Grunnleggende begreper for informasjonssikkerhet PDF
Document Details
Uploaded by Deleted User
Tags
Summary
Dette dokumentet introduserer grunnleggende begreper innen informasjonssikkerhet, inkludert terminologi, betydning av sikkerhet, og hva sikkerhet er generelt. Det beskriver forskjellige typer sikkerhet, inkludert fysisk, personsikkerhet, miljøsikkerhet, og informasjonssikkerhet. Viktige faktorer som tilsiktede handlinger, menneskelige feil, tekniske feil og naturhendelser som kan føre til brudd på sikkerheten er også diskutert.
Full Transcript
Grunnleggende begreper for informasjonssikkerhet 1.1 Terminologi rundt informasjonssikkerhet ------------------------------------------- For purister: Informasjonssikkerhet handler også om beskyttelse av informasjon på papir eller formidlet gjennom analoge lydbølger, mens digital sikkerhet bare om...
Grunnleggende begreper for informasjonssikkerhet 1.1 Terminologi rundt informasjonssikkerhet ------------------------------------------- For purister: Informasjonssikkerhet handler også om beskyttelse av informasjon på papir eller formidlet gjennom analoge lydbølger, mens digital sikkerhet bare omhandler beskyttelse av digital informasjon. Eks: kollega prater om sensitiv informasjon og andre hører, så er det strengt talt ikke brudd på digital sikkerhet men på informasjonssikkerhet. Likevel er alle begrepene med datasikkerhet, IT-sikkerhet, informasjonssikkerhet, cybersikkerhet og digital sikkerhet alle knyttet til sikkerhet for ting som på en eller annen måte er koblet til datanett eller internett. Akademisk forklaring: Datasikkerhet, cybersikkerhet eller IT-sikkerhet er beskyttelse av datasystemer og datanett mot angrep fra ondsinnede aktører som kan føre til uautorisert informasjonsavsløring, tyveri av eller skade på maskinvare, programvare eller data, i tillegg til avbrudd eller feil ved tjenestene de leverer. 1.2 Betydninger av sikkerhet ---------------------------- Security, Safety og Certainty kan alle oversettes til sikkerhet på norsk. Men riktig definisjon blir følgende: - Security \-\--\> Sikkerhet - Safety \-\--\> Trygghet - Certainty \-\--\> Visshet Eksempel der det er viktig: feilsikkert (fail secure) og feiltrygt (fail safe). Hvis et hvelv har en dør og strømmen går, vil feilsikkert føre til at døren er låst selv om strømmen er gått. Mens med feiltrygt vil døren åpne seg. Ordet \"feiltrygt\" (fail safe) brukes fordi det handler om å sikre at systemet går til en **trygg tilstand** når det oppstår en feil. \"Trygt\" her refererer til at tilstanden som systemet går til, skal være trygg for mennesker eller omgivelser, selv om det innebærer at systemet kanskje ikke fungerer optimalt. Valget avhenger av om sikkerheten til eiendeler eller mennesker er viktigst. 1.3 Hva er sikkerhet? --------------------- Generelt: **beskyttelse av verdier mot skade,** der det finnes mange ulike kategorier av verdier som hver kan skades på forskjellige måter. Verdi eksempler: eiendom, infrastruktur, demokrati, samfunnsorden, liv og helse, miljø, data og personinformasjon **Ulike typer sikkerhet:** - Fysisk sikkerhet: beskyttelse av fysisk eiendom mot innbrudd, tyveri og ødeleggelse - Personsikkerhet / safety / trygghet / HMS: beskyttelse av liv og helse - Miljøsikkerhet: beskyttelse av miljø ved å forhindre forurensning og invasjon av fremmede arter i natur - Sivil sikkerhet: opprettholdelse av lov og orden, også kalt rettssikkerhet - Samfunnssikkerhet er beskyttelse av kritisk infrastruktur og grunnleggende funksjoner som energiforsyning, kommunikasjon