Grunnleggende begreper for informasjonssikkerhet PDF

Summary

Dette dokumentet introduserer grunnleggende begreper innen informasjonssikkerhet, inkludert terminologi, betydning av sikkerhet, og hva sikkerhet er generelt. Det beskriver forskjellige typer sikkerhet, inkludert fysisk, personsikkerhet, miljøsikkerhet, og informasjonssikkerhet. Viktige faktorer som tilsiktede handlinger, menneskelige feil, tekniske feil og naturhendelser som kan føre til brudd på sikkerheten er også diskutert.

Full Transcript

Grunnleggende begreper for informasjonssikkerhet

1.1 Terminologi rundt informasjonssikkerhet
-------------------------------------------

For purister: Informasjonssikkerhet handler også om beskyttelse av
informasjon på papir eller formidlet gjennom analoge lydbølger, mens
digital sikkerhet bare omhandler beskyttelse av digital informasjon.
Eks: kollega prater om sensitiv informasjon og andre hører, så er det
strengt talt ikke brudd på digital sikkerhet men på
informasjonssikkerhet.

Likevel er alle begrepene med datasikkerhet, IT-sikkerhet,
informasjonssikkerhet, cybersikkerhet og digital sikkerhet alle knyttet
til sikkerhet for ting som på en eller annen måte er koblet til datanett
eller internett.

Akademisk forklaring: Datasikkerhet, cybersikkerhet eller IT-sikkerhet
er beskyttelse av datasystemer og datanett mot angrep fra ondsinnede
aktører som kan føre til uautorisert informasjonsavsløring, tyveri av
eller skade på maskinvare, programvare eller data, i tillegg til avbrudd
eller feil ved tjenestene de leverer.

1.2 Betydninger av sikkerhet
----------------------------

Security, Safety og Certainty kan alle oversettes til sikkerhet på
norsk. Men riktig definisjon blir følgende:

- Security \-\--\> Sikkerhet

- Safety \-\--\> Trygghet

- Certainty \-\--\> Visshet

Eksempel der det er viktig: feilsikkert (fail secure) og feiltrygt (fail
safe). Hvis et hvelv har en dør og strømmen går, vil feilsikkert føre
til at døren er låst selv om strømmen er gått. Mens med feiltrygt vil
døren åpne seg.

Ordet \"feiltrygt\" (fail safe) brukes fordi det handler om å sikre at
systemet går til en **trygg tilstand** når det oppstår en feil.
\"Trygt\" her refererer til at tilstanden som systemet går til, skal
være trygg for mennesker eller omgivelser, selv om det innebærer at
systemet kanskje ikke fungerer optimalt. Valget avhenger av om
sikkerheten til eiendeler eller mennesker er viktigst.

1.3 Hva er sikkerhet?
---------------------

Generelt: **beskyttelse av verdier mot skade,** der det finnes mange
ulike kategorier av verdier som hver kan skades på forskjellige måter.

Verdi eksempler: eiendom, infrastruktur, demokrati, samfunnsorden, liv
og helse, miljø, data og personinformasjon

**Ulike typer sikkerhet:**

- Fysisk sikkerhet: beskyttelse av fysisk eiendom mot innbrudd, tyveri
og ødeleggelse

- Personsikkerhet / safety / trygghet / HMS: beskyttelse av liv og
helse

- Miljøsikkerhet: beskyttelse av miljø ved å forhindre forurensning og
invasjon av fremmede arter i natur

- Sivil sikkerhet: opprettholdelse av lov og orden, også kalt
rettssikkerhet

- Samfunnssikkerhet er beskyttelse av kritisk infrastruktur og
grunnleggende funksjoner som energiforsyning, kommunikasjon og
transport

- Nasjonal sikkerhet: opprettholdelse av nasjonal suverenitet,
territorielle integritet og demokratiske styreform

- Informasjonssikkerhet: beskyttelse av konfidensialitet, integritet
og tilgjengelighet av informasjonsverdier

- Personopplysningsvern: beskyttelse av personopplysninger gjennom
krav til innsamling, lagring, sletting, deling og behandling av
informasjon om personer

Tilsiktede handlinger, menneskelige feil, tekniske feil, systematiske
feil og naturhendelser er kilder og årsaker (hendelser) som gir brudd på
de ulike typene sikkerhet\^. I informasjonssikkerhet fokuseres det mest
på tilsiktede handlinger som årsaker til hendelser.

