En sikker fremtid

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

EN SIKKER FREMTID

Økt kunnskap og bedre sikkerhetskultur gjennom samarbeid #ISF_NO

Jan Tore Sanner:

Forutsetning for en digital stat

Side 4

Side 6

Alt starter på toppen

IT-bransjens kvinnenettverk

Side 12

Side 11

På vakt mot trusler Side 10

Bjørn Erik Thon:

Informasjonssikkerhet eller personvern? Side 9 Anders Anundsen:

Mer aktuell enn noen gang

Et samfunn i beredskap Side 2

Side 8

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

Velkommen

til Norsk Informasjonssikkerhetsforum sitt 20-års jubileumsmagasin!

ISF ble stiftet i 1994 og nå, 20 år senere, er 200 norske virksomheter medlemmer. ISF høstkonferansen og medlemsmøtene er nå den viktigste møteplassen for de som jobber med informasjons­sikkerhet i Norge. Gjennom de siste 20 årene har informasjonssikkerhet utviklet seg fra å være et tema for de spesielt interesserte, til å stadig oftere føre til oppslag i massemediene. Flere ganger i uken kan vi lese i pressen om digitale trusler, hackerangrep, stjålne brukerkontoer og passord på avveie. Gjennom disse 20 årene har også bruken av IT forandret seg. IT-systemer brukes nå av alle, overalt. Vi er alltid på nett og det betyr at sikkerhetsbrudd berører oss alle.

Fredrik Galtung, Jan Tore Onerød, Bjørn Richard Watne, Lillian Røstad, Vibeke Gjøsdal og Lise Arneberg.

Om Norsk Informasjonssikkerhetsforum ISF IT-Sikkerhetsforum ble etablert i januar 1994. I det første driftsåret hadde foreningen som første prosjekt i egen regi, i oppgave å oversette den engelske standarden BS7799: Code of Practice for Information Security Management. Videre i foreningens tidligste år ble det utviklet En Veiledning i Sikring av Tilgang til Internett og En Veiledning i Håndtering av Virusangrep. Medlemmene utarbeidet også kortere informasjonsskriv under betegnelsen ISF-Tips.

”Vi er alltid på nett og det betyr at sikkerhetsbrudd berører oss alle” Det er bra at fagfeltet har fått dette fokuset. Økt oppmerksomhet om utfordringene er et godt hjelpemiddel for oss som jobber med informasjonssikkerhet. Det hjelper oss at bevisstheten i samfunnet er blitt så mye større. Samtidig er det fortsatt slik at informasjonssikkerhet ikke er satt på agendaen i alle norske organisasjoner. Og det å være ansvarlig for informasjonssikkerheten er ofte en ensom jobb.

Siden den spede begynnelse er det foretatt både navne- og logobytte flere ganger og foreningen fremstår i dag under fanen Norsk Informasjonssikkerhetsforum ISF, og er det største uformelle nettverket for IT-Sikkerhetsprofesjonelle i Norge. Rundt 200 av landets virksomheter er medlemmer, og det tilkommer stadig flere.

ISF sin rolle er å koble sammen de som jobber med informasjonssikkerhet. Å legge til rette for erfaringsutveksling og gode faglige diskusjoner slik at vi kan lære av hverandre. For informasjonssikkerhet er dette viktig også fordi en del av jobben vår består i å håndtere kriser. I krisesituasjoner er det avgjørende med rask og direkte informasjonsflyt. Det er ikke lenger slik at en digital hendelse berører én organisasjon alene. Å ha etablert gode kontakter og tillitsforhold i forkant er en suksessfaktor for å kunne håndtere hendelser når de oppstår.

Norsk Informasjonssikkerhetsforum ISF er en ideell organisasjon som arbeider med informasjonssikkerhet for medlemmene. Medlemmene er virksomheter innen så vel offentlig forvaltning som privat næringsliv, og felles for alle er interessen for informasjonssikkerhet og ønsket om å etablere og opprettholde et høyt sikkerhetsnivå. ISF jobber for å være det foretrukne samlende

Målet er å samarbeide i prosjekter – basert på medlemmenes kompetanse og erfaringer – for å belyse og avklare trusler og sårbarheter for den enkelte organisasjon. I tillegg vil medlemmene opparbeide et nyttig kontaktnett hvor de kan ta del i og samarbeide med andre i sikkerhetsarbeidet. ISF har fire medlemsmøter hvert år i tillegg til en høstkonferanse som går over to-tre dager. Medlemsmøtene – alltid med sosialt samvær etterpå – gir de enkelte medlemmene god kontakt med personer som jobber med informasjonssikkerhet enten som sin hovedoppgave eller som del av en annen funksjon. ISF er medlemsdrevet og aktivitetsnivået bestemmes av den årlige generalforsamlingen. I perioden mellom generalforsamlingene forvaltes aktivitetene av ISF-styret. Styret består av seks representanter fra medlemsbedriftene, og velges av generalforsamlingen.

Hvordan bli medlem i ISF Som medlemmer i ISF får dere tilgang til det viktigste nettverket for de som jobber med informasjonssikkerhet i Norge. Medlemskapet i ISF er knyttet til en organisasjon, og er ikke personlig. Ansatte i organisasjonen kan delta på ISF sine medlemsmøter og på høstkonferansen. På www.isf.no finner dere skjema for innmelding og mer informasjon. Første kalenderår koster medlemskapet

LILLIAN RØSTAD Styreleder Norsk Informasjonssikkerhetsforum

NORSK INFORMASJONSIKKERHETSFORUM

8.500.- pr. virksomhet, i påfølgende år kun kr. 6.500,-. Deltagelse på medlemsmøtene er gratis, og deltageravgiften på høstkonferansen svært lav. I anledning vårt 20-års jubileum ønsker vi å åpne dørene for alle, og tilbyr fri innmelding og medlemskap ut året for alle ikke-medlemmer som melder seg på konferansen!

PROSJEKTLEDELSE: Are Okkenhaug Jerstad · TEKST: Tore Aune · LAYOUT: Daniel Jernberg Visuell profil: Coor Media · TRYKK : Schibsted Trykk Oslo AS · DISTRIBUSJON: Dagens Næringsliv For mer informasjon om annonsebilag på papir og nett, kontakt Are Okkenhaug Jerstad på telefon: 926 12 353 eller e-post: are@cmedia.no

LEDER: Lillian Røstad e-post: isf@isf.no telefon: 994 00 628

C MEDIA ER ET SKANDINAVISK MEDIEFORETAK SOM JOBBER MED OPPDRAGSBASERT KOMMUNIKASJON WWW.ISF.NO

2

fagmiljøet for informasjonssikkerhet og for å heve sikkerhetsnivået hos medlemsvirksomhetene og i det norske samfunnet generelt.

WWW.CMEDIA.NO

Hvor sikre er vi om fem år? Vi leser daglig om ting som bør bekymre oss, men som vi knapt forstår. Om data som blir borte, om identitetstyveri, om spionasje mot norske virksomheter, om overvåkning og utfordringer for personvern og rettssikkerhet. Tro det eller ei, dette er hverdagen i norske offentlige og private virksomheter. Norge i dag er helt avhengig av at informasjons- og datasystemer er sikret mot feil og kriminelle handlinger. Informasjonssystemer kontrollerer alt fra lyskryss og operasjonsutstyr på sykehus til telefonsamband og elektrisitetsdistribusjon. Systemene inneholder kunnskap som ingen ønsker skal komme på avveie, fra forretningshemmeligheter og informasjon om private bankkontoer til forsvarshemmeligheter og folks kjøpevaner. Dette dreier seg om deg,

det dreier seg om hvilket samfunn den neste generasjonen skal leve i, det dreier seg om din virksomhets evne til å være konkurransedyktig, og det dreier seg om våre myndigheters evne til å beskytte oss og vår velferd. Derfor er det svært viktig at vi som nasjon bygger studieprogrammer og forskningsmiljøer som kan utvikle vår nasjonale kompetanse og kapasitet. En rekke organisasjoner i Norge går nå sammen i et partnerskap for å etablere CCIS – et kompetanseutviklingssenter i verdensklasse innen informasjonssikkerhet og cybersikkerhet. Senteret vil ha 70–80 medarbeidere som vil arbeide med innovasjon, utdanning, forskning og formidling av hvordan vi sammen kan møte denne nye hverdagen. Partnerorganisasjonene bidrar med ressurser til senteret, men vi søker

også etter mange nye faglige og administrative ansatte. 15. august arrangerer vi åpningskonferanse på Høgskolen i Gjøvik med deltakere fra en rekke land. For å vite mer om senteret, åpningskonferansen, arrangementer eller hvordan du kan bli en del av senteret, besøk senterets nettside og ta kontakt med oss. Med hilsen fra Politidirektoratet, Eidsiva, Nasjonal Sikkerhets­ myndighet, Cyberforsvaret, Kripos, Politihøgskolen, Forsvarets Ingeniørhøgskole, Høgskolen i Gjøvik, Telenor, Statkraft, Statnett, mnemonic, IBM, PwC og Oppland Fylkeskommune.

