Informasjonssikkerhet NOTATER - PDF

Summary

These notes provide a summary of information security, covering definitions, key principles, implementation strategies, and significant challenges. The document explores practical aspects of security, encompassing concepts such as the CIA triad and various security frameworks. Additionally, the document examines cost implications of security, and the historical context of information security.

Full Transcript

Oppsummering: Hva er informasjonssikkerhet?

1. Definisjon og fokusområder

Informasjonssikkerhet beskytter:

o Konfidensialitet, integritet og tilgjengelighet (KIT).

o Både digital og analog informasjon, samt bedriftens mål, tjenester,
brukere og omdømme.

Skiller seg fra andre begreper som datasikkerhet, cybersikkerhet, IT-sikkerhet
osv., ved å fokusere på risiko i stedet for kun sårbarheter.

2. Essensen i informasjonssikkerhet

Preventivt og reaktivt:

o Hindre at hendelser skjer (preventivt).

o Håndtere konsekvensene av hendelser (reaktivt).

Informasjonssikkerhet er en prosess, ikke en tilstand, fordi trusler stadig utvikler
seg.

3. Viktige prinsipper

CIA Triad (KIT):

o Konfidensialitet: Hindre uautorisert tilgang.

o Integritet: Sikre korrekthet og pålitelighet av data.

o Tilgjengelighet: Sørge for at autorisert tilgang er mulig når det trengs.

Andre egenskaper:

o Sporbarhet, pålitelighet, uavviselighet.

4. Implementering av informasjonssikkerhet

Top-down: Ledelsen initierer og styrer sikkerhetstiltak.

Bottom-up: Brukere og avdelinger tar egne grep som samlet forbedrer
sikkerheten.
 Styringssystemer:

o Oversikt og prioritering av risikoer og tiltak (f.eks. ISO-27001).

5. Hovedfokus i faget

Primært digital informasjon og IKT-relaterte trusler.

Kombinerer security (bevisste handlinger som hacking) og safety (utilsiktede
feil).

Ser på både organisering av sikkerhet og praktiske rutiner.

6. Relaterte begreper og modeller

McCumber Cube: Visualiserer forholdet mellom informasjonsegenskaper,
sikkerhetsmekanismer og operasjonelle miljøer.

Zero-trust: Forutsetter at ingen systemer eller brukere er 100 % pålitelige uten
kontinuerlig validering.

7. Hvem krever sikkerhet?

Eksterne krav: Kunder, leverandører, lovverk, bransjeorganisasjoner.

Interne krav: Ansatte, styret, ledelse.

8. Utfordringer

Mange aktører har ulike krav og prioriteringer (investorer, prosjektledere, ansatte).

Konflikt mellom umiddelbare gevinster (økonomi, deadlines) og langsiktige
sikkerhetstiltak.

Oppsummering: Trusselbildet 2024

1. Viktigheten av å forstå trusselbildet

For å iverksette riktige sikkerhetstiltak, må man ha god oversikt over det aktuelle
trusselbildet.
 Økt samfunnsdigitalisering gjør at feil eller nedetid kan få alvorlige konsekvenser
på nasjonalt nivå.

2. Kilder til trusselbildet

Informasjon om trusler er ofte underlagt strengt hemmelighold, men noen kilder
inkluderer:

o Bedriftsrapporter: Eksempelvis DNB Trusselrapport.

o Bransjerapporter: Finans Norge og Finanstilsynets Risiko- og
Sårbarhetsanalyse (ROS).

o Konsulentselskaper: PwC's Global Economic Crime and Fraud Survey,
Mnemonic Security Report.

o Undersøkelser: Mørketallsundersøkelsen.

o Temarapporter: Telenor Digital Sikkerhet, NorSIS Trusler og Trender.

3. Funn fra Mørketallsundersøkelsen

Vanlige hendelser:

o Uautorisert tilgang, datainnbrudd og phishing er gjengangere.

Vanlige årsaker:

o Menneskelige feil og mangelfull risikovurdering.

Bedrifter mangler ofte full oversikt over sårbarheter og trusler, selv med
styringssystemer.

4. Cyberkriminelle og statlige aktører

Cyberkriminelle grupper:

o Opererer med profesjonelle strukturer (arbeidstider, ansattgoder, FoU).

Statlige aktører:

o Øker sin aktivitet og styrke, ofte med mål om spionasje eller
destabilisering.

5. Utfordringer med samfunnsdigitalisering
 Norge er blant de mest digitaliserte landene i verden, noe som øker risikoen ved
feil eller nedetid.

Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) kan ha omfattende
konsekvenser for kritiske infrastrukturer.

6. Fremtidsperspektiver

Hybrid krigføring og avanserte cyberangrep forventes å øke i omfang.

Trusselbildet i perioden 2023–2025 preges av:

o Flere angrep mot svakheter i digital infrastruktur.

o Økt bruk av AI både til angrep og forsvar.

Oppsummering: Er bedriften/tjenesten/informasjonen sikker?

1. Realiteten rundt sikkerhet

Full sikkerhet er umulig:

o Stadig nye aktører og metoder.

o Begrensede ressurser og midler.

o 100 % sikkerhet = 100 % utilgjengelighet.

Spørsmålet er "hvor sikkert?":

o Å måle sikkerhet handler om å forstå hvor mye man vet om trusler og
tiltak.

2. Målet med sikkerhet

Sikkerhet handler om å gjøre noe "sikkert nok":

o Ikke nødvendigvis perfekt, men tilstrekkelig for å håndtere risiko.

o For mye sikkerhet kan også føre til ulemper, som ineffektivitet.

3. NSMs fem anbefalte tiltak for å forhindre dataangrep

1. Installer sikkerhetsoppdateringer raskt og helst automatisk.
 2. Fjern administrator-rettigheter fra sluttbrukere.

3. Multifaktorautentisering og sterke passord.

4. Fas ut gamle IKT-produkter.

5. Tillat kun godkjent programvare.

Disse tiltakene kan forhindre en stor andel av angrep, men implementeres ofte ikke fullt
ut.

4. Økonomiske vurderinger

Sikkerhet vurderes økonomisk som:

o Risiko = sannsynlighet × konsekvens.

o Tiltak velges basert på kostnadseffektivitet og Return on Investment (ROI):

 ROI = (risikoreduksjon - tiltakskostnad) / tiltakskostnad.

o Tiltak som gir størst risikoreduksjon for lavest kostnad prioriteres.

5. Kunnskap og praksis

Nødvendig kunnskap:

o Hvilke trusler og trusselaktører finnes?

o Hva er sannsynligheten for ulike hendelser?

Utfordringer i praksis:

o Selv med kunnskap er det krevende å implementere tiltak korrekt.

o Eksempel: Mange bruker fortsatt utdaterte krypteringsmetoder til tross for
råd om oppdatering.

Oppsummering: Kostnaden av (manglende) datasikkerhet

1. Datasikkerhetens kostnader

Sikkerhet er en nødvendighet:

o Gir sjelden direkte økonomisk gevinst, men forhindrer store tap.
 o Sammenlignes med forsikringer: bortkastet hvis ingenting skjer, men
uvurderlig når noe skjer.

Kostnadsberegning:

o Risiko = sannsynlighet × konsekvens.

o Bedrifter vurderer tiltak basert på kostnadseffektivitet, men feilaktig
omtales ofte konsekvens som kostnad.

2. Kostnader knyttet til sikkerhetstiltak

Direkte kostnader:

o Kompetanseheving og utvikling av sikkerhetskultur.

o Drift, oppdatering, og IT-support.

o Innkjøp av nødvendig programvare og hardware.

Indirekte kostnader:

o Tap av kunder grunnet dyre eller komplekse produkter.

o Tjenestestopp under oppdateringer.

o Misnøye blant ansatte på grunn av ekstra rutiner.

3. Kostnader ved sikkerhetshendelser

Økonomiske tap:

o Bøter fra datatilsynet og erstatningskrav.

o Tap av kunder, oppdrag, og lisenser.

o Kostnader knyttet til opprydning, lønn, og innleie av eksperter.

Immaterielle tap:

o Omdømmetap med langsiktige konsekvenser.

o Produksjonsstopp og tap av fremtidige muligheter.

4. Budsjettering og motvilje

Kostnader er vanskelige å planlegge og budsjettere.

Mange bedrifter viser motvilje til å investere tid og ressurser i sikkerhet:
 o Penger kan lettere allokeres enn arbeidstid.

o Rutiner og kunnskapsbygging nedprioriteres.

5. Verdien av informasjon

Informasjonens verdi påvirkes av:

o Riktighet og timing.

o Hvordan den offentliggjøres og av hvem (autentisert avsender).

o Hvordan den struktureres og brukes.

Mulige gevinster av sikkerhet:

o Økt tillit fra kunder, leverandører, og myndigheter.

o Stabile og tilgjengelige tjenester.

o Bedre konkurransevilkår i anbud.

Oppsummering: Historien om informasjonssikkerhet

1. 1950-tallet: Fysisk sikkerhet

Fokus på å beskytte maskiner mot fysisk tyveri og sabotasje.

Tiltak:

o Adgangskontroll og klassifisering av data (hemmelig, strengt hemmelig).

o Sikring av lagringsenheter som magnetbånd under transport.

2. 1960-tallet: Arpanet og passord

Arpanet introduseres som en sikrere måte å overføre informasjon på.

Passordbeskyttelse begynner å bli tatt i bruk.

3. 1970- og 80-tallet: Nettverks- og informasjonssikkerhet

Nettverk blir en ny angrepsvei, spesielt for myndigheter.

Nye utfordringer:
 o Kombinert fysisk og digital sikring.

o Passordsikkerhet blir en fremtredende problemstilling.

Utvikling:

o Begrepet "network security" dukker opp.

o Sikkerhet utvides til å inkludere hardware, software, kommunikasjon og
mennesker.

o Fokus på sikring av informasjon fremfor bare komponenter.

4. 1990-tallet: Internettets fremvekst

Internett gjør det lett å dele informasjon og kommunisere globalt.

Utfordringer:

o Ingen sikkerhet integrert i tidlige internettprotokoller.

o Første DEFCON-konferanse (1993) bringer sammen white, gray og black
hat hackers.

5. 2000-tallet: Sikkerhet blir universelt viktig

Sikkerhetsprodukter som antivirus og standarder blir vanlige.

Bedrifter må være på nett for å drive virksomhet.

Internett brukes til å dele kunnskap om sårbarheter og angrep.

6. 2010-tallet: Sosiale medier og IoT

Økt fokus på tjenester og kommunikasjon fremfor bare informasjon.

Trusler:

o Social engineering blir den enkleste angrepsmetoden.

o Flere tekniske angrep, nye angrepspunkter.

Lovverk:

o Innføring av GDPR og annet personvernrelatert regelverk.

7. 2020-tallet: Fremtidens sikkerhet
 Mulige trender:

o Økt standardisering og samarbeid om sikkerhet.

o Privatpersoner og ansatte forblir svakeste ledd.

o Økning i hybrid krigføring og AI-drevne angrep.

Kategorisering av angrep:

o Svindlere, storsvindlere, og nasjonale angrep.

Oppsummering: Standardisering og felles metoder

1. Hva er standarder og rammeverk?

Standarder og rammeverk gir felles arbeidsmetoder for informasjonssikkerhet.

Hovedtyper:

o Styringsrammeverk: Fokus på ledelsessystemer og overordnet styring.

o Tiltaksrammeverk: Konkrete sikkerhetstiltak og kontroller.

2. Hvorfor bruke standarder?

Fordeler:

o Skaper et "felles språk" på tvers av bedrifter og roller.

o Sikrer at ingen viktige områder eller metoder blir glemt.

o Gir legitimitet gjennom sertifiseringer og godkjenninger.

o Effektiv kommunikasjon med konsulenter, leverandører og myndigheter.

