Stopp - Tenk - Klikk

Page 1

Hele dette bilaget er en annonse fra NorSIS

STOPP TENK KLIKK Satser for fullt på:

Forskning og utdanning Side 10

Slik bygger du en god sikkerhetskultur Side 13

Angriper gjennom telefonsamtale

Side 15

Er du godt nok sikret eller er du sikkerhetshullet i brannmuren? Her er rådene som vil hjelpe deg Hvordan bruke nettskyen trygt? Side 4

Side 6

Justis- og beredskapsminister Grete Faremo:

”Økt kompetanse – en forutsetning for bedre informasjonssikkerhet”Side 8

Hacking er et eget fag. Det er det å stoppe den også.

Det er et økende behov for individuelt tilpassede IKT-sikkerhetstiltak. Bouvet er en ledende norsk IKT-leverandør og ser dette hver dag. Derfor har vi også egne sikkerhetseksperter. Snakk med oss om hvordan akkurat din virksomhet best kan sikres. Ring Are Sørenstuen på tlf. 913 81 955 – eller se bouvet.no/sikkerhet


Hele dette bilaget er en annonse fra NorSIS

hvem er vi? Norsk senter for informasjonssikring (NorSIS) jobber på mandat fra regjeringen for å gjøre informasjonssikkerhet til en naturlig del av hverdagen.

Begreper IT-sikkerhet – brukes om sikkerhet tilknyttet informasjons- og kommunikasjonsteknologi (IKT). Informasjonssikkerhet – dekker IT-sikkerhet i tillegg til organisasjon og ledelse, menneskelige aspekter og juridiske aspekter.

pAss på id-en din Identifikasjonstyveri innebærer at noen misbruker fortrolige data om deg. Det kan være personnummer og kredittkortnummer. Følgene kan være dramatiske for berørte. For eksempel kan det komme inkassokrav på varer du aldri har kjøpt og kredittverdigheten din kan bli rammet.

Er du i risikosonen? Gjør en selvtest på: www.idtyveri.info/ selvtesten/index.html

Informasjonssikkerhet

EN NATURLIG DEL AV HVERDAGEN Er det riktig at du og jeg skal være det siste forsvarsleddet mellom en angriper og dine eller bedriftens verdier? Om det er riktig eller ikke, så er det slik hverdagen har blitt for de fleste av oss. Vi må oppdatere, oppgradere, ikke klikke på lenker, ikke åpne vedlegg, ikke svare på telefonen når det ringer fra ”Windows” eller i hvert fall ikke gi fra oss opplysninger til noen som utgir seg for å være banken vår. Dette er utfordringene vi i NorSIS jobber med, nemlig hvordan få ut budskapet om at det er viktig å ta vare på informasjonen vår samtidig som vi ikke skal skremme brukere unødvendig. Vi leser i media nesten daglig om virksomheter og personer som er utsatt for datakriminalitet. Tapt omdømme, kundeflukt, nedetid og tap av bedriftshemmeligheter koster penger. I Mørketallsundersøkelsen fra i fjor anslås det at datakriminalitet koster norske virksomheter over 20 milliarder kroner i året. Vi må forvente en enda større utfordring i forhold til angrep mot mobile plattformer. Risikofaktorer er plattformuavhengig skadevare, hacking av NFC (Near Field Communication), blåtann og andre trådløse forbindelser. En av de store utfordringene i denne sammenhengen er

Angripere i steAlthmodus

I henhold til Wikipedia gjør stealth-teknologi fartøyer, luftfartøyer, kjøretøy og andre objekter mindre synlige for radarer og andre sensorer. Hackere – som på norsk kalles angripere – bruker også teknologi for å kunne angripe i det skjulte. Blant annet finns stealth-virus som ikke blir oppdaget av antivirussystemer. Men også på forsvarssiden har vi stealthteknologi. Angriperne søker etter innganger – porter – til datamaskinen. Ved å sette brannmuren i datamaskinen i stealthmodus, går det an å bruke portene og likevel holde dem skjult.

FOR MER INFORMASJON:

2

distribusjonen av mobilapplikasjoner og hvordan sikkerheten er ivaretatt i disse. Informasjonssikkerhet må inn i ryggraden allerede fra barnsben av. Nyhetene flommer over av saker som omhandler bildedelingsprogrammer og mapper med uanstendige bilder som sirkulerer på nettet. Foreldre og lærere må ta tak i disse utfordringene mye tidligere enn de tror og handle deretter. Vi er avhengig av god informasjonssikkerhet for å ivareta omdømme, tilitt, hemmeligheter og personvern. Å ha gjort en verdivurdering og en risikoanalyse er en god start for å kunne vite hvilke sikkerhetstiltak som er nødvendig å iverksette, og hvilken informasjon vi skal beskytte. Dette gjelder både når du skal legge ut informasjon på sosiale medier og når du arbeider med virksomhetens informasjon. Stopp – Tenk – Klikk er fortsatt en god leveregel.

Tore Orderløkken, daglig leder

Bevisstgjørelse som mål Norsk Senter for informasjonssikring (NorSIS) jobber for å bevisstgjøre næringsliv og innbyggere på betydningen av informasjonssikkerhet. NorSIS ønsker at sikkerhet skal bli en naturlig del av vår hverdag – gjerne ved at hver og en av oss slår på og videreutvikler vår innebygde, sosiale brannmur. Sikre og robuste datasystemer og -nett er en viktig forutsetning for økonomisk vekst og produktivitet. Samfunnets økte avhengighet av IKT (informasjons- og kommunikasjonssystemer) gjør oss sårbare, med ditto behov for å iverksette forebyggende tiltak. Dette har myndighetene grepet fatt i, og NorSIS spiller en nøkkelrolle i regjeringens satsing på informasjonssikkerhet. Fra etableringen i 2006 har senteret engasjert seg i infor-

masjonsspredning, konferanser og kontakt med media, for å bidra til bevisstgjøring om trusler og sårbarheter og opplyse om konkrete sikkerhetstiltak. Informasjonssikkerhet handler mye om deling av kunnskap. NorSIS deltar i verdens fremste internasjonale nettverk og forskningsmiljøer, både for å lære bort og selv lære. Slaget om informasjonssikkerhet handler om langt mer enn bare

maskiner og programvare. Den største trusselen er valgene hver og en av oss foretar seg. NorSIS ønsker å styrke fokuset på individuelle holdninger til sikkerhet. Dette kalles for den sosiale brannmur. Nettopp hvordan vi som individer behandler og forholder oss til den økende mengden tilgjengelig informasjon blir stadig viktigere. Derfor vil våre egen sosiale brannmur være vel så viktig som sikkerhetsløsningene på serverrommet.

Tore Larsen Ordreløkken og Hans Marius Tessem, prosjektledere E-post: tore @ norsis.no

PROSJEKTLEDELSE & SALG: Are Okkenhaug Jerstad/Jan Arne Dagsvik TEKST: Christian Sømme · GRAFISK FORM & ILLUSTRATION: Daniel Jernberg · TRYKK: Media Norge Trykk AS Oslo DISTRIBUSJON: Aftenposten For mer informasjon om annonsebilag på papir og nett, kontakt Are Okkenhaug Jerstad på telefon: 21 37 70 75, mobil 926 123 53 eller e-post: are@cmedia.no

www.norsis.no

C MEDIA ER ET PUBLISERINGSFORETAK SOM PRODUSERER AVISBILAG I RIKSPRESSEN OG PÅ NETT· WWW.CMEDIA.NO


Hele dette bilaget er en annonse fra NorSIS

FOTO: Anders G. Gule

Norsk informasjonssikkerhetslaboratorium (NISlab) hører til innunder Avdeling for informatikk og medieteknikk ved Høgskolen i Gjøvik, og driver både utdanning og forskning.

