Erfaringer fra etableringenav institusjonsvisesikkerhetsteam22. November 2017

UNINETT konferanse 2017

Rune Sydskjør, leder UNINETT CERT

Agenda

Status i sektoren

Erfaringer fra hendelser og øvelser

Veien videre

27. November 2017 SLIDE 2

Forankring i ledelsessystemet for informasjonssikkerhet

3

IRT

27. November 2017

Alt utført. Hva nå?

Ledelsessystem

Verdivurdering

ROS

Avvikslukking

Sikra verdiene

GDPR

27. November 2017 SLIDE 4

27. November 2017 SLIDE 5

Alt utført. Hva nå?

Ledelsessystem

Verdivurdering

ROS

Avvikslukking

Sikra verdiene

GDPR

27. November 2017 SLIDE 6

27. November 2017 SLIDE 7

27. November 2017 SLIDE 8

TruslerSektoren vår er et interessant mål!

Det forventes økende antall spionasjeforsøk mot norske virksomhetertilknyttet forskning og utvikling av høyteknologi. Flere av de høy-teknologiske virksomhetene har kompetanseutfordringer og sårbarheterknyttet til eget arbeid med forebyggende sikkerhet.

«Sikkerhetstilstanden 2014», Nasjonal sikkerhetsmyndighet

27. November 2017 SLIDE 9

NSM -Sikkerhetstilstanden2017

«Evnen til å oppdage alvorlige cyberhendelser må styrkes, både på nasjonalt plan, gjennom sektorviseresponsmiljøer og i virksomhetene.»

https://nsm.stat.no/globalassets/rapporter/rapport-om-sikkerhetstilstanden/nsm_risiko_2017_lr_0404_enkelts_v3.pdf

27. November 2017 SLIDE 10

35 IRT-er i sektoren hittil

27. November 2017 11

Workshop 2 mai 2017:

Handelshøyskolen BI (cert@bi.no) Universitetet i Oslo (cert@uio.noHøgskolen i Oslo og Akershus (csirt@hioa.no) Høgskulen på Vestlandet (csirt@hvl.no) NMBU (csirt@nmbu.no) Universitetet i Agder (csirt@uia.no) UiT Norges arktiske universitet (csirt@uit.no) Norges musikkhøgskole(hendelsesresponsteam@nmh.no) Nord universitet (irt.nord@nord.no) Arkitektur- og designhøgskolen i Oslo(irt@aho.no) Fagskolen Innlandet(irt@fagskolen-innlandet.no) Høgskolen i Molde (irt@himolde.no) Høgskolen i Østfold (irt@hiof.no) Høgskulen i Volda (irt@hivolda.no) Høgskolen I Innlandet (irt@inn.no) Kunsthøgskolen i Oslo (irt@khio.no) Norges Handelshøyskole (irt@nhh.no)

Norges forskningsråd (irt@rcn.no) Sámi allaskuvla (irt@samiskhs.no) Universitetet i Bergen (irt@uib.no) Universitetet i Stavanger (irt@uis.no)UNIS (irt@unis.no)NTNU (soc@ntnu.no) Høgskolen i Sørøst-Norge (usn-irt@usn.no) Norges idrettshøgskole (irt@nih.no)Høgskolen i Innlandet (irt@inn.no)

Workshop 9 november 2017:

Utdanningsdirektoratet (irt@udir.no)Kompetanse Norge (csirt@kompetansenorge.no)Chr. Michelsen Institutt (irt@cmi.no)Fagskolen i Ålesund (fials_irt@fials.no)Nasjonalbiblioteket (irt@nb.no)UNINETT Sigma2 (csirt@sigma2.no)Det teknologiske menighetsfakultet (irt@mf.no)Norske regnesentral (irt@nr.no)

UNINETT CERT (cert@uninett.no)

35 IRT-er i sektoren hittil

27. November 2017 12

Workshop 2 mai 2017:

Handelshøyskolen BI (cert@bi.no) Universitetet i Oslo (cert@uio.no Høgskolen i Oslo og Akershus (csirt@hioa.no) Høgskulen på Vestlandet (csirt@hvl.no) NMBU (csirt@nmbu.no) Universitetet i Agder (csirt@uia.no) UiT Norges arktiske universitet (csirt@uit.no) Norges musikkhøgskole(hendelsesresponsteam@nmh.no) Nord universitet (irt.nord@nord.no) Arkitektur- og designhøgskolen i Oslo(irt@aho.no) Fagskolen Innlandet(irt@fagskolen-innlandet.no) Høgskolen i Molde (irt@himolde.no) Høgskolen i Østfold (irt@hiof.no) Høgskulen i Volda (irt@hivolda.no) Høgskolen I Innlandet (irt@inn.no) Kunsthøgskolen i Oslo (irt@khio.no) Norges Handelshøyskole (irt@nhh.no)