Ekstra innsikt fra CIS:

o Fokus bør ligge på implementering, ikke bare på "listen" av tiltak.

o Verdien ligger i erfaringer, verktøy og felles innsats fra sikkerhetsmiljøet.

3. Utfordringer med standarder

Ressurskrevende: Kan være for omfattende og komplekse for enkelte
organisasjoner.
 Manglende tilpasning: Ikke alle standarder passer alle typer virksomheter.

Overfokusering på metoder: Kan overskygge praktiske sikkerhetstiltak.

4. Eksempler på standarder og rammeverk

Styringsrammeverk:

o ISO/IEC 27001: Internasjonal standard for informasjonssikkerhetsstyring.

o NSMs veileder i sikkerhetsstyring: For virksomheter underlagt
sikkerhetsloven.

o ITIL: Kvalitetssikring innen IT-drift og support.

Tiltaksrammeverk:

o ISO/IEC 27002: Praktiske sikkerhetstiltak.

o CIS Controls: Prioriterte sikkerhetstiltak for virksomheter.

o NIST Cybersecurity Framework: Rammeverk for cybersikkerhet.

5. Praktiske hensyn

Standarder gir generelle retningslinjer som må tilpasses lokalt.

Spørsmål å vurdere:

o Hvilke utfordringer oppstår ved å følge en standard fullt ut?

o Hvilke fordeler gir standarder for sikkerhet og drift?

Oppsummering: Grunnprinsipper for IKT-sikkerhet

1. Hva er grunnprinsippene for IKT-sikkerhet?

Utgitt av Nasjonal Sikkerhetsmyndighet (NSM).

En fornorskning og forenkling av ISO 27002.

Type rammeverk: Tiltaksrammeverk, med mål om å tilby gode råd og "best
practice".

Primær målgruppe:

o Virksomheter som forvalter kritisk infrastruktur eller samfunnsfunksjoner.
 o Relevant for både offentlige og private virksomheter.

2. Fokusområder

Retter seg mot forretnings- og IT-ledelsen:

o Mellomnivået mellom toppledelse og teknisk implementasjon.

Prinsippene gir praktiske anbefalinger for naturlige faser i sikkerhetsarbeidet.

Knytter seg til andre styringssystemer som ISO, CIS Controls og NIST.

3. Struktur og oppbygging

Rammeverket er strukturert rundt enkle og praktiske prinsipper.

Lenker til mer formelle ressurser for utdyping og integrasjon med
styringssystemer.

Et regneark er tilgjengelig for:

o Å vurdere status for hvert prinsipp.

o Prioritere tiltak basert på relevans og risiko (ligner på CIS Controls'
implementasjonsgrupper).

4. Ekstra ressurser fra NSM

NSM har også publisert prinsipper for:

o Sikkerhetsstyring.

o Personellsikkerhet.

o Fysisk sikkerhet.

Disse prinsippene dekker flere aspekter av sikkerhetsarbeid i virksomheter.

5. Diskusjonspunkter

Fordeler:

o Enkle og praktiske råd for mange typer virksomheter.

o Knytter seg til internasjonale standarder for enkel integrasjon.

Utfordringer:
 o Kan være for generelt for spesialiserte virksomheter.

o Ikke alle prinsipper er nødvendigvis relevante for små eller unike bedrifter.

Oppsummering: CIS Controls

1. Hva er CIS Controls?

Definisjon:

o Et sett med prioriterte sikkerhetstiltak og retningslinjer for
informasjonssikkerhet.

o Utgitt av The Center for Internet Security, Inc., en non-profit og
community-drevet organisasjon.

Formål:

o Å hjelpe virksomheter med å fokusere på de viktigste sikkerhetstiltakene.

o Gratis og oppdateres jevnlig (versjon 8.1 er den nyeste).

2. Struktur og oppbygging

Antall kontroller:

o 18 kontrollpunkter med totalt 153 tilhørende safeguards.

Safeguards kategoriseres etter funksjon:

o Identify: Identifiser trusler og risikoer.

o Protect: Beskytt systemer og data.

o Detect: Oppdag hendelser.

o Respond: Håndter sikkerhetshendelser.

o Recover: Gjenopprett normal drift.

Implementasjonsgrupper (IG):

o IG1: Essensiell cybersikkerhetshygiene – for alle.

o IG2 og IG3: For større bedrifter med mer avanserte behov.

3. Ekstra verktøy knyttet til CIS Controls

CIS Benchmark:
 o Konkretiserer tiltakene for spesifikke systemer eller applikasjoner.

o Hvert punkt viser til en relevant CIS Control.

CIS RAM (Risk Assessment Method):

o Gir metodikk for å vurdere virksomhetens status opp mot CIS Controls.

o Tilpasset for hver implementasjonsgruppe (IG1, IG2, IG3).

4. Bruksområder og fordeler

Fordeler:

o Gir en tydelig prioriteringsliste for sikkerhetstiltak.

o Passer både små og store virksomheter, med tilpassede nivåer.

o Støttet av et aktivt fellesskap som deler erfaringer og oppdateringer.

Typiske brukere:

o Bedrifter som ønsker å styrke sin cybersikkerhet uten omfattende
ressurser.

o Offentlige og private aktører som trenger enkle og effektive rammeverk.

Oppsummering: ISO-standardene

1. Hva er ISO-standardene?

Utgitt av International Organization for Standardization.

Samlet i ISO 27000-serien, som er en global standard for informasjonssikkerhet.

Struktur:

o ISO 27001: Styringsrammeverk for informasjonssikkerhet.

o ISO 27002: Tiltaksrammeverk med spesifikke sikkerhetstiltak.

2. Viktige standarder i ISO 27000-serien

ISO 27001:

o Fokus på internkontroll og ledelsessystemer.
 o Sertifisering mulig for å demonstrere samsvar med beste praksis.

o Brukes som grunnlag for sikkerhetspolitikk, risikovurdering og revisjon.

o Inneholder 10 kapitler, inkludert:

1. Omfang.

2. Interessenter og organisatorisk kontekst.

3. Ledelsesstøtte.

4. Risikovurdering og behandling.

5. Overvåking og kontinuerlig forbedring.

ISO 27002:

o Oppdatert i 2022 med 93 security controls fordelt på fire kategorier:

1. Organisatoriske tiltak (f.eks. styring og risikohåndtering).

2. Menneskelige tiltak (f.eks. opplæring og HR-sikkerhet).

3. Fysiske tiltak (f.eks. adgangskontroll).

4. Teknologiske tiltak (f.eks. nettverkssikkerhet og kryptering).

3. Security Controls i ISO 27002

Definisjon:

o Et isolert tiltak som bidrar til sikkerhet, ofte med spesifikke mål og
metoder.

Klassifisering:

o Control type: Preventive, detektive eller korrigerende.

o Informasjonsegenskaper: Konfidensialitet, integritet og tilgjengelighet.

o Cybersikkerhetskonsepter: Identify, protect, detect, respond, recover.

o Operasjonelle kapabiliteter: Governance, fysisk sikkerhet,
nettverkssikkerhet, m.m.

4. Andre relevante standarder

ISO 27005: Fokus på risikohåndtering.

ISO 27006–27008: Revisjon og teknisk vurdering av sikkerhetstiltak.
 ISO 27033 og oppover: Dekkende for spesifikke temaer som nettverkssikkerhet
og digital bevisinnsamling.

5. Fordeler med ISO-standarder

Anerkjent globalt som beste praksis.

Kan tilpasses ulike sektorer og bransjer (f.eks. finans, helse).

Knyttes til sertifisering som gir legitimitet overfor kunder og myndigheter.

6. Ulemper og alternativer

Kostnad: Standardene er dyre å implementere og krever ressurser.

Alternativer:

o NSMs grunnprinsipper for IKT-sikkerhet: En fornorsket og gratis versjon
inspirert av ISO 27002.

o CIS Controls: Praktisk og gratis alternativ.

Oppsummering: NIST

1. Hva er NIST-standardene?

National Institute of Standards and Technology (NIST):

o En amerikansk standardiseringsorganisasjon som utgir retningslinjer for
IT-sikkerhet.

o Fokus på to hovedserier:

 NIST 800: Retningslinjer, anbefalinger og tekniske spesifikasjoner
for datasikkerhet.

 NIST 1800: Praktiske løsninger for implementering av
cybersikkerhet.

o Gratis tilgjengelige dokumenter, men omfattende og til tider komplekse.

2. Cyber Security Framework (CSF)

Formål:
 o Et rammeverk for å identifisere, organisere og håndtere trusler.

o Kombinerer ressurser fra andre rammeverk som CIS Controls og ISO.

Oppbygning:

o Fem kjernekategorier:

1. Identify: Forstå risikoer og kritiske ressurser.

2. Protect: Implementere sikkerhetstiltak.

3. Detect: Overvåke og oppdage hendelser.

4. Respond: Håndtere sikkerhetshendelser.

5. Recover: Gjenopprette normal drift etter hendelser.

Fordeler:

o Moderne tilnærming med fokus på deteksjon.

o Fleksibelt: Kan brukes delvis eller fullt, avhengig av eksisterende systemer.

3. NIST 800-serien

En omfattende samling dokumenter som dekker ulike områder av cybersikkerhet.

Eksempler på innhold:

o Veiledning for implementering av tekniske kontroller.

o Anbefalinger for spesifikke sektorer og miljøer.

Lenker:

o Dokumenter kan leses her: NIST 800-serien.

4. NIST 1800-serien

Fokuserer på praktiske løsninger for cybersikkerhet.

Formål:

o Demonstrerer hvordan standarder og beste praksis kan brukes i praksis.

o Beskriver steg-for-steg-prosesser for implementering.

Eksempel:

o NIST SP 1800-22.
5. Bruksområder og styrker

Passer for:

o Organisasjoner som trenger praktiske løsninger og ønsker å bruke
velprøvde metoder.

Fordeler:

o Kombinerer teoretiske rammeverk med praktiske eksempler.

o Gratis og bredt akseptert i både offentlig og privat sektor.

6. Ulemper

Kan virke "rotete" og omfattende uten god forståelse av hvordan deler henger
sammen.

Krever innsats for å tilpasse og integrere i eksisterende systemer.

Oppsummering: Introduksjon til styringssystemer, risikovurdering og
risikohåndtering

1. Hva er et styringssystem for informasjonssikkerhet?

Definisjon:

o En kontinuerlig prosess for å identifisere, vurdere og håndtere risiko.

o Skal sikre riktige tiltak på riktig sted og prioritere ressurser effektivt.

Formål:

o Forebygge større kostnader ved sikkerhetshendelser.

o Øke tillit og konkurranseevne (eks. ved anbud).

o Kan være lovpålagt (f.eks. personopplysningsloven, sikkerhetsloven).

2. Prosess for styringssystem

1. Etablering:
 o Definer formål, avgrensinger og risikoakseptnivå.

2. Kartlegging:

o Identifiser prosesser, systemer, krav og verdier.

3. Verdivurdering:

o Vurder hva som er kritisk og hvorfor.

4. Trusselmodellering:

o Identifiser potensielle trusler og deres konsekvenser.

5. Risikoanalyse:

o Beregn risiko = sannsynlighet × konsekvens.

6. Risikohåndtering:

o Velg mellom å redusere, overføre, akseptere eller fjerne risiko.

7. Dokumentasjon og evaluering:

o Sørg for kontinuerlig forbedring gjennom oppfølging og revisjon.

3. Viktige modeller

PDCA-sirkelen (Plan-Do-Check-Act):

o En kontinuerlig forbedringssyklus for styringssystemer.

NSMs prinsipper for sikkerhetsstyring:

o Praktisk tilnærming til sikkerhetsarbeid for norske virksomheter.

4. Trusselaktører

Definisjon av trussel:

o Noe som kan forårsake en uønsket hendelse og påvirker KIT
(konfidensialitet, integritet, tilgjengelighet).