og transport - Nasjonal sikkerhet: opprettholdelse av nasjonal suverenitet, territorielle integritet og demokratiske styreform - Informasjonssikkerhet: beskyttelse av konfidensialitet, integritet og tilgjengelighet av informasjonsverdier - Personopplysningsvern: beskyttelse av personopplysninger gjennom krav til innsamling, lagring, sletting, deling og behandling av informasjon om personer Tilsiktede handlinger, menneskelige feil, tekniske feil, systematiske feil og naturhendelser er kilder og årsaker (hendelser) som gir brudd på de ulike typene sikkerhet\^. I informasjonssikkerhet fokuseres det mest på tilsiktede handlinger som årsaker til hendelser. Tilsiktede handlinger -\> Hendelser! -\> brudd på informasjonssikkerhet. **Tilsiktede handlinger**: - **Forklaring**: Bevisste handlinger med intensjon, som hacking eller sabotasje. - **Rette opp**: Vanskelig å rette opp, fordi det krever å identifisere og eliminere trusler, ofte gjennom sikkerhetstiltak og etterforskning. **Menneskelige feil**: - **Forklaring**: Utilsiktede feil forårsaket av mennesker, som å trykke på feil knapp. - **Rette opp**: Moderat lett å rette opp gjennom opplæring, bedre prosedyrer, eller automatisering. **Tekniske feil**: - **Forklaring**: Feil på grunn av svikt i maskiner eller programvare. - **Rette opp**: Varierende vanskelighetsgrad, avhengig av feilen; enkle reparasjoner kan løse problemet, men noen ganger kreves det større reparasjoner eller utskiftninger. **Systematiske feil**: - **Forklaring**: Feil som kommer fra problemer i design, prosesser eller systemer. - **Rette opp**: Vanskeligere å rette opp fordi det kan kreve redesign av systemer eller prosesser og omfattende revisjon. **Naturhendelser**: - **Forklaring**: Uforutsigbare hendelser fra naturen, som jordskjelv eller flom. - **Rette opp**: Ofte svært vanskelig å rette opp umiddelbart; krever vanligvis omfattende gjenoppbygging og forebyggende tiltak for fremtiden. 1.4 Hva er informasjonssikkerhet? --------------------------------- **Generelt:** beskytte informasjonsverdier mot skade. Selve informasjonen, ressurser for representering og behandling av informasjonen. **ISO/IEC 27000 definisjon:** Beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet. I tillegg kan andre egenskaper som autentisitet, sporbarhet, ubenektelighet og pålitelighet omfattes. Eksempel: data, fysisk IT-utstyr og infrastruktur, systemer, konfigureringer, programvarer, applikasjoner og menneskelige ressurser. Informasjonsverdier kan skades gjennom brudd på konfidensialitet, integritet eller tilgjengelighet (KIT / CIA). 1.5 Kilder til krav om informasjonssikkerhet -------------------------------------------- \"Tre kilder til krav om informasjonssikkerhet\" betyr at regler og retningslinjer for hvordan informasjon skal beskyttes kan komme fra tre steder: 1. **Krav om adekvat sikkerhet i applikasjoner og forretningsprosesser i henhold til standard praksis og forvaltning (bransjestandarder):** Virksomheter må følge anerkjent praksis og retningslinjer for å sikre sine systemer og applikasjoner. Dette inkluderer å bruke sikkerhetsmekanismer som brannmurer og brukerautentisering, som er eksempler på standard praksis. Det er ikke nok å bare følge disse standardene. Virksomheter bør også gjøre egne risikovurderinger for å identifisere spesifikke sikkerhetstiltak som er nødvendige for deres situasjon. Uten slike vurderinger kan en virksomhet anses å ha lav modenhet i styring av informasjonssikkerhet, ifølge CMMI-modellen. 