jonas major forsvarets efterretningstjeneste center for ...€¦ · • hvad er risikoen for...

1

Jonas Major Forsvarets Efterretningstjeneste Center For Cybersikkerhed Rådgivning og Tele [email protected]

22. september 2017

2

Center for Cybersikkerhed Center for Cybersikkerhed (CFCS), der blev oprettet i 2012, er en del af FE. CFCS skal bidrage til at beskytte Danmark mod internettrusler og herunder opdage, varsle om og imødegå cyberangreb mod danske interesser. Samtidig varetager CFCS opgaven som Danmarks nationale it-sikkerhedsmyndighed, der gennemfører og håndhæver regler og foretager sikkerhedsgodkendelser på it-området. Læs mere om CFCS og i tema om cybersikkerhed. -

http://www.fmn.dk/videnom/Pages/Center-for-Cybersikkerhed.aspx

http://www.fmn.dk/temaer/cybersikkerhed

3

Hvem er Jonas

22 år i Forsvaret Major fra Flyvevåbnet –operativ HAWK fortid Udsendt 3 gange IT side af sagen: - FKIT – Serversektion - SAP DeMars Udvikling - CFCS Rådgivning og akkreditering Ikke specielt hemmelig

22. september 2017

Præsentation

4

Efterspurgt information om: • Hvordan de kriminelle arbejder og tænker • Hvad er risikoen for identitetstyveri osv. • Gode råd til hvorledes kommunerne bør sikre sig • Hvad gør de offentlige myndigheder (FE) og politiet af indsatser

osv. • Hvordan er det internationale samarbejde

Agenda

5

Hvem er de kriminelle: • Statsfinansierede hackergrupper - Kina, Iran, Rusland, Nordkorea • It-kriminelle syndikater – udbredt primært i Asien – men it er for alle – alle steder på kloden så

ingen er sikre • Aktivister – Anonymous • Den sure forbigåede medarbejder • Enkelte hackere fra kælderen i Sdr. kedsomhed

Motiver • Viden er magt • Økonomisk vinding direkte – Pay up • Økonomisk vinding indirekte – Information gathering – dernæst salg på det sorte marked • Politisk budskab – ” We are the world…” • Hævnmotivet – ” de andre er nogle røvhuller …. Jeg går min vej, men inden jeg går/smides

ud…….

Hvordan de kriminelle arbejder og tænker

6

Sikkerhedshændelser


9


10

Hackere ødelægger højovn på tysk stålværk Ved hjælp af målrettede e-mails til udvalgte medarbejdere fik hackere adgang til netværket på et tysk stålværk og kunne forstyrre kontrolsystemerne til produktionsanlægget. Jesper Stein Sandal@jespersandal Fredag, 19. december 2014 Et hackerangreb mod et tysk stålværk har resulteret i, at én af værkets højovne ikke længere kan bruges. Det skriver Der Spiegel. Det er det tyske nationale center for it-sikkerhed, som oplyser, at angrebet har fundet sted, men uden at oplyse, hvilket stålværk der er ramt, eller hvornår angrebet skete. Angrebet foregik angiveligt efter en opskrift, som er almindelig ved infiltration af virksomheders it-systemer. Første fase var et målrettet spear-phishing-angreb i form af e-mails til udvalgte medarbejdere, som skulle lokkes til at installere en bagdør på deres pc'er. Derfra kunne hackerne få adgang til resten af stålværkets netværk, indtil de til sidst også fik adgang til de computere, som bruges til at styre produktionsudstyret. Her kunne hackerne udnytte specialviden om industrisystemer til at sætte højovnen ud af spillet. Truslen mod industrisystemer kom for alvor på it-sikkerhedsdagsordenen efter angrebet med Stuxnet-ormen, som angiveligt var fremstillet specifik til at sabotere urancentrifuger på et iransk atomanlæg.


https://www.version2.dk/skribent/jesper-stein-sandal

https://twitter.com/intent/follow?screen_name=jespersandal

http://www.spiegel.de/netzwelt/web/bsi-bericht-hacker-legten-deutschen-hochofen-lahm-a-1009191.html

11

Øvrige IT-Hændelser

Hyggede hjemme i sofaen – så endte de på pornoside Smarte fjernsyns sikkerhed er hullet som en si.

