Håndbok i datasikkerhet by Fagbokforlaget

– informasjonsteknologi og risikostyring Informasjonsteknologien (IT) spiller en stadig viktigere rolle i alle typer virksomheter – private som offentlige – i arbeidet med å forbedre effektivitet, kvalitet og service på tjenester. Dette medfører økt avhengighet av IT-systemer og nettverkstjenester, som må være tilgjengelige når vi trenger dem, samtidig som viktig informasjon ikke må komme i urette hender. Nødvendige sikringstiltak vil dermed ha grunnleggende betydning for en virksomhets evne til å overleve.

Hva kan så virksomheter gjøre for å sikre seg best mulig mot dette i en verden hvor trusselbildet endres hver eneste dag? I denne boka forsøker vi å gi noen viktige råd om dette. Formålet med boka er å belyse hva datasikkerhet dreier seg om, hvilke teknologiske utfordringer vi står overfor, og hvordan relativt enkle grep og sunn fornuft vil være til stor hjelp i arbeidet med å skape en tryggere hverdag. Samtidig må den enkelte bruker være klar over at datasikkerhet i stor grad er avhengig av egen sikkerhetsbevissthet. Hvordan håndterer for eksempel du sensitiv informasjon – også om deg selv? 4. utgave skiller seg fra 3. utgave (2010) kun ved at det er tilkommet et nytt kapittel 17 om nye personvernregler i forbindelse med innføring av EU-forordningen GDPR (General Data Protection Regulation) i Norge. EU vedtok i 2016 GDPR-forordningen for å sikre like retningslinjer for personvern innen EU- og EØS-landene. Norske myndigheter har vedtatt at denne forordningen også skal gjelde i Norge, og den er derfor innlemmet i den nye Personopplysningsloven som trådte i kraft 20. juli 2018. Kapitlet gjennomgår de viktigste sidene ved GDPR, samt gir noen caser som belyser aktuelle tema. Bokas fire forfattere har alle en lang og allsidig bakgrunn med datasikkerhet som spesialfelt. De har på ulike måter og i en årrekke engasjert seg i arbeidet med å bedre sikkerhets-

bevisstheten og -kunnskapen i norsk samfunns- og næringsliv.

ISBN 978-82-450-2789-1

,!7II2E5-achijb!

Håndbok i datasikkerhet

Hver eneste dag er virksomheter utsatt for ulike IT-relaterte trusler og problemer. Mange virksomheter erfarer bl.a. at alvorlige sikkerhetssvakheter i nettverkstilknytninger og -protokoller medfører stor sårbarhet for ulike «angrep» via Internett og dermed problemer og avbrudd i sine tjenester. Dersom det ikke iverksettes tiltak for å beskytte verdifull informasjon, vil dette kunne få alvorlige konsekvenser – også for tredjepersoner som måtte rammes. Dersom det skulle oppstå omfattende svikt i kritiske nettverkskomponenter, kan et scenario være at store deler av en virksomhets globale nettverk vil kunne bryte sammen for kortere eller lengre tid.

Daler, Gulbrandsen, Høie og Sjølstad

Håndbok i datasikkerhet

4. utgave, med kapittel om GDPR

Håndbok i datasikkerhet – informasjonsteknologi og risikostyring

Torgeir Daler Roar Gulbrandsen Tore Audun Høie Torbjørn Sjølstad

Forutsetninger for sikkerhets‐ arbeidet

Sikringstiltak

Lederansvar

Trusler og farer

Bevissthet og holdninger Motivasjon

Fysiske og drifts‐ tekniske forhold

Bered‐ skaps‐ plan‐ legging

Organisering og ledelse (styring) av sikkerhetsarbeidet

IT‐ service‐ ledelse (ITIL)

Internett‐ og nett‐ verks‐ sikkerhet

Autorisa‐ sjon og tilgangs‐ kontroll

Læring og kunnskap Overvåking og kontroll Virksomhetsstyring (”Corporate Governance”)

Sikkerhetsvisjon

Sikkerhet ved bruk av PC‐er og hånd‐ holdt data‐ utstyr

Kryp‐ tering og digitale signa‐ turer

Beskyt‐ telse mot eksterne angrep

System‐ teknisk sikkerhet

Gradering av infor‐ masjon

Risikostyring og risikoanalyser Sikkerhetsrelaterte standarder og organer Lover og forskrifter

Hvorfor informasjons‐ sikkerhet

Samfunnets sårbarhet

Untitled-10 1

23.10.2014 10:57:24

Forutsetninger for sikkerhets‐ arbeidet

Sikringstiltak

Lederansvar

Trusler og farer

Bevissthet og holdninger Motivasjon

Fysiske og drifts‐ tekniske forhold

Bered‐ skaps‐ plan‐ legging

Organisering og ledelse (styring) av sikkerhetsarbeidet

IT‐ service‐ ledelse (ITIL)

Internett‐ og nett‐ verks‐ sikkerhet

Autorisa‐ sjon og tilgangs‐ kontroll

Læring og kunnskap Overvåking og kontroll Virksomhetsstyring (”Corporate Governance”)

Sikkerhetsvisjon

Sikkerhet ved bruk av PC‐er og hånd‐ holdt data‐ utstyr

Kryp‐ tering og digitale signa‐ turer

Beskyt‐ telse mot eksterne angrep

System‐ teknisk sikkerhet

Gradering av infor‐ masjon

Risikostyring og risikoanalyser Sikkerhetsrelaterte standarder og organer Lover og forskrifter

Hvorfor informasjons‐ sikkerhet

Samfunnets sårbarhet

Untitled-10 1

23.10.2014 10:57:24

HĂĽndbok i datasikkerhet â&#x20AC;&#x201C; informasjonsteknologi og risikostyring

Håndbok i datasikkerhet – informasjonsteknologi og risikostyring 4. utgave

Torgeir Daler Roar Gulbrandsen Tore Audun Høie Torbjørn Sjølstad

Grafisk produksjon: John Grieg, Bergen Grafisk formgivning: Ingrid Venås Omslagsdesign ved forlaget

Spørsmål om denne boken kan rettes til: Fagbokforlaget Kanalveien 51 5068 Bergen Tlf.: 55 38 88 00 Faks: 55 38 88 01 e-post: fagbokforlaget@fagbokforlaget.no www.fagbokforlaget.no

Materialet er vernet etter åndsverkloven. Uten uttrykkelig samtykke er eksemplarfremstilling bare tillatt når det er hjemlet i lov eller avtale med Kopinor.

Informasjon og innledende kommentarer om tilleggskapittel om GDPR og personvern i denne utgaven, 4 – 2019, av Håndbok i datasikkerhet – informasjonsteknologi og risikostyring Boka er i utgangspunktet ikke oppdatert etter utgave 3 – 2010. I forbindelse med nytt opptrykk (utgave 4 – 2019) har vi likevel funnet det riktig å legge til et eget kapittel om nye personvernregler i forbindelse med innføring av EU-forordningen GDPR (General Data Protection Regulation) i Norge. EU vedtok i 2016 GDPR-forordningen for å sikre like retningslinjer for personvern innen EU og EØS-landene. Norske myndigheter har vedtatt at denne forordningen også skal gjelde i Norge, og den er derfor innlemmet i den nye personopplysningsloven som trådte i kraft 20. juli 2018. Vi har på denne bakgrunn og i samarbeid med forlaget valgt å utarbeide et eget kapittel om GDPR i denne utgaven av Håndboka – kapittel 17. På denne måten kan leserne få litt kunnskap og noen råd om hvordan forordningen bør tolkes og implementeres – uten å komme i konflikt med de personvernregler som fortsatt gjelder. Dette kapitlet er av praktiske årsaker plassert helt bakerst i boka, og er heller ikke innarbeidet i stikkordregisteret. Under kapittel 3 i boka, Lover og forskrifter, finnes det informasjon om personvernregler i Norge (3.4 – Personregisterloven, 3.5 – Personopplysningsloven og 3.6 – Personopplysningsforskriften). Disse beskrivelsene gir et historisk tilbakeblikk på personvernarbeid gjennom de siste tiårene, og refererer til de lover og forskrifter som er gitt i Norge. GDPR er altså ikke en fullstendig erstatning for alle slike regler og retningslinjer for personvern i Norge. GDPR vil både kreve og inspirere til at sikkerhet i enda større grad settes på dagsordenen, og at rutiner gjennomgås og forbedres – både innen privat og offentlig sektor. Blant annet vil det nå bli satt ytterligere søkelys på at alle behandlinger av personopplysninger, sensitive som ikke-sensitive, skal registreres og følges opp. Dette vil gjelde for alle offentlige og private virksomheter, små som store. Som del av dette skal det også bl.a. dokumenteres hvor i virksomheten de respektive personopplysninger behandles, hvem som er autorisert for tilgang/behandling til opplysningene, hvilken rett/lovreferanse virksomheten har til å behandle opplysningene, kort om hvilke rettigheter de registrerte har knyttet til den aktuelle behandlingen, og hvordan opplysningene er sikret mot innsyn og tilgang fra uautorisert personell. I Etterord etter det nye kapittel 17 om GDPR har vi tatt med noen eksempler på saker som viser litt av nåsituasjonen og virkeligheten i dagens Sikkerhets-Norge – og i verden for øvrig. Vi tar i tillegg med at Bergen kommune i mars 2019 er pålagt å betale en bot på 1,6 mill. kroner til Datatilsynet for manglende sikkerhet i datasystemer knyttet til behandling av sensitive elevdata i grunnskolen. Det er med andre ord lønnsomhet i god sikkerhet!

FORORD Forfatterne av Håndbok i datasikkerhet – informasjonsteknologi og risikostyring skrev den første boka om dette temaet i 1987. Den første utgaven ble også oversatt til svensk og engelsk. Håndboka har senere gjennomgått omfattende revisjoner i nye utgaver både i 1988, 1990, 1993, 2002 og 2006. Utgavene frem til 1993 ble utgitt på Universitetsforlaget, utgavene fra 2002 og 2006 er utgitt på Tapir forlag, mens utgave 2010, 2. opplag 2014 og utgave 2019 er utgitt av Fagbokforlaget. Vi har i hovedtittelen benyttet betegnelsen datasikkerhet, da vår erfaring er at dette begrepet fremdeles klinger godt i norsk språkdrakt. I denne boka er begrepene datasikkerhet, IT-sikkerhet og informasjonssikkerhet brukt tilnærmet synonymt og omfatter både fysisk, driftsteknisk, systemteknisk og organisatorisk sikkerhet. Det har vært en dramatisk endring i datateknologien siden 1. utgave i 1986, og en voldsom vekst i omfang og anvendelse av IT. Her er det nok å minne om internett som var ukjent i 1993, og som frem til i dag har gitt og fremdeles gir betydelige sikkerhetsmessige utfordringer. Vi har fått flere kriminelle – også organiserte bander av disse – som i økende grad angriper datanettverk og mobile enheter verden over i vinnings hensikt; se eksempel på dette fra mars 2019 i bokas etterord. Det er kun foretatt mindre endringer og enkelte presiseringer i de utgavene som er utgitt etter 2006, da trendene og rådene vi beskrev i 2006-utgaven, fortsatt er like relevante; dette gjelder både i forhold til trusselbildet og teknologisk. Faktaopplysninger refererer seg i hovedsak til situasjonen per 2006. Eventuelle endringer i lover og forskrifter utover ny personopplysningslov og GDPR kan sjekkes ved oppslag på www.lovdata.no. Datatilsynets hjemmeside har også god og viktig informasjon; www.datatilsynet.no. God datasikkerhet representerer et stadig viktigere konkurransefortrinn for de fleste virksomheter; tall fra de senere år viser også at et økende antall virksomheter – private som offentlige – har store fordeler av å investere i nødvendige fysiske, systemtekniske og organisatoriske sikringstiltak. IT er i dag fundamentet i alle forretningsprosesser. Det betyr at: • effektive forretningsprosesser er avhengige av effektive IT-løsninger

• effektive IT-løsninger er avhengige av robust og sikker IT-infrastruktur • IT-drift outsources til eksterne driftsaktører i økende grad; flere og flere satser også på sky-løsninger. Dette for å få en stabil og forutsigbar drift, og for å frigjøre interne IT-ressurser til mer strategisk rettet IT- og sikkerhetsarbeid • robust og sikker IT-infrastruktur må ha effektive sikrings- og kontrolltiltak • effektive sikrings- og kontrolltiltak må balanseres mot kritikalitet og akseptabel risiko • den som har ansvaret for en forretningsprosess, har også ansvar for å stille konkrete krav til sikkerhet • sikkerhetsansvar og oppfølging kan ikke outsources! God sikkerhet dreier seg mye om holdninger og bevisstgjøring. Opplæring i sikkerhetsrelaterte utfordringer bør derfor settes høyt på dagsordenen – helt fra grunnskolen. Vår viktigste intensjon med denne håndboka er å spre kunnskap og å inspirere til sikkerhetsbevissthet blant dagens og morgendagens ledere og IT-brukere. Den enkelte bruker må være klar over at informasjonssikkerhet i stor grad er avhengig av egen sikkerhetsbevissthet. Hvordan håndterer du sensitiv informasjon – også om deg selv? Bokas innhold er illustrert ved vårt Sikkerhetshus, og viser de viktigste elementene som bør inngå i et rammeverk for datasikkerhet. Huset er bygget på en solid grunnmur med sterke konstruksjoner, godt isolerte vegger og et vanntett tak. Årsaken er åpenbar – dårlig håndverk, mangler og svakheter i byggefasen vil øke sårbarheten og faren for angrep, og eksponere virksomheten for høyere risiko enn det ledelsen kan akseptere. Forutsetningene for sikkerhetsarbeidet vil være lovpålagte krav og selvpålagte krav i form av egen sikkerhetspolicy og egne retningslinjer. Sikkerhetsarbeidet må være basert på risikovurderinger og helhetlig risikostyring hvor ledelsen og styret godkjenner hva som er akseptabel risiko (ledelsesforankring). De respektive kapitler er skrevet av forfattere med ulik bakgrunn og ulike erfaringer. Vi mener dette gir boka en god faglig bredde og styrke. Det kan imidlertid forekomme gjentakelser som kan virke unødvendige. Til gjengjeld vil hvert enkelt kapittel stå på «egne ben» – noe som er i samsvar med vår intensjon. Vi har utarbeidet en omfattende ordliste, en stikkordliste samt en referanseliste for de som ønsker å gå mer i dybden på enkelte fagområder.