2. **Krav om å begrense sikkerhetsrisiko til et akseptabelt nivå (interne retningslinjer og risikovurderinger):** Handler om at virksomheten selv vurderer hvilke risikoer som er relevante for dem og bestemmer hvilke tiltak som er nødvendige for å holde disse risikoene på et nivå som de kan akseptere. Hvis vanlig praksis setter krav om en enkel brannmur, kan risikovurdering sette krav om en avansert «neste generasjons» brannmur som kan filtrere bort DDoS-trafikk. Hvis vanlig praksis setter krav om enkel brukerautentisering, kan risikovurdering i tillegg sette krav om sterk brukerautentisering. 3. **Juridisk lovbestemte, regulatoriske og kontraktsmessige krav til informasjonssikkerhet:** Regler fra myndighetene som må følges, som GDPR. Sikkerhetsmål: KIT Sikkerhetstiltak: støtter sikkerhetsmål. For eksempel låser, kryptering, autentisering og sikkerhetskultur 1.6 Trusler, sårbarheter, verdier, hendelser og risikoer -------------------------------------------------------- BEGREPER (VIKTIG): - **Trusselaktør**: aktiv entitet som kan utløse eller gjennomføre et trussel scenario. Kan være intelligente entiteter med bevisst skadehensikt eller naturkrefter som er for sterke eller uforutsigbare for effektiv forebygging. - **Trusselscenario**: Sekvens av trinn som kan utløses eller styres av en trusselaktør, og som kan skade informasjonsverdier. Mulig å gjennomføre og kan føre til en hendelse som igjen fører til brudd på KIT dersom det finnes svakheter. Finnes ALLTID svakheter i digitale verden. - **Sårbarhet**: svakhet, feil eller mangel som gjør at et trinn i et trusselscenario gjennomføres. En trusselaktør kan da lykkes i å også utføre et angrep som så fører til en hendelse. Kan også forstås som mangel på sikkerhetstiltak. Har 3 hovedkategorier av sårbarhet: - **Tekniske sårbarheter**: svakhet i systemer, nettverk, programvare og maskinvare - **Prosessårbarheter**: svakhet i funksjoner og aktiviteter, og sammensetningen av disse - **Menneskelig sårbarheter**: svakhet i menneskelig bevissthet, holdning og atferd - **Sikkerhetstiltak**: en måte å hindre eller bremse trusselscenario. Støtter sikkerhetsmål, kan også beskrives som «kontroll» og er det samme som å fjerne sårbarheter. Sikkerhetstiltak skal nettopp redusere sannsynlighet for at trusselscenarioet kan fullføres og gi en hendelse. - **Verdi**: kan være informasjon, men også ressurs for representering og behandling av informasjon. Eksempel: data, fysisk IT-utstyr og infrastruktur, systemer, konfigureringer, programvare, applikasjoner og menneskelige ressurser - **Hendelse**: Brudd på KIT for informasjonsverdi som resulterer i en negativ konsekvens for eier av informasjonsverdien. - **Konsekvens**: Skjer etter en sikkerhetshendelse, form for tap som kan ha ulike apsekter som tapt tjenestte / profitt, tap av ytelser / tjenester, tap av omdømme, kostnader etc. Hendelsen kan kalles avvik, sikkerhetstruende, kompromittering eller sikkerhetsbrudd. - **Risiko**: Relevant kombinasjon av trussel, sårbarhet og potensiell sikkerhetshendelse som kan berøre en informasjonsverdi. Risikoidentifisering er derfor å kartlegge slike relevante kombinasjoner. Risikoanalyse: kombinere estimert sannsynlighet for en hendelse og estimert alvorlighet av konsekvensene for å beregne nivået eller størrelsen på tilhørende risiko. Forskjell på scenario og hendelse: - **Scenario:** En plan eller sekvens av trinn som kan føre til skade. - **Hendelse:** Den faktiske skaden eller effekten som oppstår når trinnene i et scenario gjennomføres. Trusselaktør utfører Trusselscenario (trinn 1, trinn 2, trinn 