Bug in latest version of OS X gives attackers unfettered root privileges

Cyber espionage attack aimed at Swiss defense firm RUAG was carried out by the Russia-linked threat group known as Turla.

117 millioner LinkedIn-profilers data sat til salg. Medlemmers e-mails og passwords fra det fire år gamle hackerangreb er blevet frigivet og sat til salg


12

It-indbrud var forklædt som ansøgninger Unimerco modtager uskyldigt udseende jobansøgninger sendt i

PDF-filer PDF-filen indholdt en lille stump aktiv kode Koden kunne afvikles da firmaets PDF program ikke var opdateret Der ved kunne man få fat i oplysninger om selskabets

amerikanske bankforbindelse Hackerne brugte stråmænd i både Kina, USA og Ungarn til at

høste udbyttet En af stråmændene kontaktede Unimerco. Tab over to millioner kroner CITTI bank vil ikke erstatte beløbet


13

Ordbog: Social engineering - En fællesbetegnelse for metoder kriminelle benytter til at manipulere personer til at afgive eller indtaste oplysninger (id, pass-word og nøglekortkoder) til de it-kriminelle. Phishing – Når it-kriminelle benytter mails , der giver sig ud for at være fra en ”pålidelig” afsender til at få personer til at afgive eller indtaste personlige oplysninger (Ingen konkrete målpersoner) Spearphishing – Det samme som phishing, men her med et konkret mål for øje, mere detaljeret og mere ihærdig indsats. Smishing - Når it-kriminelle benytter sms-beskeder, der giver sig ud for at være fra en ”pålidelig” afsender til at få folk til at afgive eller indtaste personlige oplysninger. Vishing - Når it-kriminelle benytter telefonopkald, hvor de overtaler personer til at afgive personlige oplysninger.


14

Metoder for uautoriseret adgang….

Herunder er nogle af de mest populære metoder hos it-kriminelle: Ransomware: En virus, der vil forhindre brugen af computeren, internettet, eller specifikke programmer, og som kræver en løsesum for at give ejeren adgang igen. Malware: Software, der skaffer sig adgang til computere og herfra kopierer personlige oplysninger eller udfører andre uønskede kommandoer. DDoS: Distributed Denial of Service. Et angreb, hvor it-kriminelle via et stort netværk af computere sender så mange forespørgsler til et system, at det lukker ned. APT: Advanced Persistent Threat: er avancerede angreb, der er målrettet en bestemt virksomhed eller organisation i et forsøg på at kompromittere eller stjæle virksomhedens intellektuelle værdier, også kaldet IP (intellectual property). Disse data udnyttes til alt lige fra spionage og kopiering af varer til udnyttelse af personfølsomme oplysninger. Afpresning: Kan eksempelvis ske, hvis it-kriminelle kommer i besiddelse af kompromitterende billeder eller film, hvorefter de vil kræve penge eller for eksempel flere billeder eller seksuelle tjenester. Kilde: informationsordbogen.dk, Europol


15

Naivitet og berøringsangst gør danske virksomheder til let bytte for it-kriminelle Danske virksomheder undlader at lave undersøgelser af deres frygt for, hvad sådanne undersøgelser måtte vise. Samtidig er mange danske virksomheders it-systemer som trevlede kludetæpper af gamle systemer, som er sårbare. Derfor er det ekstra naivt, når man undlader at se sin egen sikkerhed efter i sømmene…. »Det kan ikke undgå at strejfe mig, at visse virksomheder undlader at lave den slags analyser, fordi de er bekymrede for, hvad de vil vise – at der måske ikke er styr på det – for hvem sidder så med ansvaret for det? De vil hellere fokusere på, hvordan data kan gøre dem mere effektive og spare medarbejdere,« siger lederen af EY’s efterforskningsafdeling, Torben Lange. Sjældent folk udefra Hans afdeling får hovedsageligt sager, der handler om interne stridigheder eller it-kriminalitet begået af tidligere medarbejdere. Langt sjældnere er der tale om angreb udefra. Når en tidligere medarbejder er centrum for hans arbejde er der oftest tale om ulovlige prisaftaler, ansatte, der tager data med sig ved jobskifte eller som på anden måde udnytter virksomhedens digitale struktur til egen vindings skyld. For eksempel ved at udnytte et it.system til at overføre penge til sig selv.