Trusselaktørens faktorer:

o Intensjon: Ønsker å skade eller hjelpe?

o Kapasitet: Har verktøyene eller kunnskapen til å utføre et angrep.

o Mulighet: Tilgang til målet (den mest kontrollerbare faktoren).
5. Viktige poeng for vellykket implementering

Erkjenn usikkerhet:

o Ingen modell kan fjerne all risiko eller forutsi alt.

Vær tydelig på begrensninger:

o Prioriter tiltak som gir størst effekt.

Lag redundante tiltak:

o Angrep bør møtes med flere sikkerhetslag (defense in depth).

Fokuser på organisasjonens mål:

o Ikke bare tekniske risikoer, men også forretningsrisikoer og eksterne
avhengigheter.

6. Bi-effekter av et styringssystem

Gir bedre oversikt over bedriften:

o Synliggjør sårbarheter og avhengigheter.

Overgang fra usikkerhet til kontroll:

o Hjelper ledelsen med å forstå sikkerhetens betydning for virksomhetens
mål.

Oppsummering: Risikovurdering og risikohåndtering

1. Hva er risikovurdering?

Definisjon:

o Prosessen med å identifisere, analysere og evaluere risiko knyttet til
verdier, trusler og sårbarheter.

o Består av tre hovedtrinn:

1. Risikoidentifisering:

 Finne risikoer og trusler (trusselmodellering).

2. Risikoanalyse:
  Vurdere sannsynlighet og konsekvens for hver risiko.

3. Risikoevaluering:

 Finne ut hvilke risikoer som krever tiltak.

Merk:

o Risikohåndtering (tiltak) er en separat prosess og ikke en del av
risikovurderingen.

2. Hvorfor utføre risikovurdering?

Gir bedriften et klart "trusselbilde".

Hjelper med å prioritere tiltak basert på risikoens alvorlighetsgrad.

Kreves av lover som sikkerhetsloven og bransjenormer.

Sikrer at ressursene brukes der de gir størst effekt.

3. Verdibasert risikovurdering

Formål:

o Identifisere og rangere verdier som trenger beskyttelse.

Hva er en verdi?:

o Kan være tjenester, informasjon, systemer, personell, bygninger osv.

o Alt som bidrar til virksomhetens mål eller er kritisk for driften.

Prosess:

1. Kartlegg verdier og deres betydning for:

 Omdømme, økonomi, drift, miljø, liv og helse.

2. Vurder konsekvensene ved tap eller svekkelse av verdien.

3. Ranger verdiene basert på kritikalitet.

4. Trusselmodellering

Formål:

o Finne hvilke trusler som kan påvirke verdier, funksjoner eller leveranser.
 Metoder:

1. Identifisere trusselaktører (hvem som vil angripe, og hvorfor).

2. Analysere kjente angrepsmetoder (f.eks. OWASP Top 10).

3. Tenk på hva som kan gå galt, og hvordan det kan skje.

4. Se på prosesser og vurder avvik fra normal drift.

Eksempler på trusselaktører:

o Konkurrenter, hackere, insidere, naturkatastrofer.

5. Risikoanalyse

To modeller for beregning:

1. Sannsynlighet × konsekvens:

 Gir en numerisk verdi for risiko.

2. Trussel × verdi × sårbarhet:

 Brukes når kvalitative vurderinger er nødvendig.

Vurderingskategorier:

o Kvalitativ: Lav, middels, høy risiko.

o Kvantitativ: Eksakte tall (f.eks. 0-100% sannsynlighet).

Usikkerhet:

o Må alltid tas med i vurderingen, spesielt ved kvalitative vurderinger.

6. Risikohåndtering

Tiltakstyper:

1. Redusere risiko:

 Senke sannsynlighet (f.eks. brannmur) eller konsekvens (f.eks.
backup).

2. Overføre risiko:

 Forsikringer eller outsourcing.

3. Fjerne risiko:
  Unngå aktiviteter som skaper risiko.

4. Akseptere risiko:

 Når kostnaden ved tiltak overstiger risikoens konsekvens.

Tiltaksmatrise:

o Identifiser hvilke tiltak som gir mest effekt for minst kostnad.

o Prioriter tiltak basert på "Return on Investment" (ROI).

7. Dokumentasjon av risikovurdering

Viktig å dokumentere:

o Identifiserte risikoer og begrunnelsen bak analysen.

o Tiltaksplan med tidsfrister og ansvarlige.

o Endringer og evalueringer.

Formål:

o Skape oversikt og sporbarhet.

o Oppfylle lovkrav og støtte ledelsen i beslutningsprosesser.

8. Vanlige utfordringer

Oversettelse til tiltak:

o Risikoer må brytes ned til konkrete hendelser for å identifisere effektive
tiltak.

Endringshåndtering:

o Risikoanalyse må oppdateres ved organisatoriske eller tekniske endringer.

Silo-tankegang:

o Risikoer må sees i sammenheng for å unngå overlappende eller
motstridende tiltak.

Oppsummering: Sårbarheter

1. Hva er en sårbarhet?
 Definisjon:

o En svakhet eller feil som kan utnyttes av en trusselaktør.

o Eksempler:

 Tekniske feil: Software bugs, miskonfigurasjon.

 Prosessuelle feil: Dårlige rutiner eller policies.

 Menneskelige feil: Manglende opplæring eller brukerfeil.

 Fysiske feil: Svakheter i adgangskontroll eller låser.

Forskjell fra trussel:

o En sårbarhet i seg selv er ikke en risiko, men blir det når en trussel utnytter
den.

2. Stadier av sårbarhet

1. Ukjent sårbarhet (svakhet):

o Ingen er klar over eksistensen.

2. Kjent for enkelte aktører:

o Leverandør, systemeier, eller angripere vet om den.

3. Allment kjent sårbarhet:

o Offentliggjort og ofte klassifisert via systemer som CVE.

3. 0-dags sårbarheter

Definisjon:

o Sårbarheter uten kjente fikser.

Betydning:

o Utgjør en høy risiko hvis angripere vet om dem.

o Kan være ufarlige hvis utnyttelse krever spesiell tilgang som ikke finnes
(f.eks. fysisk tilgang).

4. Typer sårbarheter

Tekniske sårbarheter:
 o Feil i programvare, systemer, eller hardware.

o Dokumenteres ofte i databaser som CVE (Common Vulnerabilities and
Exposures).

Menneskelige sårbarheter:

o Mangelfull opplæring eller unøyaktighet.

o Eksempler: Svake passord eller feilkonfigurasjoner.

Organisatoriske sårbarheter:

o Dårlig definert sikkerhetskultur eller mangel på klare retningslinjer.

Fysiske sårbarheter:

o Manglende sikring av lokaler eller utstyr.

5. Rammeverk og verktøy

CVSS (Common Vulnerability Scoring System):

o Brukes for å rangere alvorligheten av tekniske sårbarheter.

o Skala: 0 (laveste risiko) til 10 (kritisk risiko).

CVE (Common Vulnerabilities and Exposures):

o En standardisert måte å identifisere og dokumentere sårbarheter på.

o Eksempel: CVE-2023-35078.

6. Sårbarheter i trusselmodellering

En sårbarhetsbasert tilnærming kan brukes til å identifisere risiko:

o Se på kjente svakheter og vurder hva de kan medføre for virksomheten.

o Eksempel: OWASP Top 10 for programvareutvikling.

Utfordringer:

o Risiko for å overser ukjente sårbarheter.

o Faren for å fokusere kun på tekniske svakheter og overse menneskelige
eller organisatoriske.

7. Sårbarheter og angrepsvektorer
 Angrepsvektorer:

o Måtene sårbarheter kan utnyttes på.

o Eksempel: Phishing som angrepsvektor for sosial manipulering.

Tekniske vs. ikke-tekniske vektorer:

o Tekniske: Nettverksangrep, malware.

o Ikke-tekniske: Sosial manipulering, insidertrusler.

8. Praktiske implikasjoner

Interne tiltak:

o Detektere og lukke sårbarheter før de kan utnyttes.

o Bruk verktøy for scanning og sårbarhetsvurdering.

Eksterne tiltak:

o Følge med på databaser som CVE for oppdateringer.

o Implementere beste praksis som OWASP Top 10.

Oppsummering: Informasjonssikkerhetspolicy

1. Hva er en informasjonssikkerhetspolicy?

Definisjon:

o Et overordnet dokument som definerer hva som skal sikres, hvorfor, og
hvem som har ansvar.

o Beskriver de langsiktige målene og prinsippene for sikkerhetsarbeid i
organisasjonen.

Formål:

o Sikre at informasjonssikkerhet er en integrert del av virksomhetens drift.

o Skape en felles forståelse av sikkerhet blant ansatte.

o Styrke ledelsens engasjement for informasjonssikkerhet.

2. Hovedkomponenter i en policy
 1. Sikkerhetsmål:

o Eksempel: "Virksomheten skal beskytte sine verdier og sikre kontinuitet i
sine tjenester."

o Fokus på målbarhet, unngå vage uttrykk som "vi må jobbe med sikkerhet".

2. Ansvarsområder og roller:

o Tydelig definisjon av hvem som har ansvar for ulike deler av
sikkerhetsarbeidet.

3. Viktige prinsipper:

o Informasjonssikkerhet skal stå i forhold til akseptabelt risikonivå.

o Risikovurderinger skal være kontinuerlige og oppdateres ved endringer.

3. Viktige prinsipper for en effektiv policy

Forankring i ledelsen:

o Ledelsen må tydelig vise at informasjonssikkerhet er en prioritet.

Tilknytning til risikovurdering:

o Policyen skal bygge på en gjennomført risikovurdering, men ikke være
grunnlaget for den.

Tilpasning til virksomheten:

o Må tilpasses spesifikke behov og kontekst i organisasjonen.

o Standardmaler kan være utgangspunkt, men må videreutvikles for å være
relevante.

4. Eksempler på mål og prinsipper (Nettvett.no)

1. Mål:

o "Virksomheten skal kunne takle uforutsette hendelser som påvirker drift."

o "Sikkerhetstiltak skal beskytte mot trusler samtidig som de sikrer
lønnsomhet."

2. Prinsipper:

o Kontinuerlig risikovurdering for å oppdage og adressere nye trusler.

o Beredskapstiltak for å begrense skade ved uønskede hendelser.
 o Tilgang til informasjon basert på tjenstlig behov.

o Alle ansatte skal få opplæring i sikkerhetsprinsipper.

5. Krav til policyens implementering

Praktisk oppfølging:

o Policyen skal ikke bare være et dokument, men brukes aktivt i
virksomhetens arbeid.

o Må gjøres kjent blant ansatte og integreres i rutiner og prosesser.

Revisjon og oppdatering:

o Bør evalueres regelmessig, spesielt etter endringer i risiko eller krav.

6. Utfordringer ved utarbeidelse

Vage formuleringer:

o Unngå generelle utsagn som ikke gir praktisk retning.

Manglende forankring:

o Policyer som ikke støttes av ledelsen eller reflekteres i praksis, mister
troverdighet.

For kompliserte dokumenter:

o Policyen skal være lett forståelig for både ledelse og ansatte.

7. Ressurser og maler

Nettvett.no tilbyr:

o Tips til innhold i en informasjonssikkerhetspolicy.

o Mal for utarbeidelse av policy.

o Linker til eksempler: Policy-mal fra Nettvett.

Oppsummering: Klassifisering av informasjon og systemer

1. Hva er klassifisering?
 Definisjon:

o Prosessen med å gruppere informasjon, systemer eller tjenester etter
sikkerhetskrav basert på type, sensitivitet, eller risiko.

Formål:

o Gjør det enklere å administrere tilgang og implementere sikkerhetstiltak.

o Skaper ensartede regler for liknende data eller systemer, noe som
forenkler drift og sikring.