ccis.no

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

ISF 20 år Et tilbakeblikk fra tidligere styreleder John Arild Amdahl Johansen. Etter å ha sittet i ISF-styret i halvparten av foreningens nå 20-årige levetid er det en sann fryd å få lov til å mimre litt rundt en av de viktigste, mest bærekraftige og ganske så unike arenaene i sikkerhets-Norge. Fra pådriver Per Hansen i daværende PDI i 1994 tok med seg en liten ”guttegjeng” ned på sonderingsmøte i sølvgruvene i Kongsberg (sikkert skulle det jo være!) til den ideelle organisasjonen, med 200 medlemsvirksomheter man ser i dag, har mye skjedd. Men grunntanken lever videre. Formålet var å skape en mer spesialisert og aktiv forening enn det som var tilgjengelig gjennom etablerte og mer ordinære dataforeninger og konferanser. Disse favnet bredt over alle områder innen IKT. Med ISF skulle det nemlig etableres en forening som kunne være mer aktiv og jobbe målrettet for bedring av sikkerhetsnivået i Norge gjennom involvering av medlemmer og publisering av materiale. I det aller første driftsåret hadde ISF som sitt første prosjekt å oversette den engelske standarden BS7799: Code of Practice for Information Security Management til norsk. Denne ble kjøpt inn til alle medlemmene og la listen for beste praksis i mange norske virksomheter. De første årene ble det videre levert

publikasjoner som Sikkerhetstips og de mye brukte veiledningene av høy kvalitet innen bl.a. sikring av trådløse nett, håndtering av virusangrep, sikring av tilgang til internett og ”Lover & regler med betydning for informasjonssikkerhet”. Sistenevnte har blitt en slags bransjestandard innen både private og offentlige virksomheter. ISF startet opp den årlige IT-Sikkerhetsprisen for å skape interesse for og sette fokus på betydningen av informasjonssikkerhet og IT-sikkerhet. Prisen tildeles personer eller virksomheter som har utmerket seg spesielt innen området. For å treffe enda bredere har prisen de senere år inngått som en av Rosingprisene, men med ISFs statutter og deltakelse i juryen som innstiller. Det å jobbe med informasjonssikkerhet – enten som sikkerhetssjef, IT-sikkerhet i driftsavdelingen, med salg av sikkerhetsløsninger eller som revisor – er ofte en ensom jobb. Da trengs det gjentakende påfyll, motivasjon, inspirasjon og opplæring for å ikke gi opp informasjonssikkerhetsarbeidet eller ende opp som en ensom ulv. ISF Høstkonferansen og de 4 årlige medlemsmøtene er arenaer for faglig påfyll og viktigst av alt – nettverksbygging. Med foredrag om fakta rundt nye løsninger,

eksempler fra andre virksomheter og delte historier om hvordan det fungerer ute i medlemsbedrifter får man det komplette bildet. Avslutningsvis vil jeg nevne etableringen av Security Divas i 2002 – et initiativ for å rekruttere kvinner til ISF samt gi et enda bedre tilbud til eksisterende medlemmer. De siste årene har det i forbindelse med Høstkonferansen blitt avholdt et eget arrangement for damene. Her tilbys nettverksbygging, spa og faglig diskusjon rundt temaene: ”Hvordan blir vi hørt – hva kan vi damer tilføre?” og ”Å bevare roen i en krisesituasjon”. Det er gledelig at NorSIS nå i tillegg avholder en egen, årlig Security Diva-konferanse på Lillehammer. Selvfølgelig forbeholdt damene. Mye – veldig mye – har skjedd innen området informasjonssikkerhet på 20 år. Trusselbildet har endret seg dramatisk og veiledninger for god sikkerhetspraksis kan lastes ned fra mange kilder på nettet. Men én ting er sikkert (!) – ISF vil bestå i minst 20 nye år. Gratulerer med dagen!

HER ER NOEN AV FOREDRAGSHOLDERNE DU MØTER PÅ HØSTKONFERANSEN 2014, 1-3 SEPTEMBER MARK RASCH A brief history of online crime Mark Rasch har mer enn 25 års erfaring fra informasjonssikkerhetsfeltet. Ni av disse har han tilbragt som sjef for det amerikanske justisdepartementets Computer Crime Unit. Rasch var blant annet statsadvokat i saken mot opphavsmannen til Morris-ormen, den første kjente dataormen, i 1991. Han har blant annet bistått FBI i utvikling av metodikk for sikring av elektroniske bevis, og er en fagperson det lyttes til over hele verden.

BJØRN ERIK THON Datatilsynet Bjørn Erik Thon er jurist og direktør i Datatilsynet. Han har blant annet lang erfaring fra forbrukerrettslige spørsmål og arbeider daglig med problemstillinger knyttet til spenningsfeltet mellom personvern og informasjonssikkerhet.

DR. DANIEL ”RAGS” RAGSDALE Internet 2020: more secure? Dr. Daniel ”Rags” Ragsdale sluttet seg til DARPA (Defense Advanced Research Projects Agency) i juni 2011, der han blant annet forsker på computernettverksdrift, cybersvindel og cybersikkerhet og -utdanning. Ragsdale har bakgrunn fra ledende posisjoner ved militærakademiet West Point.

PER THORSHEIM Mitt liv som mediahore I 2000 hacket han seg inn i en Fortune-500 bedrift på én dag. I juni 2012 avslørte han at LinkedIn var blitt hacket, med tap av over seks millioner passord, der de fleste lot seg knekke på få minutter. ”Ingenting er sikkert hos Per Thorsheim” er en av media-headingene som treffende beskriver Thorsheims arbeid og engasjement.

Konferansen er et av de viktigste nasjonale arrangementene innen sitt område. Høstkonferansen har etablert seg som en begivenhet man ikke bør gå glipp av. Med nær 30 foredrag fra innog utland, diverse faglige aktiviteter, utstillere, topp underholdning og over 200 deltakere som har sitt daglige virke innen sikkerhet, er Quality Spa & Resort i Strømstad et sted du bør være i dagene 1–3. september 2014.

4

IRA WINKLER Creating a Strong Security Culture: Traditional and Gamified Awareness Programs Ira Winkler, CISSP, er President for Secure Mentem. Winkler er ansett som en av verdens mest innflytelsesrike sikkerhetsprofesjonelle, og mediene har ofte referert til ham som ”en moderne James Bond”. Bakgrunnen for den noe uhøytidelige æresbetegnelsen er hans arbeid med simulerte spionasje- og angrepsoperasjoner, der han både fysisk og teknisk gjorde ”innbrudd” i noen av verdens største selskaper i forbindelse med at han bidro til å oppklare kriminalitet rettet mot dem.

SE HELE PROGRAMMET PÅ NEST SISTE SIDE.

Påmelding til Høstkonferansen samt detaljert informasjon finner du på isf.no

||||||||||||||||||||||||||||||||||||||||||||||||||||||||

Kontakt vår salgsavdeling Telefon: 23 03 59 30 E-post: salg@datametrix.no

Logganalyse med Splunk •

• • •

•

Logganalyse gjør det mulig å korrelere og analysere store mengder meldinger og logger fra maskinvare og applikasjoner Benyttes i Datametrix’ datasenter Baseres på Splunk-teknologi Splunk er spesialisert på å få ut meningsfull informasjon fra «maskindata» – benyttes i en rekke sammenhenger Brukes innen sikkerhet blant annet for å avsløre mer sofistikerte angrep og hendelser

Logganalyser avslører sofistikerte angrep Dataangrepene blir stadig mer sofistikerte. Logganalyser som kombinerer informasjon fra mange kilder blir viktigere for å beskytte seg.

selskapet Splunk, som har spesialisert seg på å få meningsfull informasjon ut av store mengder «maskindata». Poenget er å samle inn data kontinuerlig, ikke bare fra sikkerhetsfunksjonene, men også fra nettverket, applikasjoner og fra alle elementer i infrastrukturen.