Tilsiktede handlinger -\> Hendelser! -\> brudd på informasjonssikkerhet.

 **Tilsiktede handlinger**:

- **Forklaring**: Bevisste handlinger med intensjon, som hacking eller
sabotasje.

- **Rette opp**: Vanskelig å rette opp, fordi det krever å
identifisere og eliminere trusler, ofte gjennom sikkerhetstiltak og
etterforskning.

 **Menneskelige feil**:

- **Forklaring**: Utilsiktede feil forårsaket av mennesker, som å
trykke på feil knapp.

- **Rette opp**: Moderat lett å rette opp gjennom opplæring, bedre
prosedyrer, eller automatisering.

 **Tekniske feil**:

- **Forklaring**: Feil på grunn av svikt i maskiner eller programvare.

- **Rette opp**: Varierende vanskelighetsgrad, avhengig av feilen;
enkle reparasjoner kan løse problemet, men noen ganger kreves det
større reparasjoner eller utskiftninger.

 **Systematiske feil**:

- **Forklaring**: Feil som kommer fra problemer i design, prosesser
eller systemer.

- **Rette opp**: Vanskeligere å rette opp fordi det kan kreve redesign
av systemer eller prosesser og omfattende revisjon.

 **Naturhendelser**:

- **Forklaring**: Uforutsigbare hendelser fra naturen, som jordskjelv
eller flom.

- **Rette opp**: Ofte svært vanskelig å rette opp umiddelbart; krever
vanligvis omfattende gjenoppbygging og forebyggende tiltak for
fremtiden.

1.4 Hva er informasjonssikkerhet?
---------------------------------

**Generelt:** beskytte informasjonsverdier mot skade. Selve
informasjonen, ressurser for representering og behandling av
informasjonen.

**ISO/IEC 27000 definisjon:** Beskyttelse av informasjonens
konfidensialitet, integritet og tilgjengelighet. I tillegg kan andre
egenskaper som autentisitet, sporbarhet, ubenektelighet og pålitelighet
omfattes.

Eksempel: data, fysisk IT-utstyr og infrastruktur, systemer,
konfigureringer, programvarer, applikasjoner og menneskelige ressurser.

Informasjonsverdier kan skades gjennom brudd på konfidensialitet,
integritet eller tilgjengelighet (KIT / CIA).

1.5 Kilder til krav om informasjonssikkerhet
--------------------------------------------

\"Tre kilder til krav om informasjonssikkerhet\" betyr at regler og
retningslinjer for hvordan informasjon skal beskyttes kan komme fra tre
steder:

1. **Krav om adekvat sikkerhet i applikasjoner og forretningsprosesser
i henhold til standard praksis og forvaltning (bransjestandarder):**
Virksomheter må følge anerkjent praksis og retningslinjer for å
sikre sine systemer og applikasjoner. Dette inkluderer å bruke
sikkerhetsmekanismer som brannmurer og brukerautentisering, som er
eksempler på standard praksis. Det er ikke nok å bare følge disse
standardene. Virksomheter bør også gjøre egne risikovurderinger for
å identifisere spesifikke sikkerhetstiltak som er nødvendige for
deres situasjon. Uten slike vurderinger kan en virksomhet anses å ha
lav modenhet i styring av informasjonssikkerhet, ifølge
CMMI-modellen.