Informasjonssikkerhetsstudier ved Høgskolen i Gjøvik

Komplett utdanningsprogram fra bachelor til doktorgrad Du må til Zurich eller London for å finne et tilsvarende dybdestudium i informasjonssikkerhet som Høgskolen i Gjøvik tilbyr ved Norsk informasjonssikkerhetslaboratorium (NISlab). Studietilbudet dekker bachelor-, master- og doktorgrad. – Vi har et helhetlig program som er utformet for å gi både bredde og dybde innenfor informasjonssikkerhet, sier seksjonsleder Nils Kalstad Svendsen ved NISlab. – Vi dekker alt; fra krypto og hacking til beskyttelse av kritisk infrastruktur, fra biometri, cyberforsvar og mobilsikkerhet til informasjonssikkerhetsledelse og digital granskning. Dette er bare en liten del av emnene i studiene. Utdanningen er unik i Norden og sjelden i internasjonal sammenheng. Du må enten til ETH Zurich eller Royal Holloway University of London for å finne tilsvarende. Andre norske universiteter og høgskoler tilbyr informasjonssikkerhet som

emner i en informatikkutdanning, men ingen andre tilbyr en komplett utdanning innen informasjonssikkerhet. Yrkesrettet for godt jobbmarked – Du blir godt rustet for arbeidsmarkedet. Vi har et nært og godt samarbeid med arbeidslivet, for eksempel gjennomføres bacheloroppgavene i samarbeid med bedrifter. Gjennom dette blir oppgavene praktisk anlagt og arbeidslivsrelevante, forklarer Svendsen, og legger til: – Etter endt studium er du à jour på siste metoder og teknologier på feltet, og er blitt en attraktiv arbeidstaker. Jobbmarkedet for kandidatene er meget godt og vil, i hen-

hold til Svendsen, bare bli enda bedre. Voksende behov – Behovet er overveldende, og Norge er ikke godt forberedt. Trusselbildet vokser og blir stadig mer komplekst. Dessuten byr ny teknologi som skytjenester og mobiltelefoner, og sosiale endringer som fleksibilitet og mobilitet blant ansatte, på nye utfordringer blant annet rundt drift og datasikkerhet, sier han. – Spionasjenivået i Norge er nå høyere enn under den kalde krigen, og retter seg også mot høyteknologi- og kompetansebedrifter. For å sikre oss mot disse truslene, kreves en systematisk bruk av teknologi og

organisatoriske virkemidler i tillegg til at vi må evne å lære av hendelser. Dette gjenspeiles i vår mastergrad hvor studentene spesialiserer seg innen teknologi, ledelse eller digital granskning, legger Svendsen til. Nasjonal funksjon Laboratoriet Svendsen leder, er med sine 50 medarbeidere en av de største faggruppene i informasjonssikkerhet i Europa og er internasjonalt kjent. – Når politiet i Tokyo sender en etterforsker hit for å få dybdekunnskap, da har ryktet vårt spredd seg langt, sier Svendsen. – I fjor ble det skrevet om prosjektene våre i aviser på alle kontinenter, vi nådde en leser-

masse på over 40 millioner. NISlab har også opparbeidet seg en viktig, nasjonal funksjon, og samarbeider i økende grad med næringslivet, det nye Cyberforsvaret og KRIPOS. I 2012 ble NISlab tildelt rollen som leder av en nasjonal forskerskole i informasjonssikkerhet, en oppgave som innebærer å koordinere doktorgradsutdanningene innen informasjonssikkerhet ved universitetene i Trondheim, Bergen, Oslo, Tromsø, Stavanger og Agder. – Det er ikke en liten anerkjennelse av vårt kompetansemiljø, sier Svendsen.

Ingeniørutdanningen har et kvalitetsstempel helt tilbake fra 70-tallet. – Vi har et godt studentmiljø og masse aktiviteter. Blant annet deltar lag fra skolen hvert år i Capture The Flag (CTF), som er en internasjonal konkurranse i å angripe ulike sikkerhetssystemene. 72 timer med moro hvor vi alltid markerer oss sterkt, sier seksjonsleder Nils Kalstad Svendsen.

FOTO: Hanno Langweg

Utdanningsløp BACHELOR i informasjonssikkerhet og Bachelor i drift av nettverk og datasystemer: Treårig utdanningsløp med ca. 70 studenter. Inntakskrav er generell studiekompetanse og matematikk (R1 eller S2). MASTER i informasjonssikkerhet: Toårig masterutdanning med spesialisering innen teknologi, informasjonssikkerhetsledelse og digitale granskning. Har ca. 80 studenter, både norske og utenlandske. Favner

heltidsstudenter samt deltidsstudenter og avstandsstudenter som ofte jobber ved siden av. DOKTORGRADSUTDANNING i informasjonssikkerhet: Tre- eller fireårig forskerutdanning med ca. 20 kandidater pr. i dag. Forskningstemaene er knyttet til veiledernes interessefelt og pågående norske og internasjonale forskningsprosjektene ved høgskolen.

www.nislab.no

www.hig.no

3


FOTO: Ian Barbour

Hele dette bilaget er en annonse fra NorSIS

dAtAverden Trafikken i internettet er nøye regulert. Ulike typer trafikk går, enkelt og greit, gjennom ulike porter. Når du surfer på nettet, bruker du world wide web-delen av Internett. Vanlig trafikk (http) går over port 80, mens sikker datatrafikk (https) går over port 443. Sende mail (smtp) har port 25, imap-mail går på port 143 og sikret imap (imaps) på port 993. Hva så med dette for folk flest? Jo, med brannmurene på PC-ene våre kan vi stenge porter. Stenger du port 80 for trafikk ut og inn, så går det ikke å surfe lenger. Ofte er brannmurene lagd slik, at de stenger de fleste portene og så velger vi hvilke som skal åpnes. Dersom ungene ikke får brukt et online dataspill, kan det skyldes at porten for dette er sperret. Dersom du får surfet på Internett men ikke sendt mail på et åpent (”public”) trådløst nett, kan det skyldes at portene for utgående mail er sperret – noe netteiere gjør for å unngå at nettet brukes som utgangspunkt for å sende spam.

skAnn dAtAmAskinen din Hvordan står det til på din egen datamaskin? Først – en advarsel? Dersom du får blinkende vinduer med ”test datamaskinen din gratis nå”, så la dem blinke i fred. På www.norsis.no finner du imidlertid sikkerhetssjekker og annen sikkerhetsprogramvare du kan stole på.

pAssordfri

fremtid

Google har i 2013 presentert flere forslag til løsning på en passordfri hverdag. En ring på fingeren eller nøkkel for USB-kontakten er løsninger Google ser på, melder NRK.no.

4

Eli Winjum, forskningssjef FFI FOTO: FFI

porter i

”Sett deg inn i hvordan leverandøren sikrer dataene dine, og bruk bare dem som gir deg tilfredsstillende svar”

Forskningssjef Eli Winjum tror at skyer med gode sikkerhetsløsninger kan være et godt valg for mange.

Helt i skyene Sannsynligvis bruker du nettskyen allerede, det vil si at dine eller arbeidsgiverens kjære og verdifulle data lagres et sted ute i internettet, for eksempel på en e-post-server. Verken skyen eller andre informasjonssystemer kan bli helt sikre. Mye koker ned til tillit og risikovurdering. Begrepet nettskyen (cloud computing) er straks allemannseie. Det innebærer at du lagrer data og til og med bruker programvare som ligger i internettet. Mange skytilbydere Google Drive er en tjeneste i skyen hvor du har lagringsplass og kan bruke programvare som kalender, e-post og tekstbehandling. Dropbox er et kjent lagringssted. Mindre kjent er at de fleste programvaretilbydere så som Visma, SuperOffice, SAP, IBM og Microsoft har lagring og programvare i skyen. – Sett deg inn i hvordan leverandøren sikrer dataene dine, og bruk bare dem som gir deg tilfredsstillende svar, sier forskningssjef Eli Winjum ved Forsvarets forskningsinstitutt (FFI). FFI forsker på sikkerhet i militære og sivile IKT-syste-

mer, noe Winjum har arbeidet med i en årrekke. – I nettskyen overlater du dataene dine til profesjonelle. Gitt at de tar sikkerhet alvorlig, burde dette for de fleste være mye bedre og tryggere enn å gjøre jobben selv, sier hun. Sikkerhet Winjum mener det er viktig å unngå at nettskyen gjør kjente sikkerhetshull større. Hun understreker at du selv må kunne bestemme hvem som skal ha hvilken type tilgang på dataene, og at leverandøren virkelig klarer å holde utenforstående unna. For eksempel bør dataene kunne krypteres. Dessuten må de sikres under transport, både mellom deg og skyen, og inne i skyen. Hva leverandøren er ansvarlig for, bør nøye avtales og avklares.

– Uansett løsning, blir det viktig for deg å skaffe oversikt over lover og regelverk, hvem som er ansvarlig ved sikkerhetsbrudd og hvor i verden skyen ligger. Tenk også gjennom hvilke dingser du ønsker å knytte opp mot skyen, sier hun. – Husk at sikkerheten aldri blir sterkere enn det svakeste leddet, som kanskje er en liten, trådløs enhet. Følg regelverket Norsk lov forbyr utenlandsk lagring av visse typer data. At loven må følges, fikk Narvik kommune erfare i begynnelsen av 2012, da Datatilsynet nektet kommunen å bruke skytjenesten Google Apps fordi det ”stred med personvernlovgivningen”. Men i høst fikk kommunen klarsignal etter å ha ”brakt [visse] forhold i orden”, i henhold til Computerworld.

operAtivsystemer Operativsystem (OS) er grunnleggende programvare på datamaskinen som holder styr på både maskinvare og annen programvare. Vanlige forbrukerrettede operativsystemer er Microsoft Windows og Mac OS. Hos mer ivrige datahobbyister og profesjonelle miljøer finner vi også Unix og Linux (en avart av Unix). Også Mac OS har røtter i Unix.

kan komme trusler mot dette operativsystemet, og du risikerer også å motta og videresende virusinfiserte filer fra andre systemer. En trussel i seg selv, kan være å anse operativsystemet som virus-fritt og dermed bli sårbar.