Datametrix leverer IT-infrastruktur til en rekke store norske virksomheter. Disse er enten plassert ute hos kunden som selv har kontrollen over drift, eller plassert i Datametrix’ sikre datasenter. Sikkerhet har høyeste prioritet i datasenterleveransene.

MER SOFISTIKERTE ANGREP Bakgrunnen er at det i dag er mange flere og mer sofistikerte dataangrep. De kan være vanskeligere å oppdage, og i mange tilfeller oppdages angrepet etter veldig lang tid. Et angrep som er sofistikert, oppdages kanskje ikke ved tradisjonelle sikkerhetsfunksjoner som brannmur eller IPS (Intrution Prevention System). Men de kan avsløres, ved at man oppdager en form for unormal aktivitet.

ETTERRETNINGSARBEID – Logginnsamling fra hele infrastrukturen for analyse, har blitt et viktig sikkerhetsverktøy. Dette er som etterretningsarbeid. Hendelser, som hver for seg er legitime, kan avsløre en trussel når de settes sammen, forteller Dag Sørlie i Datametrix. Selve sammenstillingen av data og logganalysen gjøres ved hjelp av teknologi fra

– For å vite hva som er «unormalt», må man vite hva som er «normalt». Den konstante overvåkningen kan avdekke avvik fra normalen. Vi ser når en applikasjon gjør noe unormalt eller en bruker gjør noe han ikke skal, eller brukere som får tilgang til informasjon de ikke skal ha.

Med dagens trusselbilde må man ha systemer som oppdager og varsler om slike hendelser. Og for å oppdage disse, er man avhengig å ha informasjon fra hele verdikjeder i infrastrukturen, forteller Sørlie. ULIKE TRUSLER Ved sanntids logganalyse oppdages datainnbrudd og virusangrep raskere. Historiske data gir bedre kontroll rundt omfanget av en hendelse – hvor angrepet startet og hvilke applikasjoner, tjenester eller klienter som er berørt. Under såkalte DDoS-angrep, hvor massiv trafikk sendes mot en nett-tjeneste, kan logganalysen benyttes for å få ut mer informasjon om hva som har skjedd, og være et nyttig verktøy videre i prosessen. Eksempelvis kan man se hvor det er blitt av informasjon som er tatt ut illegitimt. Ved virusangrep kan man få bedre oversikt over hva som er berørt, eller se i detalj hva som har skjedd ved et DDoS-angrep.

Datametrix AS, Grenseveien 95, 0663 Oslo | Drammen | Stavanger | Bergen | Ålesund | Trondheim | Bodø | Tromsø | Gøteborg | Stockholm | Telefon: 23 03 59 00 | Telefon, salg: 23 03 59 30 | Salgsavdeling: salg@datametrix.no | www.datametrix.no

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM Foto: Lindaas/FAD

”Informasjonssikkerhet er en forutsetning for en digital stat” Som kommunal- og moderniseringsminister har jeg ansvar for to store prosjekter: kommunereform og en enklere hverdag for folk flest. Disse har det til felles at de skal fornye, forenkle og forbedre det offentlige Norge. Å fornye handler om å jobbe smartere, samhandle bedre og ta i bruk mulighetene teknologien gir oss. Å forenkle handler om å gi enkeltmennesket større frihet og valgmuligheter, og utvikle et mindre byråkratisk byråkrati. Å forbedre handler om å løfte kompetansen og sørge for at den brukes der den trengs mest slik at offentlige tjenester blir bedre. IKT spiller en nøkkelrolle i dette arbeidet. Regjeringen jobber målrettet for at forvaltningen skal levere flere digitale tjenester. Vi er også opptatt av å bruke IKT for å levere bedre velferdstjenester og effektivisere arbeidsformen i forvaltningen. For å nå disse målene er det viktig å utnytte de mulighetene som ligger i moderne IKT. Informasjonssikkerhet er en forutsetning for vellykket gjennomføring av prosjekter der omstillingen drives av IKT.

Truslene vokser Endret trusselbilde krever riktige mottiltak. – Vi i mnemonic hjelper de største virksomhetene i Norden med informasjonssikkerhet. Vi bidrar innen alle områder som normalt defineres innen dette feltet, og mnemonic består i dag av rundt 140 medarbeidere fordelt på fem avdelinger. Det forteller daglig leder Tønnes Ingebrigtsen. Han forteller om en bransje som står overfor utfordringer i stadig endring:

6

”Regjeringen jobber målrettet for at forvaltningen skal levere flere digitale tjenester” Fra 2014 skal digital kommunikasjon være hovedkanalen for kommunikasjon med forvaltningen. Jeg er opptatt av at befolkningen, næringslivet og forvaltningen skal ha tillit til at elektroniske tjenester fra forvaltningen er sikre og pålitelige. Det samme gjelder også for forvaltningens fagsystemer.

– Som de f leste andre har vi sett truslene endre seg fra ”gutteromsaktiviteter” til statlig og organisert kriminell virksomhet. Angriperne har nå ressurser i en størrelsesorden man aldri har sett før innen IT-området. Dette gjør noe med hvordan vi må tenke rundt løsninger og produkter. mnemonic leverer i dag blant annet sikkerhetsmonitorering, installasjon og support av sikkerhetsløsninger, sikkerhetstester og koderevisjoner og kunders regulatoriske og organisatoriske hensyn. Hvordan er deres opplevelse av hvorvidt bransjen er godt eller dårlig rustet til å håndtere nye utfordringer? – Jeg skal være forsiktig med å uttale meg på vegne av en samlet bransje, men vårt firma er defini-

Kommunal- og moderniseringsdepartementet har ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Som en del av dette arbeidet har vi etablert et eget kompetansemiljø for informasjonssikkerhet i Direktoratet for forvaltning og IKT, som jobber målrettet for å styrke statsforvaltningens evne til å ivareta informasjonssikkerheten. I Forvaltningsforskriften har vi nå skjerpet kravet til forvaltningsorganer om bruk av styringssystem for informasjonssikkerhet. Difi har også kommet med klare anbefalinger og nyttig veiledningsmateriell om bruk av felles informasjonssikkerhetsstandarder i statsforvaltningen.

JAN TORE SANNER Kommunal- og moderniseringsminister

Tønnes Ingebrigtsen, daglig leder i mnemonic. tivt godt rustet. Men det skyldes kun at vi har vært villig til å investere tungt i kompetanse, systemer og metodikk. For at bransjen som helhet skal bli bedre på å håndtere

nye utfordringer må den bli enda bedre på å utveksle informasjon om trusselaktører, sårbarheter, angrepsmetoder og pågående hendelser, avslutter Ingebrigtsen.

WE ARE IN AN ERA OF CONTINUOUS BREACHES Operational Sophistication

Near Daily Leaks of Sensitive Data

Relentless Use of Multiple Methods

IBM X-Force® declared

40% increase

500,000,000+ records

Year of the Security Breach

in reported data breaches and incidents

were leaked, while the future shows no sign of change

2011

2012

2013

Attack types SQL injection

Spear phishing

DDoS

Third-party software

Physical access

Malware

XSS

Watering hole

Undisclosed

Note: Size of circle estimates relative impact of incident in terms of cost to business.

Source: IBM X-Force® Research 2013 Trend and Risk Report Source: IBM X-Force® Research 2013 Trend and Risk Report

Learn more about IBM Security Intelligence and Analytics IBM Software distributor:

Contacts: Henning Gaalaas IBM Security gaalaas@no.imb.com

Øyvind Røhne Arrow ECS Norway oyroh@arrowecs.no

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

Et samfunn i beredskap – Det digitale trusselbildet har endret seg raskt og endrer seg fortsatt. Det handler om alt fra planer om organisert angrep på Norge til hverdagskriminalitet, sier justisminister Anders Anundsen (FrP). – Vi lever i et tilnærmet fulldigitalisert samfunn. Det skaper ny sårbarhet og mange får tilgang til mye informasjon som ligger åpent tilgjengelig. Det har skjedd en rivende utvikling på bare få år. Det kan dreie seg om alvorlige angrep på viktig infrastruktur, men det dreier seg også om helt nye arenaer for hverdagskriminalitet. Mange opplever å bli frarøvet sin digitale identitet og det kan ha store konse-

kvenser for den enkelte. Cyberkrim er en stadig større utfordring for det norske samfunnet, sier Anundsen. – Vi er på mange områder godt rustet til å møte dette, men vi risikerer å komme litt ”bakpå”. Det blir stadig vanskeligere å ligge i forkant av problemene.