2. Typer klassifisering

Vanlige nivåer:

o Offentlig, Intern, Begrenset, Konfidensiell.

o I militæret eller etter sikkerhetsloven: Ugradert, Begrenset, Konfidensiell,
Hemmelig, Strengt hemmelig.

o I offentlighetsloven: Offentlig og Unntatt offentligheten.

Ekstra parametere:

o Avhendingsregler: Hvordan informasjon skal destrueres (f.eks.
makulering).

o Varighet: Hvor lenge informasjonen er klassifisert før den må reevalueres.

Punktklassifisering:

o Deler av et system eller et dokument kan klassifiseres separat (f.eks.
spesifikke kapitler i en rapport).

3. Relevans for sikkerhet

Klassifisering brukes for å beskytte informasjon med hensyn til:

o Konfidensialitet: Forhindre uautorisert tilgang.

o Tilgjengelighet: Sikre at informasjon er tilgjengelig når den trengs.

o Integritet: Forhindre utilsiktet eller ondsinnet endring.

Påkrevd av sikkerhetsloven:

o NSM-veileder definerer klassifisering for å beskytte nasjonale
sikkerhetsinteresser.
4. Trafikklysprotokollen (TLP)

Et system for å fargekode klassifiseringer for enkel kommunikasjon:

o Rødt: Strengt begrenset informasjon.

o Gult: Intern informasjon.

o Grønt: Kan deles internt i en avgrenset gruppe.

o Hvitt: Offentlig informasjon.

5. Klassifisering av systemer og tjenester

Nettverkssoner:

o Datasystemer kan plasseres i felles soner basert på klassifisering, noe
som gjør drift enklere (f.eks. brannmurer mellom soner).

Fysisk sikring:

o Klassifisering brukes også til å styre adgang til fysiske områder (f.eks.
klarering for tilgang til et serverrom).

6. Begreper relatert til klassifisering

Gradering:

o Prosessen med å gi en informasjon eller et system en spesifikk
klassifisering.

Klarering:

o Prosessen med å gi personer eller systemer tilgangsrettigheter til en
bestemt klassifisering eller lavere.

Viktighet av rutiner:

o Tildeling og tilbaketrekking av roller og klareringer må være godt
dokumentert og følge klare prosedyrer.

7. Fordeler og utfordringer

Fordeler:

o Effektiv administrasjon og økt oversikt.
 o Forenkler risikovurdering og implementering av tiltak.

Utfordringer:

o Risiko for overklassifisering som kan føre til ineffektivitet.

o Dårlig implementerte rutiner kan svekke sikkerheten.

Oppsummering: Roller, myndighet og ansvar

1. Hva betyr roller, myndighet og ansvar?

Definisjoner:

o Rolle: Definerte oppgaver eller funksjoner i en organisasjon.

o Ansvar: Plikten til å sørge for at oppgaver blir gjennomført.

o Myndighet: Rettigheten til å ta beslutninger og utføre handlinger som
kreves for å oppfylle ansvaret.

Sammenheng:

o Ansvar uten myndighet skaper ineffektivitet.

o Myndighet uten ansvar kan føre til kaos.

2. Ansvarsdelegering

Ledelsens rolle:

o Ledelsen har det endelige ansvaret for informasjonssikkerheten, men må
delegere tilpassede oppgaver til andre roller.

o Viktig å etablere tydelige rapporteringslinjer for å sikre oppfølging.

Vanlige nivåer:

o Ansvarlige: Overordnet ansvar for sikkerhet (f.eks. toppledelse).

o Delaktige: Utfører spesifikke oppgaver relatert til sikkerhet (f.eks. IT-
avdelingen).

o Sluttbrukere: Alle ansatte som følger sikkerhetsregler og rutiner.

3. Hvem bør ha ansvar for informasjonssikkerhet?
 Mulige alternativer:

o IT-leder: Nær systemene, men kan mangle forretningsperspektiv.

o Daglig leder: Har overordnet ansvar, men mangler teknisk innsikt.

o Ekstern rådgiver: Kan tilføre kompetanse, men mangler intern forståelse.

o Alle ansatte: Bør ha delansvar for sin egen rolle, men ikke hovedansvaret.

Best praksis:

o En dedikert rolle, som f.eks. en Chief Information Security Officer (CISO),
er ideell for å koordinere arbeidet.

4. Eksempler på sikkerhetsroller

Ledelsesroller:

o CISO (Chief Information Security Officer).

o CSO (Chief Security Officer).

o CIO/CTO (Chief Information/Technology Officer).

Tekniske roller:

o Sikkerhetsarkitekt.

o Security engineer.

o Ethical hacker.

Andre roller:

o Data Protection Officer (DPO).

o Rådgivere og konsulenter innen sikkerhet.

5. Utfordringer knyttet til ansvar

Intern motvilje:

o Noen avdelinger unngår å innse sikkerhetsproblemer for å nå andre mål.

o Eksempel: En prosjektleder som prioriterer leveranser over sikkerhet.

Ressursdeling:

o Delt stilling (f.eks. 5 x 20 %) kan føre til tap av overblikk, mens én hel
stilling (100 %) gir kontinuitet, men kan bli isolert.
6. Kompetansekrav

Varierer med rolle:

o Fagansvarlig informasjonssikkerhet: Dyp innsikt i sikkerhetsstyring.

o IT-leder: Teknisk kompetanse og forståelse for sikkerhetsprinsipper.

o Toppleder: Strategisk forståelse og evne til å prioritere sikkerhet i
virksomheten.

Viktigst for alle roller:

o Sikkerhetskultur: Opplæring og forståelse av grunnleggende
sikkerhetsprinsipper.

7. Stillingsbeskrivelse og rapportering

Tydelig ansvarsfordeling:

o Roller må beskrives klart for å unngå uklarhet.

o Sikkerhetsansvarlig bør integreres i ledelsen, ikke stå som en ekstern
"outsider".

Rapporteringslinjer:

o Sørg for at sikkerhetsansvarlige rapporterer til beslutningstagere som
verdsetter sikkerhet.

8. Andre momenter

Dokumentasjon:

o God dokumentasjon gjør det lettere å spore ansvar og tiltak.

Flaks og uflaks:

o Sikkerhetsansvarlige blir ofte vurdert basert på hendelser, noe som kan gi
urettferdig inntrykk av arbeidet.

Oppsummering: Deteksjon og håndtering av hendelser

1. Hva er en hendelse?
 Definisjon:

o En hendelse er når en trussel blir til virkelighet og påvirker verdier som
informasjon, tjenester eller mål.

o Eksempler på hendelsestyper:

 Security Event: Et potensielt problem, f.eks. phishing-e-post.

 Security Incident: Når et problem faktisk har konsekvenser, f.eks.
en bruker gir fra seg passordet etter phishing.

o Nivåer av hendelser:

 Sikkerhetstruende hendelse.

 Sikkerhetsbrudd.

 Avvik.

2. Deteksjon av hendelser

Tre trinn i deteksjon:

1. Innsamling:

 Logging av aktiviteter i systemer.

2. Bearbeiding og analyse:

 Bruk av automatiserte verktøy for å oppdage avvik (signaturbaserte
eller heuristiske metoder).

3. Deteksjon og overvåking:

 Identifisere mistenkelig aktivitet ved bruk av regler eller
terskelverdier.

3. Hendelseshåndtering

To tilnærminger:

1. Reaktiv håndtering (Incident Response):

 Håndtering etter at en hendelse har skjedd.

 Faser:

 Analyse: Identifisere hendelsens omfang.
  Skadebegrensning: Stoppe videre spredning.

 Skadesanering: Fjerne årsaken til hendelsen.

 Normalisering: Gjenopprette normal drift.

 Evaluering og læring: Dokumentere og forbedre prosesser.

2. Proaktiv håndtering (Incident Management):

 Forberedelser som opplæring, deteksjonssystemer og
beredskapsplaner.

4. Beredskapsplaner

Formål:

o Ha klare rutiner for å håndtere hendelser effektivt.

Nøkkelelementer:

o Mandat, roller, og ansvar for de involverte.

o Planer for hvordan hendelser skal håndteres teknisk, organisatorisk og
kommunikativt.

Testing:

o Planer må testes gjennom øvelser for å sikre at de fungerer i praksis.

5. Evaluering og læring

Viktighet:

o Dokumentere hendelsens forløp for å trekke lærdom.

o Identifisere sårbarheter og svikt i eksisterende prosesser.

Oppdatering av risikoanalyse:

o Justere sannsynligheter og konsekvenser basert på nye funn.

Eksempel:

o Heartbleed i SSL avslørte svakheter som førte til oppdateringer i
sikkerhetspolitikk.

6. Eksterne aktører
 Rolle:

o Bistå med deteksjon og håndtering, ofte ved store eller komplekse
hendelser.

Eksempler:

o Nasjonalt Cybersikkerhetssenter (NCSC), NorCERT, Kripos, Datatilsynet,
private konsulentselskaper.

7. Modeller for å beskrive angrep

Diamond Model of Intrusion Analysis:

o En metode for å forstå sammenhenger i angrep.

Cyber Kill Chain:

o Utviklet av Lockheed Martin for å analysere angrepsfaser fra start til slutt.

o Kan kombineres med Diamond Model for dypere innsikt.

Oppsummering: Overvåking og Deteksjon

1. Hva er overvåking og deteksjon?

Overvåking:

o Kontinuerlig innsamling og analyse av data fra systemer og nettverk.

o Målet er å avdekke avvik, uautorisert aktivitet, eller tegn på angrep.

Deteksjon:

o Identifisere hendelser og angrep gjennom direkte observasjon (f.eks.
oppdagelse av løsepengekrav) eller indirekte (f.eks. unormale mønstre).

2. Viktigheten av overvåking

Hvorfor overvåke?

o Oppdage angrep raskt og redusere skader.

o Gi bevis for hvem, hva, og når (non-repudiation).

o Bruke historiske data for risikoanalyse og erfaring.
 Utfordringer:

o Krever tydelig definisjon av hva som skal overvåkes (verdier vs. angrep).

o Kompleksitet i moderne systemer (sky, outsourcing, fysiske og digitale
ressurser).

3. Elementer i overvåking

Prosessen:

1. Innsamling: Logging av relevante data (f.eks. autentiseringsforsøk,
systemfeil, brukermønstre).

2. Analyse: Automatisert eller manuell gjennomgang for å finne avvik.

3. Varsling: Informere ansvarlige ved deteksjon av avvik eller trusler.

4. Tiltak: Iverksette hendelseshåndtering basert på varselet.

Typer data:

o Applikasjonsfeil, systemfeil, autentiseringsfeil, endringer i
systemkonfigurasjon osv.

4. Teknologier og metoder

SIEM (Security Information and Event Management):

o Kombinerer innsamling, organisering, analyse og visualisering av store
mengder data.

o Eksempler: Splunk, ArcSight, og Elastic Stack.

IDS/IPS (Intrusion Detection/Prevention Systems):

o IDS: Identifiserer mistenkelig aktivitet.

o IPS: Stopper mistenkelig aktivitet automatisk.

Varslingssystemer:

o NSMs VDI (Varslingssystem for Digital Infrastruktur): En IDS-løsning for
kritisk infrastruktur.

5. Deteksjonsevne

Avhenger av:
 o Tilstrekkelig datainnsamling: Mengde og kvalitet på data som logges.

o Normaltilstand: Kjennskap til hva som er "normalt" i systemet, slik at avvik
kan oppdages.

Manuelle tiltak:

o Ansatte må opplæres til å rapportere mistenkelig aktivitet som ikke kan
oppdages teknisk (f.eks. sosial manipulering).

6. Angrep mot overvåking

Trusler:

o Falske handlingsmønstre for å forvirre systemer.

o Manipulerte logger for å skjule aktivitet.

o Støy (DoS) for å fylle loggfiler og gjøre deteksjon vanskelig.