16

CEO - fraud

It-kriminelle snyder ansatte på Statens Museums for Kunst til at udbetale 805.000 kr. Ansatte troede, at det var chefen, der sendte mail om at overføre penge til engelsk bankkonto. Statens Museum for Kunst blev i vinterferien franarret 805.000 kr., men museet er langt fra ene om at blive ramt af såkaldt CEO-fraud, hvor it-kriminelle ved hjælp af falske mail udgiver sig for at være en virksomheds direktør og beder økonomiafdelingen foretage nogle hurtige pengeoverførsler. Franarret 300 mio. Kr. Europas største leverandør af ledninger, elektriske og optiske fiberkabler, tyske Leoni, er blevet snydt i et mail-svindelnummer for knap 300 millioner kroner. Leoni omsætter for lige godt 35 milliarder kroner og svindelnummeret mod virksomheden blev sat ind den 12. august i Nordrumænien. Optakten til svindlen var, at selskabets lokale økonomidirektør i Rumænien modtog en mail, som var designet til at ligne en besked fra en af Leonis topchefer i Tyskland. I mailen var der en opfordring til den store pengeoverførsel. Mailen var derudover udformet, så Leonis interne procedurer for godkendelse af pengeoverførsler var imødekommet. Desuden var Leoni-fabrikken i Rumænien blot én ud af fire af selskabets tilholdssteder, men det var den eneste, som var autoriseret til at godkende pengeoverførsler. Dermed havde svindlerne nærstuderet selskabets måde at overføre store beløb på, skriver Softpedia. Overfører 20 milliarder kroner Denne form for mailsvindel går under mange navne - blandt andet direktør-svindel eller 'CEO Fraud' på engelsk. Det amerikanske forbundspoliti FBI har tidligere vurderet, at denne form for CEO Fraud i de seneste tre år har kostet virksomheder over 20 milliarder kroner.


http://news.softpedia.com/news/one-of-europe-s-biggest-companies-loses-40-million-in-online-scam-507818.shtml

http://politiken.dk/indland/art5916763/It-kriminelle-snyder-ansatte-p%C3%A5-Statens-Museums-for-Kunst-til-at-udbetale-805.000-kr



























17

Hackernes angrebsfaser

Fase 1: Hackergruppen bag udfører en omfattende undersøgelse af det netværk, der skal angribes. Det er i denne fase, at angriberne får viden, som kan bruges til at tilpasse den malware, der skal bruges i angrebet.Det er også i denne fase, at angriberne gør sig begreb om, hvordan de bedst kan bruge metoderne social engineering og spear phishing. Fase 2: Her afsendes malwaren. Denne er ofte enten vedhæftet en e-mail som en legitimt udseende fil eller indeholdt i en e-mail som et link. Når offeret klikker på den vedhæftede fil eller linket i e-mailen, bliver malwaren installeret og offerets computer inficeret.


18

Fase 3: Når Hackergruppen har fået fodfæste i det ramte netværk, bestræber den sig på, at dens aktiviteter ikke bliver bemærket. Hackerne vil forsøge at gemme sig i netværkstrafikken inden for normal kontortid. Hackerne vil gøre brug af VPN-forbindelser, hvor de ved hjælp af brugernavne og passwords får fjernadgang til det netværk, de gerne vil angribe. Når angriberne har adgang kan de bevæge sig forholdsvist ubemærket og tilsyneladende legitimt rundt på det netværk, der er angrebet.


19

Fase 4: Endelig vil angriberne forsøge at vedligeholde deres adgang til det ønskede netværk. Dette betyder eksempelvis, at de vil forsøge at installere yderligere malware skjult dybt i systemet på den enkelte computer, som kan vækkes til live, hvis den dør, APT-gruppen kommer ind ad, lukkes.


20

Mobileenheder 1) MMS sendes til en telefon 2) Onsindet kode installeres på telefonen 3) Uden brugeren behøver at åbne beskeden 4) Herefter sletter man sine spor 5) Telefon brugeren vil så ikke

opdage ”bagdøren”


21

Android malware

22

21

1 af 10 APPS er MALware 99% af malwaren er rettet mod Android

22

Hvordan den Mobile enhed kan blive inficeret Mobile Enheders Interfaces

NFC

GSM/UMTS - TCP IP - SMS/MMS

BlueTooth

WIFI

USB

Alle disse Interfaces kan benyttes af en hacker!