FORORD

Under arbeidet med boka har vi hatt god støtte fra flere personer, men ingen nevnt, ingen glemt. Vi vil likevel rette en spesiell takk til vår tidligere medforfatter, Birger Melgård, som etter eget ønske ikke har bidratt aktivt til de tre siste utgavene. Vi håper du vil ha nytte av håndboka i ditt arbeid med å etablere og vedlikeholde en god nok informasjonssikkerhet og risikostyring i din virksomhet og i ditt nærmiljø. Ha en god og sikker hverdag! Oslo, mars 2019 Forfatterne

8 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

INNHOLD 1 HVORFOR INFORMASJONSSIKKERHET? ..................................

2 INFORMASJONSSIKKERHET – TRUSLER OG FARER ............. 2.1 INNLEDNING ................................................................................. 2.2 HVA INNEBÆRER INFORMASJONSSIKKERHET? ................. 2.2.1 Definisjon av informasjonssikkerhet ........................................ 2.2.2 Forvaltning av informasjon ..................................................... 2.2.3 Personvern ............................................................................... 2.2.4 Samfunnet er sårbart ............................................................... 2.2.5 Offentlige sikkerhetshensyn ..................................................... 2.2.6 Økonomiske konsekvenser ....................................................... 2.3 TRUSLER OG FARER ................................................................... 2.3.1 Generelt ................................................................................... 2.3.2 Datakriminalitet....................................................................... 2.3.3 Tyveri av datautstyr og informasjon ........................................ 2.3.4 Industrispionasje ..................................................................... 2.3.5 Sabotasje.................................................................................. 2.3.6 Hacking (datasnoking), virus og andre fenomener.................. 2.3.7 Hackersituasjonen ................................................................... 2.3.8 Tilfeller av virus og ormer ....................................................... 2.3.9 Identitetstyveri ......................................................................... 2.3.10 «Phishing» ............................................................................. 2.3.11 Bot, Botnet, Zombies .............................................................. 2.3.12 SPAM (søppelpost) ................................................................ 2.3.13 Spionprogrammer («Spyware»)............................................. 2.3.14 Elektromagnetisk utstråling (EMU)....................................... 2.3.15 Elektronisk avlytting .............................................................. 2.3.16 Elektromagnetisk puls (EMP) ................................................ 2.3.17 Driftsavbrudd......................................................................... 2.3.18 Nye betalingstjenester ............................................................ 2.3.19 Mangelfulle holdninger og bevissthet ....................................

35 35 35 35 36 38 39 40 41 43 43 46 49 51 57 57 59 63 67 67 69 70 71 72 73 75 76 78 78

3 LOVER OG FORSKRIFTER............................................................... 3.1 INNLEDNING ................................................................................. 3.2 GENERELT OM LOVER OG REGELVERK ................................ 3.3 IT-KRIMINALITET OG STRAFFELOVEN.................................. 3.4 PERSONREGISTERLOVEN .......................................................... 3.5 PERSONOPPLYSNINGSLOVEN .................................................. 3.6 PERSONOPPLYSNINGSFORSKRIFTEN .................................... 3.7 FORSKRIFT OM BRUK AV INFORMASJONSOG KOMMUNIKASJONSTEKNOLOGI (IKT)............................ 3.8 SIKKERHETSLOVEN....................................................................

81 81 81 83 91 92 94 100 104

3.9 ARKIVLOVA .................................................................................. 3.10 LOV OM OPPHAVSRETT TIL ÅNDSVERK MV. (ÅNDSVERKLOVEN) .................................................................. 3.11 FORVALTNINGSLOVEN ........................................................... 3.12 OFFENTLIGHETSLOVEN .......................................................... 3.13 LOV OM ELEKTRONISK SIGNATUR ...................................... 3.14 AKSJELOVEN .............................................................................. 3.15 SARBANES-OXLEY ACT (SOX) ............................................... 3.16 PERSONVERNLOVGIVING I ANDRE LAND ..........................

109 109 112 112 113 114 116 118

4 SIKKERHETSRELATERTE STANDARDER OG ORGANER ...... 4.1 INNLEDNING ................................................................................. 4.2 BAKGRUNN OG HISTORIKK FOR SIKKERHETSSTANDARDER 4.3 SIKKERHETSRELATERTE STANDARDER............................... 4.3.1 NS ISO/IEC 27002:2005.......................................................... 4.3.2 ISO/IEC 27001:2005 ............................................................... 4.3.3 ISO 9000 .................................................................................. 4.3.4 COSO – Standard for internkontroll ....................................... 4.3.5 COBIT – Standard for IT-revisjon ........................................... 4.4 SIKKERHETSRELATERTE ORGANER ...................................... 4.4.1 Datatilsynet .............................................................................. 4.4.2 Nasjonal Sikkerhetsmyndighet (inkl. SERTIT, VDI og NorCERT) 4.4.3 Forsvarets Sikkerhetsavdeling (FSA) ...................................... 4.4.4 Direktoratet for samfunnssikkerhet og beredskap ................... 4.4.5 Kredittilsynet ........................................................................... 4.4.6 ØKOKRIM ............................................................................... 4.4.7 Datakrimavdelingen ved Kripos .............................................. 4.4.8 Politiets sikkerhetstjeneste (PST)............................................. 4.4.9 Sårbarhetsutvalget ................................................................... 4.4.10 Norsk senter for informasjonssikring (NorSIS) ..................... 4.4.11 Gjøvik Kunnskapspark/«Bluelight»/Security Valley .............. 4.4.12 Næringslivets Sikkerhetsorganisasjon/Næringslivets Sikkerhetsråd 4.4.13 Forsikringsselskapenes Godkjennelsesnemnd (FG) .............. 4.4.14 IT-SikkerhetsForum (ISF) ...................................................... 4.4.15 Norsk Sikkerhetsforening (NSF) ............................................ 4.4.16 Information Security Forum (ISF) ......................................... 4.4.17 American Society for Industrial Security (ASIS) ................... 4.4.18 Finansnæringens hovedorganisasjon (FNH)......................... 4.5 NASJONAL STRATEGI FOR INFORMASJONSSIKKERHET ... 4.6 DEPARTEMENTENES ANSVAR FOR IT-SIKKERHET ............ 4.7 «KOMMANDOGRUPPEN MOT NETTSVINDEL» .....................

121 121 121 124 125 128 130 130 133 134 134 136 142 143 144 145 146 147 150 152 155 156 159 160 161 162 163 164 165 166 168

5 RISIKOSTYRING OG RISIKOANALYSER ..................................... 5.1 INNLEDNING ................................................................................. 5.2 RISIKOSTYRING OG SIKKERHETSARBEID ............................

171 171 172

10 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

5.3 VERN OM VERDIER ..................................................................... 5.4 SAMFUNNETS SÅRBARHET ...................................................... 5.5 ANSVARSFORHOLD .................................................................... 5.6 FORSIKRINGER ............................................................................ 5.7 GJENNOMFØRING AV EN RISIKOANALYSE .......................... 5.8 FASER I ANALYSEARBEIDET ................................................... 5.8.1 Planlegging og organisering (fase 1) ...................................... 5.8.2 Bestemme kritikalitet for ulike systemer eller objekter (fase 2) ......................................................................................... 5.8.3 Vurdering av sårbarhet og kontrollsvakheter (fase 3) ............. 5.8.4 Vurdering av trusler (fase 4) ................................................... 5.8.5 Skadevirkning og risikokostnad ved sikkerhetsbrudd (fase 5) . 5.8.6 Anbefaling av relevante sikringstiltak (fase 6) ........................ 5.9 PLAN FOR IMPLEMENTERING .................................................. 5.10 IVERKSETTELSE AV SIKRINGSTILTAK ................................ 5.11 OPPFØLGING OG SENERE REVISJON .................................... 5.12 SLUTTBEMERKNINGER ...........................................................

179 180 182 183 187 189 190 191 192

6 ORGANISERING OG LEDELSE AV SIKKERHETSARBEIDET . 6.1 INNLEDNING ................................................................................. 6.2 OVERORDNET LEDELSE OG KONTROLL ............................... 6.3 SIKKERHETSORGANISERING ................................................... 6.3.1 Toppledelsens ansvar og plikter .............................................. 6.3.2 IT-sikkerhetssjefens rolle og ansvar ........................................ 6.3.3 Andre roller og funksjoner med delansvar for sikkerhet ......... 6.4 IVERKSETTELSE AV ET SIKKERHETSPROGRAM ................. 6.5 UTARBEIDELSE AV SIKKERHETSPOLICY ............................. 6.5.1 Retningslinjer for informasjonssikkerhetspolicy...................... 6.5.2 Oppbygging og struktur ........................................................... 6.5.3 Visjon og formål ...................................................................... 6.5.4 Eksempel informasjonssikkerhetspolicy .................................. 6.5.5 Retningslinjer for bruk og håndtering av e-post ...................... 6.6 SIKKERHETSHÅNDBOK ............................................................. 6.7 HVORDAN «SELGE» SIKKERHET TIL TOPPLEDELSEN ....... 6.8 UTDANNELSE, KUNNSKAP OG BEVISSTHET ........................ 6.9 SPESIELLE SIKKERHETSOMRÅDER ........................................ 6.9.1 Risikostyring ............................................................................ 6.9.2 «Outsourcing» ......................................................................... 6.9.3 Valg av sikkerhetsarkitektur .................................................... 6.9.4 Bruk av standarder .................................................................. 6.9.5 Overvåking, kontroll og sikkerhetsrevisjon ............................. 6.9.6 Hendelsesrapportering og avvikshåndtering ........................... 6.9.7 Ansvarsforhold mellom offentlige og private virksomheter ..... 6.10 ANSETTELSESREGLEMENT .................................................... 6.10.1 Rekruttering ...........................................................................

195 195 196 197 199 200 201 202 203 203 204 205 205 208 210 212 213 216 216 217 217 218 219 221 221 222 222

INNHOLD

173 173 175 176 176 178 178

6.10.2 Sikkerhetsklarering ................................................................ 6.10.3 Taushetserklæring ................................................................. 6.10.4 Fratredelse.............................................................................

222 223 223

7 FYSISKE OG DRIFTSTEKNISKE FORHOLD ................................ 7.1 INNLEDNING ................................................................................. 7.2 SONEINNDELING ......................................................................... 7.3 BYGGING AV DATAROM ........................................................... 7.4 ADGANGSKONTROLL OG IDENTIFISERINGSTEKNOLOGI 7.4.1 «Noe du bærer»-metoden ........................................................ 7.4.2 «Noe du vet»-metoden ............................................................. 7.4.3 «Spesielle egenskaper»-metoden ............................................. 7.4.4 Aktuelle løsninger .................................................................... 7.5 STRØMFORSYNING ..................................................................... 7.5.1 Avbruddsfri strømforsyning og nødstrøm ................................ 7.5.2 Strømforsyning og sentralt datautstyr ..................................... 7.5.3 Lokale IT-installasjoner........................................................... 7.5.4 Kabelføringer........................................................................... 7.6 KLIMATISKE FORHOLD, RENHOLD OG STATISK ELEKTRISITET 7.6.1 Klima i datarom ....................................................................... 7.6.2 Krav til klima for bruk av datautstyr ....................................... 7.6.3 Luftforurensning, støv, statisk elektrisitet ................................ 7.7 BESKYTTELSE MOT BRANN ..................................................... 7.8 BESKYTTELSE MOT VANNSKADE .......................................... 7.9 STRÅLINGSSKJERMING ............................................................. 7.10 VAKTHOLD, OVERVÅKING OG ALARM ............................... 7.10.1 Vakthold ................................................................................. 7.10.2. Overvåking av tekniske funksjoner ....................................... 7.10.3 Overvåking av IT-produksjon ................................................ 7.11 VEDLIKEHOLDSAVTALER OG FEILRETTING .....................

225 225 226 227 229 230 231 231 232 233 234 234 235 235 236 236 236 237 237 239 239 240 240 240 241 241

8 BEREDSKAPSPLANLEGGING ......................................................... 8.1 INNLEDNING ................................................................................. 8.2 GENERELT OM BEREDSKAPSPLANLEGGING – ØKONOMISKE KONSEKVENSER ............................................ 8.3 STATENS ANSVAR – SAMFUNNSVIKTIGE FUNKSJONER .. 8.4 MINDRE KATASTROFER ............................................................ 8.5 BEREDSKAPSPLANLEGGING – METODER OG TILTAK ....... 8.5.1 Vitale forretningsprosesser ...................................................... 8.5.2 Beredskapsplaner i PC- og nettverksmiljø .............................. 8.5.3 Beredskapsplan – større maskiner og servermiljøer ...............

245 245 245 249 251 254 256 257 258

9 SERVICELEDELSE (ITIL).................................................................. 9.1 INNLEDNING ................................................................................. 9.2 STANDARDER ...............................................................................

265 265 265

12 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

9.3 SERVICEAVTALER ...................................................................... 9.4 SERVICESENTER .......................................................................... 9.5 HENDELSESSTYRING ................................................................. 9.6 PROBLEMSTYRING ..................................................................... 9.7 ENDRINGSSTYRING .................................................................... 9.8 KONFIGURASJONSSTYRING ..................................................... 9.9 KAPASITETSSTYRING ................................................................ 9.10 TILGJENGELIGHETSSTYRING ................................................ 9.11 KONTINUITETSSTYRING ......................................................... 9.12 VERSJONSSTYRING .................................................................. 9.13 ØKONOMISTYRING AV IT-TJENESTER ................................. 9.14 FORDELER VED BRUK AV BS 15000 FOR SIKKERHET ...... 9.15 STYRING AV DATALAGER ...................................................... 9.16 TESTING ....................................................................................... 9.17 METODIKK ..................................................................................