Tiltak mot angrep:

o Sikring av loggdata (integritet, konfidensialitet, tilgjengelighet).

o Begrenset tilgang til loggfiler.

7. Dokumentasjon og testing

Testing av overvåking:

o Simulere hendelser for å verifisere deteksjonssystemenes nøyaktighet.

o Bruk av testplaner for å evaluere ytelse og pålitelighet.

Riktig bruk av data:

o Sørg for at all innsamling og analyse er i tråd med lover som GDPR.

o Kun nødvendig data bør samles inn for å unngå sikkerhetsrisiko og
overflødig kompleksitet.

Oppsummering: Krisehåndtering

1. Hva er krisehåndtering?

Definisjon:
 o Prosessen med å håndtere en situasjon som truer virksomhetens verdier,
forstyrrer normal drift, og skaper kaos.

Typiske kjennetegn på en krise:

o Situasjoner utenfor normalen.

o Usikkerhet om utfallet.

o Krever hurtige beslutninger og koordinering.

Merk:

o Hendelseshåndtering kan utføres uten at det er en krise, men større
hendelser krever krisehåndtering.

2. Viktige egenskaper for effektiv krisehåndtering

Erkjennelse:

o Tidlig identifisering av at situasjonen er en krise.

Forberedelser:

o Krisestab og beredskapsplaner må være på plass før en krise oppstår.

Organisering:

o Hyppige møter og god kommunikasjon internt og eksternt.

Overlevelsesbehov:

o Sørge for at alle involverte får nok søvn, mat og drikke.

Muligheter:

o Se etter læringspunkter og forbedringsmuligheter i krisen.

3. Krisestab

Definisjon:

o En gruppe ansvarlig for å løse krisen og gjenopprette normal drift.

Roller i krisestaben:

o Ledes av toppleder eller en delegert fagperson.

o Andre roller:

 Kommunikasjon (intern og ekstern).
  Økonomiansvarlig.

 IT-sikkerhetsansvarlig.

 Leverandørkontakt.

 Sekretær for dokumentasjon.

Planlegging:

o Identifiser personer til rollene, inkludert backup-personell med
kontaktinformasjon.

o Planlegg både fysisk og digital samling, inkludert ved nettverksangrep.

4. Oppgaver for krisestaben

1. Få overblikk:

o Hva har skjedd, og hva kan skje (worst case)?

2. Isolere og håndtere:

o Reduser umiddelbare skader ved å følge beredskapsplanen.

3. Finne en løsning:

o Arbeid mot en langsiktig løsning som gjenoppretter drift.

4. Gjenopprette normalsituasjonen:

o Følg planen for å sikre en gradvis tilbakevending.

5. Dokumentere:

o Alt arbeid, beslutninger og kommunikasjon må dokumenteres.

5. Beredskapsplan

Kjernen i krisehåndtering:

o En ferdig utarbeidet plan for hvordan organisasjonen skal reagere på ulike
krisescenarioer.

Innhold:

o Nivåer (grønn, gul, rød) for å indikere krisens alvorlighet.

o Roller, ansvar, og hvordan varsling og organisering skjer.

o Dokumentasjonsrutiner.
 Evaluering av planen:

o En fornuftssjekk før aktivering av planen.

o Regelmessig testing og oppdatering.

6. Dokumentasjon og evaluering

Dokumentasjon:

o Hva som skjer, hvorfor det skjer, og hvordan det håndteres.

o Skal brukes til å evaluere effektiviteten av håndteringen i ettertid.

Evaluering:

o Nettvett.no anbefaler spørsmål som:

 Var rutiner og prosesser tilstrekkelige?

 Må leverandøravtaler oppdateres?

 Var opplæring av ansatte god nok?

 Må krisehåndteringsplanen forbedres?

7. Øvelser

Hvorfor øve?

o Sikrer at krisestaben vet hvordan de skal samhandle og kommunisere
under press.

Hva bør øves på?

o Samlingsrutiner og kontaktstrategier.

o Samarbeid og beslutningstaking under tidspress.

Oppsummering: Beredskapsplaner og Beredskapsøvelser

1. Hva er en beredskapsplan?

Definisjon:

o En plan som beskriver hvordan en organisasjon skal håndtere hendelser
som kan true dens verdier, drift eller sikkerhet.
 Formål:

o Sikre at organisasjonen er forberedt på uventede situasjoner.

o Sørge for rask og effektiv respons for å minimere skade.

Relaterte planer:

o Business Continuity Plan (BCP).

o Disaster Recovery Plan (DRP).

o Standard Operating Procedures (SOP): For mindre alvorlige hendelser.

2. Overordnet struktur i beredskapsplaner

Generell del:

o Etablering av krisestab og beredskapsnivåer (grønn, gul, rød).

o Kommunikasjonsplan for intern og ekstern varsling.

o Prinsipper for unntaksprosesser og prioriteringer.

Hendelsesspesifikke planer:

o Skreddersydde planer for spesifikke hendelser.

o Inneholder steg-for-steg-løsninger, sjekklister og dokumentasjonskrav.

3. Kritiske elementer i beredskapsplaner

1. Varslingsrutiner:

o Hvordan ansatte og eksterne aktører skal varsles.

o "Call trees" for å nå alle nødvendige parter raskt.

2. Dokumentasjon:

o Hva som skal dokumenteres (hendelse, tiltak, kommunikasjon) og
hvordan.

3. Recovery-mekanismer:

o Backup-løsninger for data og systemer:

 Redundant site, hot site, warm site, cold site.

 Sky- og virtualiseringsløsninger.
4. Testing og oppdatering av planer

Beredskapsplaner må jevnlig testes, evalueres og oppdateres.

Hvorfor teste?

o Identifisere svakheter i planen.

o Øke organisasjonens evne til å respondere raskt og effektivt.

5. Sikkerhetsøvelser

Formål:

o Trene ansatte på å håndtere krisesituasjoner.

o Teste og forbedre eksisterende beredskapsplaner.

Typer øvelser:

1. Teoretiske øvelser: Diskusjoner og skrivebordsøvelser.

2. Simulerte øvelser: Bruk av reelle eller imiterte systemer.

3. Fullskalaøvelser: Praktiske tester av reelle systemer og rutiner.

Eksempel:

o Kombinasjon av simulerte angrep og fullskala tiltak for realistiske
scenarier.

6. Planlegging av øvelser

Kritiske elementer:

o Definere læringsmål og scenarioer.

o Avklare roller, rammer og varighet.

o Utarbeide øvelsesdirektiv (manus og regler).

Gjennomføring:

o Presentasjon av scenario til deltakere.

o Selve øvelsen.

o Debrief og evaluering.
7. Evaluering av øvelser

Hva bør evalueres?

o Ansvarsfordeling, kommunikasjon, samarbeid, og effektivitet av planer.

Hvordan evaluere?

o Basert på teknisk logging, observasjoner og deltakernes logger.

o "Hot wash up": Umiddelbar gjennomgang rett etter øvelsen.

Mål:

o Identifisere forbedringspunkter uten å fokusere på enkeltindivider.

8. Realisme i øvelser

Utfordringer:

o Unngå at øvelser blir "fjas" eller oppfattes som urealistiske.

Løsninger:

o Bruk fakta og konstruerte hendelser med realistiske elementer.

o Fokuser på å forbedre ferdigheter i stedet for å teste enkeltpersoner.

Oppsummering: Håndtering av Varsler

1. Hva betyr å håndtere varsler?

Definisjon:

o Prosessen med å håndtere meldinger eller rapporter om problemer, feil,
eller sikkerhetsbrudd.

Kilder til varsler:

o Interne varsler:

 Fra ansatte eller interne systemer, ofte relatert til prosesser,
ressurser, eller feil.

o Eksterne varsler fra samarbeidspartnere eller myndigheter:
  Rapportering fra betrodde kilder som leverandører eller
tilsynsorganer.

o Eksterne varsler fra tredjeparter:

 Varsling via sosiale medier, anonyme kilder, eller
sikkerhetsforskere.

2. Eksempler på varseltyper

Interne bekymringer:

o Tilbakemelding på utilstrekkelige verktøy eller ressurser.

o Rapportering av regelbrudd eller "sladrehistorier".

o Innrømmelser av egne feil.

Eksterne varsler:

o Hjelpsomme: "Jeg fant en feil i systemet deres."

o Aggressive: "Fiks feilen, ellers offentliggjør jeg den."

3. Utfordringer i varselhåndtering

Kommunikasjonsproblemer:

o Tekniske uttrykk eller sjargong kan være vanskelige å forstå.

o Varsler via uvanlige kanaler (f.eks. sosiale medier eller anonyme
rapporter).

Mottak og ansvar:

o Hvem mottar varslet, og er denne personen kompetent nok?

o Vansker med å avgjøre varselets alvorlighetsgrad uten fagpersonell.

4. Rutiner for mottak av varsler

1. Første mottak:

o Sørg for at alle varsler blir dokumentert:

 Tidspunkt, avsender, varselinnhold.
 o Tilrettelegg for anonymitet, men bevar identiteten dersom det er
nødvendig for oppfølging.

2. Vurdering av varselet:

o Fagpersoner avgjør om varslet er reelt, og vurderer alvorlighetsgrad.

3. Videresending:

o Send varselet til riktig avdeling eller fagperson med taushetsplikt.

5. Respons på varsler

Viktige prinsipper:

1. Takknemlighet: Vis at varsleren gjør noe verdifullt.

2. Tiltaksplan: Forklar hvilke tiltak som vurderes eller er iverksatt.

3. Oppfølging: Hold kontakt med varsleren under prosessen.

4. Kompetanse: Den som svarer, må ha kunnskap og autoritet til å håndtere
situasjonen.

Mulig involvering av varsleren:

o Kan bidra til å løse problemet, men vær forsiktig med tilliten som gis.

6. Tilrettelegging for varsling

Infrastruktur:

o Opprett tydelige kanaler for varsling, som dedikerte e-postadresser (f.eks.
[email protected]).

Incentiver:

o Konkurranser eller belønninger for å oppdage feil.

Forebygging av offentlig deling:

o Håndter varsler raskt for å unngå at informasjon sprer seg utenfor
organisasjonen.

7. Intern varsling

Prinsipper:
 o Behandle interne varsler på samme måte som eksterne.

o Unngå negativ respons som kan skremme ansatte fra å rapportere.

Oppsummering: Åpenhet og Krisekommunikasjon

1. Hva er åpenhet i sikkerhetshendelser?

Definisjon:

o Å dele informasjon om sikkerhetshendelser med relevante aktører,
inkludert ansatte, samarbeidspartnere, myndigheter, og offentligheten.

Nivåer av åpenhet:

o Rapportering til interne ledere og styret.

o Informasjon til sektorspesifikke miljøer (f.eks. CERT-er).

o Deling med berørte leverandører, kunder, eller myndigheter (som NSM og
Datatilsynet).

o Offentlig åpenhet gjennom media eller pressemeldinger.

2. Når bør man være åpen?

Timing er avgjørende:

o Før informasjon lekker ut gjennom andre kanaler.

o Etter at hendelsen er kjent for å kontrollere narrativet.

o I ettertid for å dele lærdom eller sikre samfunnsnytte.

Risiko ved feil timing:

o For tidlig: Kan gi feilinformasjon eller avsløre sensitive detaljer.

o For sent: Kan skape mistillit og spekulasjoner.

3. Fordeler og ulemper ved åpenhet

Fordeler:

o Viser handlekraft og ansvarlighet.

o Bidrar til læring og styrker tillit i bransjen.
 o Kan "legge saken død" før media eskalerer den.

Ulemper:

o Omdømmetap, spesielt hvis saken ikke er godt håndtert.

o Risiko for å avsløre sårbarheter eller gi trusselaktører nyttig informasjon.

o Kan komplisere etterforskning eller gjenopprettingsarbeid.