Norges forskningsråd (irt@rcn.no) Sámi allaskuvla (irt@samiskhs.no) Universitetet i Bergen (irt@uib.no) Universitetet i Stavanger (irt@uis.no)UNIS (irt@unis.no)NTNU (soc@ntnu.no) Høgskolen i Sørøst-Norge (usn-irt@usn.no) Norges idrettshøgskole (irt@nih.no)Høgskolen i Innlandet (irt@inn.no)

Workshop 9 november 2017:

Utdanningsdirektoratet (irt@udir.no)Kompetanse Norge (csirt@kompetansenorge.no)Chr. Michelsen Institutt (irt@cmi.no)Fagskolen i Ålesund (fials_irt@fials.no)Nasjonalbiblioteket (irt@nb.no)UNINETT Sigma2 (csirt@sigma2.no)Det teknologiske menighetsfakultet (irt@mf.no)Norske regnesentral (irt@nr.no)

UNINETT CERT (cert@uninett.no)

TLP - Trafikklysprotokoll

27. November 2017 13

Hvorfor har ikke dette fungert før?

Vi har kjørt IRT kurs før! Gjennom gigacampus og@campus.

Men aldri fått til noe særlig konkret.

Hva er forskjellen nå?

Oppfordring i brev fra KD.

Forankring i ledelse!

Økende trusselbilde, flere hendelse og mer digitalisertsamfunn.

27. November 2017 SLIDE 14

Aktørkart og kommunikasjon

27. November 2017 SLIDE 15

25 team ble formalisert 2 mai. Uka etter;

”WannaCry” og ”Lekkasje fra Bing”

UNINETT CERT kunne nå videresende TLP merket informasjon til alle de nye teamene.

Kunnskapsdepartementet ble varslet av NorCERT/andre departement, og de hadde nå en sikker kommunikasjonskanal til ”alle” i sektoren.

Bra timing, eller bare på høy tid?

27. November 2017 16

Erfaringer fra hendelser og øvelser

27. November 2017 SLIDE 17

Erfaringer fra hendelser og øvelser

Et massivt angrep kan være altomfattende og ekstremt krevende å håndtere. Uten en organisering sliter man veldig.

Teamet må ha tilgang til måledata, monitorering og logger for å avgjøre hva som er relevante fakta og hva som skal prioriteres

Vit hvem og når du skal informere hva til, på forhånd!

Vit hvem og når du skal rapportere hva til, på forhånd!

Rollekort er svært nyttig når en situasjon eskalerer

27. November 2017 SLIDE 18

Posten - hente pakke phish (cryptolocker)

27. November 2017 SLIDE 19

Telenor - faktura phish (cryptolocker)

27. November 2017 SLIDE 20

Lokale tiltak – veien videre

Det holder ikke bare å ta imot saker

Det må omsettes i handlinger (avvikshåndtering)

Vi må gjøre et løft sammen

Du trenger noen som har øvd påhendelseshåndtering før, når det smeller

27. November 2017 SLIDE 21

Sikkerhet på studentutstyr

Oppfølging på funn av sikkerhetshendelser på studentutstyr får lav prioritet

Kan muligens finnes flere grunner til dette?

• utilstrekkelig kapasitet?

• manglende mulighet til å identifisere og kontakte berørte studenter?

• uklart eller manglende mandat?

leksjonen studentene sitter igjen med er at sikkerhet ikke er noe som tas påalvor. Det er denne lærdommen framtidas arbeidstakere tar med seg inn iyrkeslivet.

Vi som sektor feiler på dette området.

27. November 2017 SLIDE 22

Oppsummert

Truslene er større og kommer oftere

Lokale hendelsesresponsteam i sektoren er viktig

Vi må gjøre mer enn å bare ta imot hendelser

27. November 2017 SLIDE 23

Spørsmål?

Rune Sydskjør

rune.sydskjor@uninett.no

cert@uninett.no

cert-info@uninett.no

27. November 2017 SLIDE 24