268 271 273 274 275 279 280 282 286 288 289 290 291 292 294

10 DIGITALE NETTVERK .................................................................... 10.1 INNLEDNING ............................................................................... 10.2 FORSKJELLIGE NETTVERK ..................................................... 10.3 BRANNMURER ........................................................................... 10.3.1 Pakkefiltrering ....................................................................... 10.3.2 «Proxytjenere»....................................................................... 10.3.3 Oppsummering om brannmurer............................................. 10.4 SIKKERHETSARKITEKTUR ...................................................... 10.5 VPN (VIRTUAL PRIVATE NETWORK) .................................... 10.6 MODELLER FOR KOMMUNIKASJON – OSI OG TCP/IP ....... 10.6.1 OSI-modellen ......................................................................... 10.6.2 TCP/IP ................................................................................... 10.7 SECURE SOCKET LAYER (SSL) ............................................... 10.8 IPSEC............................................................................................. 10.9 BROWSERE .................................................................................. 10.10 TRÅDLØSE NETTVERK ........................................................... 10.10.1 Status ................................................................................... 10.10.2 Klassifisering av svakheter .................................................. 10.10.3 Trådløse nett utenfra............................................................ 10.10.4 Typer av trådløse nett .......................................................... 10.11 TRÅDLØST BREDBÅND .......................................................... 10.11.1 Teknologi ............................................................................. 10.11.2 Sikkerhet .............................................................................. 10.12 TRÅDLØSE LOKALNETT ........................................................ 10.12.1 Teknologi ............................................................................. 10.12.2 Sikkerhet .............................................................................. 10.13 BLUETOOTH.............................................................................. 10.13.1 Frekvensbåndet .................................................................... 10.13.2 Mester og slaver ..................................................................

297 297 297 302 303 304 305 306 307 309 309 311 313 314 316 316 316 319 320 321 323 324 326 328 328 329 330 331 332

INNHOLD

10.13.3 Sikkerhet .............................................................................. 10.13.4 Anbefalinger for Bluetooth .................................................. 10.13.5 Eksempel på bruk av sikkerhetsløsninger ............................ 10.13.6 Regler for bruk av trådløst utstyr ........................................ 10.14 KONKLUSJON ...........................................................................

332 333 333 334 335

11 AUTORISASJON OG TILGANGSKONTROLL ............................ 11.1 INNLEDNING ............................................................................... 11.2 PROSESSER OG KOMPONENTER I ET ATK-SYSTEM ......... 11.3 BEHOVET FOR ET FORBEDRET ATK-SYSTEM .................... 11.4 AUTORISERING .......................................................................... 11.4.1 Roller ..................................................................................... 11.4.2 Eierskap ................................................................................. 11.4.3 Administrasjon av autorisasjon og tilgangskontroll .............. 11.4.4 Komplekse roller.................................................................... 11.4.5 Autorisasjon av IT-programmer ............................................ 11.4.6 Kvalitetssjekk av internett-kunder ......................................... 11.4.7 Sikkerhetsdatabase ................................................................ 11.5 AUTENTISERING ........................................................................ 11.5.1 Identifikator ........................................................................... 11.5.2 Fysisk adgangstegn................................................................ 11.5.3 Kerberos ................................................................................ 11.5.4 Biometri ................................................................................. 11.6 DEDIKERTE LØSNINGER..........................................................

339 339 339 340 342 344 346 346 347 348 349 349 351 352 353 355 355 358

12 SIKKERHET VED BRUK AV BÆRBARE PC-ER OG MOBILT DATAUTSTYR ......................................................................................... 12.1 INNLEDNING ............................................................................... 12.2 GENERELT OM PC-SIKKERHET .............................................. 12.2.1 Administrative og organisatoriske forhold ............................ 12.2.2 Ansvar, opplæring og bevissthet ............................................ 12.2.3 Anskaffelse av bærbart/mobilt datautstyr og konfigurering .. 12.2.4 Programvare, lisenser og rettigheter..................................... 12.2.5 Fysisk sikkerhet...................................................................... 12.2.6 Funksjonssikkerhet og driftsmiljø .......................................... 12.2.7 Systemteknisk sikkerhet .......................................................... 12.2.8 Beskyttelse mot datavirus og lignende ................................... 12.2.9 «Backup» og reserveløsninger............................................... 12.2.10 Rekonstruksjon av «tapte» data ........................................... 12.2.11 Reparasjon og avhending av PC-utstyr ............................... 12.3 HJEMME-PC-ER .......................................................................... 12.4 TRÅDLØS KOMMUNIKASJON .................................................

361 361 362 363 364 364 365 366 367 367 368 369 370 370 371 373

13 KRYPTERING OG DIGITALE SIGNATURER ............................. 13.1 INNLEDNING ...............................................................................

375 375

14 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

13.2 KRYPTOGRAFI............................................................................ 13.3 KRYPTERINGSMETODER ......................................................... 13.4 KORT OM ANDRE KRYPTERINGSMETODER ....................... 13.4.1 Blowfish ................................................................................. 13.4.2 PGP – Pretty Good Privacy .................................................. 13.4.3 S/MIME – Secure/Multipurpose Internet Mail Extension...... 13.5 ELEKTRONISK SIGNATUR (E-SIGNATUR) ........................... 13.6 AUTENTISERING VED HJELP AV DIGITAL SIGNATUR ..... 13.7 PKI OG DIGITALE SERTIFIKATER .......................................... 13.8 PKI I OFFENTLIG SEKTOR I NORGE....................................... 13.9 NASJONAL SIKKERHETSMYNDIGHETS SERTIFISERTE KRYPTOALGORITME (NSK) ..................................................... 13.9.1 Brukere .................................................................................. 13.9.2 Bruksområder ........................................................................ 13.9.3 Tilbudsgivere av NSK-tjenester ............................................. 13.9.4 Videre utvikling......................................................................

375 377 380 380 380 381 382 383 384 386

14 BESKYTTELSE MOT EKSTERNE ANGREP ................................ 14.1 INNLEDNING ............................................................................... 14.2 TRUSSELBILDET ........................................................................ 14.3 ONDSINNET KODE, INKLUSIVE DATAVIRUS ..................... 14.4 HACKING ..................................................................................... 14.5 TJENESTENEKTING (DENIAL OF SERVICE, DOS) ............... 14.6 PHISHING ..................................................................................... 14.7 SPIONVARE (SPYWARE) .......................................................... 14.8 TILTAK MOT ANGREP .............................................................. 14.8.1 Toppledelsens involvering ..................................................... 14.8.2 Sikkerhetsarkitektur ............................................................... 14.8.3 Kompetanse ........................................................................... 14.8.4 Antivirusprogrammer ............................................................ 14.8.5 Driftsmetodikk ....................................................................... 14.8.6 Testing av sikkerhet ............................................................... 14.8.7 Andre tiltak ............................................................................ 14.9 BRUKERFORHOLDSREGLER ................................................... 14.10 NORSK SPAM-LOVGIVING .................................................... 14.11 OVERVÅKNING AV SIKKERHET .......................................... 14.11.1 Analyse................................................................................. 14.11.2 Sanntidsovervåkning ............................................................

393 393 393 395 397 401 402 403 404 405 406 407 408 409 410 411 412 413 413 413 414

15 DRIFT OG OPERATIVSYSTEMER ................................................ 15.1 INNLEDNING ............................................................................... 15.2 SIKKERHETSHENSYN I DRIFT ................................................ 15.3 DRIFTSORGANISASJON............................................................ 15.3.1 Driftsfunksjoner ..................................................................... 15.3.2 Driftsoppgaver direkte forbundet med sikkerhet ...................

419 419 421 425 425 427

INNHOLD

388 389 389 389 389

15.3.3 Outsourcing ........................................................................... 15.4 OPERATIVSYSTEMER ............................................................... 15.5 SYSTEMTEKNISKE VERKTØY ................................................ 15.6 DATABASESYSTEMER ............................................................. 15.7 UTVIKLING OG ANSKAFFELSE AV PROGRAMVARE ........ 15.8 OPPSUMMERING OG KONKLUSJON ......................................

429 431 437 440 440 444

16 GRADERING AV INFORMASJON – SELEKTIV BESKYTTELSE 16.1 INNLEDNING ............................................................................... 16.2 SELEKTIV BESKYTTELSE ........................................................ 16.3 TYPER AV GRADERINGSSYSTEMER ..................................... 16.4 UNNTATT OFFENTLIGHET ...................................................... 16.5 ANTALL GRADERINGSNIVÅER .............................................. 16.6 BEHANDLINGSREGLER............................................................ 16.7 MERKING MED GRADERING................................................... 16.8 IT-SYSTEMET KAN GI AUTOMATISK GRADERING ........... 16.9 FEILGRADERING........................................................................ 16.10 MAKULERING AV GRADERT MATERIALE ........................ 16.11 HVA KOSTER DET Å INNFØRE GRADERINGSSYSTEMER

447 447 447 448 451 453 454 455 456 456 457 458

17 GDPR OG DEN NYE PERSONVERNLOVGIVNINGEN I NORGE 17.1 INNLEDNING ............................................................................... 17.2 HOVEDENDRINGER I DEN NYE POL I FORHOLD TIL DET TIDLIGERE REGELVERKET...................................... 17.3 SAKLIG VIRKEOMRÅDE OG FORHOLDET TIL ANDRE LOVER ........................................................................... 17.4 VERN AV PERSONOPPLYSNINGER INNEN EU-/EØS-OMRÅDET.................................................................... 17.5 PERSONVERNOMBUD KREVES I MANGE VIRKSOMHETER ........................................................................ 17.6 PLIKT TIL Å REGISTRERE ALLE BEHANDLINGER AV PERSONOPPLYSNINGER I EN VIRKSOMHET ............... 17.7 FORMÅLET MED GDPR ER Å SIKRE HANDEL OG RETTIGHETER ............................................................................ 17.8 VIRKSOMHETENE MÅ HA TILLATELSE TIL Å BRUKE PERSONOPPLYSNINGER OM OSS .......................................... 17.9 DATABEHANDLER OG DATABEHANDLERAVTALER ...... 17.10 PERSONVERNERKLÆRINGER .............................................. 17.10.1 Eksempel på hva en personvernerklæring kan/bør inneholde

461 461

16 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

462 463

464 465 467 467 468 470 471 471

ETTERORD ..............................................................................................

477

ORDLISTE ................................................................................................

485

REFERANSER ..........................................................................................

503

STIKKORD ...............................................................................................

513

INNHOLD

OM FORFATTERNE Torgeir Daler har hatt stillingen som Sikkerhetssjef i IBM Norden, inkludert de Baltiske stater, gjennom de siste 19 år. Han har arbeidet med fagområdet sikkerhet, og særlig IT-sikkerhet i mer enn 30 år, bl.a. i Forsvarets Datasentral og Forsvarets Overkommando/Sikkerhetsstaben (nå NSM) før han begynte i IBM. Torgeir har tatt sikkerhetsutdannelse ved NATOs hovedkvarter i Brussel, i England, USA og ved Forsvarets Høyskole. Han har vært medforfatter til en rekke bøker om IT-sikkerhet, og har skrevet flere artikler om dette temaet både i norske og utenlandske tidsskrifter. Han er også en etterspurt foredragsholder og foreleser. Torgeir har vært medlem av Næringslivets Sikkerhetsråd, og har vært aktiv også i en rekke andre sikkerhetsfora. Roar Gulbrandsen er i dag Senior Manager i PricewaterhouseCoopers (PwC). Han er Certified Information Security Manager (CISM) og ITILsertifisert. Roar har mer enn 40 års erfaring i bransjen, og besitter spesialkompetanse innen Informasjonssikkerhet, Risikovurderinger, Kriseog beredskapsplanlegging, Internkontroll, IT-revisjon, IT-drift og Prosjektledelse. Roar startet sin karriere i Statistisk Sentralbyrå i 1965. I 1972 var han var med på å etablere Statens datasentral. Der var han sjef for driftsavdelingen til han begynte i PwC i 1984. Roar har i mange år vært aktiv i en rekke sikkerhetsfora, og han har holdt er rekke kurs og foredrag relatert til informasjonssikkerhet. Han var med på å utvikle masterstudiet for Informasjonssikkerhet på Høyskolen i Gjøvik, og holdt flere forelesninger innen temaet Sikkerhetsledelse i perioden 2003 til 2005. Roar har vært medforfatter til flere bøker om data-/informasjonssikkerhet, og han har skrevet en rekke artikler i norske og nordiske tidsskrifter om dette temaet. Roar var med på å starte Information Security Forum (ISF) i 1989, en medlemsorganisasjon som i dag består av mer enn 300 ledende virksomheter på verdensbasis. ISFs standarder, rapporter, metodikk og verktøy er i dag globalt anerkjent som ”Best Practice”. Tore Audun Høie er selvstendig konsulent og forsker med spesialer innen ledelse, service, kvalitet og teknologi. Han er sivilingeniør (bygg), med ettårig tilleggsutdannelse i ledelse, og dr.ing. i informatikk fra Danmarks Tekniske Universitet. Tore har vært engasjert i oppdrag i mer enn 50 norske virksomheter. Han har forelest på flere høyskoler og drevet med undervisning i egen regi. Tore har vært nasjonalt fagansvarlig for datasikkerhet og kundeservice ved BI. Han har utgitt fem bøker, og

arbeider nå på postdoc-avhandlingen Management Theory som forsøker å finne allmenne prinsipper for ledelse. Torbjørn Sjølstad er leder og spesialrådgiver i Institutt for Datasikkerhet as. Torbjørn har mer enn 30 års erfaring fra lederfunksjoner i en rekke bedrifter og har også lang erfaring med å lede og gjennomføre sikkerhetsprosjekter i private og offentlig virksomheter. Dette omfatter bl.a. risikovurderinger, sikkerhetsrevisjoner, etablering av nødvendige fysiske, systemtekniske og organisatoriske sikkerhetstiltak i virksomhetene, utarbeide sikkerhetsregelverk, beredskapsplaner, forestå opplæring osv. Torbjørn har vært med på å skrive flere bøker om data-/ informasjonssikkerhet og underviser også i dette tema på norske høyskoler.