4. Prinsipper for effektiv krisekommunikasjon

Intern kommunikasjon:

o Ansatte må være informert før media for å unngå lekkasjer og
spekulasjoner.

o Informasjon må være tydelig og konsistent.

Ekstern kommunikasjon:

o Tilpass tone og innhold til mottakergruppen (brukere, kunder, media).

o Fokuser på konsekvenser og tiltak, ikke tekniske detaljer.

o Unngå spekulasjoner og skylde på andre.

o Hold informasjonen enkel og handlingsrettet.

5. Kommunikasjonsstrategier

Forberedelser:

o Ha ferdigskrevne maler for pressemeldinger og interne meldinger som del
av beredskapsplanen.

o Definer hvem som har autoritet til å uttale seg.

Kontroll av narrativet:

o Del informasjon før media eller andre aktører gjør det.

o Gi fakta for å minimere feilaktige spekulasjoner.

Vedlikehold av budskapsoversikt:

o Sørg for at alle aktører formidler samme informasjon.

6. Media og offentlig kommunikasjon
 Håndtering av media:

o Media ønsker en sensasjonell historie, ikke nødvendigvis din versjon.

o Lag klare pressemeldinger for å gi fakta og redusere spekulasjoner.

o Sørg for å være tilgjengelig for media for å unngå ukontrollerte narrativer.

Internett og sosiale medier:

o Overvåk relevante plattformer for lekkasjer eller diskusjoner om
hendelsen.

o Aktiver Google Alerts og lignende verktøy.

7. Offentliggjøring av hendelser

Vurderingspunkter før deling:

o Kan sårbarheten fortsatt utnyttes?

o Er dette av allmenn interesse eller relevant for spesifikke parter?

o Er etterforskningen ferdig, og er trusselen eliminert?

Anonym deling:

o Gjennom bransjeorganisasjoner eller CERT-er for å minimere risiko.

8. Lærdom fra Mørketallsundersøkelsen

Kun 6 % av sikkerhetshendelser blir offentliggjort.

7 % av hendelser får mediedekning, men åpenhet er fortsatt sjeldent.

NSMs råd:

o Åpenhet gir ofte positiv effekt hvis håndtert riktig.

Oppsummering: Anmeldelse og Sikring av Bevis

1. Anmeldelse av hendelser

Hvorfor få anmeldelser?

o Følelse av at politiet mangler kompetanse eller ressurser.

o Frykt for at saker blir henlagt.
 o Redsel for offentliggjøring av hendelsen.

o Oppfattelse av at etterforskning kan hindre drift eller medføre ekstra
arbeid og kostnader.

o Usikkerhet om hva som bør anmeldes.

o Opplever systemet som tungvint.

To nivåer for anmeldelse:

1. Varsling/Rapportering:

 Kan gi råd og varsle andre aktører.

 Bidrar til bredere etterforskning.

2. Anmeldelse:

 Leder til formell etterforskning.

 Kan være påkrevd av forsikringer, myndigheter, kunder eller
leverandører.

Tips for anmeldelser:

o Anmeld så raskt som mulig.

o Ta hensyn til omdømmekonsekvenser.

o Hvert politidistrikt har egne seksjoner for digitalt politiarbeid.

o NSM kan bistå i saker med nasjonale interesser.

o Kriminalitet og forsøk på kriminalitet kan anmeldes.

2. Sikring av bevis

Hvorfor sikre bevis?

o Bevis er nødvendig for intern etterforskning og anmeldelser.

o Integritet er kritisk:

 Bevis må være nøyaktige og ikke manipulerte.

 Endringer kan gjøre dem ugyldige.

Utfordringer med bevis:

o Bevis kan "forsvinne" over tid:

 Logger og backup kan overskrives eller roteres bort.
  Angrep kan ødelegge eller manipulere bevis.

o Samle bevis uten å hindre skadebegrensning:

 Avveining mellom å stoppe angrep og samle nødvendig data.

3. Hvordan sikre bevis?

Logger:

o Essensen i bevisarbeid.

o Unngå å slå av maskiner, da minne og prosesser kan gå tapt.

Digitalt materiale:

o Lagre e-poster som *.eml-filer (ikke skjermbilder).

o Ta skjermbilder og HTML-kopier av nettsider.

o Kopier systemkonfigurasjoner, filer og logger fra brannmurer, nettverk og
applikasjoner.

Minne og VM:

o Ta minnedumper og snapshots av virtuelle maskiner.

Sikkerhet:

o Krypter og bruk hashing for å bevare integritet og konfidensialitet.

o Følg lovverk ved innsamling av data, spesielt relatert til ansatte (GDPR og
andre forskrifter).

4. Eksterne aktører og eksperter

Eksterne aktører kan:

o Sikre bevis på en profesjonell og objektiv måte.

o Forstå komplekse situasjoner bedre enn interne ressurser.

Ulemper med eksterne aktører:

o De kjenner ikke systemene like godt som interne ressurser.

o Kan føre til forsinkelser i håndteringen av hendelsen.

5. Gyldigheten av digitale bevis
 Digitale bevis kan lett fabrikeres eller manipuleres:

o Strengere krav til dokumentasjon og autentisering av digitale bevis.

o Viktig med sporbarhet for å bevise ektheten i retten.

Oppsummering: Introduksjon til Personvern og Personopplysninger

1. Hva er personvern?

Definisjon:

o Ifølge Datatilsynet: "Personvern handler om retten til et privatliv og retten
til å bestemme over egne personopplysninger."

o En menneskerettighet, nedfelt i Grunnloven § 102:

 Enhver har rett til respekt for privatliv, familieliv, hjem og
kommunikasjon.

 Staten har ansvar for å beskytte personlig integritet.

Betydning:

o Vern om privatlivet.

o Gir rom for demokrati og personlig frihet.

o For bedrifter: Ansvar for å beskytte brukeres og kunders
personopplysninger.

2. Hva er personopplysninger?

Definisjon (GDPR artikkel 4):

o Enhver opplysning som kan knyttes til en identifisert eller identifiserbar
person.

o Eksempler: Navn, fødselsnummer, IP-adresser, biometriske data,
adferdsmønstre.

Objektive opplysninger:

o Fakta som navn, telefonnummer.

Subjektive opplysninger:

o Vurderinger som meninger og preferanser.
 Typer sensitive personopplysninger (GDPR):

1. Etnisk opprinnelse.

2. Politisk oppfatning.

3. Religion.

4. Filosofisk overbevisning.

5. Fagforeningsmedlemskap.

6. Genetiske opplysninger.

7. Biometri (for identifisering).

8. Helseopplysninger.

9. Seksuelle forhold og legning.

10. Straffedommer og straffbare forhold (kun delvis under GDPR).

3. Risikovurdering av personopplysninger

Vanlige data som adresse kan være sensitive i spesifikke kontekster, f.eks.
hemmelig adresse for personer under trussel.

Risikovurdering bør alltid ta hensyn til "worst case" scenarier.

4. Fire kategorier av personopplysninger

1. Direkte identifiserbare:

o Data som enkelt kan knyttes til en person (navn, telefonnummer, e-post).

2. Indirekte identifiserbare:

o Data som gjør det mulig å identifisere noen ved hjelp av kombinasjoner
eller resonnement.

3. Pseudonyme opplysninger:

o Avidentifiserte data med en koblingsnøkkel.

4. Anonyme opplysninger:

o Data som ikke kan knyttes til en person.

Oppsummering: Personopplysningsloven (POL)
1. Hva er personopplysningsloven (POL)?

Definisjon:

o Norsk lovverk som tilpasser og implementerer GDPR i Norge.

o Regulerer hvordan personopplysninger skal behandles, lagres, og deles.

Forrang for GDPR:

o Ved konflikt mellom GDPR og norsk lov, gjelder GDPR.

2. Hvem dekkes ikke av POL?

Unntak:

o Privatpersoner som samler informasjon til privat bruk.

o Myndigheter under etterforskning og straffeforfølgelse.

o Journalister, akademikere og kunstnere:

 Selve innsamlingen kan være delvis dekket av POL, men
sluttprodukter som bøker eller artikler er unntatt.

3. Behandlingsgrunnlag

Hva er det?:

o En juridisk begrunnelse for å behandle personopplysninger.

o Må opplyses til den registrerte.

Eksempler på grunnlag:

1. Samtykke.

2. Nødvendighet for avtaler.

3. Rettslig plikt.

4. Vern av vitale interesser.

5. Offentlig interesse eller myndighetsutøvelse.

6. Berettigede interesser (må veies mot den registrertes rettigheter).
4. Sensitive personopplysninger

Hva er de?:

o Opplysninger som krever ekstra beskyttelse, som helseopplysninger,
biometriske data, politiske synspunkter, eller straffedommer.

Behandlingskrav:

o Må ha særskilt grunnlag, i tillegg til behandlingsgrunnlag.

o Eksempler på særskilte grunnlag:

 Nødvendig for å oppfylle plikter eller rettigheter.

 Hjemlet i lov (f.eks. folkehelse).

 Datatilsynets tillatelse.

5. Prinsipper for behandling

Lovlig, rettferdig og gjennomsiktig:

o Informasjon skal behandles i samsvar med lov og være lett forståelig for
den registrerte.

Formålsbegrensning:

o Data skal kun brukes til spesifikke, legitime formål.

Dataminimering:

o Kun samle inn nødvendige opplysninger.

Riktighet:

o Data må holdes oppdatert og korrekt.

Lagringsbegrensning:

o Data skal ikke lagres lengre enn nødvendig.

Integritet og konfidensialitet:

o Data må beskyttes mot uautorisert tilgang og skade.

Ansvarlighet:

o Virksomheten må kunne demonstrere at de følger loven.

6. Rettigheter for den registrerte
 Eksempler:

o Rett til innsyn: Se hvilke data som er lagret.

o Rett til retting: Kreve at feil blir korrigert.

o Rett til sletting: "Retten til å bli glemt."

o Rett til dataportabilitet: Flytte data til en annen tjeneste.

o Rett til å protestere: Mot visse typer behandling.

o Rettigheter ved automatiserte avgjørelser: Innsyn i hvordan slike
avgjørelser tas.

7. Ansvar og avtaler

Databehandlingsansvarlig:

o Den som bestemmer formål og midler for behandlingen.

Databehandler:

o Utfører behandling på vegne av den ansvarlige.

o Krever en databehandleravtale:

 Beskriver hva som kan gjøres med data, sikkerhetskrav, og
ansvarsfordeling.

 Må foreligge ved bruk av underleverandører som skytjenester.

8. Innebygd personvern

Hva er det?:

o Personvern må bygges inn i systemer og prosesser fra starten av.

o Eksempel: Minimering av datainnsamling, sterk kryptering, og
tilgangsbegrensninger.

Kontroll fra Datatilsynet:

o Kan føre tilsyn og kreve at bedrifter dokumenterer tiltak.

9. Viktigheten for informasjonssikkerhet

Effekter på bedrifter:
 o Styrket fokus på sikkerhet for å unngå bøter og omdømmetap.

o Krever at virksomheter vurderer risiko og innfører nødvendige tiltak.

Brukerforståelse:

o Kompleksiteten i lovverket kan føre til misforståelser, både blant
virksomheter og enkeltpersoner.

Oppsummering: Personvernombud

1. Hva er et personvernombud?

Definisjon (Datatilsynet):

o En ressursperson som styrker virksomhetens kunnskap og kompetanse
om personvern.

o Gir råd til den behandlingsansvarlige om hvordan personverninteresser
best kan ivaretas.

Rolle:

o Rådgivende, ikke ansvarlig:

 Ansvaret for personvern ligger fortsatt hos den
behandlingsansvarlige.

o Et kontaktpunkt:

 For brukere som har spørsmål om personvern.