SD card

JTAG (Produktions interface)

23

• CFCS anbefaler som minimum at nulstille telefonens data efter endt tjenesterejse. (Menu ligger typisk under indstillinger). Således at alle brugerens data slettes.

• CFCS anbefaler pga. risikoen for sporing (tracking) enten via telefonens IMEI ellers SIM kortes IMSI kun

at medbringe en ”låne telefon + SIM kort” på rejser, således at de enkelte medarbejdere ikke kan identificeres via deres telefon.

• CFCS anbefaler såfremt man ønsker helt at eliminere risikoen for sporing at destruerer anvendte

telefoner+SIM efter endt rejse. • CFCS anbefaler pga. risikoen for aflytning via WIFI (hotel hotspots), at man skifter passwords på de

tjenester man evt. har anvendt. (F.eks. Facebook, LinkedIN, OWA mail)

• CFCS anbefaler pga. risikoen for at blive inficeret ikke at oplade via USB fra andres PC’er (eller offentlige USB lader standere)

• CFCS anbefaler aldrig at have PIN Kode/passwords på sin telefon.

CFCS generelle anbefalinger ift. brugen af mobileenheder ved tjenesterejser:

24

• Send aldrig fortrolige oplysninger i e-mails og giv aldrig fortrolige og personlige oplysninger på sociale medier. • Knyt telefonnummer til mailkontoen. På den måde øger du sikkerheden betydeligt. • Tænk over om de oplysninger, du lægger online, kan misbruges. Det kan fx være personfølsomme oplysninger i et CV. • Log af. Hvis du tjekker din mail eller Facebook-profil på offentlige computere, skal du huske at logge af og slette browserens

historik, før du går. • Spær dit CPR-nr. Det er blevet muligt at spærre sit CPR-nr., så virksomheder kan få en advarsel, hvis nogen forsøger at låne penge

ved at bruge CPR-nummeret. Advarslen kan være relevant, hvis du fx har mistet dit pas eller kørekort og er bekymret for, at det vil blive misbrugt

• Tjek dit papiraffald. Undlad at smide papir med personlige oplysninger i skraldespanden, eller riv papiret itu eller overstreg de personlige oplysninger først.

• Beskyt din PC, tablet og mobiltelefon • Skift passwords jævnligt. Dit password bør bestå af mindst otte tegn med både store og små bogstaver, tal og specialtegn.

Anvend ikke det samme password flere steder. • Hold din software opdateret og brug både antivirusprogram og firewall. Læs om firewalls og om computervirus, og hvordan du

beskytter dig . • Mange programmer kan indstilles så de opdaterer til nye og mere sikre udgaver automatisk. Brug eventuelt programmer, der

holder øje med, at din computer hele tiden er opdateret. Nogle internetudbydere tilbyder gratis tjek af sikkerheden på din computer.

• Krypter dit trådløse netværk. Se, hvordan du gør i brugsvejledningen til din trådløse router, eller kontakt din internetudbyder.

Identitetstyveri

Beskyt din identitet

25

Cyberforsvar der virker

26

Punkt 1

Forankring i topledelsen * Vigtigste informationer * Betydning for vores forretning, hvis data mistes, stjæles, lækkes eller bliver utilgængelig. * Er vores informationer tilstrækkeligt beskyttet? * Har vi en nedskrevet informationssikkerhedspolitik * Videndeling med lignende organisationer * Har vi en sikkerhedsorganisation * Bliver vi løbende opdateret om cybertruslen * Har vi gjort os klart, at topledelsen selv er et oplagt mål

27

Punkt 2

Den rette tekniske kompetence * Gode systemadministratorer * Medarbejdere med analytiske kompetencer. * Samt at disse forstår og formår at kommunikere med topledere * Ved uddelegering er det vigtigt at den enkelte organisation selv tager ansvaret for sikkerheden

28

Punkt 3

Implementér ”top fire”

Sikringstiltag Medarbejdermodstand

Udarbejd positivliste over applikationer

Medium

Opdatér programmer Lav

Opdatér operativ-systemet Lav

Begræns antallet af brugerkonti med domæne- eller lokaladministratorprivilegier.