22 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

KAPITTEL 1 HVORFOR INFORMASJONSSIKKERHET? Hver dag er du og din virksomhet utsatt for trusler og farer du knapt har hørt om. Datainnbrudd, tjenesteavbrudd, fortrolig informasjon på avveier, forfalsket informasjon og andre uheldige hendelser relatert til informasjonssikkerhet er slett ikke i ferd med å forsvinne – de mangedobles og forsterkes. Og hvis det ikke tas et krafttak for å beskytte verdifull informasjon, vil din virksomhet kunne bli det neste offer. Nyere trusler

IBM utga i januar 2006 en rapport om datasikkerhet, kalt «Global Business Security Index». Rapporten, som er skrevet av IBMs sikkerhetsovervåkingsavdeling, gir en global oversikt over de største datasikkerhetstruslene registrert i 2005, sammen med en prognose over de mest sannsynlige sikkerhetstruslene vi står overfor i 2006. Rapporten viser at selv om noen av de største truslene i 2005 kom fra epostbaserte ormer og virus, som for eksempel ormen Zotob, var det likevel ingen økning i antall slike angrep. En klar trend viste imidlertid at mer kriminelle elementer i større og større grad ligger bak angrepene som rettes mot informasjonssystemene. Den generelle holdningen blant bedriftsledere er også at trusselen mot informasjonssystemene er økende, og at de mer uskyldige innbruddene i datasystemene, gjennomført av unge dyktige personer, nå i større og større grad blir erstattet av smartere og mer ondsinnede, målrettede angrep, gjennomført av profesjonelle personer, tilhørende organiserte kriminelle miljøer. Andre trusler som særlig viste seg i 2005 var fenomenet «Phishing» (forsøk på urettmessig å skaffe seg personinformasjon), samt en stor økning i tilfeller av identitetstyverier, der urettmessig tilegning av en annens personlige data gir uvedkommende uante muligheter til å ramme uskyldige individer, både rent økonomisk og på en rekke andre områder. Sikkerhetsrapporten varsler også om vesentlige problemer man kan forvente å stå overfor i 2006 og videre:

• Mobile enheter Bærbart utstyr som PDA-er og mobiltelefoner er nye målområder for virus, SPAM og andre potensielle sikkerhetstrusler. Bluetooth og andre trådløse teknologier, som knytter sammen bærbart utstyr, vil være særlig utsatt. • Identitetstyveri Det finnes snart ingen grenser for hvordan identitetstyverier kan foregå. Phishing-angrep, som bruker falske avsendere på e-post og/eller som opererer med falske internettsider for å lure brukere til å avsløre personlige opplysninger som kredittkortnummer, personnummer, brukernavn og passord, vil fortsette å plage både bedrifter og privatbrukere. • «Malware» (fellesbetegnelse på skadelig programvare) Utviklere av «Malware» blir mer og mer ondsinnede og utspekulerte, og tar i bruk grunnleggende programvareutvikling for å spre ødeleggende programvare. • «Instant Messaging» (IM) Robotmaskiner (fjernstyrte maskiner) og Botnett (fjernstyrte maskiner i nett) vil i fremtiden trolig flytte over på IM-nett for å skaffe seg kontroll over infiserte maskiner • VoIP (Voice over IP – IP-telefoni) VoIP vil i økende grad kunne oppleve sammenbrudd. Særlig tyvlytting og DoS-angrep (Denial of Service) som blir utført mot fjerntliggende VoIP-nettverk kan få store konsekvenser for både store og små virksomheter. • Angrep innenfra Etterhvert som sikkerheten mot eksterne trusler bedres hos flere og flere bedrifter, ser det ut til at trusselen fra de ansatte selv stadig er stigende. De siste rapportene tilsier nettopp at dette er en trend som er signifikant, og som resulterer i at man må legge langt større vekt på interne kontrollrutiner enn tidligere. Disse smakebitene på hvor vi står i dag, og hvor vi går i den nærmeste fremtid, skulle klart vise at vi har en rekke alvorlige utfordringer foran oss innenfor datasikkerhetsområdet. I en undersøkelse gjennomført av PricewaterhouseCoopers, offentliggjort for et par år siden, fremgår det at Norge er på Europatoppen i økokriminalitet. Undersøkelsen ble gjennomført i 15 land i Europa og omfattet 3400 private, offentlige og ideelle virksomheter. På spørsmål om bedriften har vært utsatt for økonomisk kriminalitet de siste to år,

24 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Økonomisk kriminalitet

svarte hele 34,9 % av de norske bedriftene bekreftende. Tilsvarende tall for Sverige og Danmark var 17 %. Europagjennomsnittet var på 28 %. Trusselen innenfra

Undersøkelsen viser videre at hos hele 60 % av de bedriftene som har erfart økonomisk kriminalitet, har dette vært begått av personer innenfor virksomhetene. 32,8 % av de norske virksomhetene som var med i undersøkelsen rapporterte å ha vært utsatt for datakriminalitet (nest høyest, etter underslag). Nesten 60 % av disse hadde erfart mer enn 10 slike hendelser! Tilfeller av datakriminalitet kostet virksomhetene i gjennomsnitt 1 million kroner. Videre peker virksomhetene ut datakriminalitet som hovedrisikoen for fremtiden. Resultatene i denne undersøkelsen bekreftes også av andre, tilsvarende undersøkelser foretatt både i Norge og internasjonalt den senere tid; truslene mot virksomhetenes datasystemer er sterkt økende, og tilfeller av datainnbrudd, hacking, datavirus etc. er hyppigere og hyppigere forekommende. I tillegg viser undersøkelsene at den største trusselen som regel kommer innenfra.

Feil, slurv

I en annen undersøkelse foretatt av firmaet Digital Research for sikkerhetsfirmaet Camelot og magasinet eWeek, kommer det frem at misfornøyde medarbeidere, tidligere medarbeidere, samt brukeridenter og passord som ikke er slettet, utgjør en langt større trussel for virksomheters datasystemer enn hackerangrep utenfra. Egne ansatte er bevisst eller ubevisst årsak til de aller fleste feil, uhell og tap som inntreffer. Vi sier ikke med dette at egne ansatte ikke er til å stole på – hvem skulle en i så fall stole på? Men det at vi stadig hyppigere hører og leser om svindel og bedrag blant ansatte, i den senere tid spesielt innen finansverdenen, bør allikevel være et tankekors for mange ledere, spesielt når det hevdes at minst ni av ti datakriminelle handlinger aldri kommer offentligheten for øre. Egne ansatte som ønsker å tjene litt ekstra for eksempel ved å selge bedriftshemmeligheter til uvedkommende, eller som av andre årsaker ønsker å skade arbeidsgiver, sitter ofte med førstehånds kjennskap og lett tilgang til viktig informasjon. Slike kriminelle vet dessuten at «elektroniske forbrytelser» sjelden legger igjen spor, noe som gjør at faren for å bli oppdaget er relativt liten. Flere norske virksomheter har avslørt muldvarper og andre utro tjenere i egen organisasjon. Enkelte slike er blitt straffet – noen med fengsel i opptil flere år.

KAPITTEL 1: HVORFOR INFORMASJONSSIKKERHET?

Men ennå går altfor mange fri. I hovedsak skyldes dette for dårlige sikkerhetsrutiner, godtroenhet, mangelfulle kontroller, eller rett og slett at bedriftene ikke ønsker å rapportere svindel foretatt av egne ansatte. Økokrim har bekreftet at det er grunn til å tro at en rekke tilfeller av økonomisk kriminalitet aldri blir anmeldt. Økokrim frykter at bedrifter vegrer seg for å flagge at de er utsatt for utro medarbeidere fordi det kan gi dårlig omdømme utad. Slike tilstander bekreftes også av undersøkelser foretatt av Næringslivets Sikkerhetsråd, i samarbeid med Økokrim og NorSIS (Norsk Senter for Informasjonssikring) de senere år, de såkalte «mørketalls-undersøkelsene», der det har vist seg at langt flere tilfeller av datakriminalitet er avdekket enn de som er rapportert til politiet. Når det antydes at den største trusselen mot virksomheter kommer innenfra, er det også på sin plass å peke på at en av de aller største risikoer for tap av følsom bedriftsinformasjon i dagens samfunn nettopp kommer innenfra, gjennom lite sikkerhetsbevisste ansatte. Dette dreier seg om den sterkt økende bruken av Internett (e-post) til utveksling av informasjon mellom forretningspartnere. Slik kommunikasjon skjer nå mer og mer hyppig, og i svært liten grad gjøres det tiltak for å beskytte den informasjonen som sendes (f.eks. kryptering).

Følsom informasjon sendes over Internett

Det er allment kjent at informasjon som sendes over Internett, ofte er usikret. Det vil si at uvedkommende, uten særlig grad av risiko, og med relativt enkle midler kan fange opp og lese informasjon som sendes over Internett. Disse uvedkommende vil gjerne «scanne» alt som går via en server de har tilgang til, og teste på visse ord, som firmanavn, ord som «confidential» osv. Derved kan de sortere ut den informasjonen som kan være av størst interesse. Det finnes i dag større internasjonale virksomheter som livnærer seg ved kjøp og salg av informasjon, de såkalte «Information Brokers». Slike virksomheter kjøper ofte informasjon fra hvem som helst, og spør ikke alltid hvor den kommer fra. På denne måten kan medarbeidere som ikke tenker sikkerhet bidra til å blottlegge viktig bedrifts- eller kundeinformasjon når de utveksler usikret e-post over Internett. Dette er antakelig ett av de aller største sikkerhetsproblemene for offentlig og privat virksomhet i dagens samfunn. Det blir heller ikke bedre av at enkelte virksomheter har valgt å sette en fast tekstmelding til slutt i sin Internett-e-post når denne sendes ukryptert til et usikret miljø. Meldingene sier gjerne noe slikt (oversatt

26 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Information Brokers

fra engelsk): «Denne meldingen kan tenkes å inneholde konfidensiell informasjon. Dersom noen skulle få en slik melding uberettiget, må den slettes umiddelbart». Når ordet «konfidensiell» sendes på denne måten sammen med resten av meldingen, er det enda større sjanse for at den vil bli lest av uvedkommende! Slike meldinger («disclaimers») kunne ha en viss juridisk funksjon ved feilsending av telefaks, men i dagens Internett-verden øker den bare sjansen for at uvedkommende fatter interesse for meldingens innhold. Det kommer sjelden til rettssak om noen tapper åpen informasjon via Internett! Når det gjelder å sikre seg mot denne og andre nevnte trusler, må den enkelte virksomhet være seg sitt ansvar bevisst, og innføre tilstrekkelige sikkerhetstiltak. Selv i dag er det svært mange som knapt bruker tid eller ressurser på å analysere sin egen sårbarhet, om det finnes informasjon som bør sikres spesielt godt og hvilke sikringstiltak virksomheten bør iverksette, inkludert tiltak ved eventuelle større uhell og sikkerhetsbrudd. Slike virksomheter er svært utsatte for angrep og uforutsette problemer. Vårt budskap til lederne i disse er: Våkn opp før det er for sent! Samfunnet er sårbart

I den såkalte Sårbarhetsrapporten (NOU 2000: 24), utarbeidet under ledelse av Kåre Willoch, ble det fastslått at dagens samfunn er mer sårbart enn før. Det ble hevdet at en svikt i noen få avgjørende samfunnsfunksjoner kan føre til at store deler av samfunnet får omfattende problemer. Det ble videre pekt på at svikt i telekommunikasjon, teknologiske endringer og den økende kompleksiteten i samfunnet bidrar til at vi står overfor nye sikkerhets- og sårbarhetsutfordringer. Det ble også hevdet at de store endringene i bruken av informasjonsog kommunikasjonsteknologi endrer landegrensenes betydning i sikkerhets- og beredskapssammenheng. Det er ingen grunn til å tro at sårbarhetene som ble beskrevet i denne rapporten har blitt mindre på de årene som har gått siden den ble utgitt. Ut fra rapporten kan en trekke den konklusjon at det blir viktigere og viktigere, både for det offentlige og det sivile samfunn, å øke beredskapen mot uhell og katastrofer som kan lamme vår avanserte og integrerte teknologi – på tvers av landegrensene. Gjennom flere år er det blitt påpekt at norske virksomheter ikke har vært flinke nok til å forberede seg på at det kan inntreffe alvorlige kriser som kan lamme våre informasjonssystemer. Willoch-rapporten åpner for øvrig, på første

KAPITTEL 1: HVORFOR INFORMASJONSSIKKERHET?

side, med følgende sitat (fra Aristoteles): «Det er sannsynlig at noe usannsynlig vil skje». En rekke undersøkelser i Norge opp gjennom det siste tiåret har igjen og igjen pekt på at sårbarheten i dagens informasjonsteknologi er stor. I en spørreundersøkelse som ble foretatt blant 50 større bedrifter med en årsomsetning på mellom 200 millioner og 5 milliarder kroner, var konklusjonen at ingen av disse hadde utarbeidet akseptable katastrofeplaner! Og kun noen få hadde forsøkt å analysere de økonomiske konsekvensene dersom et større uhell skulle ramme virksomheten. Tatt i betraktning de samfunnsmessige følger av at bedrifter går konkurs, bør det sannsynligvis vurderes å kreve at bedrifter av en viss størrelse skal utarbeide beredskapsplaner i tilfelle større uhell. Willoch-utvalget peker også på dette forholdet, og sier: «Den virksomhet som har ansvaret for en sektor, har også ansvaret for nødvendige skadeforebyggende tiltak, beredskapsforberedelser og iverksettelse av tiltak i en krisesituasjon». Som nevnt har tilfeller av hacking og virusangrep vært sterkt stigende de siste årene (selv om en stagnasjon er registrert i 2005). Ikke minst skyldes dette den eksplosjonsartede økningen i bruk av Internett. Statistikker og undersøkelser viser stadig at Norge ligger nær verdenstoppen i bruk av Internett. Over 80 % nordmenn har nå daglig tilgang til Internett. Når det gjelder økende tilfeller av SPAM, viser nye undersøkelser (2005) at over 50 % av mottatt e-post er uønsket søppelpost. Selv om SPAM ikke i seg selv er en sikkerhetstrussel, kan en tilsynelatende uskyldig SPAM-mail også inneholde virus og annen skadelig programvare. I en undersøkelse gjort nylig av Computer Security Institute og FBI i USA, kommer det frem at fire av fem virksomheter hadde opplevd sikkerhetsinnbrudd siste år. 64 % av de spurte virksomhetene innrømmet også at de hadde tapt penger på grunn av svakhetene i informasjonssikkerheten. 70 % av virksomhetene peker på at det er deres Internett-forbindelser som er de mest utsatte. Hackere som klarer å bryte inn på web-sider, for deretter å forandre utseende på hjemmesiden, er blitt særlig kjent. Selv om en manipulert hjemmeside kanskje ikke rammer en virksomhet direkte økonomisk, kan det på sikt få store konsekvenser for bedriftens omdømme, særlig hvis den utfører tjenester for andre. En slik «defacing» vil fortelle at sikkerhetsrutinene er for dårlige, og tilliten til bedriften som seriøs tjenesteyter kan være ødelagt.