SAMARBEID OVER GRENSEN Regjeringen jobber derfor med å styrke det private og offentlige

Sår­bar­hets­ut­val­g et Professor Olav Lysne ved Simula og Universitetet i Oslo skal lede utvalget. Ellers består utvalget av følgende medlemmer: • F orsker Janne Hagen, Ski •P rofessor Fredrik Manne, Fjell (Hordaland) • S enior strategisk rådgiver Åke Holmgren, Stockholm (Sverige) • A dvokat Eva Jarbekk, Oslo • Avdelingsdirektør Einar Lunde, Mandal • P rofessor Kristian Gjøsteen, Trondheim •V ice President Sofie Nystrøm, Oslo • G overnment Affairs Manager Kristine Beitland, Oslo Utvalget skal levere sin utredning i form av en NOU til Justis- og beredskaps­ departementet innen utgangen av september 2015.

Justisminister Anders Anundsen er opptatt av at arbeidet med informasjonssikkerhet må videreutvikles.

samarbeidet mot cyber-angrep: – Bedrifter kan oppdage forsøk på tyverier raskere enn oss. Vi har et godt samarbeid mellom private aktører og det offentlige gjennom blant annet NSM – Nasjonal sikkerhetsmyndighet. Vi har styrket NSM og det er behov for å fortsette utviklingen av NSM. Vi har også private organisasjoner som NorSIS – Norsk senter for informasjonssikring – som er en del av vår satsning på informasjonssikkerhet i Norge. De har som oppgave å bevisstgjøre om trusler og sårbarheter, informere gjennom offentlige kanaler og påvirke gode holdninger innen informasjonssikkerhet, sier Anundsen. Nettet er grenseløst og Norge samarbeider også med EU-landene i kampen mot cyber-kriminalitet. I Danmark har politiet en egen cyber-avdeling og Anundsen er ikke fremmed for at vi også bør ha dette i Norge, både for lettere å finne truslene, foreslå løsninger og for å ha en forebyggende virkning mot denne type kriminalitet.

DIGITAL SÅRBARHET – Vi er nødt til å bli dyktigere på å identifisere sårbarheten og håndtere denne, sier Anundsen

og forteller at Regjeringen før sommerferien nedsatte et utvalg som skal kartlegge samfunnets digitale sårbarhet. Utvalget skal foreslå konkrete tiltak for å styrke beredskapen og senke den digitale sårbarheten i samfunnet. – Det er snart 15 år siden forrige sårbarhetsutvalg la frem sin utredning. Siden da har det skjedd enormt mye som påvirker den digitale sårbarheten vår. Så å si alt i det moderne Norge er digitalisert. Fungerer ikke nettet, får vi ikke strøm og vi får ikke betalt regningene våre. Derfor nedsetter vi et nytt utvalg, slik at vi får kartlagt hvor stor sårbarheten er og hvilke tiltak som kan redusere den best.

PERSONVERNET Justisministeren forteller at det er store diskusjoner i hele Europa om datalagring og personvern. – Når man etterforsker kriminalitet, vil man alltid operere i et grenseland. Vi må gi politiet en reell mulighet til oppklaring gjennom nødvendige virkemidler og metoder. Alt som lagres av vår adferd er allerede et dilemma. Men vi må passe på at de kriminelle ikke har bedre verktøy enn oss. Vi må ha muligheter til å oppklare. I

I dagens trusselbilde vil du aldri kunne være 100 % fri for risiko. IT-sikkerhet er et bredt fagområde som berører alle bedrifter, avdelinger, ansatte, miljøer og løsninger. Atea leverer sikkerhetsløsninger for alle type virksomheter av alle størrelse i hele Norge. Kontakt oss på e-post sikkerhet@atea.no

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

Foto: Justis- og beredskapsdepartementet

– Datatilsynet ser at god informasjonssikkerhet og godt personvern går hånd i hånd, men strategier som ivaretar begge deler må på plass tidlig, sier Bjørn Erik Thon.

”Vi må bekjempe både alvorlige angrep og hverdagskriminalitet. Å bli frarøvet sin digitale identitet kan ha store konsekvenser.” det store og hele har vi et velfungerende regelverk som jeg mener ivaretar personvernet på en bra måte. Imidlertid kan overvåking også fra private, bruken av sosiale medier og all informasjon som lagres digitalt utfordre viktige personvernspørsmål. Politisk må vi ha en aktiv tilnærming til slike dilemmaer, mener Anundsen.

Prisen for personvern Hva skjer når vi legger personvernet i den ene vektskålen og informasjonssikkerheten i den andre? Samfunnet må beskytte informasjon. Konsekvensene av dårlig sikkerhet kan være katastrofale. Betyr det at vi må tenke nytt rundt personvern, og være rede til å fire på det vi tidligere har tenkt på som urokkelige prinsipper? – Vi har hatt befatning med problemstillingen. I Datatilsynet jobber vi med begge deler, både informasjonssikkerhet og personvern. Faktisk er det slik at det ene er en forutsetning for det andre, sier direktør Bjørn Erik Thon. Han peker blant annet på de hverdagslige utfordringene: – Informasjonssikkerhet kan innebære overvåking. Dette kan eksempelvis handle om å stoppe malware via mail til arbeidsplass,

som i sin tur medfører nødvendig overvåking av de ansatte.

Å MØTES PÅ MIDTEN – Slik jeg ser det, er personvernet viktigere enn noen gang. Størst mulig grad av selvbestemmelse må være det førende prinsipp. Av og til må personvernet vike, men det er da viktig at man forstår at bevisbyrden hviler på den som krever at det skal vike, sier Thon. Datatilsynet har nylig innledet et samarbeid med NSM, og Thon fremholder dette som et godt eksempel på en hensiktsmessig felles arena der personvern kan møte informasjonssikkerhet. – Privacy by design, altså å bygge personvernet inn i informasjons-

”Informasjons­ sikkerhet kan innebære overvåking” sikringssystemene, er en stadig viktigere arbeidsmetodikk. Sterke krypteringsløsninger er et eksempel på ukontroversiell informasjonssikring. Ved å bruke de riktige verktøyene og samtidig hele tiden være oppmerksom på grensene mellom informasjonssikkerhet og overvåking arbeider vi frem gode løsninger der rettssikkerheten er ivaretatt i alle ledd av arbeidet, avslutter Thon.

SNEVERSYNT Å BEGRENSE SIKKERHET TIL TEKNOLOGI Steria hjelper deg å tenke bredt rundt sikkerhetsstyring for hele virksomheten. Få mer innsikt på www.steria.no/sikkerhet eller send en e-post til jat@steria.no

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

– Videreutvikling og forsterkning av offentlig/privat samarbeid er veldig viktig for oss, sier Annette Tjaberg i NSM. Hun er også tydelig på viktigheten av god rekruttering til sikkerhetsfaget.

På vakt mot trusler Nasjonal Sikkerhetsmyndighet (NSM) vokter norsk informasjon mot tyver og inntrengere. Med enkle grep kan du gjøre jobben deres lettere. – Truslene kan man ikke gjøre så mye med, sier Annette Tjaberg, assisterende direktør for Nasjonal Sikkerhetsmyndighet (NSM), fagmyndigheten som blant annet sikrer norsk informasjon. Hver dag, hele tiden, blir norske bedrifter og offentlige organer utsatt for angrep fra alt fra gutteromshackere til store statlige aktører, forteller hun. Men det finnes motgift. – Det virksomhetene kan gjøre noe med, er hvordan de beskytter sine egne verdier, informasjonen de forvalter og datasystemene de har. De må kartlegge hva de forvalter av verdier i sin virksomhet, få oversikt over hvor virksomheten er sårbar, og være bevisste på hva de eventuelt tåler å miste. Så må de sikre seg deretter. Rekruttering er viktig for NSM, som må ha tilgang på riktig kompetanse for å kunne gjøre denne viktige jobben, sier Tjaberg. Generelt har de hatt god søknad til stillingene sine, men innenfor en del av de tekniske disiplinene konkurrerer NSM om de samme hodene som mange andre også har behov for, sier hun.