Medium

29

Punkt 3


Sikringstiltag Etableringsomkostninger


Høj

Opdatér programmer Høj

Opdatér operativ-systemet Medium


Medium

30

Punkt 3


Sikringstiltag Driftsomkostninger


Medium

Opdatér programmer Høj

Opdatér operativ-systemet Medium


Lav

31

Punkt 3


Sikringstiltag Designet til at forhindre eller detektere


Begge

Opdatér programmer Forhindre

Opdatér operativ-systemet Forhindre


Forhindre

32

Punkt 3


Sikringstiltag Designet til at hjælpe med at modvirke angrebsfase 1


Ja

Opdatér programmer Ja

Opdatér operativ-systemet Muligt


Muligt

33

Punkt 3


Sikringstiltag Hjælper med at modvirke angrebsfase 2


Ja

Opdatér programmer Muligt



Ja

34

Punkt 3


Sikringstiltag Hjælper med at modvirke angrebsfase 3


Ja

Opdatér programmer Nej



Muligt

35

Punkt 4

Gennemfør løbende awareness * Tekniske foranstaltninger bliver bakket op af velinformerede medarbejdere * Informer om truslen fra ”Social engineering” (både via fysisk kontakt, telefonsamtaler og mail ) * Husk at informere medarbejderne ved ansættelsen

36

Punkt 5

Opbyg en reaktiv kapacitet * God logning * Erkend egne begrænsninger Intet forsvar er 100 % sikkert. Succesfulde angreb vil forekomme, men de skal forudses og opdages.

37

Punkt 6

Løbende sikkerhedstekniske undersøgelser * Skab en sikkerhedsorienteret virksomhedskultur * Løbende vedligeholdelse af sikkerheden

38

Punkt 7

Indfør yderligere sikringstiltag * Når de grundlæggende tiltag er på plads, indføre yderligere sikringstiltag * På forskellige komponenter fordelt over hele it-miljøet

39

1. Forankring i topledelsen • Forstå cybertruslen, støt cyberforsvaret og uddelegér ansvar • Gennemfør en overordnet risikovurdering 2. De rette tekniske kompetencer • Sørg for at organisationen råder over de rette tekniske kompetencer eller har adgang til dem 3. De grundlæggende sikringstiltag • Implementér tiltagene til sikring af højrisikomål • Udbred derefter til øvrige risikomål 4. Awareness, awareness, awareness • Introducér sikkerhedspolitikken til nyansatte • Udsend løbende information om cybertruslen 5. En reaktiv kapacitet • Start i det små og prioritér højrisikomål • Opyg televante reaktive kompetencer 6. Løbende sikkerhedstekniske undersøgelser • Test det reelle sikkerhedsniveau løbende • Afhold kriseøvelser og simuler angreb 7. Flere tekniske og organisatoriske tiltag • Styring af mobile enheder, to-faktor autentifikation, segmentering af netværk

40

Gode råd til hvorledes kommunerne bør sikre sig Er kommunernes låsesystemer centralt styrede ? Er kommunernes varmesystemer centralt styrede ? Hvorledes er screeningen af en PDF-ansøgning til kommunens HR-afdeling ? Foretages der IT-revison af kommunerne? Er kommunernes it-systemer segmenterede - To be continued…..


41

Internationalt samarbejde om cybersikkerhed Cyber- og informationssikkerhed fylder stadigt mere på den internationale dagsorden, og emnet behandles efterhånden af de fleste større internationale organisationer og institutioner. CFCS deltager i mere end 30 internationale samarbejdsfora fordelt på en række områder indenfor cyber- og informationssikkerhed, herunder i EU, NATO og OSCE-regi. CFCS netsikkerhedstjeneste indgår også i en række internationale fora og samarbejder. Særligt på det nordiske område er der et stærkt og veludviklet samarbejde netsikkerhedstjenesterne imellem. EU I EU-regi har man vedtaget den Digitale Dagsorden for Europa, der bl.a. i februar 2013 førte til, at EU-Kommissionen og EU’s udenrigstjeneste udsendte en fælles strategi for cybersikkerhed. Strategien har som overordnet formål at sikre et åbent og sikkert cyberspace. CFCS bidrager til forhandlinger, der er initieret af den fælles strategi for cybersikkerhed. Derudover er CFCS involveret i flere aspekter af det arbejde, som foregår i EU’s agentur for net- og informationssikkerhed (ENISA). Arbejdet har til formål at bidrage til at højne netværk- og informationssikkerheden i EU samt facilitere et bredt samarbejde mellem offentlige og private aktører. Blandt andet arrangeres den tilbagevendende cybersikkerhedsøvelse ”Cyber Europe”, som tester centrale europæiske aktørers evne til at opretholde og videreføre samfundsvigtige funktioner i en situation, hvor disse funktioner trues, svækkes, afbrydes eller ødelægges af cyberangreb. NATO Danmark bidrager til NATO’s arbejde med, at alliancen og dens medlemslande fortsat styrker deres evne til at beskytte egen infrastruktur mod cyberangreb. Desuden udgør NATO et effektivt forum for drøftelser og eventuelt fælles modsvar i tilfælde af cyberangreb på et alliancemedlem. CFCS´s aktiviteter i NATO spænder bredt fra implementering af it-sikkerhedsstandarder over kryptering til håndtering af klassificeret information. Centeret deltager også i NATO’s årlige tekniske cybersikkerhedsøvelse ”Cyber Coalition”, hvor samarbejde på tværs af NATO-landene trænes. OSCE I OSCE (Organisationen for Sikkerhed og Samarbejde i Europa) arbejdes med tillidsskabende foranstaltninger inden for cybersikkerhed, væsentligst i form af åbenhed om landenes cybersikkerhedsstrategier, -politikker, -programmer og tiltag. 11 tillidsskabende foranstaltninger er allerede vedtaget, og et arbejde pågår med at få udarbejdet og vedtaget yderligere foranstaltninger.