28 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Internett øker risikoen

Virusangrep

Pressen rapporterer stadig om nye ormer og virusangrep. Navn som «Zotob», «Bagle», «Sobig», «Mydoom», «I Love You», «Code Red» og «Nimda» er kjent fra den senere tid. Det dreier seg om en evig kamp mellom de som utvikler virus og de som forsøker å stanse og nøytralisere angrep. Det var i begynnelsen av 2006 registrert ca 140.000 virus (økning på 30.000 fra 2005), og det tilkommer daglig flere hundre. De fleste blir umiddelbart rapportert til såkalte «CERTs» (Computer Emergency Response Teams), og «vaksiner» blir straks lagt inn på signaturfilene til de ulike anti-virusselskapene. I tillegg til ekte virus har vi også sett en sterk spredning av advarsler mot virus, der de langt fleste advarer mot virus som ikke finnes. Slike advarsler sprer seg som kjedebrev, fordi alle oppfordres til å sende advarslene videre til alle de kjenner. Slik lammes nettverkene, og det medfører enormt med ekstraarbeid og bortkastet tid for bedriftene. De fleste virksomheter har i dag installert gode antivirusverktøy for å unngå datavirus, samt «brannmurer» for å hindre uautorisert tilgang. Slike verktøy er nokså enkle og rimelige. Sørg for god kontroll med det du laster inn i ditt eget datasystem – og det du sender fra deg.

Hjemmebruk

Mange rammes likevel. Selv større internasjonale bedrifter med avdelinger i Norge angripes stadig. Enkelte har tapt millionbeløp på datavirus. Ofte kommer smitten inn i bedriftene via utstyr som benyttes hjemmefra, hvor mange personer har tilgang (f.eks. barn og kamerater). Ofte kommer også smitten inn via vedlegg til dokumenter («attachments») man mottar over Internett. Det er viktig å være på vakt; ukjente vedlegg, eller e-post fra personer man ikke kjenner, bør behandles ytterst varsomt! Som nevnt, for de aller fleste virksomheter er de største truslene mot en stabil datahverdag slurv, unødvendige feil, manglende eller for dårlig kunnskap og for dårlig kontroll med kvaliteten på produkter og tjenester. De miljøer som til daglig arbeider med kvalitetssikring, mener at norske virksomheter bruker mellom 10 og 25 % av sin tid på å gjøre feil, kontrollere feil og rette opp feil. Dette tilsier at «A/S Feil & Vrak» samlet sett er Norges største «bransje» – med en årlig «produksjon» på flere titalls milliarder kroner.

KAPITTEL 1: HVORFOR INFORMASJONSSIKKERHET?

Økt kompetanse, økt bevissthet og ansvarsfølelse blant de ansatte – sammen med enkle, fornuftige regler, retningslinjer og sikringstiltak – vil både kunne redusere sårbarheten, redusere antallet feil, bedre kvaliteten og derigjennom bedre konkurranseevnen i virksomhetene i betydelig grad. Informasjonsteknologien sprenger stadig nye grenser når det gjelder anvendelsesmuligheter og bruksområder. Den griper mer og mer inn i og påvirker vår hverdag – både på godt og vondt. «Det elektroniske samfunn» har sine åpenbare og store fordeler, men kan også ha sin pris. Stadig flere av oss havner i et økende antall registre – og det ofte uten vår viten eller godkjennelse.

Holdninger og bevissthet

Elektroniske bank- og betalingstjenester, e-business, e-faktura, bomsystemer, trafikkovervåking og tilgangskontrollsystemer er noen eksempler på teknologiske hjelpemidler som er rasjonelle og mer og mer nødvendige i dagens samfunn. Men disse er også med på å registrere og gjøre det mulig å skaffe seg effektiv kontroll over våre aktiviteter og bevegelser. «Elektroniske spor» og koblinger av disse sporene/denne informasjonen, kan gjøre det vanskeligere å lure seg unna økonomiske forpliktelser, redusere svart arbeid, vanskeliggjøre økonomisk kriminalitet, redusere trafikkuhell osv. De kan altså være et viktig verktøy i arbeidet med å rydde opp i en del negative forhold som belaster vårt samfunn. Særlig er de siste årenes terrorangrep (Madrid, London) eksempler på dette.

Elektroniske spor

Samtidig – uten å dra dette for langt – vil denne type spor også kunne utnyttes til overvåking og som press- og bevismiddel i ulike sammenhenger. Ingen av oss ønsker et samfunn der slikt finner sted, men teknologisk er vi allerede der, og de som virkelig ønsker å kompromittere en person eller en virksomhet, vil i de fleste tilfeller kunne lykkes ved å skaffe seg tilgang til følsom informasjon, eventuelt ved å koble sammen ulike informasjonsregistre. En side ved dette er hvor lett det er å skaffe seg fortrolig informasjon innenfor en virksomhet der det er dårlige sikkerhetsrutiner, utvises sløvhet osv. En annen – og vel så alvorlig side – er at det har vist seg relativt enkelt å skaffe til veie informasjon om personer og virksomheter, for eksempel ved å utgi seg som representant for «seriøse», oftest ikke-eksisterende, bedrifter overfor banker, kredittinstitusjoner og offentlige kontorer.

30 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Storebror seg deg

Følgende eksempel belyser dette. En kontorsjef i Datatilsynet lot for noen år siden to journalister i Aftenposten undersøke hvor mye informasjon de kunne klare å få tak i om henne og hennes familie. Journalistene utga seg for å være ansatte i et seriøst kredittforetak (som ikke eksisterte). Godtroende, ikke-kritiske representanter for norske bedrifter og institusjoner ble lurt trill rundt. Uten fysisk å være til stede klarte journalistene å tømme to av hennes bankkonti, de fikk oppgitt hennes personnummer over telefon, fikk skussmålet om henne og hennes familie fra det lokale lensmannskontor, fikk opplyst hvilke karakterer hun oppnådde på en skole hun gikk på, og hvor mye familien hadde tjent på salget av en tidligere bolig. Journalistene var ikke i tvil om at de kunne gått enda lenger dersom de hadde ønsket det. Datatilsynets kontorsjef fikk seg en støkk, men også en nyttig lærepenge, da det viste seg hvor slepphendt samfunnet er med elektronisk lagret personinformasjon.

Kredittinformasjon

Dette reiser også et prinsipielt spørsmål om hvor mye informasjon det skal være mulig (underforstått: tillatt) å samle om hver og en av oss det i det enkelte register. Det har for eksempel hevet seg flere kritiske røster til den store mengden personinformasjon enkelte kredittforetak har lagret i sine databaser; her er alt som er verdt å vite om en persons kredittverdighet – og vel så det. De banker, forsikringsselskap og andre som innhenter informasjon om mulige låntakere i disse registrene, skal virkelig være sikre på at alt er i orden! Taperne i dette spillet vil ofte være de som kanskje aller mest trenger et lite lån, men som av ulike årsaker ikke alltid har greid å overholde betalingsfristene. Det er lite sannsynlig at de som er såkalt kapitalsterke, er svartelistet i denne type registre, selv om Økokrim nok kan bekrefte at det nettopp er disse som står bak hovedtyngden av økonomisk kriminalitet i vårt land. Senere eksempler, som Finance-Credit saken, viser også at det ikke akkurat er småpenger det er snakk om! Vi vil i denne forbindelse også nevne den retten den enkelte har til å få vite hvor og i hvilke registre vedkommende er registrert, og hvilken informasjon som finnes om ham/henne. Datatilsynet vil kunne gi nærmere opplysninger om denne innsynsretten, og den nye personopplysningsloven, som trådte i kraft 1. januar 2001, utdyper og presiserer denne retten. I tillegg bør det nevnes at utviklingen nå går mer og mer i retning av at større mengder informasjon, også om enkeltindivider, føres over landegrensene (f.eks. Schengen-databasen). Her oppstår ytterligere spørsmål om hvor sikkert opplysningene om den enkelte oppbevares og overføres.

KAPITTEL 1: HVORFOR INFORMASJONSSIKKERHET?

I en nylig publisert undersøkelse utført av International Data Corporation (IDC) går det frem at norske nettbrukere er de minst sikkerhetsbevisste i Europa. Vi ligger i tet når det gjelder å surfe på nettet, men er tydeligvis ikke bevisste på at hackere står klare til å slå til, og at e-posten vår kan bli kompromittert eller misbrukt. IDC regner med at nettbrukere, som er kontinuerlig oppkoplet mot Internett, blir utsatt for hackerangrep minst Žn gang om dagen. Ved hackerinnbrudd vet som oftest brukeren ikke engang at han har vært utsatt for et innbrudd. I den nevnte undersøkelse vurderer nordmenn risikoen for virusangrep til middels, mens vi mener det er liten risiko for misbruk av våre nettbankkontoer. Nordmenn er imidlertid redde for misbruk av kredittkort. Sett i relasjon til denne frykten, er det et paradoks at de fleste mennesker i årevis ikke har hatt betenkeligheter med å gi fra seg sitt kredittkort i en bar eller på en restaurant, fordi faren for å bli svindlet i slike tilfeller kanskje er langt større enn om kredittkortet benyttes elektronisk. Et annet problem man bør være oppmerksom på, er at det ved deltakelse i såkalte diskusjonsgrupper på nettet («chatting») ofte legges opp til at deltakerne utveksler datafiler, som for eksempel bilder eller MP3 filer. På denne måten legger man faktisk opp til mottak av både virus og trojanske hester. Slike kan også gi hackere tilgang til din maskin, uten at du er klar over det. Det er ikke alltid det er avanserte innbrudd i datasystemer, eller smarte virusangrep, som er det mest lukrative, sett med en svindlers øyne. En rekke mer trivielle saker har stadig dukket opp der svindelen er gjennomført ved utnyttelse av datahjelpemidler, eller mangler ved slike. Her er det viktig at ledelsen i bedriftene legger opp til kontrollrutiner, særlig der det behandles penger eller informasjon om penger. Som nevnt er det særlig innen bank- og finansvesenet misligheter har forekommet i den senere tid. I et skremmende antall saker viser det seg også at det er ledelsen som står bak, eller er involvert i mislighetene. Det har også vært flere eksempler på lignende forhold i andre bransjer. Det er i denne forbindelse etablert et eget datakrimsenter ved Kripos. Justisdepartementet håper også på at økte ressurser skal gjøre Internett sikrere. Det foreligger også planer fra myndighetene for en nasjonal kryptopolitikk. Her er hensikten å bedre sikkerheten i nettverket, ved at følsom kommunikasjon vil bli kryptert, også innen privat sektor. Planer for at hver enkelt av oss skal kunne benytte Internett på en sikker måte,

32 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Hacking, virus og svindel

ved hjelp av PKI (Public Key Infrastructure) foreligger også, og vil forhåpentligvis bli gjort tilgjengelig i løpet av 2006. Flere ressurser til Økokrim, nye lover, regler og forskrifter, samt bedre muligheter for kryptering vil til en viss grad kunne demme opp for økonomisk kriminalitet og lignende hendelser, men mye av dette tar tid, og vil langt fra være nok. Bedriftskultur

Viktige stikkord i sikkerhetsarbeidet videre vil være: • ledelseskultur; de ansattes respekt og tillit til virksomhetens moralske og etiske retningslinjer • sikkerhetspolitikk; virkemiddel for ansattes motivasjon og holdninger • opplæring; kunnskap om eget arbeid og egen arbeidsplass • personalforvaltning; åpenhet og ærlighet i organisasjonen • regler og retningslinjer; lojalitet og respekt blant ledelse og ansatte • ansvar; eget arbeid i forhold til den informasjon det gis tilgang til • årvåkenhet; påpasselighet, oppmerksomhet og kritisk sans for misligheter • sanksjoner; reaksjoner ved brudd på regler og retningslinjer Det vil altså først og fremst være snakk om å utvikle en langt mer bevisst holdning hos dem som sitter med ansvaret for å forvalte informasjonen, og hos dem som utfører saksbehandling til daglig. Uten dette vil all verdens sikringstiltak og regelverk ikke kunne gi den nødvendige trygghet og hindre at informasjoner går tapt, kommer på avveier, kommer i urette hender, eller at informasjoner om bedrifter og privatpersoner blir kompromittert.

KAPITTEL 1: HVORFOR INFORMASJONSSIKKERHET?

TENK OVER • Nye trusler forandrer kontinuerlig det totale trusselbildet • Egne ansatte er ved bevisste eller ubevisste handlinger ofte årsaken til sikkerhetsbrudd • Hver tredje norske bedrift rammes av økonomisk kriminalitet i løpet av en 2-års periode • Flere bedrifter i Norge har avslørt muldvarper og andre utro tjenere i egen virksomhet • Mange virksomheter – private som offentlige – er for dårlig forberedt på at de kan rammes av større uhell • For de aller fleste virksomheter er slurv, manglende eller dårlig kunnskap og for dårlig kontroll med kvaliteten på produkter og tjenester den største trusselen mot en stabil og trygg informasjonsbehandling • Mye informasjon samles om hver og en av oss i mange dataregistre • God informasjonssikkerhet er i stor grad avhengig av en motivert ledelse og sikkerhetsbevisste medarbeidere

34 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

KAPITTEL 2 INFORMASJONSSIKKERHET – TRUSLER OG FARER 2.1 Innledning Begrepet informasjon blir brukt i mange sammenhenger, men i tilknytning til informasjonsteknologi (IT) er informasjon en sammenstilling av behandlede data som blir presentert i en slik form at de får et meningsfylt innhold. Eksempler på informasjon kan være data om salgsvolum, kunder, ansatte, marked, verdipapirer, regnskap, prognoser, rutiner, avtaler, varer, notater, konkurrenter, deg og meg osv. Informasjonsteknologi gir konkurransefortrinn

Et effektivt informasjonssystem, som gir korrekt informasjon til rett person og til rett tid slik at det blir mulig å ta den riktige beslutningen, eblitt en av de store konkurransefaktorene i dagens samfunn. Man kan også si at dagens moderne informasjonssystem, der Internett utgjør en svært vesentlig faktor, også har gjort verden mindre, og tilgangen på all verdens informasjon langt enklere.