 For Datatilsynet ved behov for kommunikasjon med virksomheten.

2. Oppgaver til personvernombudet

1. Oversikt over behandlingsaktiviteter:

o Holde oversikt over hvilke personopplysninger virksomheten behandler.

2. Sjekk av regelverksoverholdelse:

o Oppdage og påpeke hvor regelverket ikke følges.

3. Gi råd og informasjon:

o Opplæring, rutiner, og bygge holdninger rundt personvern.

4. Delta i risikovurdering:
 o Være en del av styringsprosesser og bidra til risikohåndtering.

5. Varsling:

o Informere brukere og myndigheter om brudd på personvernet.

3. Hvem må ha et personvernombud?

Obligatorisk for:

o Offentlige myndigheter og organer.

o Virksomheter som regelmessig og systematisk behandler
personopplysninger i stor skala.

o Behandling av sensitive personopplysninger eller aktiviteter som
profilering og sporing.

Valgfritt for andre:

o Virksomheter kan velge å ha et personvernombud for å styrke tilliten og
håndtere personvern mer effektivt.

4. Krav og kvalifikasjoner

Ingen spesifikke krav til utdanning, men vanlige profiler inkluderer:

o Jurister, HR-eksperter, IT-/sikkerhetspersonell, revisorer.

Nødvendig kompetanse:

o Kunnskap om virksomhetens behandlingsaktiviteter.

o Forståelse av IT-systemer og informasjonssikkerhet.

o Kjennskap til relevante lover og regler (f.eks. GDPR).

Organisatorisk forankring:

o Må kunne jobbe fritt og uavhengig, unngå interessekonflikter.

o Bør være en del av ledelsen for å sikre innflytelse.

5. Praktiske råd for personvernombud

Oppstart:

1. Skaff kunnskap om personvern og virksomhetens struktur.
 2. Avklar rolle, ansvar og myndighet.

3. Etabler rutiner som sikrer involvering i beslutninger og
hendelseshåndtering.

Involvering:

o Må delta aktivt i relevante beslutningsprosesser og ikke kun informeres i
etterkant.

Kommunikasjon:

o Sørg for at råd og synspunkter dokumenteres, også når de ikke følges.

Uavhengighet:

o Sikre at personvernombudet kan handle uten påvirkning fra
interessekonflikter.

6. Intern eller ekstern ombud?

Intern:

o Mer kjennskap til virksomheten, men kan være vanskelig å holde
uavhengig.

Ekstern:

o Gir objektivitet, men kan mangle detaljert innsikt i virksomheten.

Valg av løsning:

o Avhenger av virksomhetens størrelse, type og behandlingsaktiviteter.

Oppsummering: Internkontroll og Personopplysninger

1. Hva er internkontroll for personopplysninger?

Definisjon:

o Et systematisk styringssystem for å sikre at behandling av
personopplysninger skjer i samsvar med lover og regler.

o Ikke tilstrekkelig å gjennomføre tiltak; det må dokumenteres at tiltakene
er:

 Styrende: Planlagt og begrunnet før de iverksettes.
  Gjennomførende: Faktisk implementert.

 Kontrollerende: Evaluert for å sikre ønsket effekt.

Dokumentasjon:

o Nødvendig for å bevise overholdelse av regelverk.

o Manglende dokumentasjon kan føre til bøter, selv uten hendelser.

2. Må man ha et eget styringssystem for personopplysninger?

Nei, men det anbefales:

o Personopplysninger bør behandles som et eget område innenfor
eksisterende styringssystemer.

o ISO 27001 eller ISO 27701 kan brukes som rammeverk for
personvernstyring.

Konsekvenser ved mangler:

o Bøter kan ilegges for både manglende styringssystem og manglende
dokumentasjon.

3. Essensielle steg i internkontroll

1. Identifikasjon:

o Kartlegg hvilke personopplysninger som samles inn, og hvorfor.

2. Risikovurdering:

o Vurder risikoen ved behandling av personopplysninger.

3. Risikohåndtering:

o Implementer tiltak for å minimere risiko.

4. Evaluering:

o Kontinuerlig vurdering og forbedring av prosesser.

4. Hva bør dokumenteres?

Oversikt over alle personopplysninger og behandlinger (behandlingsprotokoll).

Behandlingens:
 o Art, omfang, formål og sammenheng.

o Kilder, mottakere og ansvarsforhold.

Plikter som følger:

o Rutiner for innsyn, sletting og dataportabilitet.

o Varsling og avvikshåndtering.

Vurdering av:

o Lovlighet, nødvendighet og proporsjonalitet.

o Sensitivitet og om opplysningene er taushetsbelagt.

5. Kartlegging av personopplysninger

Datatilsynets anbefalinger:

o Følg veiledere som gir maler for risikovurdering.

o Kartlegging må være spesifikk og oppdateres regelmessig.

Eksempel:

o Dokumentér behandlingens art, kilder, mottakere, risiko, og
sikkerhetstiltak.

6. Anbefalte standarder

ISO 27001:

o Generelt rammeverk for informasjonssikkerhet.

ISO 27701:

o Utvidelse av ISO 27001 spesifikt for personvern.

NIST Cybersecurity Framework:

o Kan brukes som alternativ eller supplement.

7. Risikofjerning som strategi

Hva er risikofjerning?

o Unngå å samle inn unødvendige opplysninger.
 o Reduserer både kompleksitet og risiko.

Praktisk eksempel:

o Samle kun nødvendig informasjon og unngå sensitive opplysninger hvis
mulig.

Oppsummering: Samtykker og Personvernerklæring

1. Hva er forskjellen mellom samtykke og personvernerklæring?

Samtykke:

o Brukerens aktive handling for å godkjenne behandling av
personopplysninger.

o Må oppfylle spesifikke krav for å være gyldig.

Personvernerklæring:

o Informasjonsdokument som forklarer hvordan personopplysninger blir
håndtert.

o Kan brukes selv om behandlingsgrunnlaget ikke er samtykke.

2. Krav til samtykke

1. Frivillighet:

o Brukeren skal ikke føle press til å samtykke, verken direkte eller indirekte.

2. Forståelighet:

o Samtykket skal være tydelig, informert, og utvetydig.

3. Aktiv handling:

o Brukeren må gi samtykke gjennom en bevisst handling, ikke som
standardvalg.

4. Dokumentasjon:

o Samtykket må kunne spores med tid, metode, og bekreftelse på at
kravene er oppfylt.

5. Tilbaketrekking:

o Brukeren må enkelt kunne trekke tilbake samtykket.
3. Hva betyr informert samtykke?

Innholdet må inkludere:

o Hvem som er behandlingsansvarlig.

o Formål med behandlingen.

o Hvilke data som samles inn og hvordan de håndteres.

o Opplysningenes lagringssted (innenfor eller utenfor EØS).

o Hvordan automatiserte avgjørelser basert på dataene fungerer.

o Prosessen for å trekke tilbake samtykke.

4. Språk og struktur

Lett forståelig:

o Ingen teknisk eller juridisk sjargong.

o Tydelig og konsist språk.

o Ingen tvetydige utsagn (f.eks. "kan muligens brukes til").

Separat:

o Skal ikke blandes med brukervilkår eller avtaler.

Tilgjengelighet:

o Enkelt tilgjengelig for brukeren uten kompleks navigasjon.

5. Tilbaketrekking av samtykke

Prosess:

o Skal være like enkelt som å gi samtykke.

o Ingen negative konsekvenser utover det som følger av at samtykket
trekkes.

o Opplysninger må slettes eller anonymiseres etter tilbaketrekking.

Utfordringer:

o Virksomheter mangler ofte rutiner for dette, noe som kan føre til
problemer med å møte tidsfrister.
6. Ansvar ved samtykke

Brukerens ansvar:

o Forstå innholdet i samtykket.

Virksomhetens ansvar:

o Sørge for at samtykket er lett forståelig og at kravene er oppfylt.

o Informere om rettigheter og tilrettelegge for bruk av dem.

7. Viktige punkter om samtykke

Ikke bytt grunnlag:

o Dersom samtykke er grunnlaget for behandling, kan man ikke senere bytte
til et annet behandlingsgrunnlag.

Tilleggskrav:

o Samtykke kreves i tillegg til andre grunnlag for sensitive data,
automatiserte beslutninger, og lagring utenfor EØS.

8. Eksempler på samtykke

NAVs personvernerklæring: NAV Personvernerklæring

Fortum: Fortum Personvern

9. Utfordringer med samtykke

Mange brukere leser ikke samtykket før de godtar det.

Dårlig samtykkekommunikasjon kan føre til støy hvis opplysninger brukes på
uventede måter.

Oppsummering: Anonymisering av Persondata og Testdata

1. Hva er anonymisering?

Definisjon:
 o En prosess som gjør data umulig å knytte til en person, selv med alle
tilgjengelige hjelpemidler.

o Personopplysningsloven gjelder ikke for fullt anonymiserte data.

Viktige forskjeller:

o Anonym data: Informasjon som aldri kan knyttes til en person.

o Anonymisert data: Data som tidligere kunne identifisere en person, men
har blitt gjort ikke-identifiserbar.

2. Typer data og identifisering

Identifiserbare opplysninger:

o Direkte kobling til en person, som navn og fødselsnummer.

Pseudonymiserte opplysninger:

o Data erstattet med pseudonymer, men kan kobles tilbake med en nøkkel.

Avidentifiserte opplysninger:

o Data som kan identifiseres indirekte, for eksempel ved statistisk analyse.

Anonymiserte opplysninger:

o Fullstendig ikke-identifiserbare data, selv ved kombinasjon med eksterne
kilder.

3. Bruksområder for anonymisering

Sensitiv informasjon:

o Samle inn uten krav om høy sikkerhet.

Tredjepartsdeling:

o Forskning eller salg av data.

Bruk etter behandlingsgrunnlag utløper:

o Fortsatt analyse uten brudd på personvern.

4. Utfordringer og farer

Reidentifisering:
 o Sammenkobling av anonymiserte datapunkter eller med andre kilder.

o Bruk av teknikker som "jigsaw-attacks" for å avsløre identiteter.

Vanlige feil:

o Bruke kryptering som anonymisering.

o Manglende skille mellom avidentifisert og anonymisert data.

o Svakheter i innsamling- og anonymiseringsprosessen.

5. Tekniske løsninger og metoder

Introduksjon av støy:

o Legge til tilfeldige endringer eller falske data.

Substitusjon:

o Bytte ut verdier med alternative verdier.

Aggregering:

o Sammenslåing av data for å redusere granularitet.

Generalisering:

o Reduksjon av detaljnivå (f.eks. aldersgruppe i stedet for eksakt alder).

K-anonymitet:

o Sørge for at individer ikke kan identifiseres med færre enn "k" datapunkter.

L-diversitet:

o Redusere risikoen for identifikasjon ved variert datagrunnlag.

6. Test av anonymiserte data

Testing:

o Simuler angrep ved å prøve å identifisere personer.

o Identifiser svakheter før offentlig bruk eller deling.

7. Testdata

Regler:
 o Aldri bruk reelle data som testdata.

o Skap "virkelighetstro" testdata ved anonymisering.

Eksempler på feil:

o Data havner hos utviklere eller i tjenester på avveie.

8. Viktig poeng

Personopplysningsloven gjelder:

o Under prosessen for anonymisering, men ikke for fullt anonymiserte data.

Oppsummering: Lovverk, sektorregelverk og bransjenormer

1. Lovverk (Tverrsektorielt regelverk)

1. Sikkerhetsloven:

o Dekker nasjonale sikkerhetsinteresser.

o Krever styringssystemer, risikovurdering og internkontroll.

o NSM fungerer som fagmyndighet.

2. Personopplysningsloven (POL):

o Norsk implementering av GDPR.

o Regulerer behandling av personopplysninger.