3) gir HENDELSE medfører Tap/Konsekvens 1.7 tiltak for informasjonssikkerhet ------------------------------------ - **Forebyggende tiltak (sannsynlighetsreduserende tiltak):** Skal hindre hendelser slik at de helst ikke inntreffer. Reduserer sannsynligheten for sikkerhethendelser. Eks: autentisering og tilgangskontroll slik at uautoriserte ikke får tilgang til informasjon og ressurser. - **Oppdagende tiltak:** Skal gjøre det lett å oppdage angrep / hendelser. Eks: IDS (Intrusion Detetcion System) som trigger alarmer etter bestemte kriterier. Noen ganger kan det oppdage angrep før sikkerhetsbrudd. Skal redusere tiden fra hendelsen inntreffer til korrektive tiltak kan iverksettes. - **Korrektive tiltak:** Reparere skade og gjenopprette drift etter en hendelse. Eks: sikkerhetskopier, lage planer for / øve på cyberberedskap, slik at man er godt forberedt. **NSM grunnprinsipper for IKT sikkerhet:** 1. Identifisere og kartlegge 2. Beskytte og opprettholde 3. Oppdage 4. Håndtere og gjenopprette **ISO / IEC 27002:2022 Sikkerhetstiltak (hvor personellsikkerhet er eget men i figuren er under organisatoriske tiltak):** ![](media/image2.jpeg) Forskjellig måter å dele opp sikkerhetstiltak, en organisasjon må selv vurdere hva som er best for deres formål. Vurderes ut ifra antatt avkastning på investering, altså oppnådd risikoreduksjon med sikkerhetstiltak i forhold til kostnad ved etablering og drift av tiltaket. 1.8 KIT sikkerhetsmålene ------------------------ **Konfidensialitet**: Beskytte informasjonsverdier mot uvedkommende. Egenskapen om at informasjon ikke blir gjort tilgjengelig eller vist til uautoriserte individer, entiteter eller prosesser (ISO/IEC 27000). Konfidensialitet mer meningsløst om hvem som er autorisert og ei er uklart. Trusler: datatyveri begått av eksterne aktører, datalekkasje forårsaket av interne, enten med uhell eller tilsiktet Sikkerhetstiltak (eksempler): - Brukerautentisering og tilgangskontroll for å beskytte lagret informasjon - Kryptering av data for beskyttelse under lagring eller overføring - Sikkerhetsfunksjoner i operativsystemer for å beskytte informasjon under prosessering - Vakter og fysisk adgangskontroll - Polycier, sikkerhetskultur, prosedyrer og praksis (indirekte understøtter) **Dataintegritet:** Data ikke er endret eller slettet på en uautorisert måte (X.800). Meningsløst også om man ikke har definert hvem som er autorisert. Trusler: korrupte data for eksempel forårsaket av eksterne aktører, innside trusler enten ved uhell eller tilsiktet. Uautorisert sletting av data eller oppretting og endringer av data og filer. Ekvivalent med data-autentisitet. Hvis ikke autentisk, er integriteten uviss. Sikkerhetstiltak (eksempler): - Brukerautentisering og tilgangskontroll for å beskytte lagret informasjon - Kryptering eller kryptografisk sjekksum av data for beskyttelse under lagring eller overføring - Sikkerhetskopier av data - Vakter og fysisk adgangskontroll **Systemintegritet:** Egenskapen av å opprettholde korrekthet og kompletthet av dataressurser (ISO/IEC 27000). Mens dataintegritet handler om de enkelte dataelementene, handler systemintegritet om helheten---at hele systemet, inkludert data, programvare, maskinvare, og nettverk, fungerer korrekt og komplett uten uautorisert påvirkning. Det handler om at hele systemet fungerer som det skal med oppdaterte patch-status, riktig konfigurasjon og korrekt programvare, uten uautoriserte endringer eller feil. Trusler: miskonfiguerte systemer forårsaket av eksterne trussel aktører eller av interne ved