Sikkerheten på operativsystemene varierer. På Windows-plattformen er det vanlig å installere antivirusprogramvare. Også på Mac OS bør du installere slik programvare. Det

For smarttelefoner er det flere operativsystemer å velge i enn for datamaskiner. Vi har iOS (iPhone), Google Android, Windows Phone, Symbian og BlackBerry OS. iOS er

forbehold Apple iPad og iPhone. Blant annet for å stoppe skadelig programkode, er det begrenset hvor du kan laste ned programvare. Andre plattformer er åpne og lar deg laste ned programvare fra flere steder. Dette gir økt sårbarhet. Debatten om åpne versus lukkede plattformer har imidlertid flere aspekter enn skadelig programvare.


Hele dette bilaget er en annonse fra NorSIS

Sikker betaling rett fra mobilen Når du logger deg på i nettbanken, eller 270 offentlige nettjenester, kan du bruke BankID. BankID eies av Finans Norge, som hele bank-Norge står bak. Løsningen har sikret tilgang til folks penger og personsensitive data gjennom mange år. BankID på mobil, som er et alternativ som ikke krever BankID-passord og kodekalkulator, har vært tilgjengelig siden 2009. I dag er det kunder i DNB, Skandiabanken, Terra Gruppen og SpareBank 1, som bruker Telenor, Djuice, Talkmore, Hello Norway*, Phonero*, Telipol og Dipper, som kan bestille BankID på mobil. Løsningen gir en økt fleksibilitet for brukerne, fordi de kan bekrefte betalinger og gjøre pålogginger kun ved hjelp av mobilen. I tillegg kan man logge på fra alle enheter,

også nettbrett og smarttelefoner. Nylig annonserte ytterligere 22 banker og teleoperatørene Tele 2, MyCall, OneCall og Network Norway, med sine 1,2 millioner kunder at de vil gjøre løsningen tilgjengelig i løpet av første halvår. – Vi tror at hele den norske banknæringen og alle sentrale teleoperatører vil tilrettelegge for BankID på mobil i løpet av 2013. Da vil alle kunder som ønsker det kunne bruke løsningen, sier produktsjef Nils Inge Brurberg i BankID Norge.

Kontakt banken din for mer informasjon om BankID på mobil. Se også www.bankid.no/ dette-er-BankID/BankID-pa-mobil

Tyveri og manipulasjon av informasjon er et betydelig og raskt voksende problem. Du tror kanskje ikke dette berører deg, men økt bruk av nye «dingser» gjør det mulig for organiserte kriminelle å stjele din identitet, sensitiv informasjon eller overta din konto - leverandørene av apper og nettjenester gjør lite for å beskytte deg som bruker. ORGANISERT NETTKRIMINALITET Nettkriminelle utnytter svakheter i apper, programvare og operativsystemer uten at brukeren har mulighet til å oppdage aktiviteten. Det er i dag grunn til å anta at en betydelig andel av datamaskiner er infiserte med skadevare som kan gjøre det mulig for nettkriminelle å stjele eller manipulere informasjon. SIKKERHETSLØSNINGER – LITEN EFFEKT Tradisjonell sikkerhetsprogramvare, som antivirus, ble utviklet på 1980-tallet for å stoppe angrep som først og fremt kunne ødelegge dine data. Metodene tradisjonell sikkerhetsprogramvare benytter er ikke effektive mot nye trusler og kan ikke benyttes på smarttelefoner eller nettbrett.

Nå kan BankID dessuten brukes i den offentlige ID-porten. ID-porten brukes av mange offentlige tjenester, inkludert NAV.no, Altinn.no, Helsenorge. no, Lånekassen.no og Skatteetaten.no. Dersom du innen 1. mars registrerer deg som såkalt e-bruker hos Skatteetaten, får du tilgang til selvangivelsen to uker før andre: 19. mars. – For brukerne er det praktisk med én sikker påloggingsløsning. Da blir det færre passord å huske på, sier Brurberg. (* bestill nytt SIM-kort)

Nils Inge Brurberg, produktsjef i BankID Norge.

På www.skatteetaten.no kan du logge på med BankID, registrere deg som e-bruker og få selvangivelsen din før andre.

DIN DATAMASKIN ELLER TELEFON ER IKKE SIKKER! Sikkerhetsselskaper rapporterer at 30-50% av PCer er infiserte med ondsinnet programvare som kan stjele eller manipulere informasjon. Dette må anses å være alvorlig, men sikkerhetstester av apper gjennomført av Promon viser alarmerende funn; ingen av appene i testene hadde tilfredsstillende beskyttelse mot tyveri eller manipulasjon av informasjon. HVEM BØR TA ANSVAR? Den dramatiske veksten i bruken av mobile datamaskiner, smarttelefoner og nettbrett sammen med en eksplosiv tilvekst av apper gjør det umulig for brukeren å beskytte seg mot nye trusler. Brukeren har verken kontroll på datamaskinen eller appene og er prisgitt leverandørene av apper eller informasjon.

www.bankid.no

BANEBRYTENDE NORSK TEKNOLOGI Promon er et norsk teknologiselskap som har utviklet og patentert unik teknologi som gjør det mulig å beskytte informasjonen på din datamaskin, smarttelefon eller nettbrett uten at du som bruker må gjøre noe som helst! Promon Shield leveres som en integrert del av appen eller programvaren som installeres på brukerens datamaskin eller er innebygget i nettleseren. Dette gjør det mulig for app- eller tjenesteleverandøren å sikre brukeren mot nettkriminelle.

App- og tjenesteleverandøren oppbevarer og behandler dine data – utenfor din kontroll – det bør også være helt naturlig at de sikrer dine data mot nettkriminalitet. Vær kritisk – app- og tjenesteleverandørene kan beskytte deg hvis de vil!

5


Hele dette bilaget er en annonse fra NorSIS

ekstrA trygghet med

sertifiserte komponenter

FOTO: Lorisflickr

Noen komponenter spiller en så viktig rolle i en virksomhet at de bør være sertifiserte. Sertifiseringen kan gjelde både maskinvaren og programvaren i en komponent, og innebærer økt sikkerhet for at komponenten har egenskapene som den skal ha. Risikoen ved usertifisert hardware kan for eksempel være at den har bakveier som gjør at andre kan få tilgang til enheten eller dataene som passerer gjennom den. SERTIT er den offentlige sertifiseringsmyndigheten for IT-sikkerhet og utsteder sertifikater og sertifiseringsrapporter. Standarden som SERTIT bruker kalles Common Criteria (CC). Typiske sertifiserte komponenter er brannmurer, strømmålere, enheter i sikkerhetsgraderte systemer og nettverkskomponenter. Sertifiserte produkter kan være merket, men det enkleste er nok å stille krav til leverandøren om hvilke komponenter som må være sertifiserte.

hold mAskinen

oppdAtert Når datamaskinen din melder at nye versjoner av programvare er tilgjengelig, bør du følge anvisningene for oppgradering. Nye trusler kommer fortløpende, og derfor kommer nye programvareversjoner som beskytter mot dette. Ikke alle oppgraderinger varsles automatisk. Derfor bør både bedrifter og privatpersoner regelmessig besøke nettstedene til programvareleverandører som er viktige for dem: Er det kommet noe nytt å laste ned? En måte å huske dette på, er å legge inn påminnelse i kalendersystemet ditt. De fleste kalendersystemer lar deg registrere gjentagende hendelser, dvs. at hendelsen/avtalen kommer opp med for eksempel én måneds mellomrom. For ikke å gå glipp av påminnelsen, kan du legge inn at du vil ha beskjed med alarm eller ved at kalendersystemet sender en e-post til deg.

6

12 trinn til økt sikkerhet 1. Pass på hva du sier Del aldri viktige passord med andre. 2. Vær kritisk til hvem som ringer Det er sjelden noen med gode intensjoner ringer og ber om brukernavn/passord. 3. Slå brannmur på En brannmur begrenser tilgangen til maskinen din. 4. Passordbeskytt trådløst nettverk Tilgang kun for de som kjenner passordet (merk! Det er ofte ett passord for å gjøre innstillinger på trådløs ruter og ett for selve nettverket). 5. Gjestenettverk på kontoret Tilby gjester generøst et eget nettverk som er sperret (har stengte ”porter”) for mange tjenester.

6. Sperret med kode og ”kill pill” r 4UJMM JOO BU TLKFSNFO NÉ MÉTFT PQQ dersom telefonen ikke blir brukt på noen minutter. r 4UJMM JOO BU UFMFGPOFO LBO ƨFSOTMFUUFT med ”kill pill”(*) eller etter et visst antall mislykkete kodeforsøk. 7. Velg tallkode andre ikke kan gjette Fødselsdagen din er en dårlig idé. 8. Pålogging på nett Variér brukernavn og passord. Velg gjerne bruk av BankID, Buypass (med for eksempel Norsk Tipping-kort og MinID. 9. Operativsystem Installér antivirus/malware-programvare uansett hvilket operativsystem du har. Se www.norsis.no

10. All post er ikke koselig SPAM er navnet på uønsket e-post. Ikke klikk på lenker eller åpne vedlegg fra ukjente avsendere. Er tilbud for gode til å være sanne, så er de nettopp det. 11. Backup Husk å ta backup. Lagre backup-en hos noen andre. Velg passordbeskyttelse/ kryptéring, og husk passordet! 12. Opp i skyene Du kan lagre og ta backup til skyen. Tenk nøye på hvor i verden filene havner. Husk at restore/hente fra backup kan ta mye lengre tid enn fra fysisk backup.