42

Du er en vigtig brik i sikkerheden !

43

Inspirationslæsning:

http://statens-it.dk/media/6107/adgangen-til-it-systemer-der-understoetter-samfundsvigtige-opgaver.pdf https://sikkerhedstjekket.dk/pdf/sikkerhedstjekket_anbefalinger.pdf

http://statens-it.dk/media/6107/adgangen-til-it-systemer-der-understoetter-samfundsvigtige-opgaver.pdf

https://sikkerhedstjekket.dk/pdf/sikkerhedstjekket_anbefalinger.pdf

44

Opsamling Bent Soelberg

45

1. Ledelsen skal forholde sig til It-sikkerheden 2. Identificér de kritiske informationer og systemer 3. Udarbejd en risikovurdering 4. Dokumentér jeres IT-sikkerhedsarbejde 5. Håndtér personoplysninger korrekt 6. Udarbejd en proces for håndtering af ændringer i IT-systermen 7. Hav styr på medarbejdernes adgang til jeres informationer og systemer 8. Få en uvildig gennemgang af jeres sikkerhedsniveau 9. Back up af jeres systemer 10. Styrk jeres medarbejders viden om IT-sikkerhed 11. Beskyt jeres datanetværk 12. Opdatér jeres IT-systemer og programmer 13. Beskyt virksomheden mod virusangreb og malware 14. De fysiske forhold vedr. jeres IT-udstyr 15. Effektiv plan for sikkerhedshændelser 16. Overvågning og logning af IT-systemer 17. Sikkerhedsaspekter i relation til samarbejdspartnere 18. Databehandleraftale

46

Anbefalinger • Forstå og beskriv jeres

risikovillighed, dvs. hvilken risiko ledelsen er villig til at acceptere for at kunne drive virksomhedens kerneforretning.

• Ledelsen skal påtage sig et ansvar og optræde som rollemodel i forhold til virksomhedens arbejde med IT-sikkerhed.

• Ledelsen skal sikre en løbende styring af virksomhedens IT-sikkerhedsarbejde.

1. Ledelsen skal forholde sig til It-sikkerheden

47

Anbefalinger • Få overblik over jeres

behandling af personoplysninger samt kritiske forretningsdata, og IT-systemer.

• Lav en risikovurdering. • Udarbejd retningslinjer for

beskyttelse af jeres kritiske informationer og IT-systemer.

2. Identificér de kritiske informationer og systemer

48

Anbefalinger • Forstå, hvilke trusler der kan

ramme jeres virksomhed. • Forstå, hvilken konsekvens det

har, hvis en given trussel rammer jeres virksomhed.

• Find ud af, om I er beskyttet og planlæg, hvilke sikkerhedsforanstaltninger jeres virksomhed har brug for.

3. Udarbejd en risikovurdering

49

Anbefalinger • I bør udarbejde en overordnet

IT-sikkerhedspolitik for virksomheden.

• Der skal udarbejdes konkrete retningslinjer eller processer for virksomhedens IT-sikkerhedsarbejde.