TREKK OG MOTTREKK NSMs arbeid består i å finne sårbarheter og hjelpe virksomhetene med å redusere dem, forteller Tjaberg. I forhold til informasjonssikkerhet utvikler NSM krav og

anbefalinger som norske virksomheter må følge, og støtter dem som har hendelser i systemene sine med å få tettet sikkerhetshullene. – Om du ikke tåler å miste noen ting, må du beskytte informasjonen og verdiene du forvalter deretter, sier Tjaberg.

”Angriperne bruker stort sett kjente sårbarheter for å bryte seg inn i datasystemer” Angriperne bruker stort sett kjente sårbarheter for å bryte seg inn i datasystemer. Det er enkle virkemidler som skal til for å beskytte seg mot mesteparten av disse angrepene. – Gjennom å opprettholde oppdatert program- og maskinvare, installere sikkerhetsoppdateringer så fort som mulig, ikke gi sluttbrukere administratorrettigheter og blokkere kjøring av ikke-autoriserte programmer, kan opp mot 70–90 % av angrepene hindres el-

1. A ksepter at du har verdier, informasjon og objekter som andre er ute etter. 2. V irksomheter vil aldri kunne sikre all

10

informasjon. Det viktigste er å identifisere informasjonen med høyest verdi og sikre den deretter.

ler stoppes, sier Tjaberg. Hun understreker at virksomhetene må ha gode og systematiske rutiner for å oppdatere når nye versjoner kommer.

KJENTE SÅRBARHETER Norske bedrifter er attraktive for inntrengere og forvalter informasjon og teknologi som kan være interessante for et stort spekter av aktører. Ofte vet man ikke at man er under angrep før det er for sent, forteller Tjaberg. Og det er lett å gå på limpinnen. – Plutselig klikker du på en link i en e-post du får fra en som utgir seg for å være en kollega eller samarbeidspartner. Linken kan føre deg til en nettside med ondsinnet programvare, eller det kan være et vedlegg til e-posten som inneholder et virus som aktiveres når du åpner dokumentet. Stilt overfor denne store oppgaven har Tjaberg klare tanker om hva NSMs største utfordringer vil være i den nærmeste tiden. – Videreutvikling og forsterkning av det offentlig-private samarbeidet er veldig viktig for oss. Vi vil ha tettere dialog med virksomhetene for å kunne være en god sparringpartner og rådgiver. Her må alle gode krefter forenes, slik at vi videreutvikler og opprettholder et godt nivå på datasikkerheten.

3. A lle ansatte med brukernavn og passord til virk­s om­h etens informasjonssystemer er et mål for trussel­ aktørene.

4. B åde ledere og ansatte har et ansvar og er med på å bidra til at de reelle sikkerhetstiltakene blir så robuste som mulig.

Tips og råd for sikkerhet på reise • Forstå og aksepter at du er et mål på internett • T ilbud som er for gode til å være sanne, er som regel det • Ta ikke med deg flere enheter enn det du trenger • Ta ikke med deg mer informasjon på dine enheter enn det du må • K rypter informasjonen din • Slå av blåtann og trådløs forbindelse dersom du ikke må bruke disse • Bruk VPN-løsninger og andre sikkerhetsmekanismer når dette er tilgjengelig for deg • Når du kommer hjem – sjekk enhetene dine, eller la noen kyndige kontrollere dem • Når du kommer hjem - bytt passord Ikke friskmeld deg selv og dine enheter like etter hjemkomst. Konsekvensene ved å ha blitt kompromittert kan komme over tid. Vi legger igjen en rekke digitale spor på reiser og du kan f.eks. ha gitt fra deg din e-postadresse til en rekke mennesker og virksomheter. Vær spesielt oppmerksom på e-poster med vedlegg som kommer i ettertid.

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

Tone Hoddø Bakås var en av initiativ­ taker til kvinnenettverket Security Divas. Den første konferansen ble holdt hos Norsis på Gjøvik.

Bare for damer Informasjonssikkerhet og IKT er en mannsdominert sektor og dette preget også konferansene til NorSIS, Norsk senter for informasjonssikkerhet. De få damene som deltok bestemte seg for ikke å være i mindretall lenger.

Anne Gretland forteller at ODA-nettverket arbeider aktivt for å rekruttere flere kvinner inn i IT-bransjen. Selv jobber hun til daglig i Microsoft.

Kvinner er kvinner best Disse it-girlsene har peiling på mer enn moter. Kvinnene i Oda-Nettverk synes det er mer interessant å diskutere sikkerhet og infrastruktur. Anne Gretland leder den frivillige organisasjonen Oda-Nettverk, som jobber for å få flere kvinner inn i norsk IT-bransje. Da er det en del gamle fordommer som må rives ned: – IT er ikke bare teknisk og kjedelig; IT kan gjøre livet mye enklere for mange og det er dette vi må vise jentene på videregående skole. Studieveilederne på skolen må ikke glemme å fronte IT-bransjen og det hav av muligheter en utdanning innenfor IT gir. Anne Gretland jobber til daglig i Microsoft. På en konferanse i USA for ti år siden ble det etterlyst større mangfold både når det gjelder kjønn, alder og etnisitet i IT-bransjen. – Jeg tenkte at vi var vel en ganske homogen masse vi som jobbet med dette i Norge også. Mannsdominansen var iallfall stor og er det fremdeles. Vel hjemme kom hun og hennes kolleger over en undersøkelse hvor kvinner i IT-bransjen etterlyste et kvinnenettverk. Anne Gretland tok kontakt med kvinnelige kolleger og snart begynte snøballen å rulle – i dag er Oda-Nettverk Nordens ledende nettverk for kvinner som jobber i IT-bransjen. Målet er gjennom

inspirasjonsdager, nettverkstreff, mentorprogram og kåring av årets kvinnelige IT-forbilde, å øke andelen kvinner i IT-bransjen.

MÅLRETTET STRATEGI – Det er viktig og lønnsomt for bedriftene at det er en god balanse mellom menn og kvinner, sier hun. – Oda-Nettverk skal inspirere kvinnene til å søke utfordringer i bransjen og til å framsnakke yrket for sine medsøstre, døtre og venninner. Oda-prisen vi deler ut hvert år, skal løfte fram de gode, kvinnelige rollemodellene vi har innen IT. Vårt fokus er å oppmuntre kvinnene til å stikke hodet frem i en mannsdominert bransje, og ikke minst; å bli i bransjen og utvikle seg videre. Kvinneandelen i IT-bransjen var i fjor nitten prosent, slik den har vært det de siste årene. Anne Gretland sier at IT-bransjen har vokst betydelig i senere tid, men at en stor tilflyt av menn, spesielt innenfor konsulentvirksomhet har holdt kvinneandelen på stedet hvil. Flere av Oda-Nettverk sine samarbeidspartnere har en kvinneandel på over 30 prosent, ifølge

”Vårt fokus er å oppmuntre kvinnene til å stikke hodet frem i en mannsdominert bransje.” lederen av Oda-Nettverk. Det som kjennetegner disse bedriftene er at de har en målrettet strategi om å øke kvinneandelen og at dette er forankret i ledelsen, forteller hun. På de månedlige nettverkstreffene utveksles kunnskap, erfaringer og jobbtips. Noen rekrutteres til nye stillinger der og da. Nettverks­ treffene holdes lokalt, i Oslo, Bergen eller Trondheim. – Når man er i mindretall i en bransje, blir man f linkere til å bygge og benytte seg av nettverk. Oda-Nettverk er en viktig møteplass for kvinner i IT-bransjen, fastslår Anne Gretland.