* ”Kill pill” er en vanlig betegnelse på tjeneste du kan abonnere på. Dersom du mister telefonen, kan du sende en ”kill pill” fra en annen telefon eller datamaskin som innebærer at data slettes.

grønt nettlys med hengelås Har du sett en slik grønn lenke med hengelås før? Symbolet forteller at koblingen til siden er kryptert med et digitalt sertifikat – såkalt EV-sertifikat hvor bokstavene står for Extended Validation. Bak sertifikatet står internasjonale virksomheter som går gode for at nettstedet eies av den som gir seg ut for å eie det. Du kan

forvente at nettsteder, hvor sikkerhet er ekstra viktig, har et slikt sertifikat – som påloggingssider og nettbanker. Klikker du på hengelåsen, får du opp hvem som har utstedt sertifikatet. VeriSign, Verizon og GeoTrust er noen av disse. Første gang sertifikatet dukker opp, og det kan det gjøre både på nettsteder og i epostpro-

grammer, må du godkjenne sertifikatet. Da gjelder det å lese grundig. Når du bekrefter sertifikatet, registreres dette i datamaskinen din. Dessverre slurver selv store virksomheter med å fornye sertifikatene sine. Får du melding om at et sertifikat er utløpt, bør du logge av og ta kontakt med nettstedseieren.


Hele dette bilaget er en annonse fra NorSIS

7


Hele dette bilaget er en annonse fra NorSIS

kAn vi temme

trollet? For 7. gang arrangerer vi konferanse om Sikkerhetskultur. Denne gang på Hafjell ved Hunderfosstrollet, 13. og 14. mars. Konferansen arrangeres av NorSIS i samarbeid med Nasjonal Sikkerhetsmyndighet. Programmet for Sikkerhetskulturkonferansen er variert og spennende. Vi avslutter med mulighet til å delta på en workshop om Nasjonal Sikkerhetsmåned. Her er det begrenset til 20 deltakere.

FOTO: Marte Eyde Kjuus

Les mer på: norsis. no/nyheter/201302-17-Sikkerhetskultur

– Vi trenger økt bevissthet og kompetanse både for å forhindre angrep og kunne håndtere situasjoner som likevel skulle oppstå, sier justis- og beredskapsminister Grete Faremo.

dokumentsikkerhet

i prAksis Første steg i et sikkerhetsopplegg er å etablere en bevisst sikkerhetskultur i virksomheten og holde denne ved like. Mye informasjon kommer trolig på avveie som følge av ubevisste handlinger og mangel på gode løsninger som støtter deling av sensitiv informasjon. Videre må virksomheter ha et gjennomtenkt regelverk med forskjellige nivåer for hvem som får tilgang og hvordan informasjonen kan deles. Det er for eksempel vanlig med forbud om deling via e-post av visse typer informasjon. Skal regelverket ha noen verdi, må det kunne etterfølges i praksis. Og dersom dokumenter ikke kan sendes per e-post til Brasil eller Kuala Lumpur, så er kurér eller flytransport bare sjeldent et alternativ. Såkalte Document Compliance Management Systems (DCM) sørger for at delingsregelverk kan etterleves i praksis og loggfører hvem som bruker informasjonen. Da kan man avdekke og forhindre både uforsiktighet eller misbruk.

8

Justis- og beredskapsminister Grete Faremo:

”Økt kompetanse – en forutsetning for bedre informasjonssikkerhet” Bevisstgjøring, kompetanseutvikling og ledelse. Det mener justisog beredskapsminister Grete Faremo (Ap) er avgjørende for informasjonssikkerheten for hver enkelt av oss og arbeidsplassene våre. – Informasjonsteknologi er en helt selvfølgelig del av hverdagen vår, både i jobb og fritid. Fordelene ved teknologien er store og å klare oss uten er utenkelig. Derfor må vi alle også forholde oss til sårbarheten teknologibruken medfører, sier Faremo til Stopp. Tenk. Klikk. Teknologien er med oss blant annet som PC-er, smarttelefoner og nettbrett. Nye enheter og nye versjoner av enheter kommer fortløpende. Vi er dessuten på vei inn i et ting-internett hvor forskjellige dingser som blodtrykksmålere, kjøleskap, strømmålere og alarmsystemer står i kontinuerlig i kontakt med omverdenen via internettet. Informasjonssikkerhet del av hverdagen – For mange, både som privatpersoner og arbeidstakere, har den digitale hverdagen kommet brått på. Stort sett gir dette nye muligheter vi oppfatter som positive, men også noen utfordringer. Mange mangler kompetanse på hvordan å best ta vare på sikkerheten, sier hun, og legger til:

– Derfor ønsker jeg i min posisjon å skape økt oppmerksomhet rundt behovet for kompetanse, lederfokus og valg av gode sikkerhetsløsninger. Informasjonssikkerhet må kort og godt bli en naturlig del av hverdagen hjemme, i små så vel som store virksomheter.

”Jeg ønsker økt oppmerksomhet rundt kompetanse, lederfokus og gode sikkerhetsløsninger” Grete Faremo, justis- og beredskapsminister

Informasjonssikkerhet er et sentralt og velkjent tema for justis- og beredskapsministeren. Hun var blant de første styre-

medlemmene i NorSIS – Norsk senter for informasjonssikring – som er underlagt Justis- og beredskapsdepartementet og utgiver av dette avisbilaget. I 2012 byttet Justis- og politidepartementet dessuten navn til Justis- og beredskapsdepartementet, for å reflektere beredskap og sikkerhet som sentralt arbeidsområde. Alt under Faremos ledelse. Rett hjem Hun mener at bevisstgjøringsarbeidet rundt trusler og sårbarhet – som NorSIS driver på nasjonalt nivå – må inn i hjem og organisasjoner. – Uansett er forsvarsvåpnene våre bevissthet og kompetanse. Virksomhetsledere må sørge for at medarbeiderne er à jour. Hver og en av oss må dessuten kunne forebygge og avverge angrep som kommer gjennom datadingsene våre. – Men kunnskapen har også et annet, viktig aspekt: Vi må kunne håndtere en krise dersom den likevel inntreffer, sier Grete Faremo.


Hele dette bilaget er en annonse fra NorSIS

Satser på oppegående bankmedarbeidere

ELEKTRONISK ID & BETALING

FOTO: Marte Eyde Kjuus

I dag truer noe. I morgen noe annet. – Også når det gjelder sikkerhet, må vi må sette medarbeiderne i stand til å treffe de riktige beslutningene. Kunnskapsløshet er den største trusselen.

– Det er en styrke at medarbeidere i SpareBank 1 er oppegående og gjør gode beslutninger. Dette gjelder også IT-sikkerhet, sier Mari Grini og Vidar Espeland Eide.

Det sier Mari Grini som er leder av IT-sikkerhet i SpareBank 1 Gruppen. I motsetning til hva en legmann intuitivt ville tro, dreier ikke IT-sikkerhet seg først og fremst om maskinvare og programvare som kontrollerer, avdekker, sporer og beskytter. – Denne type sikkerhet er selvsagt viktig. Det vil være feil å tro at sikkerheten er på plass såfremt du installerer bokser og programvare. Utfordringen er at mennesker – som regel ubevisst og uten uredelige hensikter – kan gjøre store skade. Ved å stramme inn for mye til på IT-siden, kan vi gå glipp av fordeler som veier opp for ulempene ved å gjøre det litt friere, forklarer Vidar Espeland Eide, som er seniorrådgiver IT-sikkerhet i banken. Regelverk Regler – eller policy som det kalles – finnes det mange av. SpareBank 1 har gjort kort prosess, og tillater ikke oppkobling av private enheter i sine interne nettverk – trådløse som kablete. Men, generøst nok har banken etablert et gjestenett. Fra gjestenettet kommer ingen over i bankens interne nettverk og dataene der. Utstyrskontroll – Vi er avhengige av at PC-er og andre enheter som kobles i vårt nett har en viss sikkerhetsmessig kvalitet. Det får vi blant annet

ved selv å eie dem og dermed ha kontroll på konfigurasjonen, sier Eide. Ingen regler uten unntak. Noen brukere får bruke sine smarttelefoner til for eksempel e-post- og kalendersystemene. Men da har banken lagt opp til det den kaller en sand box-teknologi. – Det er et program på smarttelefoner som andre programmer kan kjøres inni, forklarer Grini. – Vi har full kontroll på sand box-en og kan fjern-slette den med noen tastetrykk. Alt annet på telefonen forblir uberørt. Sikkerhet innunder huden Banken er også nøye på hvordan eksterne leverandører behandler data. Men har, i motsetning til mange andre, ikke sperret for Dropbox og skytjenester medarbeidere benytter. – I dag er det Dropbox, i morgen er det noe annet. Medarbeiderne får regelmessig opplæring i IT-sikkerhet. Det posisjonerer oss også for å håndtere fremtidig trusler, sier Grini, og lar Eide runde av med bankens lille trumfkort. – Vi overvåker nettverkstrafikken. Dersom PC-er i nettverket gjør noe uvanlig, som for eksempel tar kontakt med datamaskiner som vi ikke bør ha noe som helst å gjøre med, så ser vi det og kan iverksette sikkerhetstiltak.