2. **Krav om å begrense sikkerhetsrisiko til et akseptabelt nivå
(interne retningslinjer og risikovurderinger):** Handler om at
virksomheten selv vurderer hvilke risikoer som er relevante for dem
og bestemmer hvilke tiltak som er nødvendige for å holde disse
risikoene på et nivå som de kan akseptere. Hvis vanlig praksis
setter krav om en enkel brannmur, kan risikovurdering sette krav om
en avansert «neste generasjons» brannmur som kan filtrere bort
DDoS-trafikk. Hvis vanlig praksis setter krav om enkel
brukerautentisering, kan risikovurdering i tillegg sette krav om
sterk brukerautentisering.

3. **Juridisk lovbestemte, regulatoriske og kontraktsmessige krav til
informasjonssikkerhet:** Regler fra myndighetene som må følges, som
GDPR.

Sikkerhetsmål: KIT

Sikkerhetstiltak: støtter sikkerhetsmål. For eksempel låser, kryptering,
autentisering og sikkerhetskultur

1.6 Trusler, sårbarheter, verdier, hendelser og risikoer
--------------------------------------------------------

BEGREPER (VIKTIG):

- **Trusselaktør**: aktiv entitet som kan utløse eller gjennomføre et
trussel scenario. Kan være intelligente entiteter med bevisst
skadehensikt eller naturkrefter som er for sterke eller
uforutsigbare for effektiv forebygging.

- **Trusselscenario**: Sekvens av trinn som kan utløses eller styres
av en trusselaktør, og som kan skade informasjonsverdier. Mulig å
gjennomføre og kan føre til en hendelse som igjen fører til brudd på
KIT dersom det finnes svakheter. Finnes ALLTID svakheter i digitale
verden.

- **Sårbarhet**: svakhet, feil eller mangel som gjør at et trinn i et
trusselscenario gjennomføres. En trusselaktør kan da lykkes i å også
utføre et angrep som så fører til en hendelse. Kan også forstås som
mangel på sikkerhetstiltak. Har 3 hovedkategorier av sårbarhet:

- **Tekniske sårbarheter**: svakhet i systemer, nettverk,
programvare og maskinvare

- **Prosessårbarheter**: svakhet i funksjoner og aktiviteter, og
sammensetningen av disse

- **Menneskelig sårbarheter**: svakhet i menneskelig bevissthet,
holdning og atferd

- **Sikkerhetstiltak**: en måte å hindre eller bremse trusselscenario.
Støtter sikkerhetsmål, kan også beskrives som «kontroll» og er det
samme som å fjerne sårbarheter. Sikkerhetstiltak skal nettopp
redusere sannsynlighet for at trusselscenarioet kan fullføres og gi
en hendelse.

- **Verdi**: kan være informasjon, men også ressurs for representering
og behandling av informasjon. Eksempel: data, fysisk IT-utstyr og
infrastruktur, systemer, konfigureringer, programvare, applikasjoner
og menneskelige ressurser

- **Hendelse**: Brudd på KIT for informasjonsverdi som resulterer i en
negativ konsekvens for eier av informasjonsverdien.

- **Konsekvens**: Skjer etter en sikkerhetshendelse, form for tap som
kan ha ulike apsekter som tapt tjenestte / profitt, tap av ytelser /
tjenester, tap av omdømme, kostnader etc. Hendelsen kan kalles
avvik, sikkerhetstruende, kompromittering eller sikkerhetsbrudd.

- **Risiko**: Relevant kombinasjon av trussel, sårbarhet og potensiell
sikkerhetshendelse som kan berøre en informasjonsverdi.
Risikoidentifisering er derfor å kartlegge slike relevante
kombinasjoner. Risikoanalyse: kombinere estimert sannsynlighet for
en hendelse og estimert alvorlighet av konsekvensene for å beregne
nivået eller størrelsen på tilhørende risiko.

Forskjell på scenario og hendelse:

- **Scenario:** En plan eller sekvens av trinn som kan føre til skade.

- **Hendelse:** Den faktiske skaden eller effekten som oppstår når
trinnene i et scenario gjennomføres.