Resultatet ble konferansen Security Divas. Kvinner som arbeider med informasjonssikkerhet og IKT setter agendaen, alle foredragsholderne er kvinner og alle deltakerne også. – Dette har blitt en stor suksess, fastslår Tone Hoddø Bakås. Hun er seniorrådgiver i NorSIS og har deltatt på de mannsdominerte høstkonferansene (egne konferanser uavhengige av ISFs Høstkonferanse, red. anm.) så langt tilbake hun kan huske. – Jeg syntes konferansene var gode faglig sett. Jeg har aldri vært så opptatt av dette med kjønnsfordelingen, men la merke til at den lave kvinneandelen på maks ti prosent var et tema hvert år. Ett år hadde en av deltakerne med seg noen t-skjorter med påskriften Security Divas som hun delte ut. Vi hadde mye moro med navnet og et frø var sådd – hva med å lage vår egen konferanse, bare for oss sikkerhetsdivaer i bransjen? I 2011 gikk den første divakonferansen av stabelen på Gjøvik. Stemningen skal ha vært upåklagelig, slik den har vært hver gang kvinneligaen innen informasjonssikkerhet og IKT har møttes. – Det første året var vi bare tjue deltakere, i 2012 var vi 40, i 2013 60 og i fjor møtte 120 opp. Vi burde ha kommet lengre enn at folk påpeker at her er det bare kvinnelige foredragsholdere – når hører vi noen fremheve at alle på talerstolen er menn? Men i stedet for å syte over diskriminering har vi valgt å markedsføre konferansen med en litt humoristisk snert som kler navnet, sier hun. Temaene som tas opp på konferansen er det nok ingen som drar på smilebåndet av: Programvaresikkerhet, sikkerhetskultur, trusselbilder og sårbarheter. – Det har vist seg at damene synes det er lavere terskel for å ta ordet og for å komme i snakk med andre når det bare er kvinner i salen. De bygger nyttige nettverk. Bakås sier hun ønsker at halvparten av dem som jobber innen informasjonssikkerhet og IKT skal være kvinner. – En jevn fordeling av av menn og kvinner gir bedre kultur og arbeidsmiljø. Security Divas er med på å synliggjøre kvinner for hverandre og å løfte dem opp og frem.

11

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM Foto: Hanne Kristine Fjellheim/Steria

Finn Melbø, administrerende direktør i Statens pensjonskasse, og sikkerhetsdirektør Jan Tobiassen i konsulentselskapet Steria viser til en suksesshistorie innen informasjonssikkerhet.

Sikkerhet starter på toppen I løpet av de siste årene har Statens pensjonskasse (SPK) hevet informasjonssikkerhetsnivået sitt betraktelig. For å klare det har toppledelsen spilt en viktig rolle.

for å få kontroll med informasjons­sik­ker­heten

12

– Sikkerhet er ekstremt viktig for oss. Vi har over en million mennesker som stoler på at vi har kontroll på dataene deres, og at vi er i stand til å utbetale riktig beløp til riktig tid, sier Finn Melbø, administrerende direktør i SPK. Helt siden 2008 har SPK hatt økt fokus på sikkerhet, og integrert dette i helhetlig risikostyring og internkontroll. Toppledelsen har involvert seg fra starten av for å sørge for at sikkerhetsforvaltningen er integrert i alle aspekter av virksomheten.

toppledelsen. Det å etablere informasjonssikkerhet som en del av virksomhetsstyringen er ekstremt viktig, først og fremst for å høyne kompetansen og styrke kulturen om temaet både hos ledelsen og de ansatte. Informasjon er den viktigste ressursen virksomheter flest forvalter, og uten god forvaltning kan virksomheter fort bli ineffektive. Slik sett har SPK en suksesshistorie som bør deles med andre, sier Tobiassen.

INEFFEKTIVITET UTEN INFORMASJONSFORVALTNING Sikkerhetsdirektør Jan Tobiassen i konsulentselskapet Steria var med SPK i begynnelsen av deres planleggings- og implementeringsfase for informasjonssikkerhet i 2010. Han sier at SPK har gjort svært mye riktig for å skape en god kultur for sikkerhet. – Det første vi gjorde var å sørge for at informasjonssikkerhetsplanene var tungt forankret i

Finn Melbø er enig. Han sier at de innførte en rekke tiltak for å øke forståelsen av sikkerhetsforvaltningen. Blant annet har sikkerhetslederen sittet i ledergruppen, et eget sikkerhetsråd er etablert og en holdningskampanje om informasjonssikkerhet har pågått i over ett og et halvt år – med gode resultater. – Steria satte tidlig fokus på at informasjonssikkerhetsstyring er mye mer enn IT. Man må tenke bredt. Vi var tidlig ute for å sikre

1. Sikkerhet begynner med ledelse – forankring hos virksomhetens ansvarlige er helt nødvendig for å lykkes.

4. Sikkerhetstiltak må inngå som en del av de ansattes daglige g jøremål – sikkerhet er ikke noe man driver med på siden av alt annet.

2. Identifiser hvilke informasjons­ verdier som er sentrale for din virksomhet – det er disse verdiene du skal sikre.

5. Bygg en sikkerhetskultur og en ryggmargsrefleks – dine ansatte truer sikkerheten dersom de mangler sikkerhetsforståelse og kompetanse.

3. Sikkerhet krever kontinuerlig oppfølging – du kommer ikke i mål med et engangsstunt.

6. Ansvaret for sikkerhet følger ansvaret i linjen – dersom du har ansvaret for en aktivitet eller en

INFORMASJONSSIKKERHET: MYE MER ENN IT

Etter flere år med økt fokus på sikkerhet kan Finn Melbø slå fast at de har klart å bygge en god kultur for dette internt. det tekniske, men risikoen ligger ofte hos personene som sitter foran PCen. Våre medarbeidere må ha en basal forståelse om hvorfor dette er viktig, sier Melbø.

KONTINUERLIG ARBEID Tiltakene som har blitt gjort i løpet av de siste årene har blitt gjennomført av SPK selv, men Ste-

prosess er du også ansvarlig for at sikkerheten er ivaretatt. 7. Tenk helhetlig sikkerhet – prinsippene for hvordan man følger opp operativ-, fysisk-, teknisk-, HMS-, informasjons- og IT-sikkerhet er i utgangspunktet de samme. 8. Kvalitet og sikkerhet hører sammen – med et felles kvalitets- og sikkerhetsstyringssystem vil du få bedre styring og kontroll med virksomheten din.

ria var sentral i forberedelsene, planleggingen og implementeringen av styringssystemet. SPK fikk definert de viktigste byggesteinene og kartlagt de viktigste rollene. Melbø mener derfor at det var helt nødvendig å ha konsulentbistand for å klare å gjennomføre endringene. – Fra starten var det klart at vi ikke kunne gjøre oss avhengige av Steria i sikkerhetsarbeidet. Men det var helt nødvendig for oss at Steria bistod i etableringsfasen, gav oss den nødvendige kompetansen og gjorde oss i stand til å forvalte sikkerhetsarbeidet på egen hånd, sier han. I dag har SPK klart å skape en kultur for informasjonssikkerhet, men Melbø påpeker at man aldri vil komme helt i mål. – Vi er et helt annet sted nå enn det vi var for bare noen få år siden, men det er kontinuerlig arbeid. Nye utfordringer oppstår stadig, og kulturen må holdes i hevd. Men vi er definitivt på rett vei for å takle de utfordringene som måtte komme, avslutter Melbø.

9. Risikostyring er sentralt for sikkerhetsarbeidet – du må ha oversikt over trusler og sårbar­h eter for å kunne sikre dine verdier på en kosteffektiv måte. 10. Helhetlig styring og kontroll – når sikkerhet og kvalitet inngår som en del av virksomhetsstyringen har du lagt forholdene til rette for å lykkes.

stopp. tenk. klikk. Du bruker ikke samme børste overalt, hvorfor bruke samme passord?

SØRG FOR AT KUNDEDATA OG E-POST FORBLIR PRIVAT! Buypass SSL-sertifikat

Nasjonal Sikkerhetsmåned arrangeres i oktober 2014. Bestill opplæringspakke om informasjonssikkerhet til dine ansatte her:

www.sikkert.no

www.norsis.no

Direktoratet for forvaltning og IKT (Difi) skal bidra til å utvikle og fornye norsk forvaltning. Dette skal vi gjøre med spisskompetanse innenfor ledelse, medarbeiderutvikling, IKT, omstilling, organisering, kommunikasjon og offentlige anskaffelser. Difi har om lag 250 tilsatte i Oslo og Leikanger.

Vil du jobbe som

sikkerhetsarkitekt i Difi? I fremtiden skal digital kommunikasjon med det offentlige være hovedregelen. Det betyr at det må lages nye digitale løsninger, og disse løsningene må være bygget med god sikkerhet i bunn. I Difi er det etablert et kompetansemiljø som skal bidra til at statsforvaltningen lykkes med dette, og vi søker nå etter en sikkerhetsarkitekt for å styrke dette miljøet ytterligere. Det er sentralt at kompetansemiljøet har meget god forståelse for hvordan sikringstiltak påvirker forvaltningens mulighet til å nå sine mål. Vi ser etter deg som kan koble tekniske løsninger med virksomhetens mål, og vurdere hva som er innenfor akseptabel risiko og en god nok løsning. Arbeidssted er i Oslo. Noe reisevirksomhet må påregnes.