Bruker sosiAle medier SpareBank 1 gir sikkerhetsråd til sine kunder via Facebook, blogger, Youtube og Twitter. Også bankens egne medarbeidere følger med på dette.

it-sikkerhet hos spAreBAnk1 1. Sikkerhetskultur | 2. Regelverk | 3. Maskinvare | 4. Programvare og kontroll

n ”Bring your own device”: medarbeidere bringer egne dingser inn i bedriftsnettverket. n ”Bring your own app”: medarbeiderne tar med egne app-er/programmer.

TRYGT

smart ENKELT

t Visste du at Buypass står bak id- og betalingstjenesten som sørger for at over 2 millioner nordmenn får levert og betalt for spill hos Norsk Tipping - trygt og enkelt på internett, hos kommisjonærer, på spillterminaler og i mobilen? t Visste du at idretts-Norge har tatt i bruk en ny løsning som gjør det enkelt å melde seg på og betale for idrettsarrangementer på internett og mobil? Buypass leverer betalingstjenestene og har utviklet mobilløsningen. t Visste du at Buypass leverer id og e-signaturløsningen som gjør at helsepersonell effektivt og sikkert kan sende sykemeldinger, resepter og andre sensitive data elektronisk? t Visste du at du kan få trygg elektronisk tilgang til offentlige tjenester som selvangivelsen, dine resepter, pensjon og mye mer ved å bruke ditt Buypass Smartkort for å identifisere deg? t Visste du at Buypass id- og betaling benyttes over 25 millioner ganger hver måned? Besøk buypass.no og les mer om hvordan du skaffer deg Buypass ID på smartkort og mobil, og se hvor du kan bruke din Buypass ID. Buypass AS Nydalsveien 30 A P.O. box 4364 Nydalen N-0402 Oslo Norway Tel.: +47 23 14 59 00 Fax :+47 23 14 59 00

9


Hele dette bilaget er en annonse fra NorSIS

– Vi hjelper virksomheter til ü ta i bruk tjenester pü internett, i stedet for ü sperre disse, sier Hugo Fernandez i Data Equipment.

FOTO: CF-Wesenberg

Sikrer datatrafikk i virksomheter og industrinettverk Data Equipment pĂĽ Ryen i Oslo vil gjøre sikker datatrafikk ukomplisert og mulig. Selskapet benytter de beste nettverkskomponentene pĂĽ markedet og sikrer trafikk i alt fra sosiale medier via lokalnettverk til avansert infrastruktur. – Den største utfordringen kan vĂŚre folks følelse av maktesløshet overfor potensielle sikkerhetstrusler. Mange føler at de ikke har annet valg enn ĂĽ lukke øynene, akseptere advarslene og hĂĽpe pĂĽ det beste. VĂĽr fokus er ĂĽ legge til rette for at folk kan operere mest mulig fritt og likevel sikkert, sier ansvarlig for sikkerhetsomrĂĽdet, Hugo Fernandez. Vil avhjelpe avmaktsfølelse Fernandez og f lere kolleger har sikkerhetskultur innunder huden fra sin tidligere arbeidsgiver Forsvaret. Han pĂĽpeker at

mange føler avmakt i forhold til det de leser og hører om trusselbildet. Enda verre er falsk trygghet. Virksomheter flest installerer brannmurer. I brannmurer er det et sett av regler som tillater eller stopper trafikk internt og ekstern. Helt trygt blir det først nĂĽr all trafikk stoppes, men da fĂĽr man til gjengjeld ikke brukt nettverket. To porter som alltid er ĂĽpne er port 80 for vanlig Internett og port 443 (https). Analyserer datatrafikken – Stenger man disse portene, ville det vĂŚre jevngodt med ĂĽ

Ũƚƚ[Ă•Â—ĂœÂŞÂ€ªĂœäĆšĂ•ÂˆĆšĂ‚Â—ääóÂ—Ă˜¸ĂœĂœª¸¸Â—Ă˜§Â—äƚÉ¢ĆšÂŞĂ‚ÂĄĂ˜Â€ĂœäĂ˜ç¸äçĂ˜Ćš – video-, tale- og datakommunikasjon. Ũƚƚ#ç”€à —ÂäĆšÂŞĆšÂŞĂ‚ÂĄĂ˜Â€ĂœäĂ˜ç¸äçĂ˜ÂťÂ—ĂłÂ—Ă˜Â€Ă‚ĂœÂ—Ă˜Ćš䪝Ćš¸Ă˜Â€¥äŪĆšÂ?€Â—ƚ og telekommunikasjon – nettverk som er driftskritiske for Norge som nasjon. Ũƚƚ Â—Ăœª¢Ă‚Â—Ă˜ĆšĂ‰¢ĆšÂťÂ—ĂłÂ—Ă˜Â—Ă˜ĆšĂ˜Ă‰Â?çĂœä—ƚÉ¢ĆšĂœª¸Ă˜Â—ƚ—ääóÂ—Ă˜¸Ćš䪝ƚ€Â—Ćš typer virksomheter. Tilbyr feilsøking og analyse. ŨƚƚHĂ˜ÂŞÂ—Ă‚äÂ—Ă˜äƚà ÉäĆšÂˆĆš§ÂˆĂ‚”äÂ—Ă˜Â—ĆšäĂ˜çĂœÂťÂ—Ă˜ĆšĆ‡Ćšª¸¸Â—ĆšĂœ¸Â€Ă•Â—Ćš avmakt i forhold til trusselbildet.

10

nappe nettverkspluggen ut av veggen. At portene stĂĽr ĂĽpne hos de fleste, er pĂĽ den annen side nesten som ĂĽ ha døren til bankhvelvet pĂĽ vidt gap uten vakthold, sier Fernandez, og legger til: – I slike situasjoner gir vanlige brannmurer en falsk trygghetsfølelse. Mange tror at den ene brannmuren er like god som den andre. Vi leverer imidlertid brannmurer som har kapasitet til ĂĽ analysere datatrafikken – kodene – som gĂĽr igjennom ĂĽpne porter, uavhengig av hvilket program eller app som brukes. Derfor kan vi bidra til sikker bruk og informasjonsflyt, sier han. Brannmurer er nettverkskomponenter med programvare, og følgelig ikke noe man tar med seg under armen pĂĽ reise. Brannmurene Data Equipment leverer, fungerer imidlertid slik

at de holder kontroll pĂĽ at PC-er og andre dingser følger sikkerhetsreglene selv om de befinner seg utenfor det gode, trygge bedriftsnettverket hjemme. Global brannmur – Det betyr at dersom man for eksempel skulle vĂŚre fristet til ĂĽ logge seg pĂĽ â€?free WiFiâ€?, som egentlig er et nettverk opprettet av person med skumle hensikter ved nabobordet, sĂĽ passer brannmuren like fullt pĂĽ. Det gjør den ogsĂĽ dersom man klikker seg inn pĂĽ fildelingstjenester med uheldig innhold, pĂĽ en YouTube-video med malware, en snikete Facebookapp eller en fristende lenke fra ukjent e-post-avsender. 30 ĂĽrs erfaring Data Equipment feirer 30 ĂĽr i ĂĽr. Selskapet har lang fartstid innen nettverkssikkerhet og

infrastruktur bl. a. innenfor kraftbransjen. At slike systemer fungerer, er avgjørende for at et moderne land som Norge kan fungere godt. Fokus har derfor vĂŚrt pĂĽ ĂĽ levere robuste løsninger med lang levetid. Men nĂĽ er ogsĂĽ den infrastrukturen blitt et angrepsmĂĽl. I tillegg fĂĽr de ĂĽpninger mot Internett. Det foreligger multimilliardplaner for ĂĽ gjøre strømnettet â€?smartâ€? hvor stikkord er AMS og Smartgrid. – Gode sikkerhetsløsninger en er en forutsetning for ĂĽ ta ut gevinstene av moderniseringen og investeringene, sier senior systemarkitekt Jon Erlend Berg. – Det er ikke slik at infrastruktur stĂĽr med ĂĽpne, gapende hull mot omverdenen og det er fritt frem for angrep. Men, trusselbildet øker og det er vi godt forberedt pĂĽ ĂĽ hĂĽndtere, sier han.