Trusselaktør utfører Trusselscenario (trinn 1, trinn 2, trinn 3) gir
HENDELSE medfører Tap/Konsekvens

1.7 tiltak for informasjonssikkerhet
------------------------------------

- **Forebyggende tiltak (sannsynlighetsreduserende tiltak):** Skal
hindre hendelser slik at de helst ikke inntreffer. Reduserer
sannsynligheten for sikkerhethendelser. Eks: autentisering og
tilgangskontroll slik at uautoriserte ikke får tilgang til
informasjon og ressurser.

- **Oppdagende tiltak:** Skal gjøre det lett å oppdage angrep /
hendelser. Eks: IDS (Intrusion Detetcion System) som trigger alarmer
etter bestemte kriterier. Noen ganger kan det oppdage angrep før
sikkerhetsbrudd. Skal redusere tiden fra hendelsen inntreffer til
korrektive tiltak kan iverksettes.

- **Korrektive tiltak:** Reparere skade og gjenopprette drift etter en
hendelse. Eks: sikkerhetskopier, lage planer for / øve på
cyberberedskap, slik at man er godt forberedt.

**NSM grunnprinsipper for IKT sikkerhet:**

1. Identifisere og kartlegge

2. Beskytte og opprettholde

3. Oppdage

4. Håndtere og gjenopprette

**ISO / IEC 27002:2022 Sikkerhetstiltak (hvor personellsikkerhet er eget
men i figuren er under organisatoriske tiltak):**


Forskjellig måter å dele opp sikkerhetstiltak, en organisasjon må selv
vurdere hva som er best for deres formål. Vurderes ut ifra antatt
avkastning på investering, altså oppnådd risikoreduksjon med
sikkerhetstiltak i forhold til kostnad ved etablering og drift av
tiltaket.

1.8 KIT sikkerhetsmålene
------------------------

**Konfidensialitet**: Beskytte informasjonsverdier mot uvedkommende.
Egenskapen om at informasjon ikke blir gjort tilgjengelig eller vist til
uautoriserte individer, entiteter eller prosesser (ISO/IEC 27000).
Konfidensialitet mer meningsløst om hvem som er autorisert og ei er
uklart.

Trusler: datatyveri begått av eksterne aktører, datalekkasje forårsaket
av interne, enten med uhell eller tilsiktet

Sikkerhetstiltak (eksempler):

- Brukerautentisering og tilgangskontroll for å beskytte lagret
informasjon

- Kryptering av data for beskyttelse under lagring eller overføring

- Sikkerhetsfunksjoner i operativsystemer for å beskytte informasjon
under prosessering

- Vakter og fysisk adgangskontroll

- Polycier, sikkerhetskultur, prosedyrer og praksis (indirekte
understøtter)

**Dataintegritet:** Data ikke er endret eller slettet på en uautorisert
måte (X.800). Meningsløst også om man ikke har definert hvem som er
autorisert.

Trusler: korrupte data for eksempel forårsaket av eksterne aktører,
innside trusler enten ved uhell eller tilsiktet. Uautorisert sletting av
data eller oppretting og endringer av data og filer. Ekvivalent med
data-autentisitet. Hvis ikke autentisk, er integriteten uviss.

Sikkerhetstiltak (eksempler):

- Brukerautentisering og tilgangskontroll for å beskytte lagret
informasjon

- Kryptering eller kryptografisk sjekksum av data for beskyttelse
under lagring eller overføring

- Sikkerhetskopier av data

- Vakter og fysisk adgangskontroll

**Systemintegritet:** Egenskapen av å opprettholde korrekthet og
kompletthet av dataressurser (ISO/IEC 27000). Mens dataintegritet
handler om de enkelte dataelementene, handler systemintegritet om
helheten---at hele systemet, inkludert data, programvare, maskinvare, og
nettverk, fungerer korrekt og komplett uten uautorisert påvirkning. Det
handler om at hele systemet fungerer som det skal med oppdaterte
patch-status, riktig konfigurasjon og korrekt programvare, uten
uautoriserte endringer eller feil.

Trusler: miskonfiguerte systemer forårsaket av eksterne trussel aktører
eller av interne ved uhell eller tilsiktet, utdatert programvare som kan
være forårsaket av mangelfull forvaltning av systemer og programvare.

