beslutte, hvilke IT-
sikkerhedsemner I vil kommunikere til jeres medarbejdere.
• I skal løbende uddanne, informere og diskutere sikkerhedsspørgsmål med jeres medarbejdere.
• I skal løbende opdatere medarbejdernes vidensniveau om IT-sikkerhed.
10. Styrk jeres medarbejders viden om IT-sikkerhed
56
Anbefalinger • Etabler en firewall mellem
Internettet og virksomhedens datanetværk.
• Del jeres netværk op i segmenter (afgrænsede områder).
• Etabler adgangskontrol til jeres netværk.
• Etabler sikker opkobling til hjemmearbejdspladser.
11. Beskyt jeres datanetværk
57
Anbefalinger • Vurder, hvilke systemer og
programmer, I kan/bør opdatere.
• Beslut, hvor ofte I bør opdatere jeres systemer og programmer.
• Udpeg en ansvarlig for opdateringerne.
12. Opdatér jeres IT-systemer og programmer
58
Anbefalinger • Installer et antivirusprogram. • Tag backup. • Uddan jeres medarbejdere i god
IT-adfærd på nettet. • Hav en plan – hvis uheldet er
ude.
13. Beskyt virksomheden mod virusangreb og malware
59
Anbefalinger • Vurder, om jeres lokaler er sikre
nok mod indbrud. • Beskyt jeres it bedst muligt mod
skade ved vand, brand eller storm.
• Vurder, om jeres elforsyning og internetforbindelse er stabile nok.
14. De fysiske forhold vedr. jeres IT-udstyr
60
Anbefalinger • Udform en effektiv plan • Stil krav til jeres leverandørs
beredskab • Gennemfør evt. test af
beredskabet.
15. Effektiv plan for sikkerhedshændelser
61
Anbefalinger • Forstå de juridiske krav i forhold
til jeres medarbejdere. • Tag en risikobaseret tilgang til
overvågning og logning. • Fastlæg en proces for
overvågning af logs. • Udarbejd retningslinjer for
arkivering af logs.
16. Overvågning og logning af IT-systemer
62
Anbefalinger • Stil relevante krav til jeres
leverandørs kvalitetssikring af deres It-sikkerhedsniveau samt deres sikkerhedsforanstaltninger
• Sikre overholdelse af gældende lovgivning.
17. Sikkerhedsaspekter i relation til samarbejdspartnere
63
Anbefalinger • Forstå og implementere
kravene til en databehandleraftale
• Overhold kravene i persondataloven.
18. Databehandleraftale