Ũƚƚ)Ă‘ĂşÂ—ĂœäĆšĂœÂ—Ă˜䪥ªĂœÂ—Ă˜äĆšĂ•Â€Ă˜äĂ‚Â—Ă˜Ćš䪝ĆšÂ?Ă˜Â€Ă‚Ă‚à çĂ˜Ă•Ă˜Ă‰Â”çĂœÂ—Ă‚ä—Âƚ Palo Alto Networks. ŨƚƚTĂ˜Ă‰Â”ç¸äĆˆç€ó§Â—Ă‚¢ª¢Â—ƚÉ¢Ćš¸Â€Ă‚ĆšÂ”Â—Ă˜ÂĄĂ‰Ă˜ĆšÂ€äªÂ”Ćš§Â€ĆšÂ”—ƚ beste produktene pĂĽ hĂĽnden. Ũƚƚ[äĂ‰Ă˜Ćš¸ç”—Â?Â€ĂœÂ—ĆšÂ?€ÂäĆšĂ•Ă˜ÂŞĂłÂ€ä—ƚÉ¢ĆšĂ‰ÂĄÂĄÂ—Ă‚䝪¢Â—ĆšóªĂ˜¸ĂœĂ‰Ă heter. Ũƚƚ ÂŞĂœäÂˆĂ˜ĆšĂ‰ÂĄÂĄÂ—Ă‚䝪¢Â—ĆšóªĂ˜¸ĂœĂ‰à §Â—äÂ—Ă˜ĆšÂŞĆšÂˆĆšÂŞĂłÂ€Ă˜Â—ä€ƚ¸Ă˜Â€ĂłĆšÂĄĂ˜Â€Ćš Nasjonal sikkerhetsmyndighet (NSM). www.dataequipment.no


Hele dette bilaget er en annonse fra NorSIS NISlab ved Høgskolen i Gjøvik er sentralt i det norske forskningsog utdanningstilbudet innenfor informasjonssikkerhet.

FOTO: Espen Dalmo

Høgskolen i Gjøvik satser for fullt på:

Forskning og utdanning I Norge har vi et forsknings- og utdanningstilbud innenfor informasjonssikkerhet som du må godt utenfor landets grenser for å finne tilsvarende av. Sentralt er NISlab– Norsk informasjonssikkerhetslaboratorium – ved Høgskolen i Gjøvik som har bachelor-, master- og doktorgradsutdanninger. NISlab er også koordinator for COINS (Research School of Computer and Information Security). COINS er en nasjonal forskerskole for informasjonssikkerhet som, i tillegg

til å skape felles aktivitet for de akademiske miljøene i Norge, forbedrer og rasjonaliserer forskerutdanningen nasjonalt. Universitetene i Trondheim, Bergen, Oslo, Stavanger og Agder har alle delemner innenfor fagområdet. Også Forsvarets ingeniørhøgskole på Jørstadmoen utenfor Lillehammer tilbyr

utdanning med fokus på informasjonssikkerhet. Forsvarets forskningsinstitutt på Kjeller ved Lillestrøm har også aktiviteter innenfor fagområdet. I skjæringspunktet mellom akademia og andre offentlige og private virksomheter finner vi FRISC (Forum of Research and Innovation in

skreddersydd svindel Mange har opplevd svindelforsøk hvor avsender bredt har fyrt av e-post til alle og enhver med e-postadresse. Derfra har utviklingen gått til forsøk rettet mot demografiske variabler

(alder, kjønnn, bosted) og interesser. Trenden har nå gått så langt at angrep skreddersys mot én person basert på innhold fra sosiale medier. Sannsynligheten for å lykkes er større

Security and Communications). FRISC er et verdinettverk finansiert gjennom Forskningsrådets VERKDIKT-program, og fungerer som forum for deling og profilering av utfordringer, resultater og innovasjon innen informasjonssikkerhet i Norge.

skrytehAckere når innholdet på denne måten reflekterer enkeltpersoners liv og bekjentskapskrets.

Vil du forske på informasjonssikkerhet? Hvordan holde uvedkommende unna uten å hindre nødvendig

Selv hacking er nok mest moro når noen legger merke til det. zone-h. org er navnet på skrytesiden til hackere – eller angripere som det heter på norsk.

g tlysnin Full u du på r finne .ffi.no www

informasjonsdeling? Hvordan oppdage inntrengere i IKT-systemer? Hvordan beskytte høyt gradert informasjon? Hvordan tette sikkerhetshullene i trådløse enheter?

Hvordan gjøre IKT-infrastruktur motstandsdyktig? Vi lyser ut stillinger innen informasjonssikkerhet. Les mer på www.ffi.no/IKT-sikkerhet

Foto: Shutterstock.com

11


Hele dette bilaget er en annonse fra NorSIS

Black Box Network Services

24/7 betjening av viktig og sensitiv informasjon.

UNIK - Universitetssenteret på Kjeller

Integrated Communications — Delivered.

Med bred basis og fokus på Informasjonssikkerhet God Informasjonssikkerhet (IS) krever solid kunnskap innen IKT og om de utfordringer IS gir i dagens samfunn. Denne kunnskapen må være godt forankret hos et bredt spekter av systemutviklere, alle må kunne noe og noen må kunne mye.

Black Box har i løpet av 35 år levert avanserte kontrollrom løsninger over hele verden. I Norge har vi solid erfaring innen krevende miljøer som kraft, trafikk, sikkerhet samt olje og gass.

1 eller 370 maskiner - spør oss Plasser arbeidsstasjoner på en sikker lokasjon, ivareta flere nivå og visningssteder.

Institutt for informatikk (Ifi) ved Universitetet i Oslo er landets største universitetsinstitutt innen IKT. Her utføres forskning og undervisning innen en bred portefølje av IKT-emner, og sikkerhetsrelevante områder har høy oppmerksomhet. Gjennom studiet forberedes studentene på de sikkerhetsmessige utfordringer utvikling av IS gir og masterstudiet gir mulighet for spesialisering. Ved UNIK - Universitetssenteret på Kjeller kan master-og phd-studenter ta oppgaver og forske innen ulike aspekter av IS i nært samarbeid med forskningsmiljøene på Kjeller og med samarbeidende næringsliv.

Kobber, fiber eller IP? Ja, takk! Høye sikkerhetskrav? vi kan levere løsninger som er godkjent for "restricted" svitsjing.

Hvorfor er oppmerksomhet om IS så viktig – og hvorfor trenger vi spesialister? Mobiltelefoni uten sikkerhet er farlig. Når mobilen skal måle blodtrykk og insulinnivå, trengs robust sikkerhetsarkitektur som vi studerer.

Stort utvalg å finne på www.blackboxas.no Mange brukere mot mange maskiner + video vegg.

Om få år vil vi omgi oss med 50-100 dingser. Når bilen, kjøleskapet og kaffetrakteren ”snakker” med hverandre og med omverdenen kan dette gi stor trussel for privatesfæren. Vi utvikler modeller hvor mobilen styrer hva dingsene gir av spor. Sikre og velfungerende informasjonssystemer innebærer samspill mellom teknologi og mennesker. Vi forsker på hvordan brukeren og sikkerhetsløsningene sammen kan bidra til sikre systemer.

Søk informasjonsteknologistudiene ved UiO frist 15. april.

55 300 700

|

For mer informasjon se ifi.uio.no og unik.no

www.blackboxas.no

ISMS fra begu consulting og Brainloop:

Gjør sikker informasjonsdeling mulig i praksis Regelverk for deling av konfidensiell informasjon får først verdi når de involverte personer kan etterleve regelverket i praksis. Begu Consulting er Brainloop©-forhandler i Norge, Sverige og Danmark. Løsningen muliggjør sikker intern og ekstern informasjonsdeling. Det ledende prinsippet bak Information Security Management Systems (ISMS) er at organisasjoner skal utvikle, iverksette og vedlikeholde sammenhengende regelsett, prosesser og støttesystemer. Målet med ISMS er å redusere risikoen for at fortrolig informasjon lekker ut eller havner på avveie. Konfidensiell informasjon – fra forskningsresultater via styredo-

kumenter og interne kalkyler – er lagret som dokumenter. Profesjonelle virksomheter har skriftlige regelsett for hvem som kan ha tilgang og hvordan informasjon skal behandles. Brainloop© sin Document Compliance Management (DCM)-teknologi støtter slike regelsett. Reglene kan for eksempel inkludere at informasjonen kun

kan redigeres av enkelte medarbeidere og ikke kan sendes per epost. Men, hva gjør man dersom en leverandør i Kina eller partner i USA må motta et dokument når email-forsendelse er utelukket? – Brainloops DCM-løsning gjør denne informasjonsutvekslingen mulig. Du gir dine medarbeidere et verktøy for å løse samhandlingsutfordringer,

Brainloop has been cited in Gartner's "Cool Vendors in Content Management, 2112" Report.