2.2 Hva innebærer informasjonssikkerhet? 2.2.1 Definisjon av informasjonssikkerhet Informasjonssikkerhet innebærer sikkerhetstiltak innenfor både fysiske, systemtekniske og organisatoriske områder, og omfatter følgende tre begreper: • konfidensialitet – sikkerhet for at kun autoriserte personer får tilgang til følsom eller gradert informasjon og at det på forhånd er foretatt en gyldig identifisering og autentisering av personen • integritet – sikkerhet for at informasjonen og informasjonsbehandlingen er fullstendig, nøyaktig og gyldig, og et resultat av autoriserte og kontrollerte aktiviteter • tilgjengelighet – sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet, slik at aktuell informasjon er tilgjengelig ved behov Ut fra dette defineres informasjonssikkerhet som:

beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for den informasjonen som behandles av systemet og systemet i seg selv.

I de senere år har et nytt element relatert til informasjonssikkerheten dukket opp: • ikke-benekting (uavviselig) – sikkerhet for at de som har sendt meldinger gjennom et informasjonssystem ikke kan benekte eller avvise at det er de som har foretatt denne handlingen. Slik sikkerhet oppnås som regel ved hjelp av digitale signaturer.

2.2.2 Forvaltning av informasjon Informasjon og informasjonssystemer representerer store verdier, og bør av den grunn behandles som strategiske ressurser på linje med produksjonsutstyr, bygninger og kapital – og sikres deretter. De fleste er enige i at informasjon representerer noe fundamentalt viktig og verdifullt; likevel glemmes ofte sikkerhetsaspektet.

Informasjon = verdi

For å kunne forvalte informasjon på en betryggende måte, er det nødvendig å klargjøre følgende: • hvem eier informasjonen • hvilken del av informasjonen har vi behov for å beskytte mot uvedkommende, mot uønsket manipulasjon og mot ødeleggelse • hvilken grad av beskyttelse er nødvendig for denne informasjonen Informasjon må beskyttes slik at troverdigheten blir opprettholdt og kvaliteten og nøyaktigheten er slik brukeren forventer. Det er som regel eieren av informasjonen som må fastsette hvilken verdi eller følsomhet den har, og følgelig sørge for at beskyttelsen er tilstrekkelig. For å få sikringstiltak til å fungere er det derfor av grunnleggende betydning å klargjøre nettopp hvem som er eier av informasjonen, og dermed ansvarlig. Når det gjelder personrelatert informasjon, angir Personopplysningsloven (fornyet i 2000, ref. kapittel 3.5) i tillegg at den behandlingsansvarlige og databehandleren skal gjennomgå planlagte og systematiske tiltak for å tilfredsstille informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

36 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Eieransvar

Gradering av informasjon

Det er vanligvis ikke teknologien som representerer den største sikkerhetsmessige utfordringen (og risikoen), men menneskene rundt den. Det er derfor nødvendig å bestemme hvilken informasjon som ikke bør være fritt tilgjengelig for alle, men begrenset for eksempel til spesielle personalgrupper, eventuelt bare en del av ledelsen. Ofte finnes det en uformell inndeling eller klassifisering av informasjon etter viktighet, verdi og følsomhet (gradering) i bedriftene. Slik gradering bør formaliseres (se kapittel 16). Gradering av informasjon vil ofte ha med holdninger og skjønn å gjøre. Det er viktig at ansatte får forståelse for hvorfor det er nødvendig å gi den enkelte medarbeider tilgang til følsomme (graderte) IT-systemer (autorisasjon) basert på de behov den enkelte har for å utføre sine oppgaver («Need-to-know»-prinsippet). For nye IT-systemer bør autorisasjon være avklart før systemene blir satt i produksjon.

IT-systemer er ofte komplekse

Moderne informasjonssystemer blir stadig mer omfattende og komplekse. Noen grunner til dette kan være: • det blir anskaffet systemer for tekstbehandling, lønn, regnskap, fakturering, logistikk osv. fra ulike leverandører, og de blir operert etter varierende regler og prosedyrer • brukerne ønsker i økende grad komplekse sammenstillinger (integrasjon) av sin informasjon, noe som krever omfattende utveksling av informasjon mellom forskjellig systemer og servere • miljøer med PC-er, servere og programvare fra ulike leverandører, gjerne plassert på forskjellige steder (distribuert), fører ofte til komplekse kommunikasjonsløsninger • utstrakt bruk av e-post ved kommunikasjon med kolleger, forretningsforbindelser osv. gjør systemene enda mer uoversiktlige, og korrekt autentisering av personer vanskeligere

Kontrollrutiner er nødvendige

For å ivareta sikkerheten i forbindelse med slike komplekse informasjonssystemer, er det nødvendig at kontrollrutiner blir vurdert ut fra et helhetssyn, fra utviklingen (eller anskaffelsen) av programvaren starter til sluttbrukeren mottar resultatene i form av informasjon. Fordi informasjonssystemene virker i et samspill mellom mennesker og automatiserte prosesser, må kontrolltiltakene dekke så vel manuelle som automatiserte prosedyrer.

KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

2.2.3 Personvern Gjennom to offentlige utredninger (NOU 1974:22 og NOU 1975:10) og odelstingsbehandlinger, ble den første norske «lov om personregistre m.m.» vedtatt så tidlig som 9. juni 1978. Loven ble endret på visse punkter i 1987. Noen år senere ble det likevel klart at loven var foreldet, samt at kontrollen av etterlevelse av loven (inkl. forskrifter) var svært mangelfull. Datatilsynet, som ble opprettet samtidig med at loven trådte i kraft, ble aldri bemannet slik at en effektiv kontroll var mulig. Samtidig ble landene i EU mer bevisste på personvern, og de satte i gang arbeid for å lage noenlunde samordnede personvernregler innenfor EU. Dette medførte så at Norge anså det nødvendig å utarbeide et nytt sett av regler. Dette resulterte i at «Lov om behandling av personopplysninger» (Personopplysningsloven) ble vedtatt 14. april 2000 (Loven og forskriftene trådte i kraft 1. januar 2001).

Personregisterloven av 1978

Den nye loven representerer delvis en videreføring, oppdatering og videreutvikling av bestemmelsene i loven fra 1978, men inneholder også en rekke nye regler. Loven fokuserer ikke så sterkt på personregistre som tidligere, men regulerer i stedet elektronisk behandling av personopplysninger mer generelt. Den omfattende forhåndskontrollen etter tidligere lov (konsesjonsplikt) om opprettelse av personregistre er redusert. Det er lagt større vekt på etterfølgende kontroll fra Datatilsynet på grunnlag av meldeplikt for dem som behandler personopplysninger. En viktig endring er også at det administrative ansvaret for personvernområdet, inkludert forskrifter til loven og styringen av Datatilsynet, er overført fra Justisdepartementet til Fornyings- og administrasjonsdepartementet (via tidligere Moderniseringsdepartementet og Arbeidsog Administrasjonsdepartementet).

Personopplysningsloven av 2000

Vi har altså hatt lover om beskyttelse av personers integritet i personregistre i over 25 år. Spørsmålet er om dette har vært med på å heve sikkerhetsnivået i Norge. Vi stiller oss noe tvilende. Årene som har gått siden den første loven ble innført, har ikke vist en overbevisende bedring – i visse tilfeller tvert imot. Personvernet kan ikke sies å være effektivt i Norge i dag, noe som stadig blir påpekt gjennom massemedia.

Personvernet er ikke godt nok i Norge i dag

Mer utfyllende opplysninger om Personopplysningsloven blir gitt i kapittel 3.5, og om Datatilsynet i kapittel 4.4.1 Hensikten med disse bemerkningene om personvern og Personopplysningsloven er å skape forståelse for at hver enkelt virksomhet og offentlig etat må ta kravet om beskyttelse av personopplysninger på

38 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

alvor, og at det finnes et lovverk med forskrifter som skal følges. Det er den enkelte behandlingsansvarlige som må sørge for, gjennom avtale med databehandleren, at personinformasjonene sikres tilstrekkelig. Uskyldige kan bli anklaget

Det kan alltid diskuteres hvor viktig det er å beskytte informasjon om enkeltpersoner. Det blir hevdet at har man «rent mel i posen», er det ingenting å frykte. Dette er ikke alltid korrekt. Ved trivielle feil i datasystemene har en sett at personer er blitt uberettiget mistenkt og uthengt i en rekke tilfeller. Enkelte har faktisk vært tvunget til å gå rettens vei for å renvaske seg etter å ha blitt uberettiget mistenkt. Det har ofte vist seg vanskelig å få slettet feilaktig informasjon! I tillegg til slike feil kommer mulighetene for å koble informasjon fra flere kilder. Med forskjellige eller gale utgangspunkt kan dette medføre svært uheldige konsekvenser for enkeltpersoner. Senere års økende problemer med at uvedkommende via Internett utgir seg for å være en annen, gjerne for å sverte vedkommende, eller regelrette identitetstyverier, viser også at personvernproblemer ikke er synkende. Tradisjonelt, og av moralske årsaker, har vi alltid ønsket å verne om individets integritet. Tidligere var det relativt enkelt å opprettholde en slik beskyttelse. Ved bruk av moderne IT blir oppgaven stadig vanskeligere.

2.2.4 Samfunnet er sårbart Fordi vårt samfunn gjør seg mer og mer avhengig av moderne informasjonsteknologi og automatisert informasjonsbehandling, er det naturlig at det legges vekt på å beskytte samfunnsviktige funksjoner. Infrastruktur er viktig

Viktige samfunnsfunksjoner som telekommunikasjon, bankvesen, postvesen, kraftforsyning og transporttjenester må beskyttes mot stans og avbrudd av alvorlig karakter. I tillegg må informasjon som kan gi kunnskap om hvordan funksjoner settes ut av drift, beskyttes særskilt. I Norge ble man relativt tidlig oppmerksom på at spørsmålet om sårbarheten i IT-samfunnet burde belyses nærmere. Justisdepartementet tok i 1978 initiativ til å nedsette en sårbarhetskomite. Rett før dette ble en tilsvarende utredning startet i Sverige.

Sårbarhetsutvalget av 1986

Det første norske Sårbarhetsutvalget ble nedsatt av regjeringen i 1983. Utvalget la frem sin innstilling i april 1986. Konklusjonen var at det moderne teknologiske samfunn er svært sårbart, og at moderne inforKAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

masjonsteknologi gjør denne sårbarheten større. Det var imidlertid svært få av de foreslåtte tiltak som ble iverksatt. En ny, tilsvarende undersøkelse ble satt i gang i Norge i september 1999. Utvalget, som ble ledet av tidligere statsminister Kåre Willoch, la frem sin innstilling 4. juli 2000 (NOU 2000: 24). Dette utvalget hadde et bredere mandat med hensyn til sårbarheten i samfunnet, og vurderte ikke bare sårbarhet i forbindelse med økt bruk av informasjonsteknologi. Mange av konklusjonene var likevel sammenfallende med de som ble trukket i 1986, og utvalget foreslo en rekke interessante tiltak, for eksempel opprettelsen av et eget departement som skulle ta seg av sikkerhets- og beredskapsfunksjoner. Nærmere beskrivelse av denne innstillingen er gitt i kapittel 4.4.9.

Sårbarhetsutvalget av 2000

2.2.5 Offentlige sikkerhetshensyn Begreper som «rikets sikkerhet», «Sikkerhetsinstruksen», «Beskyttelsesinstruksen», «Datasikkerhetsdirektivet» og «Sikkerhetsloven» er først og fremst kjent blant offentlig ansatte og personell i Forsvaret.

Rikets sikkerhet

Viktigheten av å sikre informasjon som kan kompromittere vår forsvarsstrategi, avdekke langsiktige nasjonaløkonomiske planer osv., må imidlertid ha en allmenn forståelse. I denne forbindelse kommer gradering, og beskyttelse i henhold til slik gradering, særlig inn i bildet (se kapittel 16, gradering av informasjon). Som medlem av NATO sitter vi inne med informasjon som, i tillegg til å inneholde våre egne forsvars- og beredskapsplaner, også inneholder viktige opplysninger om allierte lands forsvarsevne og beredskapsdisposisjoner. Vi kan uten tvil fastslå at slik informasjon må gis tilstrekkelig beskyttelse. De kreftene som kan være satt inn for å avsløre våre hemmeligheter for en potensiell krigsmotstander, vil ha ubegrensede ressurser for å nå sine mål. Etter Sovjetstatens sammenbrudd har det også kommet frem at omfattende spionasje fra øst fortsatt finner sted, og at det ikke bare er militære anlegg og informasjoner som er målet. Man bør ha forståelse for at selv delinformasjon av tilsynelatende liten verdi for en fremmed stat, riktig sammensatt og i større mengder, kan få store konsekvenser for vår nasjonale sikkerhet dersom de faller i urette hender.

40 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Fortsatt spionasje fra øst

I tillegg til de rent forsvarsmessige «hemmeligheter» finnes det flere typer informasjon innenfor statsapparatet som krever beskyttelse. De større statlige og private datasentralene, som behandler og lagrer offentlig og statlig informasjon, er derfor pålagt strenge krav til sikringstiltak. I kapittel 3 gjennomgår vi nærmere de viktigste lovene og forskriftene, med vekt på de som er rettet mot sikkerhet og informasjonsog kommunikasjonsteknologi.

2.2.6 Økonomiske konsekvenser Ledelsen har ansvaret

Virksomhetens styre og ledelse har ansvar for å påse at virksomhetens formuesforvaltning er ivaretatt på en betryggende måte. Virksomhetens IT-systemer er viktige faktorer i organisasjonens verdiskapning. Derfor må sikringen av IT-systemene være en del av formuesforvaltningen. De økonomiske konsekvensene kan bli store om informasjonssystemene ikke fungerer eller informasjon kommer på avveier. Det er særlig viktig å vurdere dette i forbindelse med anskaffelse av nytt utstyr eller utvikling av nye IT-systemer. «Kostnader til sikringstiltak må betraktes som en del av den totale investeringen på samme måte som virksomhetene tegner brannforsikring for bygg og anlegg».

Kostnadene til sikringstiltak må imidlertid stå i forhold til verdien av de IT-systemene og den informasjonen som skal sikres. Det kan være vanskelig å vurdere hvilken verdi IT-systemene og informasjonen representerer, men en risikoanalyse (se kapittel 5) vil kunne være til hjelp for å få satt verdi på de enkelte faktorene. I figur 2.1 nedenfor vises kostnadene for sikringstiltak som en funksjon av sikkerhetsnivået.

KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

Figur 2.1: Kostnadene til sikringstiltak som en funksjon av sikkerhetsnivå. Figuren illustrerer at det bør være balanse mellom kostnadene til sikringstiltak og de tap som skal unngås. Det fremgår også klart at «100 % sikkerhet» blir for kostbart til at det kan forsvares. Et hovedpoeng må være å forsikre objekter som kan gjenskaffes for penger og å sikre mest mulig forsvarlig de systemer og verdier som ikke kan kjøpes igjen. At det er viktig å foreta slike vurderinger, viser seg stadig oftere. Når det skjer sikkerhetsbrudd og verdier går tapt fordi tilstrekkelige sikringstiltak ikke er iverksatt, viser det seg stadig at virksomheten ikke hadde forventet at nettopp dette kunne skje. Ingen hadde seriøst analysert den risiko som var til stede, og hvilken konsekvens et sikkerhetsbrudd kunne få. Derved ble det aldri iverksatt noen tiltak. Forsikringer er også en viktig del av «sikkerhetsnettet» som skal sørge for bedriftens eksistens etter en større katastrofe, underslag osv. Norske forsikringsselskaper tilbyr forskjellige forsikringer innenfor disse

42 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

100 % sikkerhet er ikke mulig

områdene. Dessuten gir de assistanse for å få fastlagt hvilke forsikringer som passer best for den enkelte bedrift.

2.3 Trusler og farer 2.3.1 Generelt Kraftig økning i utnyttelsen av informasjonsteknologi

Det har vært en kraftig økning innen utvikling og utbredelse av informasjonsteknologi de siste tiårene. Under denne utviklingen har sikkerhetsaspektet dessverre ofte blitt liggende etter, slik at vi har fått et såkalt «risikogap». Figur 2.2 nedenfor illustrerer dette risikogapet og viser misforholdet mellom det sikkerhetsnivået som er etablert og virksomhetens avhengighet av informasjonsteknologi. Som vi ser er det to forhold som spesielt påvirker dette «gapet»; PC-enes introduksjon tidlig på 80-tallet og introduksjon av Internett som skjøt fart på midten av 90-tallet.

Figur 2.2: Risikogapet I de siste 30 årene, og særlig gjennom de 10 siste, har norsk næringsliv opplevd en dramatisk øking i bruk av IT. Vi ser fortsatt at denne utviklingen får stadig større fart, med eksplosjonsartet spredning av små, bærbare datamaskiner, både i bedriftene og i hjemmene, samt en KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

enorm spredning og anvendelse av nettverk, ikke minst takket være Internett-teknologien (TCP/IP). Tilgjengelig informasjonsmengde øker dramatisk fra dag til dag, samtidig som flere og flere av oss blir brukere, surfer på nett, og tar med oss teknologien frem og tilbake fra hjem og skole. Slik voldsom utbredelse av teknologi medfører selvsagt at privatpersoner og næringslivet kontinuerlig utsettes for trusler i form av uhell, skadeverk, misligheter, svindel, feil, forsinkelser, tapt anseelse og tillit. Mange av disse truslene vil kunne medføre store økonomiske tap for den enkelte som rammes.

Internett har bidratt til dramatisk økning av tilgang til informasjon

Det hevdes likevel av mange at farene ved bruk av moderne informasjonsteknologi slett ikke er så store, og at det relativt sjelden inntreffer episoder som får negativ innvirkning på virksomheter eller personer. Går en nærmere inn på disse områdene og analyserer frekvens og omfang av skadeverk rettet mot eller utført ved hjelp av datamaskiner, viser det seg at det slett ikke skjer så lite, selv i Norge. Vi vil i det videre ikke behandle alle tenkelige trusler og farer rettet mot informasjonsteknologien, men forsøke å belyse de viktigste. Ved å beskrive slike trusler vil det kunne dannes et relativt godt bilde av hvilket omfang problemet har. Det bør også legges til at fordi den moderne informasjonsteknologi stadig endrer karakter, og at stadig ny teknologi tas i bruk, vil trusselbildet være i kontinuerlig endring – i negativ retning. En ny undersøkelse om IT-sikkerheten i 700 større amerikanske private og offentlige virksomheter, foretatt av Computer Security Institute (CSI) i samarbeid med FBI (juli 2005), legger frem følgende negative konklusjon: IT-sikkerheten er på vei nedover. Virusangrep fortsetter å være bakgrunnen for de største økonomiske tapene. Tilfeller av uautorisert tilgang til informasjon har også resultert i sterkt økende økonomiske tap, og har i størrelse passert de tap som skyldes «Denial of Service» angrep. (undersøkelsen utføres årlig – dette er det tiende året den publiseres).

44 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Sikkerhetsproblemene øker

Antall tilfeller av uautorisert bruk av datautstyr har hatt en svakere økning enn tidligere. Besvarelsene tydet imidlertid på at de totale tapene i dollar har vært sterkt stigende som følge av slik bruk. Tilfeller av sikkerhetsepisoder relatert til bruk av Internett har økt dramatisk fra tidligere år. Antallet virksomheter som rapporterer sikkerhetsepisoder til myndighetene er synkende. Dette forklares med at man ikke ønsker negativ publisitet ved å offentliggjøre at man ikke har sikret seg godt nok. Undersøkelsen viser også hvor store tap de enkelte kategoriene av hendelser har medført for de virksomhetene som har besvart spørreskjemaet. Det er interessant å merke seg at virusskader fremdeles ligger høyt, enda svært mange virksomheter (96 %) faktisk sier de har installert både virusverktøy og brannmurer. Figur 2.3 nedenfor, viser de episodene som har gitt størst økonomiske tap, i synkende rekkefølge.

Figur 2.3: Hendelser fordelt etter økonomiske tap (ref. CSI/FBI 2005)

KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

En annen undersøkelse, fra Europa, (gjengitt i SC Magazine, juli 2005) konkluderer med at 91 % av IT-sjefer hevder at de har tilstrekkelige sikkerhetstiltak installert. Likevel viser undersøkelsen at kun 30 % av virksomhetene hadde beskyttet seg mot de mest alminnelige truslene (som hacking). Man kan stille spørsmål om vi har kommet særlig langt i arbeidet med å bedre sikkerheten?

Er IT-sjefene naive?

I en norsk undersøkelse, foretatt av Mandag Morgen i samarbeid med Ementor i juni 2005, hevdes det at: • 25 % av i alt 636 virksomheter innen privat og offentlig sektor har i den senere tid vært utsatt for alvorlige IT-relaterte problemer eller avbrudd • 50 % av disse virksomhetene sier at IT-relaterte problemer vil utgjøre den største trusselen de kommende år • bare 16 % har etablert tilfredsstillende, utprøvde kriseberedskapsløsninger knyttet til sin IT-drift • 40 % av virksomhetene vil i 2006 investere i tiltak som vil bedre ITsikkerheten • 50 % vil investere i økte eller bedrede opplæringstiltak neste år • 30 % vil bedre sin kriseberedskap i løpet av neste år Skal man forsøke, noenlunde dekkende, å beskrive de mest aktuelle truslene mot moderne informasjonsteknologi, må man først ta for seg de ulike systemene i forhold til moderne informasjonsog kommunikasjonsteknologi, og deretter forsøke å tenke seg hvilke skader som teoretisk kan oppstå dersom sikkerhetstiltak ikke blir iverksatt. De områdene man identifiserer etter en slik analyse vil alle være trusselområder man bør ta hensyn til. Vi vil i det følgende gjennomgå en rekke av disse områdene. Moderne informasjonsteknologi har dessverre introdusert en rekke risikofaktorer. Noen av disse områdene innebærer svært omfattende problemer og bør tas alvorlig av de aller fleste virksomheter. Andre områder er mer perifere, og vil ikke være like aktuelle for alle.

2.3.2 Datakriminalitet Bruk av datamaskiner skaper neppe flere forbrytere. I samfunnet vil det alltid finnes individer som søker å utnytte enhver anledning til å foreta kriminelle handlinger, som regel i vinnings hensikt.

46 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Risikofaktorer

Lovverket henger etter

En av årsakene til at datakriminalitet bør tas spesielt alvorlig, er imidlertid at vinningsforbrytelser der informasjonsteknologi benyttes for å tilegne seg utbytte, svært ofte gir langt større avkastning enn tidligere, samtidig som sporene kan være lettere å skjule. Det norske lovverket har dessverre også hatt en tendens til å ligge på etterskudd, selv om visse justeringer er gjort (for eksempel er Straffeloven endret på visse punkter for å være bedre tilpasset moderne teknologi – spesielt gjelder dette paragraf 145, brevbruddsparagrafen, som også rammer hackingvirksomhet).

Få datakriminelle straffes

Likeså er det et faktum at bare et lite antall tilfeller av datakriminalitet medfører straffeforfølgelse, dersom de i det hele tatt blir oppdaget. Det har blitt hevdet at bare 1 av 100 tilfeller av datakriminalitet blir oppdaget, at bare 1 av 8 tilfeller blir anmeldt, og at bare 1 av 33 av de anmeldte sakene ender med fengselsstraff. Om disse tallene medfører noenlunde riktighet, styrker det teorien om at sjansene for å bli straffet for en slik forbrytelse er svært små.

Hva er datakriminalitet?

Hvilke typer lovbrudd kommer normalt inn under betegnelsen datakriminalitet? Som regel omfatter dette begrepet ulovlige handlinger der kjennskap til og bruk av datamaskiner er nødvendig for utøvelsen av handlingen. I virkeligheten blir betegnelsen datakriminalitet brukt også om en rekke andre handlinger der databehandling eller datautstyr på en eller annen måte er berørt. Ett eksempel er tyveri av datautstyr. Det meldes stadig oftere om tyverier av datamaskiner, særlig de små bærbare. Det ser ut til at tyvene bare blir mer og mer profesjonelle. Datakriminalitet deles vanligvis inn i to hovedkategorier: • handlinger der datamaskinene blir brukt til å begå den straffbare handlingen, f.eks. bedrageri, svindel, underslag og tyveri • handlinger der datamaskinen eller datamediet er objekter, f.eks. ved bevisst endring eller sletting av data i skadehensikt (virus), innplassering av «logiske bomber» i program, uautorisert tapping eller kopiering av data osv. Det finnes et utall eksempler på datakriminalitet i Norge. Den som følger litt med i pressen kan nesten daglig lese om slike tilfeller. En tid tilbake kunne vi også lese at norske hackere hadde fått «rekordstreng» straff. To 18-åringer hadde brutt seg inn på Aftenpostens hjemmeside og KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

forandret på innholdet. De hadde erstattet den originale siden med et bilde av tre menn som urinerte på Aftenpostens logo! Synderne ble funnet, saken ble anmeldt, og for dette fikk de altså en «rekordstreng» straff, på henholdsvis 45 og 29 dagers ubetinget fengsel (sammen med en bot på 4000 kroner). Man kan diskutere hvorvidt denne dommen virkelig virker preventivt! Næringslivets Sikkerhetsråd ga i oktober 2000 ut et hefte om kriminelles bruk av Internett. Her finnes en hel del interessant informasjon om emnet. For eksempel listes det opp hvilke typer mennesker som begår kriminelle handlinger via Internett: «script-kiddies», profesjonelle, organisasjoner og hackere/crackere. Videre gjennomgås de enkelte typer av kriminalitet tilknyttet Internett, samt verktøy som benyttes. Til slutt listes det opp en rekke forslag til tiltak for å hindre disse handlingene. Det anbefales å kontakte Næringslivets Sikkerhetsråd for å få tilgang til dette heftet, som fremdeles er relativt aktuelt.

Næringslivets sikkerhetsråd

Det har tidligere vist seg at de fleste datakriminalitetssaker dreier seg om svindel utført av bedriftens egne ansatte. Dette ser ut til å være under endring, idet senere undersøkelser viser at truslene i langt sterkere grad kommer utenfra. Antakelig henger dette sammen med den utstrakte bruken av Internett, særlig i økonomitransaksjoner. En annen tendens som har blitt mer og mer tydelig gjennom de siste to årene (forsterket i 2006) er at stadig flere angrep mot datasystemene generelt, er utført av kriminelle miljøer, der økonomisk vinning er bakgrunnen.

Flere trusler mot informasjonssikkerheten kommer nå

Et problem med hensyn til kartlegging av datakriminalitet i Norge er at Det er store en rekke tilfeller aldri blir anmeldt. Næringslivets Sikkerhetsråd, i mørketall samarbeid med Økokrim og Norsk Senter for Informasjonssikkerhet (NorSIS), har gjennom flere såkalte «mørketallsundersøkelser» konkludert med at svært få avdekkede tilfeller av datakriminalitet blir rapportert videre til myndighetene. Politiet og særlig Økokrim har gjentatte ganger bekreftet denne tendensen. Det er stor grunn til å anta at virksomheter vegrer seg for å offentliggjøre tilfeller av datakriminalitet, fordi dette kan gi dårlig omdømme. At mange saker ikke blir anmeldt, ser politiet for øvrig på som svært negativt av en annen årsak, fordi det viser seg at personer som har begått lovbrudd en gang, ofte gjør det igjen, særlig når de oppdager at risikoen for å bli straffet er liten.

48 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Kanskje Norges største datakrimsak?

Ett av de mest kjente og største tilfellene av datakriminalitet i Norge hittil, er en sak der de ansatte selv stod for utførelsen. Selv om saken nå er temmelig gammel, er den like fullt aktuell å gjengi her. I 1988 ble to ansatte ved Bankenes Betalingssentral arrestert, mistenkt for forsøk på å svindle til seg nesten 900 millioner kroner. Pengene ble forsøkt overført til en konto i Sveits, men forsøket ble avslørt før overføringen skjedde. De arresterte fikk i 1991 en ubetinget fengselsdom på to år for denne forbrytelsen. Det viste seg imidlertid under rettssakene (straffeutmålingen etter den første dommen ble anket av påtalemyndigheten) at en vesentlig formildende omstendighet var at datasystemene som ble forsøkt svindlet, var svært mangelfullt sikret! Dette faktum, at sikkerheten er mangelfull, har siden vært tillagt en betydelig vekt ved saker i Norge der datakriminalitet har vært behandlet. I de senere år har flere og flere datakriminalsaker blitt utført ved bruk av nettverkene (særlig Internett). Bevisstheten innenfor politiet i de enkelte europeiske landene om å minske slik kriminalitet, samt å få mer effektive etterforskningshjelpemidler, har medført at en rekke tiltak har vært vurdert.