Bruk SSL-sertifikater for å sikre nettsider og nettbutikker, e-post, mobilapplikasjoner og server-til-server-kommunikasjon Sørg for at informasjon om dine brukere behandles trygt. SSL-sertifikater bidrar til å sikre kommunikasjon på nettet, og skaper tillit hos brukerne. Buypass er Norges eneste sertifiserte utsteder av SSL-sertifikater, og leverer sertifikater tilpasset de fleste behov.

Nasjonal Sikkerhetsmyndighet (NSM) har ved flere anledninger anbefalt virksomheter å benytte våre sertifiakter. Velg selv om du ønsker å bestille enkelt sertifikater via vår nettside, via partner, eller bestille og forvalte sertifikater selv via Buypass ID Manager. Se www.buypass.no

For mer informasjon om oppgaver og krav til kompetanse, se full utlysningstekst på www.difi.no og registrer deg som søker der innen 1. september 2014.

For mer informasjon kontakt seksjonssjef Lillian Røstad e-post: Lillian.Rostad@difi.no, tlf: 994 00 628

BUYPASS AS Nydalsveien 30A, Postboks 4364 Nydalen N-0402 Oslo, Norway t: +47 22 70 13 00 e: kundeservice@buypass.no w: buypass.no

DETTE BILAGET ER EN ANNONSE FOR NORSK INFORMASJONSSIKKERHETSFORUM

– Vi er avhengige av å ha en høy forsknings- og utdanningskapasitet innen informasjonssikkerhet, sier Morten Irgens.

Smarte strømnett former fremtiden

Nasjonalt senter samler aktørene

Smartgrids er kjent for noen, ukjent for andre. Samlet sett handler det om smarte nettverk som samarbeider.

– Kunnskapssamfunnet Norge må beskytte seg, sitt næringsliv og sine borgere. Da er det nødt til å utvikle utdanningskapasitet og forskningskapasitet på informasjonssikkerhet, sier Morten Irgens, leder for interimstyret ved det nye Center for Cyber and Information Security.

– Smartgrids er et begrep som brukes om det kraftnettet skal bli etter en modernisering. Smart strøm eller smarte nett er også begreper som benyttes. Flere sensorer, mer overvåking, Maria B. Line, automatisk feilret- forsker ved SINting – kort sagt mer TEF og stipendiintelligens i nettet at ved NTNU. er kjernen i smartgrids. Det forteller forsker ved SINTEF og stipendiat ved NTNU, Maria B. Line. En annen funksjon ved smartgrids er at forbrukere kan sende sin overskuddsstrøm tilbake til nettet, noe som vil øke den totale nyttegraden. AMS – automatiske strømmålere – er første skritt på veien, og det er der vi er i Norge, med et mål om 100 prosent utbredelse av AMS innen 1.1.2019. Det er nettselskapene som har ansvar for dette, da det er de som eier og drifter distribusjonsnettet ut til hver enkelt strømkunde.

– Vi lever i et kunnskapssamfunn. Den norske økonomien er en kunnskapsøkonomi – det gjør informasjonssikkerhet svært viktig for landets framtidige velferd, forteller Morten Irgens, leder for interimstyret ved Center for Cyber and Information Security, som åpner 15. august. – Cyberspionasje er blitt kalt den største overføring av verdier i historien, fortsetter Irgens. Både Telenor og Ulsteingruppen har blitt utsatt for alvorlig cyberspionasje. Det er kompetansen, kunnskapen og teknologien i slike firmaer som skal gi oss konkurransekraft på verdensmarkedet. Da må vi unngå at den blir stjålet eller lastet ned til en utenlandsk konkurrent. Senteret vil dekke flere aspekter av sikkerhet i vår nye digitale virkelighet, inkludert cyberspionasje, biometri, etterforskning av datakriminalitet, beskyttelse av kritisk infrastruktur og borgernes rettsikkerhet og personvern. – Et annet eksempel enn cyberspionasje er nettopp vår kritiske infrastruktur, fortsetter Irgens. All vår kritiske infrastruktur, fra energinettverk til vann til mat, er kontrollert og styrt av styringssystemer som er IKT-baserte – det

”All vår kritiske infrastruktur er kontrollert og styrt av styrings­sys­ temer som er IKT-baserte.” gjør cybersikkerhet til din og min sikkerhet. Vi snakker om konsekvenser for liv og helse.

DER ALT SAMLES UNDER ETT Det nye senteret blir et nasjonalt senter for forskning, utdanning og kompetansebygging i cyber- og informasjonssikkerhet. Irgens er sterkt opptatt av samfunnsaspektet: – Når vi er blitt så avhengige av informasjon, kunnskap og IKT,

bør vi ha en høy forsknings- og utdanningskapasitet innen informasjonssikkerhet, cybersikkerhet og IKT-sikkerhet. Med senteret vil Norge komme godt på vei, sier han. Senteret er ikke et rent forsk­ nings­senter. Det knytter forskning av høy internasjonal kvalitet tett sammen med spesialrettede studieprogrammer. Senteret vil ha en rekke studieprogrammer i informasjonssikkerhet og cybersikkerhet på bachelor, master og til og med PhD-nivå. Senteret blir unikt på å levere dedikerte studieprogrammer på alle tre nivåer. Partnere inkluderer: Cyberforsvaret, Eidsiva, Forsvarets Forskningsinstitutt, Forsvarets Ingeniørhøgskole, Høgskolen i Gjøvik, Justis- og beredskapsdepartementet, KRIPOS, mnemonic, Nasjonal Sikkerhetsmyndighet, Nasjonalt ID-senter, NC-Spectrum, Norsk Senter for Informasjonssikring, Oppland Fylkeskommune, Oslo Politidistrikt, Politidirektoratet, Politiets Sikkerhetstjeneste, Politihøgskolen, Pricewaterhouse­ Coopers, Statkraft AS, Statnett, Tele­nor og IBM. – Flere kommer til. Vi har ikke hatt kapasitet til å følge opp interessen, avslutter Irgens.

CENTER FOR CYBER AND INFORMATION SECURITY (CCIS), et nytt nasjonalt senter for forskning, utdanning og kompetansebygging i cyber- og informasjonssikkerhet, åpner 15. august.

Innen 2 år sikter senteret på bl.a. å ha etablert faggrupper innen militært cyberforsvar, og innen cybersikkerhet av kritisk infrastruktur.

Nasjonal Sikkerhetsmyndighet (NSM), Nasjonalt ID-senter (NID), Politiets Sikkerhetstjeneste og Kripos er bare noen få av de offentlige etatene som samarbeider om oppbyggingen av senteret

Innen 4 år sikter senteret på å ha tilknyttet 55 PhD-studenter samt 10 postdoktorander, og ha økt støtten til 25 finansierende partnere fra det offentlige og private.

14

STORT SYSTEM, SAMMENSATT SIKKERHET Smartgrids gir store muligheter for nettselskapene for effektivisering og planlegging, samt bedre utnyttelse av det strømnettet vi har i dag. Enorme datamengder vil kunne samles inn fra et slikt intelligent nett og gi en mye mer detaljert innsikt i forbruk, etterspørsel og feil. Men vil man samtidig se nye sikkerhetsutfordringer? – Smartgrids vil by på mange ulike sikkerhetsutfordringer. Innsamling av store datamengder – strømforbruk – fra kunder utfordrer personvernet, da forbruksdata defineres som personopplysninger, forteller Line, som jobber spesifikt med hendelseshåndtering. Hun har kartlagt dagens praksis blant flere nettselskaper. – Både NVE og bransjen for øvrig har vært bevisst på sikkerhetsutfordringer i lang tid allerede. NVE har utgitt flere veiledere knyttet til risikovurderinger og sikkerhetsutfordringer med AMS. Sikkerhet er et tema på konferanser og andre samlinger i bransjen. Dette er et viktig første skritt i riktig retning, avslutter Maria B. Line

PROGRAM FOR HØSTKONFERANSEN 1-3 SEPTEMBER 2014 MANDAG 1. SEPTEMBER 11:00

Kurs for opplæringsansvarlig, NorSIS del 1 – gruppe 1

12:00

LUNSJ FOR DELTAKERNE TIL NORSIS-ARRANGEMENTET

12:45

Kurs for opplæringsansvarlig, NorSIS del 2 – gruppe 1

Kurs for opplæringsansvarlig, NorSIS del 1 – gruppe 2 Kurs for opplæringsansvarlig, NorSIS del 2 – gruppe 2

15:00 Security Divas arrangement Capture the Flag konkurranse 18:30

APERITIFF OG OFFISIELL ÅPNING AV HØSTKONFERANSEN 2014

19:00

GRILLING OG NETTVERKSBYGGING

TIRSDAG 2. SEPTEMBER 09:00

Velkommen til konferansen! Lillian Røstad (Styreleder, ISF)

09:25

A Brief History of Online Crime, Mark Rasch

10:15

Internet 2020: More secure? Dr. Daniel «Rags» Ragsdale (DARPA)

11:05 PAUSE 11:25

Creating a Strong Security Culture: Traditional and Gamified Awareness Programs, Ira Winkler

12:15 LUNSJ 13:15

Hva er de viktigste sikkerhetsutfordringene i årene som kommer?

