INFORMASJONSSIKKERHET

20170912

Folke Haugland

Instituttleder IKT, Fakultet for teknologi og realfag

Faculty of Engineeering and Science, ICT Department 2

Introduction

• University of Agder: 2 Campuses

• Campus Kristiansand

• Campus Grimstad

• Faculty of Engineering and Science

• Mathematical and Natural Sciences in Kristiansand

• ICT and Engineering Sciences in Grimstad

• Statistics

• 8500 students in Kristiansand

• 3500 students in Grimstad

• 730 academic staff

• 430 administrative staff

Statistics

• The ICT department has about 75 employees including

• 9 professors

• 11 associate professors

• 11 assistant professors

• 6 adjunct associate professors

• 8 postdocs

• Approx 20 PhD

• 10 technical/administrative staff

• 1/3 non-norwegians

• Approx 500 students at our own study programs

Faculty of Engineeering and Science, ICT Department 3

Faculty of Engineeering and Science, ICT Department 4

Technical education on all levels

Qualifying Courses

Bachelor of Engineering

Engineering: Computer Science

Engineering: Network Management and Security

Multimedia Technology and Design

Engineering: Electronics

PhD Programme

ICT – Information and Communication Technology

Master of Science

ICT – Information and Communication Technology

(IIM – Industrial and Information Management)

Multimedia and Education Technology

Continuing Education

Lysne utvalget I – Digital sårbarhet (2015)Lysne utvalget II – Digitalt grenseforsvar(2016)

Lysne• -utvalget I

kartlagt samfunnets digitale sårbarhet, og foreslår tiltak for å styrke beredskapen og redusere den digitale

sårbarheten i samfunnet.

Lysne• -utvalget II

Ser på balansen mellom det sikkerhets- og etterretningsmessige og det personvernrelaterte

Bakgrunn: Politiet og norske myndigheter har vesentlige mangler for å avdekke og håndtere digitale

angrep

Utfordringer

• Digitalisering

• Flere koblinger - kjøleskapet ber om service via eget kall på web)

• Mer komplisert – kompliserte prosesser styres automatisk

• Uklare eierforhold – infrastruktur, landegrenser

• Tjenester leveres uten nasjonal kontroll – personvern

• Sammensatte verdikjeder –betaling med mobil i utlandet

• Falske basestasjoner

Digital sårbarhet - proaktiv

• konfidensialitet, det vil si at sensitiv eller gradert informasjon bare skal

være tilgjengelig for autoriserte personer og prosesser

• Informasjonskvalitet(information assurance) og -integritet,

det vil si at informasjonen er fullstendig, nøyaktig og gyldig, og et

resultat av autoriserte og kontrollerte aktiviteter

• tilgjengelighet, det vil si oppfyllelse av krav til service, slik at alle

berettigede krav om tilgang til informasjonen dekkes ved behov.

(accountability – du har lov, men gjør noe du ikke skal – loggføring)

Digital sårbarhet - reaktiv

Alle systemer vil bli utsatt for angrep som av og til lykkes (detection

and response)

gjenopprette tilstanden-

Da kan du bedre tilgjengeligheten ved å gjenopprette raskt-

1800 vannverk i Norge Maroochy Shire-hendelsen i Australia i år 2000

En tidligere innleid IT-konsulent hadde installert DriftsKontrollSystem som styrte 300 pumpestasjoner for avløp via radiokommunikasjon. Konsulenten fikk ikke jobb i vannverket og hevnet seg ved å manipulere pumpestasjoner, ventiler og luker slik at en million liter ubehandlet avløpsvann rant ut i nærliggende vassdrag.1

1J. Slay and M. Miller: «Lessons Learned from the

Maroochy Water Breach» in Critical Infrastructure Protection, vol. 253, E. Goetz and S. Shenoi, Eds., ed: Springer Boston, 2007, pp. 73–82.

Anbefalinger

Telenors Kjernenett er godt utbygd, det er profesjonelt operert, og det har historisk sett meget høy •

stabilitet. Likevel vil det kunne settes ut av spill ved menneskelige feil, rutinesvikt, sabotasje, terror eller

utro tjenere. En aktør til (Broadnet elller Altibox)

Fjern reglene for regulering/forbud av kryptering•

Vi trenger flere som kan forstå•

• Grunnleggende forståelse av digitale sårbarheter

a) IKT som gjennomgripende faktor

“Cyber Physical System”

b) Cyber Security sårbarheter (trussel analyse)

• Vurderinger krever kompetanse

• Tiltak og mottiltak krever spesialkompetanse

c) Kompetanse

• Underdekning på IKT

• Stor underdekning på IKT sikkerhet

• Basis sikkerhetskunnskap må inn i all IKT utdanning

• Internasjonale trender (Information Assurance and Security - IAS)

• På alle nivåer: BSc, Msc og PhD

• UH sektoren mangler til dels kompetanse til å gjennomføre dette

Nasjonale Aktører

NSM(justis og forsvars)•

PST(justis ved justis)•

FSA (internt militær Forsvaret Sikkerhets Avdeling)•

Etteretningstjenesten• – CyFOR (Lillehammer)

Aktører

NIST National • Institute of standards and Technology

NVD National • Vulnerability Database

http://nvd.nist.gov•