Internasjonalt samarbeid for å bekjempe datakriminalitet

Norge undertegnet i 2001 en egen avtale (Convention of Cyber crime), som knytter landene i EU og EFTA sammen i et fellesskap for bedre å bekjempe slik kriminalitet. Hensikten med dette var at landene skulle etablere en døgnåpen vaktordning som skal bistå landene i oppsporing av kriminelle som står bak straffbare handlinger på nettet. Dette skulle også gjøre det enklere å skaffe elektroniske bevis i saker som involverer flere land.

Revurdering av lovgiving

Gjennomgang av en rekke datakriminalitetssaker i Norge i de senere år viser, ifølge politiet, at de fleste saker kunne vært unngått ved relativt enkle sikrings- og kontrolltiltak. Svindelforsøk fra egne, utro ansatte kan det imidlertid være svært vanskelig å sikre seg godt nok mot.

2.3.3 Tyveri av datautstyr og informasjon Tyveri av datautstyr har vist en sterkt stigende tendens i de seneste år. Det kan tenkes flere naturlige årsaker til dette. For det første har utbredelsen av mindre, bærbare datamaskiner fått en sterk økning, både i virksomheter og privat. Videre er antallet såkalte håndholdte maskiner (Personal Digital Assistant – PDA) i sterk økning.

KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

Disse er enda vanskeligere å beskytte, fordi de er vesentlig mindre. Slike kan likevel inneholde en betydelig mengde informasjon som ikke burde komme på avveie. I tillegg finnes det i dag en rekke lagringsenheter («USB-sticks», «Microdrives») som kan tilkobles bærbart utstyr, og som kan lagre enorme mengder informasjon. Bærbart utstyr og små lagringsenheter er lett å få med seg, og lett å omsette. Det har etter Sovjetunionens fall også oppstått et enormt nytt marked i ØstEuropa, der mangelen på moderne PC-utstyr er skrikende. Mye av det som stjeles i Norge, eller i Europa for øvrig, vil finne veien hit, gjennom profesjonelle omsetningsledd, i henhold til Politiet. En vesentlig årsak til at de små bærbare datamaskinene er attraktive tyveriobjekter, er også den verdi som til enhver tid er lagret på de stjålne maskinenes lagringsmedium. Politiet hevder også at det ofte er vanskelig å pågripe tyver som blir tatt med datautstyr, fordi det kan være vanskelig å skaffe bevis for at utstyret virkelig er stjålet.

Håndholdt, trådløst datautstyr

Vi kan daglig lese i pressen om bedrifter som har blitt frastjålet datautstyr. I visse tilfeller virker det som om det er rene bestillingstyverier. Enkelte bedrifter har blitt frastjålet større datamaskiner (servere) sammen med både skrivere og PC-er, der det har vært nødvendig med større varebiler for å frakte utstyret vekk.

Bestillingstyverier

Fra England ble det i juli 2005 rapportert at det bare innenfor regjeringskontorene, fra januar til juni, hadde blitt stjålet hele 150 bærbare PC-er! Fra USA ble det i februar 2006 rapportert at en ansatt i firmaet Ernst & Young hadde blitt frastjålet sin bærbare PC inneholdende enorme mengder personinformasjon om deres kunder. Vi har også gjentatte ganger lest om såkalte sjokkbrekk, der tyvene benytter store biler, kjører rett gjennom porter eller vinduer, fyller bilen med datautstyr og forsvinner i løpet av få minutter (før vaktselskaper eller politi rekker frem). Det har også vært flere tilfeller av østeuropeere som har blitt arrestert på grensen, eller på ferger ut fra Norge og Sverige, med bilen fullastet med stjålet datautstyr. Det er bærbare PC-er som er det mest populære tyveriobjektet, og etter Bærbart utstyr hvert som disse blir stadig mindre, og stadig mer «åpne» i arkitektur og er spesielt grensesnitt, blir de lette salgsobjekter, selv uten at kunden får med en tyveriutsatt «kjøpsgaranti». Tendensen i slike tyverier har imidlertid, ifølge Politiet, stanset noe opp. Prisene har gått drastisk ned de siste årene, og kravet til stadig ny og oppdatert programvare, samt siste modell av utstyr, gjør det

50 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

nok noe vanskeligere å omsette, i hvert fall på gaten. Tyvene blir imidlertid stadig mer profesjonelle. For eksempel opplever stadig flere at deres bærbare PC-er stjeles fra bagasjerommet på bilen, mens de handler i supermarkedet. Dette skyldes ofte at tyvene overvåker parkeringsplassene for å avsløre hvem som flytter sin PC fra forsetet til bagasjerommet før de forlater bilen. Tyveri av bærbare PC-er ved innbrudd i hjemmene har også vært stigende de siste 2–3 årene, fordi stadig flere av oss har slikt utstyr hjemme, og sjelden tar seg bryet med å låse det ned eller gjemme det unna når de forlater hjemmet. Det er langt lettere for en innbruddstyv å få med seg en liten PC, enn for eksempel et stort TV-apparat. Tyveri av informasjon er kanskje det mest alvorlige

For de fleste personer og virksomheter vil ikke selve tapet av datautstyret være den største økonomiske belastningen, da utstyret i seg selv som regel er forsikret og relativt rimelig å gjenskaffe. Vanligvis finnes det imidlertid store mengder informasjon, lagret på fastmonterte eller løse lagringsmedia, som blir stjålet samtidig. Slik informasjon kan det ha tatt måneder eller år å samle inn og registrere, og dersom man ikke har tatt regelmessig backup-kopi – og lagret dette på et trygt sted – kan store summer i tapt arbeidstid være konsekvensen. For virksomheter som har lagret verdifull informasjon om kunder, fremdriftsplaner, nye produkter, økonomi osv. på de stjålne datamediene, kan konsekvensene lett bli enda mer skjebnesvangre. Dersom denne informasjonen havner hos en konkurrent, kan neste skritt være at man mister vesentlige markedsandeler, konkurransefortrinn, tillit og kunder. Det finnes i dag flere selskaper som lever av å samle inn informasjon om bedrifter og institusjoner for videresalg til høystbydende (Information Brokers). Slike selskaper opererer så å si åpent, men de beskytter sine kilder.

2.3.4 Industrispionasje Industrispionasje kan for mange høres ut som en lite realistisk trussel for norske bedrifter. Næringslivets Sikkerhetsråd (NSR) har gjentatte ganger hevdet noe annet: «Industrispionasje foregår nesten daglig i Norge, og er særlig rettet mot moderne teknologi, olje og IT. Den moderne industrispion setter sjelden spor» (sitat fra den tidligere direktøren i NSR, Helge J. Størkersen).

KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

Situasjonen er imidlertid forverret de senere år, særlig på grunn av den økende Internett-bruken. Det er utrolig hvor mange bedrifter som legger bedriftshemmeligheter åpent ut på nettet, uten å ha tenkt seg godt nok om. For konkurrenter kan dette være en gavepakke, der de helt risikofritt kan skaffe interessant informasjon kun ved å surfe på Internett. I tillegg benytter nå de aller fleste bedrifter e-post for kommunikasjon med kunder og bedriftspartnere. I de færreste tilfeller er slik e-post sikret på noen som helst måte, og svært ofte inneholder posten bedriftshemmeligheter eller følsom kundeinformasjon.

Følsom informasjon legges ofte ut på Internett

Det bør være kjent for de fleste at åpen e-post på Internett, er som å sende åpne postkort. Det er relativt enkelt, og omtrent risikofritt, å avlytte e-post forsendelser, idet de som regel passerer gjennom en rekke servere der vi ikke har noen kontroll over sikkerheten. Aftenposten rapporterte for ikke lenge siden at den tidligere sjefen for CIA, James Wolsley, har stått frem og tilstått at det amerikanske etterretningsbyrået driver spionasje mot virksomheter i allierte vestlige land.

En ukryptert internettforsendelse er som et åpent postkort

Denne uttalelsen har fått også nordiske bedrifter, som for eksempel det danske Bang & Olufsen, til å varsle strenge sikkerhetstiltak ved bruk av Internett og e-post. Selskapet har gått over til å frakte informasjon om nye design etc. med bil i stedet for via e-post. Problemet med forsendelse av usikret (ukryptert) bedriftsintern e-post over Internett er antakelig det største enkeltstående sikkerhetsproblemet for bedrifter i dagens samfunn. Her er mangel på bevissthet hos de ansatte den overveiende årsaken. Noen virksomheter, også norske, har etablert en såkalt «trailer» med en standard tekst etter sine epostmeldinger. Et eksempel på dette er følgende: «The information transmitted is intended only for the person or entity to which it is addressed and may contain confidential and/or privileged material. Any review, retransmission, dissemination or other use of, or taking of any action in reliance upon, this information by persons or entities other than the intended recipient is prohibited. If you received this in error, please contact the sender and delete the material from any computer». Da en må anta at eventuelle industrispioner ute på nettet vil søke på enkelte ord for å plukke ut interessant e-post, er det ganske oppsiktsvekkende at seriøse bedrifter etablerer en praksis med å henge slike meldinger etter sin e-post. Ord som «confidential» er et søkeord som helt sikkert vil benyttes. I

52 HÅNDBOK I DATASIKKERHET - INFORMASJONSTEKNOLOGI OG RISIKOSTYRING

Ukryptert epost med følsom informasjon er et av de største problemene i dag

tillegg gir en slik «trailer» en falsk trygghet for avsender om at en juridisk «disclaimer» beskytter informasjonen. En slik tekst vil kun ha en teoretisk betydning i en rettssak, fordi en handling som tapping av ukrypterte meldinger på Internett, aldri vil havne i en rettsal.

Ser en nærmere på fenomenet industrispionasje, er det to elementer som er sammenfallende: • det kan få katastrofale følger for en bedrift dersom «hemmelig» informasjon, for eksempel om nyutviklede produkter, kommer på avveier • alle moderne bedrifter bruker i dag IT til behandling og lagring av viktig informasjon for den enkelte bedrift Informasjon lagret ved hjelp av IT er særlig tyveriattraktivt

På bakgrunn av dette vil det være naturlig at industrispionasjen oftest blir satt inn på IT-siden, det vil si at spionene først vil søke å skaffe seg informasjon som er lagret i eller overføres mellom datamaskiner og datamedier, før mer tungvinte og gammeldagse metoder benyttes. Hvilke konsekvenser kan det ha for en bedrift dersom produktplaner, utviklingsprosjekter osv. blir stjålet av en konkurrent? I visse tilfeller kan det bli skjebnesvangert. Års kostnader til forskning og utvikling kan gå tapt, og dersom det ferdige produktet blir lansert av en konkurrent først, kan hele eksistensgrunnlaget være revet bort. Et av de mer kjente tilfellene på området industrispionasje i Norge er mistanken om at konkurrenter stjal viktige og hemmelige komponenter til det norske bompengesystemet Køfri. Tidlig på nittitallet ble det oppdaget at en registreringsenhet tilknyttet dette systemet var stjålet fra et låst skap hos Vegvesenet i Trondheim. Ifølge Computerworld bestod enheten av en rekke deler med avansert elektronikk og programvare som det hadde kostet nær 100 millioner kroner å utvikle.

Spionasje øker ofte i dårlige tider

Det er for øvrig verdt å merke seg at forskjellige former for spionasje bedrifter imellom har en tendens til å øke i dårlige økonomiske tider, eller i tider da konkurransen er spesielt hard. At konkurransen er blitt hardere gjennom de senere år, er allment kjent. Hver enkelt konkurranseutsatt bedrift har et stort behov for å skaffe seg det mest avanserte på markedet for å kunne holde på kundene. Marginene er svært små, og den moralske og etiske terskelen er blitt langt lavere enn tidligere.

KAPITTEL 2: INFORMASJOSSIKKERHET – TRUSLER OG FARER

Forutsetninger for sikkerhets‐ arbeidet

Sikringstiltak

Lederansvar

Trusler og farer

Bevissthet og holdninger Motivasjon

Fysiske og drifts‐ tekniske forhold

Bered‐ skaps‐ plan‐ legging

Organisering og ledelse (styring) av sikkerhetsarbeidet

IT‐ service‐ ledelse (ITIL)

Internett‐ og nett‐ verks‐ sikkerhet

Autorisa‐ sjon og tilgangs‐ kontroll

Læring og kunnskap Overvåking og kontroll Virksomhetsstyring (”Corporate Governance”)

Sikkerhetsvisjon

Sikkerhet ved bruk av PC‐er og hånd‐ holdt data‐ utstyr

Kryp‐ tering og digitale signa‐ turer

Beskyt‐ telse mot eksterne angrep

System‐ teknisk sikkerhet

Gradering av infor‐ masjon

Risikostyring og risikoanalyser Sikkerhetsrelaterte standarder og organer Lover og forskrifter

Hvorfor informasjons‐ sikkerhet

Samfunnets sårbarhet

Untitled-10 1

23.10.2014 10:57:24

Forutsetninger for sikkerhets‐ arbeidet

Sikringstiltak

Lederansvar

Trusler og farer

Bevissthet og holdninger Motivasjon

Fysiske og drifts‐ tekniske forhold

Bered‐ skaps‐ plan‐ legging

Organisering og ledelse (styring) av sikkerhetsarbeidet

IT‐ service‐ ledelse (ITIL)

Internett‐ og nett‐ verks‐ sikkerhet

Autorisa‐ sjon og tilgangs‐ kontroll

Læring og kunnskap Overvåking og kontroll Virksomhetsstyring (”Corporate Governance”)

Sikkerhetsvisjon

Sikkerhet ved bruk av PC‐er og hånd‐ holdt data‐ utstyr

Kryp‐ tering og digitale signa‐ turer

Beskyt‐ telse mot eksterne angrep

System‐ teknisk sikkerhet

Gradering av infor‐ masjon

Risikostyring og risikoanalyser Sikkerhetsrelaterte standarder og organer Lover og forskrifter

Hvorfor informasjons‐ sikkerhet

Samfunnets sårbarhet

Untitled-10 1

23.10.2014 10:57:24

bevisstheten og -kunnskapen i norsk samfunns- og næringsliv.

ISBN 978-82-450-2789-1

,!7II2E5-achijb!

Håndbok i datasikkerhet

Daler, Gulbrandsen, Høie og Sjølstad

Håndbok i datasikkerhet

4. utgave, med kapittel om GDPR

Håndbok i datasikkerhet – informasjonsteknologi og risikostyring

Torgeir Daler Roar Gulbrandsen Tore Audun Høie Torbjørn Sjølstad