uhell eller tilsiktet, utdatert programvare som kan være forårsaket av mangelfull forvaltning av systemer og programvare. Sikkerhetstiltak: - Brukerautentisering og tilgangskontroll for alle, og sterk autentisering for admin-brukere - Konfigurasjonsstyring - Endringsledelse **Tilgjengelighet:** Uten tilgjengelighet har IT systemer ingen nytte. Egenskapen av data og tjenester er tilgjengelige og anvendbare ved forespørsel fra autorisert entitet (ISO/IEC 27000). Igjen, hvis hvem som er autorisert ikke er klart uklart hvem tilgjengeligheten skal være for å. Trusler: tjenestenekt (DoS/DDoS), hindring av autorisert tilgang til ressurser og forsinkelse av tidskritiske funksjoner. Sikkerhetstiltak: - Filtrering av skadetrafikk - Redundans av ressurser - Lastdeling for prosessering - Sikkerhetskopier - Hendelsesrespons og beredskap 1.9 Andre sikkerhetsmål ----------------------- **Autentisering**: Støtter KIT-sikkerhetsmål. Består av bruker, system, data og entitetsautentisering. - **Brukerautentisering**: Verifisere korrektheten av brukerens identitet. Typisk 2 trinn: 1) oppgi bruker ID, 2) bevis at du er den legitime bruker ved å oppgi autentikator (passord, engangskode med brikke eller fingeravtrykk). Både mennesker og botter kan være brukere. Bare hvis en har dårlig passord, kan hele virksomheten måtte svi for det. Man vinner mye på å følge gode rutiner rundt autentisering og autentitaktorer. - **Trusler**: Identitetstyveri, falsk identitet (spoofing) og falsk innlogging. - **Sikkerhetstiltak**: Tofaktor autentisering med to ulike autentikatorer, eller sterke passord - **Systemautentisering**: Verifisere korrektheten av systemets identitet. Kan være webtjenere, backend-tjenere, databasetjenere, rutere, skytjenere osv. Når systemer kommuniserer er autentisering som regel integrert. Kommunikasjonen hvor det utveksles data og meldinger følger en kommunikasjonsprotokoll som definerer hvordan meldinger ser ut slik at systemene forstår hverandre. Sikkerhets og autentiseringsprotokoller definerer hvordan systemer skal autentisere hverandre, og er basert på kryptografi. - **Trusler**: falske noder i et nettverk, falske datatransaksjoner, mellommannangrep og nettverksinnbrudd. - **Sikkerhetstiltak**: kryptografiske autentiseringsprotokoller for autentisering og integritet. Kommunikasjon og sikkerhetsprotokoller for autentisering. **Man-in-the-Middle (MitM):** - **Hva det betyr:** En Man-in-the-Middle (MitM) er en type angrep der en ondsinnet aktør plasserer seg mellom to kommuniserende systemer uten at de er klar over det. Målet er å avlytte, endre, eller forfalske informasjon som blir utvekslet. For eksempel passord eller krypteringsnøkler osv. - **Hvordan det fungerer:** Angriperen kan forfalske identiteter, slik at systemene tror de kommuniserer med hverandre, mens de egentlig kommuniserer med angriperen. Dette kan føre til at sensitive data blir stjålet eller manipulert, eller at kommunikasjonen blir forstyrret. - **Dataautentisering:** Verifisere opphav eller avsender av data. Ingen entitet, er virtuelle og uavhengig fysisk representasjon. Hvor kommer de egt fra, og hvem har generert dem -- det er autentisering. Det betyr å verifisere ekteheten av dokumenter og informasjon slik at de kan spores til avsender / forfatter. Mens system og bruker autentisering gjelder for en økt, skal data autentisering ha gyldighet over så mange år som mulig. - **Trusler:** Forfalsking av digitale dokumenter og meldinger **Mekanismer for data autentisering:** **Hvordan det fungerer:** 1. **Avsenderen**: Lager meldingen og bruker den hemmelige nøkkelen til å lage en MAC (sjekksummen). Sjekksummen (MAC) lages ved at meldingen kombineres med en hemmelig nøkkel som både avsender og mottaker kjenner. Denne kombinasjonen kjøres gjennom en kryptografisk algoritme, som for eksempel Hash-based Message Authentication Code, for å produsere en unik sjekksum. Sjekksummen sendes sammen med meldingen, slik at mottakeren kan bruke samme prosess for å verifisere at meldingen er autentisk og ikke har blitt endret. Avsenderen sender deretter både meldingen og MAC-en til mottakeren. 2. **Mottakeren**: Mottar både meldingen og MAC-en. Mottakeren bruker den samme hemmelige nøkkelen til å lage en ny MAC basert på meldingen de mottok. 3. **Sammenligning**: Mottakeren sammenligner så MAC-en de genererte med MAC-en som fulgte med meldingen. Hvis de er like, vet mottakeren at meldingen ikke har blitt endret underveis. Hvis de ikke stemmer overens, har meldingen blitt endret eller korrumpert. Dette betyr at MAC ikke gir **ikke-benektelse / Ubenektelighet** 1. - - - 2. - 3. - - - - 1.9.2 Sporbarhet og ubenektelighet ---------------------------------- **Sporbarhet**: aktiviteter i et system eller datanett kan spores til noen som kan stilles til regnskap for aktivitetene. Basert på logging av aktiviteter i systemer og nettverk, og kartlegger hvilken bruker eller annen entitet som står bak hver logget aktivitet. Kan også forklares som å stå til regnskapelighet for noe. - **Trusler**: mangel på sporbarhet. At det ikke er mulig å identifisere hvem som sto bak en aktivitet, med mangel på bevis for å kunne anmelde og fremlegge i en rettssak. - **Sikkerhetsmekanisme**: autentisering av alle brukere og logging av systemhendelser. Logg med dataautentisering kan beskytte datalogger mot endring. Digital etterforskning (analtse av utstyr, data, og andre bevis). **Ubenektelighet**: at en entitet ikke kan benekte å ha utført en handling. Også kalt ikke-benekting, er basert på digital signatur og betyr at den so har digitalt signert en melding, en transaksjon eller et dokument, ikke kan benekte det. Relatert til sporbarhet fordi det er ubenektelig spor til hvem som har gjort hva. Likevel er en digital signatur aldri helt ubenektelig (kan hevde privat nøkkel bare ble stjålet, da nødvendig med digital etterforskning). 1.9.3 Pålitelighet ------------------ At det ikke inneholder betydelige feil eller svakheter og at systemet har evne til å opprettholde viktig funksjonalitet selv når enkelte feil forekommer. - Trusler: lav kvalitet i utvikling, konfiguering og drift av systemer samt spesielt manglende oppmerksomhet på systemutvikling - Tiltak: Å følge god praksis for sikker utvikling og drift av systemer, kalles innebygd informasjonssikkerhet. 1.10 Autorisering og tilgangskontroll ------------------------------------- **Tilgangsautorisering**: spesifisere tilgangsrettigheter for brukere, roller og prosesser. Kalles også tilgangsregler eller tilgangspolicy. Er basert på rolle brukeren har i en virksomhet, og blir formalisert som regler og konfigurering i systemer for tilgangskontroll. Autoriteter i en organisasjon har ansvar for autorisering, men kan også delegeres: Leder Systemadministrator Bruker **Tilgangskontroll**: benytte spesifiserte tilgangsrettigheter for å beslutte om tilgang til ressurser skal gis eller ikke når en autentisert bruker gjør en forespørsel om tilgang ' Bruker logget inn, systemet kjenner identitet, kan finne tilgangsrettigheter for bruker for å ta beslutning om tilgang til forespurte ressurser.