14:05

Trusler, trender og faktiske hendelser, NSM NorCERT

14:55 PAUSE 15:30

”ISF 20 år” Mette, Anne Marie, Rune og John Arild

16:15

Møt leverandører på stands – Diskuter sikkerhet – Se på løsninger (Enkel servering)

16:30 mnemonic Siscon Data Equipment Check Point Software 17:00 PAUSE 17:15 Watchcom Security Group Buypass Atea Itera Networks 17:45 PAUSE 18:00 Conduct FireEye CapGemini Computerlinks 19:00

APERITIFF, FESTMIDDAG OG UNDERHOLDNING

ONSDAG 3. SEPTEMBER 08:45

Datatilsynet, Bjørn Erik Thon

09:35 PAUSE 10:00 Hvordan utvikle og innføre et Personvernutfordringer IT-sikkerhet og erfaringer fra styringssystem for informasjons- i Norge og Europa, en inntrengingstester, sikkerhet, Geir Arild Engh-Hellesvik, Andreas Hegna, Deloitte Bjørn S. Larsen, Arbeidstilsynet BDO Norge, og Erik Sørup Andersen, BDO Danmark 10:45 PAUSE 11:00 Sikkerhet i Public Cloud Store data, smått personvern, Evasion techniquies - hva gjøres Services - Erfaringer fra et Jostein Jensen, Lånekassen for å unngå dagens nettverkssikkerhets sertifiseringsprosjekt, løsninger? Thomas Rødseth, Christian Sandberg, Checkpoint Intelecom Group AS 11:45 PAUSE 12:15 Egne og andres forslag og Etablering av nasjonal erfaring med opplæring av metode for å avdekke snoking ansatte, i pasientjournalen, Tone Hoddø Bakås, NorSIS Trond Ericson, Devoteam AS

Passordsikkerhet i Windows 8, John-Andre Bjørkhaug, Combitech AS

13:00 LUNSJ 14:00 #digitalberedskap - og vårt Mitt liv som mediahore, OpenSAMM – hvordan måle manglende digitale sidesyn, Per Thorsheim, God Praksis AS sikkehetsmodenheten Frode Hommedal, Difi i utviklingsprosessen, Kåre Presttun, mnemonic as 14:45 PAUSE 15:00

Å leve med risiko, Sigrid Henjum

15:50

Avslutning av konferansen

Påmelding til Høstkonferansen

samt detaljert informasjon finner du på isf.no Er din virksomhet ikke ISF-medlem? I anledning vårt 20års jubileum ønsker vi å åpne dørene for alle, og tilbyr fri innmelding og gratis medlemskap ut året for alle som melder seg på konferansen!

Erik Alexander Løkken er avdelingsleder i mnemonic. Her avbildet i mnemonic SOC (service operation centre). Foto: Charlotte Sverdrup

Eksplosiv økning i antall dataangrep Antall alvorlige dataangrep mot norske bedrifter er i kraftig vekst. Nasjonal sikkerhetsmyndighet hevder at mange virksomheter er sårbare og lite bevisste egen sikkerhetssituasjon. Sikkerhetsselskapet mnemonic deler bekymringen, men er ikke overrasket over utviklingen. ”Sikkerhetstilstanden fortsatt ikke god nok,” skriver Nasjonal sikkerhetsmyndighet (NSM) i sin siste årsrapport. Der går det frem at mange virksomheter ”mangler oversikt over sine egne verdier og egen sikkerhetstilstand” og at det tar lang tid før sikkerhetsarbeid får prioritet og tiltakene blir implementert. Ifølge tall fra NSM ble det i fjor registrert 15.815 såkalte sikkerhetshendelser på nett og trusselen for cyberkriminalitet mot myndigheter, selskaper og enkeltpersoner er stadig økende. Mens det kun var en håndfull alvorlige saker i 2007, var det bortimot 10 ganger så mange tilfeller i 2013. - Vi er ikke overrasket over utviklingen innen datakriminalitet, sier Jan Henrik Schou Straumsheim i mnemonic, som med sikkerhetssystemet Argus overvåker og beskytter nettverkene til flere av Norges største virksomheter. - I Argus analyseres over 12.000 sikkerhetshendelser vært sekund 24/7/365. Vi ser mengder av forsøk på angrep. I fjor varslet vi ca. 11.000 sikkerhetshendelser hvorav 50 var rettede angrep, sier han.

Et skritt foran med Argus

NSM har regnet ut at dataangrep koster norske virksomheter rundt 20 milliarder kroner i året. Senest i juli ble nettstedene til flere av Norges største selskaper utsatt for såkalte tjenestenektangrep, hvor en mindreårig gutt stod bak det straffbare forholdet. - Vi ser et bredt spekter av mer eller mindre sofistikerte trusler og trusselaktører, sier Straumsheim. Selv uten særlig avansert utstyr eller spesielle evner kan enkeltpersoner forårsake stor skade.

Argus fra mnemonic hjelper til å overvåke, samle inn data, og sammenstille disse systematisk for å garantere maksimal sikkerhet mot kjente og ukjente trusler.

Alvorlige hendelser siden 2007

- For kundene er det helt nødvendig å ligge i forkant av utviklingen med å oppdage, svare på og forebygge trusler. På samme måte som de cyberkriminelle blir mer raffinerte og avanserte i sin tilnærming må virksomheter konstant utvikle seg for å holde tritt med trusselbildet.

50 40 30

Threat Intelligence, å ligge i forkant av truslene, er noe mnemonic og kundene jobber tett sammen om. mnemonic har svært mange overvåkningspunkter globalt, og informasjonen samles og sammenstilles slik at angrep som oppdages andre steder fungerer som læring for å beskytte seg mot liknende angrepsforsøk mot kundene.

20 10

Om Argus

Argus Managed Defence er en tjeneste som gir selskaper 24/7-drift av sikkerhetssystemer og overvåkning av kritiske systemer som kan skreddersys behovet i deres nettverk. Denne fleksibiliteten gjør at mnemonic kan tilpasse tjenesten til hver enkelt kunde og skaper balanse mellom risiko, beskyttelsesnivå og budsjetthensyn. Selskapet tilbyr fleksible løsninger for å beskytte kundens ressurser, gjerne i kombinasjon med å overvåke kundens eksisterende sikkerhetsløsninger. Argus MSS Platform er grunnmuren til alle tjenester i Argus Managed Defence. Plattformen er utviklet og tilpasset for å oppdage, analysere og løse alle typer sikkerhetstrusler, og er en avansert kundeportal spesielt egnet til å presentere håndterbar informasjon for å løse kundens sikkerhetshendelser. Argus Managed Defence leveres i tråd med de internasjonale standardene ISO9001 og ISO27001.

Kilder: https://www.nsm.stat.no/globalassets/rapporter/arsrapporter/nsm-arsrapport-2013.pdf http://www.aftenposten.no/nyheter/iriks/Dataangrep--Sa-enkelt-at-en-hvilken-som-helst-amator-kunne-gjort-det-7645657.html

Kilde: NSM

0

• • • • • • •

2007 2008 2009 2010 2011 2012 2013

Sikkerhetsovervåkning og varslingsservice 24/7/365 Levering av maskin- og programvareovervåkning Installasjon, konfigurasjon, opplæring og vedlike hold av løsning Levering av IRT- tjenester (incident respons team) ved behov Levering av løsning for sikkerhetstesting eksternt/ internt, automatisk/manuelt Levering av løsning for loggsikring og logganalyse Opsjoner for andre områder relevant for IT-sikkerhet