12

samtidig som dine regelsett blir respektert, forklarer daglig leder Bernd Gutbier i Begu Consulting. Gutbier er også medgründer av telefonselskapet TalkMore. Brukerne trenger kun nettleser. Pålogging skjer med samme sikkerhetsnivå som for nettbanker. Informasjonstilgangen kontrolleres via roller i systemet. Nivåene går fra leserrettigheter med brukerens identitet som vannmerke, rett til redigering, nedlasting, printing, sending etc. Dokumentene kan blant annet ha tidsbegrenset levetid.

– All bruk loggføres – nyttig ved mistanke om misbruk. Dette er betryggende for informasjonseieren og avskrekkende for personer som vil misbruke informasjonen, sier Gutbier. Brukerens tilgang og roller styres av informasjonseieren. Hverken din egen IT-avdeling eller vi som leverandør har dermed tilgang til dine fortrolige dokumenter eller informasjon.

Ta kontakt på: www.begu.no/index.php/contact

begu

begu


Hele dette bilaget er en annonse fra NorSIS

FOTO: Dominic Hargreave

kAster du

Slik bygger du god sikkerhetskultur

FOTO: Shutterstock

hemmeligheter?

De fleste virksomheter ønsker høy informasjonssikkerhet. For å oppnå dette, må de bygge en god sikkerhetskultur. Her er tips til hvordan. Tipsene kommer fra Nasjonal sikkerhetsmyndighet (NSM) som koordinerer forebyggende sikkerhetstiltak og kontrollerer sikkerhetstilstanden i virksomheter som omfattes av sikkerhetsloven. – For oss i NSM handler kultur om sikkerhetsadferd, sier seniorrådgiver Roar Thon i NSM. NSM har gjennom flere år påpekt at sikkerhetstilstanden i Norge er for dårlig. – Virksomheter fokuserer ikke på sikkerhet, forstår ikke sikkerhet og tar ikke risiko og trusler på alvor. Typisk norsk er å tenke at ”ingen er interessert i lille meg”. Det er de. Du kan aldri vite om du er siste eller første brikken i puslespillet som noen legger for å kartlegge arbeidsgiveren din, sier han. God eller dårlig sikkerhetsadferd Hva er feil og hva er bra? Noe som utpeker seg? Et eksempel kan være at medar-

beidere ukritisk åpner vedlegg og klikker på lenker i e-poster fra ukjente avsendere. Den risikoatferden må endres. Trusselbilde og verdivurdering Hva er trusselbildet? Hvilken informasjon er viktig å beskytte? En rettesnor: ikke bare ledelsen, men alle i bedriften må vite hva de ikke kan snakke høyt om på bussen! KONSEKVENSER Hva er konsekvensene dersom trusler slår til? Kan virksomheten for eksempel leve uten internett- og strømtilknytning et par dager? Kan lekkasjer skade omdømmet vårt? MÅL OG HANDLINGSPLAN Etter kartlegging må virksomheten sette mål og meisle ut en handlingsplan for å endre kultur og atferd.

TILTAK Tiltakene vil feile dersom de ikke er forankret i ledelsen. Den enkeltes oppgaver og ansvar må synliggjøres. KULTURBYGGING; OPPLÆRING OG ØVELSE Folk må forstå. Derfor er opplæring, informasjon og øvelse viktig. Dersom man snakker over hodet på folk, blir det mye ”ulv, ulv” og folk slutter å forholde seg til sikkerhetstemaet. KORRIGERENDE KULTUR Spesialavdelinger i Forsvaret er avhengig av en kultur hvor man – uten å bli sure – kontrollerer og gir tilbakemeldinger til hverandre. Også til inspirasjon for en god sivil sikkerhetskultur.

enkle grep for økt trygghet Brukernavn og passord: Variér både brukernavn og passord. Dersom du bruker samme brukernavn og passord overalt, kan noen utnytte dette på mange nettjenester og datamaskiner. Du bør bytte passord regelmessig (iallfall årlig). Noen passord, som for eksempel til det trådløse nettverket ditt hjemme, deler du med andre. Ikke bruk slike passord på viktige tjenester som nettbanken din og eller datasystemet på jobben med konfidensielle personeller pasientopplysninger. Mange nettsteder har ikke begrensninger i passordlengde. Dakanpassordetvaresomdette.

Legg til et tall du lett kan huske, bytt ut de tre første vokalene med en bokstav eller et tegn og legg til de første bokstavene i nettstedsnavnet (for eksempel fra www.norsis.no).

E-post og vedlegg: Mange e-poster går over nettet uten kryptering (koding). De som vil, kan da få tak i innholdet. For å unngå dette, kan mailene kodes. Se på mailkontoen din og forsøk å krysse av for SSL. Kort fortalt innebærer dette sikring av mailene. De fleste mailleverandører lar deg bruke SSL. Gjør ikke din det, så bør du vurdere å bytte. E-post-vedlegg kan komprimeres (zippes) med passordbeskyttelse

og – enda sterkere – kodes med passordbeskyttelse. Programvare for dette kan du handle på Internett for under et par hundrelapper. Uvedkommende vil neppe klare å få tak i innhold i en kodet og passordbeskyttet fil.

Bruk et par sekunder til: Les gjennom e-post en gang til og spør deg om følgende: Hvorfor mottar du en slik e-post? Ventet du en slik e-post? Er det logisk at akkurat du mottar en e-post fra avsender? Vær kritisk til vedlegg og linker som du får tilsendt og husk at ting som er for gode til å være sant er som regel nettopp det.

Hva skjer med det gamle datautstyret når du skifter det ut til fordel for en nyere modell? De fleste sørger for å overføre viktige data til den nye maskinen og puster lettet ut når jobben er unnagjort. Så havner den gamle datamaskinen i en glemselens krok, hos barna eller i elektroreturboksen på returstasjonen. Men, overføring av data innebærer ikke at de blir slettet fra den gamle maskinen. Sammen med FBI (Forbrukerinspektørene) på NRK, har NorSIS ved de reneste garbiologi-metoder fra Gateavisa på 80-tallet avslørt store mengder sensitive data på maskinvare som var kastet. Slett derfor harddisker før du kasserer eller gir bort en maskin. Det er ikke nok med formatering. Du må velge overskriving én eller flere ganger av hele harddisken. For noen operativsystemer er denne muligheten innebygd, for andre kan du kjøpe programvare som sørger for overskriving. Du må kjøre prosessen fra en CD/DVD-stasjon eller fra en annen datamaskin via kabel. Etterpå må du re-installere operativsystem og annen programvare. Ta derfor godt vare på originaldisker når du kjøper maskin.

sikker Bedrift? På sikkerhetssjekk. norsis.no kan du teste ut om sikkerheten til bedriften/organisasjonen du jobber i holder mål.

Slettmeg.no er en gratistjeneste som drives av NorSIS på Gjøvik og som hjelper deg å fjerne uønsket, krenkende innhold fra nett. På nettsiden kan du søke deg frem til veiledninger ved for eksempel å skrive navn på et nettsted. Dersom du ikke finner frem, kan du få hjelp ved å sende en epost til hjelp@slettmeg.no, fylle ut kontaktskjema på slettmeg.no, eller ringe 911 29 392 (mandag til torsdag, kl. 12–17). I 2012 besvarte Slettmeg.no henvendelser fra nesten 7 000 personer og hadde 1,4 millioner sidevisninger. Uønsket nettinnhold berører folk i alle aldre – like mange henvendelser kom fra folk under som over 25 år. I overkant av 30 prosent av alle henvendelser knyttet til krenkelser gjald assistanse til å fjerne bilder fra nettet. Slettmeg.no er ikke moraliserende, men hjelper fordomsfritt.

13


Hele dette bilaget er en annonse fra NorSIS

Vi beskytter verdens forretningsinformasjon Forretningsinformasjon har potensielt enormt stor verdi, men innebærer også risiko, kostnader og utfordringer knyttet til forvaltning. Iron Mountain beskytter og arkiverer dokumenter for mer enn 140 000 organisasjoner over hele verden – mer enn noe annet selskap. Vi kan ta hånd om disse utfordringene for dere, optimalisere verdien av dataene og redusere kostnad og risiko. En profesjonell samarbeidspartner kan hjelpe dere med å sikre mot tap, uønsket innsyn og forringelse. Vi hjelper dere med å håndtere økte arkiverings-, personal- og administrasjonskostnader samt overholde lover og regler: DOKUMENTLAGRING: Deres arkiver flyttes til vårt sikre anlegg. Når dere trenger dem, leverer vi dem hurtig tilbake til dere – fysisk eller digitalt. Så enkelt er det. FORVALTNING AV AKTIVE FILER: Aktive arkiver, tilgjengelige fil for fil, men med alle fordelene med en ekstern tjeneste.

kan dere forvente at rett informasjon gjenfinnes til rett tid.