3. Lov om elektroniske tillitstjenester:

o Støtter elektronisk identifikasjon i EU/EØS.

o Krever IKT-sikkerhet og varsling om hendelser innen 24 timer.

4. Forvaltningsloven:

o Regulerer offentlige forvaltningssaker.

o Fokuserer på konfidensialitet og taushetsplikt via IKT-sikkerhet.

5. Arkivloven:

o Gjelder offentlige organer og stiller krav til dokumentintegritet og
tilgjengelighet.
2. Sektorregelverk

1. Elektroniske kommunikasjonsnett og -tjenester:

o Reguleres av Nkom.

o Fokus på beredskap og varsling av hendelser.

2. Finansielle tjenester:

o Overvåkes av Finanstilsynet.

o IKT-forskriften gjelder, med vekt på stabilitet og egenevaluering.

3. Helse og omsorg:

o Normen samordner lover som helseregisterloven og pasientjournalloven.

o Krever styringssystemer og kvalitetsforbedring i IKT-systemer.

4. Kraftforsyning:

o Energiverk er pålagt å ha internkontroll, varsling og risikovurdering.

o NVE fører tilsyn.

5. Olje og gass:

o Petroleums- og styringsforskriften fokuserer på helse, miljø og sikkerhet.

6. Transport:

o Luftfart, jernbane, skipsfart og vei har sektorbaserte lover.

o Koblingen til IKT-sikkerhet varierer mellom transportformer.

3. Bransjenormer (Soft Law)

1. NSMs grunnprinsipper:

o Praktiske råd for å styrke IKT-sikkerheten.

o Bygger på ISO-standarder og CIS Controls.

2. ISO-standarder:

o Internasjonale rammeverk for informasjonssikkerhet (ISO 27001, 27002).

Oppsummering: Sikkerhetsloven
1. Hva er sikkerhetsloven?

Formål:

o Å trygge Norges suverenitet, territorielle integritet, demokratiske styreform
og andre nasjonale sikkerhetsinteresser.

o Redusere samfunnets digitale sårbarhet ved å beskytte:

 Informasjon, infrastruktur, systemer og objekter (skjermingsverdige
verdier).

Oppdatering:

o Ny utgave trådte i kraft 1. januar 2019, erstattet loven fra 1998.

o Flyttet ansvaret for sikkerhetsarbeid fra sentrale myndigheter til bedrifter
og bransjeorganisasjoner.

2. Hvem gjelder loven for?

Primært:

o Statlige, fylkeskommunale og kommunale organer.

Sekundært:

o Leverandører som håndterer sikkerhetsgradert informasjon eller kritisk
infrastruktur.

o Andre aktører kan pålegges å følge loven ved behov (dynamisk oversikt).

3. Hovedområder i loven

Personellsikkerhet:

o Sikring av ansatte som har tilgang til skjermingsverdige ressurser.

Anskaffelser:

o Krav ved kjøp eller utvikling av sikkerhetsgraderte tjenester.

Sikkerhetstiltak:

o Styringssystemer for risikovurdering, varsling, og overvåking.

Sikring av systemer og infrastruktur:

o Forebyggende arbeid mot digitale og fysiske trusler.
4. Funksjonelle krav og fleksibilitet

Resultatorientert:

o Fokuserer på hva som skal oppnås, ikke hvordan det skal gjennomføres.

Ansvar for sikkerhetsnivå:

o Bedrifter må tilpasse tiltak basert på egne risikoanalyser.

Samarbeid:

o Myndigheter, bransjer og bedrifter skal samarbeide om risikobildet.

5. Tilsyn og myndighet

NSM (Nasjonal Sikkerhetsmyndighet):

o Hovedansvar for å overvåke og veilede aktører underlagt sikkerhetsloven.

o Kan utføre inntrengingstester og overvåking av kommunikasjon.

Departementer:

o Holder oversikt over hva som skal beskyttes.

Sektormyndigheter:

o Utfører spesifikke tilsyn innenfor sine områder.

6. Veiledere og beste praksis

NSM-veiledere:

o Gir praktisk hjelp til implementering av sikkerhetsloven.

o Ikke lovpålagt, men ansett som "best practices."

o Brukes også av aktører som ikke er direkte underlagt loven.

7. Relaterte forskrifter og retningslinjer

Eksempler:

o Kryptosikkerhet.

o Sikkerhetsklarering.
 o Virksomhetssikkerhetsforskriften.

o Beskyttelsesinstruksen.

Oppsummering: Sikkerhetskultur og Kompetanseheving

1. Hva er sikkerhetskultur?

Definisjon (DigDir):

o Summen av verdier, holdninger, normer, kunnskap og handlinger som
beskytter organisasjonen mot digitale trusler.

Formål:

o Å sikre at ansatte tar gode valg i alle sikkerhetssituasjoner.

o Bygge en kultur hvor sikkerhet er en naturlig del av arbeidsrutiner.

Utfordringer:

o Sikkerhet kan kollidere med andre prioriteringer som effektivitet og
kundetilfredshet.

2. Elementer som bygger sikkerhetskultur

Kulturens fundament:

o Tillit, regler og normer, kommunikasjon, kunnskap og forventninger.

o Straff/belønning spiller en viktig rolle i hvordan ansatte oppfatter og følger
sikkerhetstiltak.

Praktisk gjennomføring:

o Sikkerhet skal være lett å forstå og enkle valg skal alltid lønne seg.

o Alle ansatte må forstå hvorfor sikkerhet er viktig og kjenne til relevant
policy.

3. Hvordan styrke sikkerhetskultur?

1. Opplæring og bevisstgjøring:

o Bruk ulike metoder som foredrag, workshops, spill, og simulering av
hendelser.

o Skreddersy opplæring til ulike nivåer (nybegynnere, erfarne, eksperter).
 2. Policy og rutiner:

o Gjør reglene enkle å følge og lett tilgjengelige.

o Begrunn alle tiltak for å øke aksept.

3. Ledelsesforankring:

o Ledelsen må aktivt støtte og prioritere sikkerhet.

4. Gamification:

o Konkurranser, som å identifisere sikkerhetstrusler, motiverer ansatte.

5. Sikkerhet i praksis:

o Forby rutiner som kan utnyttes til sosial manipulering (f.eks. autentisering
over telefon).

4. Måling av sikkerhetskultur og opplæring

Evaluering:

o Bruk tester, undersøkelser og øvelser for å måle effekt av opplæring.

o Eksempel: Antall rapporterte avvik, eller antall ansatte som oppdager
phishingforsøk.

Effektivitet:

o Måling må skille mellom faktisk forbedring og kun gjennomføring av
opplæring.

o Unngå offentliggjøring av resultater på individnivå for å opprettholde tillit.

5. Kompetanseheving

Kontinuerlig prosess:

o Kompetanse er ferskvare og må oppdateres regelmessig.

o Nye ansatte krever opplæring, og gamle rutiner må reforankres.

Metoder for kompetanseutvikling:

o Bruk ambassadører, e-læring, dilemmaøvelser og en-til-en-samtaler.

o Del informasjon via plakater, webinarer, eller podcasts.

o Inkluder eksempler fra virkelige hendelser.
6. Håndtering av hendelser og sosial manipulering

Ved interne hendelser:

o Unngå å henge ut ansatte som gjør feil.

o Sørg for anonymitet og riktig oppfølging av varslere.

Sosial manipulering:

o SANS foreslår et "Multi-level Defence"-system:

 Policy som gir klare valg.

 Opplæring i grunnleggende sikkerhet.

 Avanserte kurs for nøkkelpersonell.

 Kontinuerlige påminnelser og simulering av angrep.

Oppsummering: Ansettelse og Personellsikkerhet

1. Hva er personellsikkerhet?

Definisjon:

o Tiltak som reduserer risiko for sikkerhetsbrudd gjennom ansatte, enten
utilsiktet eller bevisst.

Faser i ansettelsen:

1. Ved ansettelse: Rekruttering og bakgrunnssjekk.

2. Under ansettelse: Kontroll, opplæring og sikkerhetsrutiner.

3. Ved avslutning: Sikring av informasjon og ressurser, f.eks. tilganger og utstyr.

2. Innsidetrusselen

Hva er det?

o Ansatte som med eller uten hensikt truer sikkerheten.

o Kan også inkludere utilsiktede handlinger via kompromittert utstyr
(indirekte innsider).

Statistikk:

o Mellom 15–30 % av virksomheter rapporterer innsideangrep.
 Faktorer som påvirker risikoen:

o Mulighet (tilgang), kapasitet (kunnskap), motivasjon (økonomisk eller
ideologisk), oppdagelsesrisiko og konsekvenser.

3. Tiltak mot innsidetrusselen

Begrens tilgang (soneinndeling, klassifisering).

Dobbelkontroll (flere ansatte involvert i sensitive oppgaver).

Identifiser misfornøyde medarbeidere eller rar adferd.

Klar arbeidsavtale, inkludert informasjonssikkerhetsreglement og
taushetserklæring.

Sikring ved opphør av ansettelse:

o Fjerne tilganger og sikre utstyr.

o Ny taushetserklæring ved avslutning.

Risikovurdering og inkludering av innsidetrusselen i sikkerhetsarbeidet.

4. Sikkerhetsklarering og autorisasjon

Sikkerhetsklarering:

o Sjekker at ansatte ikke har faktorer som truer deres pålitelighet.

Autorisasjon:

o Gir ansatte tillit til å håndtere klassifisert informasjon.

o Krav om formelle prosesser, inkludert autorisasjonssamtale.

o Pålagt gjennom sikkerhetsloven.

NSMs veiledning:

o Gir praktiske råd for autorisasjonsprosesser.

5. Overvåking av ansatte

Når er overvåking lov?

o Ved mistanke om straffbare forhold eller sikkerhetstrusler.

Typer overvåking:
 o Kontinuerlig: Loggføring av e-post, nettrafikk, tilgangskort.

o Ved mistanke: Gjennomgang av spesifikke data.

Krav:

o Informer ansatte og tillitsvalgte om formål og omfang.

o Skal ikke påføre uforholdsmessig belastning.

o Følg arbeidsmiljøloven og GDPR.

6. Midlertidige ansatte og konsulenter

Viktige tiltak:

o Taushetserklæringer.

o Sikring av informasjon og utstyr ved avslutning.

o Minst like strenge krav som for faste ansatte.

7. Informasjonssikkerhetsreglement

Kjennetegn:

o Klare regler som ansatte må forstå og akseptere.

o Dekker:

 Bruk av utstyr og nettverk.

 Håndtering av e-post og persondata.

 Forventet adferd og konsekvenser ved brudd.

o Eksempel fra Nettvett: Retningslinjer.

Oppsummering: Ansattes bruk av IKT

1. Oversikt over ansattes bruk av IKT

Brukskategorier:

1. På kontoret:

 Til arbeidsrelaterte og private oppgaver.

2. Hjemme:
  Jobbens enheter til arbeids- og private formål.

3. På reise:

 Bruk av jobbens utstyr i ukjente omgivelser.

4. Private handlinger:

 Bruk av private kontoer og tjenester til jobbrelaterte oppgaver.

5. Deling med andre:

 Andre personers bruk av jobbens enheter og kontoer.

2. Viktigheten av retningslinjer og sikkerhetskultur

Informasjonssikkerhetsreglement:

o Må dekke spesifikke rutiner som sikkerhetskopiering, oppdateringer,
nettverk, passord, og bruk av e-post/nettsider.

Sikkerhetskultur:

o Forhindrer risiko hvor regler ikke kan dekke alt.

o Ansattes kunnskap om datasikkerhet og trusselbilder er essensielt.

3. Hjemmekontor

Anbefalte rutiner:

o Unngå private enheter for arbeidsformål.

o Bruk VPN for sikker tilkobling.

o Ikke lagre jobbdata i private skytjenester.

o Fysisk sikring av utstyr (f.eks. skjermlås).

o