4. Dokumentér jeres IT-sikkerhedsarbejde

50

Anbefalinger • Følsomme personoplysninger. • Andre typer personoplysninger

om private forhold. • Almindelige personoplysninger. • GDPR (General Data Protection

Regulation)

5. Håndtér personoplysninger korrekt

51

Anbefalinger • I skal udarbejde retningslinjer

for ændringer i jeres IT-systemer – både hvis I selv foretager ændringerne, eller hvis de bliver udført af jeres IT-leverandør.

• I skal sørge for at have den rigtige bemanding og evt. support fra jeres IT-leverandør, når I foretager ændringerne.

• I skal stille krav til, hvordan jeres IT-leverandør håndterer ændringerne i jeres systemer.

6. Udarbejd en proces for håndtering af ændringer i IT-systermen

52

Anbefalinger • Beslut, hvordan I vil håndtere

medarbejdernes adgang til forskellige systemer.

• Undgå at give alle medarbejdere administratorrettigheder.

• Stil krav til medarbejdernes passwords.

7. Hav styr på medarbejdernes adgang til jeres informationer og systemer

53

Anbefalinger • Få vurderet, om jeres

eksisterende IT-sikkerhedsniveau matcher jeres trusselniveau.

• Få vurderet, om I har en robust IT-arkitektur.

• Få simuleret et cyberangreb mod jeres IT-systemer.

8. Få en uvildig gennemgang af jeres sikkerhedsniveau

54

Anbefalinger • Fastlæg, hvilke backuprutiner I

har brug for. • Udpeg en medarbejder eller

vælg en leverandør, som tager backup.

• Tjek, at jeres backup virker.

9. Back up af jeres systemer

55

Anbefalinger • I skal beslutte, hvilke IT-

sikkerhedsemner I vil kommunikere til jeres medarbejdere.

• I skal løbende uddanne, informere og diskutere sikkerhedsspørgsmål med jeres medarbejdere.

• I skal løbende opdatere medarbejdernes vidensniveau om IT-sikkerhed.

10. Styrk jeres medarbejders viden om IT-sikkerhed

56

Anbefalinger • Etabler en firewall mellem

Internettet og virksomhedens datanetværk.

• Del jeres netværk op i segmenter (afgrænsede områder).

• Etabler adgangskontrol til jeres netværk.

• Etabler sikker opkobling til hjemmearbejdspladser.

11. Beskyt jeres datanetværk

57

Anbefalinger • Vurder, hvilke systemer og

programmer, I kan/bør opdatere.

• Beslut, hvor ofte I bør opdatere jeres systemer og programmer.

• Udpeg en ansvarlig for opdateringerne.

12. Opdatér jeres IT-systemer og programmer

58

Anbefalinger • Installer et antivirusprogram. • Tag backup. • Uddan jeres medarbejdere i god

IT-adfærd på nettet. • Hav en plan – hvis uheldet er

ude.

13. Beskyt virksomheden mod virusangreb og malware

59

Anbefalinger • Vurder, om jeres lokaler er sikre

nok mod indbrud. • Beskyt jeres it bedst muligt mod

skade ved vand, brand eller storm.

• Vurder, om jeres elforsyning og internetforbindelse er stabile nok.

14. De fysiske forhold vedr. jeres IT-udstyr

60

Anbefalinger • Udform en effektiv plan • Stil krav til jeres leverandørs

beredskab • Gennemfør evt. test af

beredskabet.

15. Effektiv plan for sikkerhedshændelser

61

Anbefalinger • Forstå de juridiske krav i forhold

til jeres medarbejdere. • Tag en risikobaseret tilgang til

overvågning og logning. • Fastlæg en proces for

overvågning af logs. • Udarbejd retningslinjer for

arkivering af logs.

16. Overvågning og logning af IT-systemer

62

Anbefalinger • Stil relevante krav til jeres

leverandørs kvalitetssikring af deres It-sikkerhedsniveau samt deres sikkerhedsforanstaltninger

• Sikre overholdelse af gældende lovgivning.

17. Sikkerhedsaspekter i relation til samarbejdspartnere

63

Anbefalinger • Forstå og implementere

kravene til en databehandleraftale

• Overhold kravene i persondataloven.

18. Databehandleraftale

jonas major forsvarets efterretningstjeneste center for ...€¦ · • hvad er risikoen for...

Documents