SKANNING OG DIGITALISERING: Selektiv skanning kan gi drastiske reduksjoner i konverteringskostnader samtidig som alle krav til tilgjengelighet av dokumentene møtes. SPESIALPROSJEKTER: Våre fagpersoner på feltet arkivforvaltning kan hjelpe til med klassifisering, indeksering, rydding, destruksjon og flytting. Sørge for at dere overholder lover og regler, til enhver tid. Et omfattende program for overholdelse av regelverk kan proaktivt sikre deres fysiske og elektroniske arkiver, beskytte dere mot unødvendig risiko og kontrollere kostnadene. Med Iron Mountain

SPESIALISERT LAGRING I HVELV Ved å sørge for riktige omgivelser for langtidslagring av medier, kan vi sørge for å opprettholde integriteten og lesbarheten deres i tiår fremover. Vi tilbyr en rekke private, delte og tilpassede hvelv med optimale forhold for bevaring av alle typer medier. Hvis dere har spesielle lagringsbehov, for eksempel bevaring av store volum eller materiell som krever spesiell miljøkontroll, kan vi utforme og lage tilpassede hvelv til deres organisasjon. I Norge har vi stor kompetanse og erfaring fra bransjer som offshore olje- og gassutvinning, teknisk produksjon og flyindustrien, bransjer som krever stor sikkerhet, kvalitet og sikring. Våre sikkerhetssentre er spesialbeskyttet mot innbrudd og brann, samtlige ansatte politi og sikkerhetssjekkes og all bevegelse av kunders informasjon spores elektronisk.

IRON MOUNTAIN vil hjelpe deg ta vare på informasjonen din på hvert trinn av sitt liv, redusere kostnader og øke effektiviteten.

ANALYSERE OG GI RÅD

LAGRE OG BESKYTTE

SKANNING OG DIGITALISERE

FLEKSIBEL TILGANG

SIKKER DESTRUKSJON

IRON MOUNTAIN INCORPORATED (NYSE:IRM) er verdensledende innen beskyttelse og arkivering av forretningsinformasjon og tilbyr løsninger og tjenester for arkivering, backup og skanning av fysiske dokumenter til bedriften, samt digital forretningsinformasjon og datamedier. Sammen med kundene mestrer Iron Mountain komplekse utfordringer med informasjon, som for eksempel økende lagringskostnader, strengere offentlige og juridiske krav, nye risikoer innen katastrofehåndtering og forretningskontinuitet. Iron Mountain ble grunnlagt i 1951 og er en betrodd samarbeidspartner for over 140 000 bedrifter globalt. Selskapet har mer enn 17 000 ansatte og omsatte i 2012 for over $ 3 milliarder. www.ironmountain.no

14


Hele dette bilaget er en annonse fra NorSIS

illojAlt FOTO: Marte Eyde Kjuus

sikkerhetshull

– Så lønnsomt er det å svindle nordmenn at svindlerne investerer i telefonoppringninger. Legg på uten høflighetsfraser dersom ”Microsoft” ringer, sier sikkerhetssjef Ole Tom Seierstad i Microsoft Norge.

Dersom ”Microsoft” ringer uanmeldt:

Legg på telefonrøret! Så store penger er det i datasvindel at svindlerne har råd til å engasjere telemarketingbyråer. Mange nordmenn er gått på limpinnen etter å ha blitt ringt opp fra ”Microsoft” som vil hjelpe med feil på PC-en. – Legg på røret, sier Microsoft Norges sikkerhetssjef. Noen mener at det er større penger i datasvindel enn i narkotika. At det er store penger og relativt lett å svindle understrekes av fenomenet hvor nordmenn blir oppringt fra utlandet og blir fortalt at PC-en deres er infisert av virus eller ondsinnet programvare. Vet ingenting om deg – Nei, de vet i utgangspunktet ingenting om verken deg eller datamaskinen din, beroliger Ole Tom Seierstad, sikkerhetssjef i Microsoft Norge. – Svindlerne ringer tilfeldig. Vi har fått meldinger om svindelforsøk overfor folk uten Windows-PC og med andre maskintyper. Men, mange har PC og det er derfor lett å komme frem til noen i svindlernes målgruppe. Oppringningen kommer som regel fra utlandet, selv om Microsoft har sett oppringninger som tilsynelatende er fra norske telefonnumre. Ofte er det en indiskklingende aksent i den andre enden av røret som utgir seg for et eller annet med Microsoft eller

Windows; Microsoft Solutions Partner, Microsoft Windows Support eller lignende. Betydelig problem – Vi kjenner ikke omfanget, men har fått rapporter om svindelforsøk fra så mange som ti personer på en dag. Det tror vi bare er toppen av isfjellet, sier Seierstad. Svindlerne tilbyr sin assistanse. For å fjerne skepsis, ber de ofrene slå opp i maskinens hendelseslogg. I hendelseslogger er det alltid mange hendelser som kan virke gresk for folk flest. De kan også påstå at de kjenner nummeret på maskinen og ber PC-eieren slå opp på et nummer som er i programvare på alle maskiner. Fritt frem – Noen går på limpinnen og lar svindlerne få kontroll med maskinen via Internett. Så er det fritt frem. Svindlerne kan snoke i dataene dine, sjekke kontonummer, dersom det er lagret på maskinen, kopiere bilder osv. De kan også installere en bakdør – ”trojaner” – som lar dem komme inn på

maskinen senere. Noen selger falske antivirusprogram som umiddelbart og overbevisende avslører like falske virus – som de så tar betalt for å fjerne, akkurat som de gjør for telefonsupporten.

”Ta det rolig. De vet i utgangspunktet ingenting om deg” Sikkerhetssjef Seierstad, Microsoft Norge – De kan bli nokså aggressive og truende: ”Vil du ikke ordne opp i problemene på PC-en din”, forteller Seierstad. – Vårt beste råd er; legg på. Microsoft ringer ikke opp kunder som vi ikke allerede har en relasjon til. Skulle problemet vedvare, oppfordrer vi til å ta direkte kontakt med oss eller politiet. Internasjonale politimyndigheter jobber for å finne bakmennene.

lurte de deg? gjør dette! n Har du betalt noe eller oppgitt kontonumre e.l.? Ring banken din. n Skann maskinen din med antivirusprogram, for eksempel det som følger gratis med Windows-PC-er. n Forandre passordene dine overalt. Passord kan ligge lagret på maskinen din.

Selv om virksomheter bruker betydelige ressurser på fysisk datasikkerhet, kan illojale medarbeidere like fullt representere store sikkerhetshull. Det er det viktig å ha i bakhodet både ved rekruttering, opplæring, ledelse og i bedriftskultur. Sikkerhetsvakter i butikker er der ikke bare for å følge med på kundene. Også medarbeidere utgjør potensielle tyver. I vanlige bedrifter består verdiene ofte av kundedatabase, strategier, konstruksjonstegninger, leverandørinformasjon – kort sagt informasjon som finnes elektronisk i databaser og dokumenter. ”Det er stadig vanskeligere å få tilgang til verdier direkte. Vi ser en klar internasjonal tendens til at kriminelle søker å omgå sikring ved å plassere egne folk i virksomheter”, skriver Næringslivets sikkerhetsråd på nettstedet sitt om denne overraskende og skjulte trussel. Trusselen understreker hvor stor rolle den menneskelige faktor spiller innenfor informasjonssikkerhet. IT-eksperter anklager norske ledere for å være naive og vil sende dem på kurs. Uansett hvor godt virksomheter kontrollerer og beskytter seg, vil noen imidlertid alltid kunne stjele kritiske data. Misfornøyde medarbeidere kan ha høyere tilbøyelighet enn andre. I tillegg til gode sikringssystemer basert på en tydelig definert policy for informasjonsdeling, er første og siste skanse derfor en god og tillitsbasert bedriftskultur.

Brukervennlig

progrAmvAre for Angripere Brukervennlig programvare gjør hverdagen enklere. Dette gjelder også for angripere. Glem tanken om at angripere sitter og skriver komplisert kode. Internett er kilde til enkel og menystyrt programvare, som også gjør hackingen enklere – ofte med tilhørende bruksanvisningsvideo.

15


B AT E S U N I T E D F O T O : I S I D O R

Hele dette bilaget er en annonse fra NorSIS

DET ER IKKE SÅ

OFTE IT-SJEFEN FÅR SKRYT PÅ JOBBEN

IT-ansvarlig i bedriften er selve målestokken på hvor godt IT infrastrukturen fungerer. Når noe er nede, er det han som får høre det. Problemet må løses, og det kan ikke vente. Men når alt fungerer, er det stille. Ingen branner å slokke, og IT-ansvarlig kan bruke tiden til noe bedre. I Datametrix ønsker vi at kundene våre skal bruke tiden best mulig. Sammen med IT-ansvarlig går vi gjennom hele infrastrukturen i bedriften og sørger for å fjerne alle potensielle sinker, feil, bugs, flaskehalser – kall det hva du vil, og sørger for at alt går problemfritt – dag ut og dag inn.

Resultatet er at produktiviteten øker dramatisk. Og dét er vårt mål. Datametrix er spesialister på IT infrastruktur, og integrerer applikasjoner, designer, installerer og drifter komplekse IT løsninger. I Datametrix trives vi med å spille IT-sjefer gode. Så gode at de opplever en bedre hverdag. De får til og med skryt!

datametrix.no

16


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.