Sikkerhetstiltak:

- Brukerautentisering og tilgangskontroll for alle, og sterk
autentisering for admin-brukere

- Konfigurasjonsstyring

- Endringsledelse

**Tilgjengelighet:** Uten tilgjengelighet har IT systemer ingen nytte.
Egenskapen av data og tjenester er tilgjengelige og anvendbare ved
forespørsel fra autorisert entitet (ISO/IEC 27000). Igjen, hvis hvem som
er autorisert ikke er klart uklart hvem tilgjengeligheten skal være for
å.

Trusler: tjenestenekt (DoS/DDoS), hindring av autorisert tilgang til
ressurser og forsinkelse av tidskritiske funksjoner.

Sikkerhetstiltak:

- Filtrering av skadetrafikk

- Redundans av ressurser

- Lastdeling for prosessering

- Sikkerhetskopier

- Hendelsesrespons og beredskap

1.9 Andre sikkerhetsmål
-----------------------

**Autentisering**: Støtter KIT-sikkerhetsmål. Består av bruker, system,
data og entitetsautentisering.

- **Brukerautentisering**: Verifisere korrektheten av brukerens
identitet. Typisk 2 trinn: 1) oppgi bruker ID, 2) bevis at du er den
legitime bruker ved å oppgi autentikator (passord, engangskode med
brikke eller fingeravtrykk). Både mennesker og botter kan være
brukere. Bare hvis en har dårlig passord, kan hele virksomheten
måtte svi for det. Man vinner mye på å følge gode rutiner rundt
autentisering og autentitaktorer.

- **Trusler**: Identitetstyveri, falsk identitet (spoofing) og
falsk innlogging.

- **Sikkerhetstiltak**: Tofaktor autentisering med to ulike
autentikatorer, eller sterke passord

- **Systemautentisering**: Verifisere korrektheten av systemets
identitet. Kan være webtjenere, backend-tjenere, databasetjenere,
rutere, skytjenere osv. Når systemer kommuniserer er autentisering
som regel integrert. Kommunikasjonen hvor det utveksles data og
meldinger følger en kommunikasjonsprotokoll som definerer hvordan
meldinger ser ut slik at systemene forstår hverandre. Sikkerhets og
autentiseringsprotokoller definerer hvordan systemer skal
autentisere hverandre, og er basert på kryptografi.

- **Trusler**: falske noder i et nettverk, falske
datatransaksjoner, mellommannangrep og nettverksinnbrudd.

- **Sikkerhetstiltak**: kryptografiske autentiseringsprotokoller
for autentisering og integritet. Kommunikasjon og
sikkerhetsprotokoller for autentisering.

**Man-in-the-Middle (MitM):**

- **Hva det betyr:** En Man-in-the-Middle (MitM) er en type angrep der
en ondsinnet aktør plasserer seg mellom to kommuniserende systemer
uten at de er klar over det. Målet er å avlytte, endre, eller
forfalske informasjon som blir utvekslet. For eksempel passord eller
krypteringsnøkler osv.

- **Hvordan det fungerer:** Angriperen kan forfalske identiteter, slik
at systemene tror de kommuniserer med hverandre, mens de egentlig
kommuniserer med angriperen. Dette kan føre til at sensitive data
blir stjålet eller manipulert, eller at kommunikasjonen blir
forstyrret.

- **Dataautentisering:** Verifisere opphav eller avsender av data.
Ingen entitet, er virtuelle og uavhengig fysisk representasjon. Hvor
kommer de egt fra, og hvem har generert dem -- det er autentisering.
Det betyr å verifisere ekteheten av dokumenter og informasjon slik
at de kan spores til avsender / forfatter. Mens system og bruker
autentisering gjelder for en økt, skal data autentisering ha
gyldighet over så mange år som mulig.

- **Trusler:** Forfalsking av digitale dokumenter og meldinger

**Mekanismer for data autentisering:**

**Hvordan det fungerer:**

1. **Avsenderen**: Lager meldingen og bruker den hemmelige nøkkelen til
å lage en MAC (sjekksummen). Sjekksummen (MAC) lages ved at
meldingen kombineres med en hemmelig nøkkel som både avsender og
mottaker kjenner. Denne kombinasjonen kjøres gjennom en
kryptografisk algoritme, som for eksempel Hash-based Message
Authentication Code, for å produsere en unik sjekksum. Sjekksummen
sendes sammen med meldingen, slik at mottakeren kan bruke samme
prosess for å verifisere at meldingen er autentisk og ikke har blitt
endret. Avsenderen sender deretter både meldingen og MAC-en til
mottakeren.

2. **Mottakeren**: Mottar både meldingen og MAC-en. Mottakeren bruker
den samme hemmelige nøkkelen til å lage en ny MAC basert på
meldingen de mottok.

3. **Sammenligning**: Mottakeren sammenligner så MAC-en de genererte
med MAC-en som fulgte med meldingen. Hvis de er like, vet mottakeren
at meldingen ikke har blitt endret underveis. Hvis de ikke stemmer
overens, har meldingen blitt endret eller korrumpert.

Dette betyr at MAC ikke gir **ikke-benektelse / Ubenektelighet**

1. - - -

2. -

3. - - - -

1.9.2 Sporbarhet og ubenektelighet
----------------------------------

**Sporbarhet**: aktiviteter i et system eller datanett kan spores til
noen som kan stilles til regnskap for aktivitetene. Basert på logging av
aktiviteter i systemer og nettverk, og kartlegger hvilken bruker eller
annen entitet som står bak hver logget aktivitet. Kan også forklares som
å stå til regnskapelighet for noe.

- **Trusler**: mangel på sporbarhet. At det ikke er mulig å
identifisere hvem som sto bak en aktivitet, med mangel på bevis for
å kunne anmelde og fremlegge i en rettssak.

- **Sikkerhetsmekanisme**: autentisering av alle brukere og logging av
systemhendelser. Logg med dataautentisering kan beskytte datalogger
mot endring. Digital etterforskning (analtse av utstyr, data, og
andre bevis).

**Ubenektelighet**: at en entitet ikke kan benekte å ha utført en
handling. Også kalt ikke-benekting, er basert på digital signatur og
betyr at den so har digitalt signert en melding, en transaksjon eller et
dokument, ikke kan benekte det. Relatert til sporbarhet fordi det er
ubenektelig spor til hvem som har gjort hva. Likevel er en digital
signatur aldri helt ubenektelig (kan hevde privat nøkkel bare ble
stjålet, da nødvendig med digital etterforskning).

1.9.3 Pålitelighet
------------------

At det ikke inneholder betydelige feil eller svakheter og at systemet
har evne til å opprettholde viktig funksjonalitet selv når enkelte feil
forekommer.

- Trusler: lav kvalitet i utvikling, konfiguering og drift av systemer
samt spesielt manglende oppmerksomhet på systemutvikling

- Tiltak: Å følge god praksis for sikker utvikling og drift av
systemer, kalles innebygd informasjonssikkerhet.

1.10 Autorisering og tilgangskontroll
-------------------------------------

**Tilgangsautorisering**: spesifisere tilgangsrettigheter for brukere,
roller og prosesser. Kalles også tilgangsregler eller tilgangspolicy. Er
basert på rolle brukeren har i en virksomhet, og blir formalisert som
regler og konfigurering i systemer for tilgangskontroll.

Autoriteter i en organisasjon har ansvar for autorisering, men kan også
delegeres: Leder Systemadministrator Bruker

**Tilgangskontroll**: benytte spesifiserte tilgangsrettigheter for å
beslutte om tilgang til ressurser skal gis eller ikke når en autentisert
bruker gjør en forespørsel om tilgang '

Bruker logget inn, systemet kjenner identitet, kan finne
tilgangsrettigheter for bruker for å ta beslutning om tilgang til
forespurte ressurser.