Temadag om sikkerhed på SDN 27. oktober 2015 Peder Illum, pi@medcom.dk
Baggrund Henvendelse fra NSI 2013 om sikkerheden på SDN i forhold til cyberterror Hackerangreb mod CSC i løbet af 2012 Beredskabsøvelsen KRISØV 2013 Workshop med Deloitte, TDC, Netdesign, Netic og MedCom for at fastlægge en risikoprofil http://www.slideshare.net/dansk-it/mads-ecklon-hvad-sker-der-hvis-man-trkker-stikket
Cybersecurity analyse De implementerede sikringsforanstaltninger imødegår de cyber-trusler, der blev identificeret så sikkerhed på SDN som sådan er OK Men fysisk og logisk sikkerhed hos de tilsluttede parter er af svingende kvalitet. Services er bl.a. derfor sårbare overfor DOS/DDOS Ingen end-to-end kryptering
Cybersecurity analyse Samtidig er interessenterne afhængige af hinandens sikkerhedsniveau, og styring af den samlede sikkerhed kræver derfor aktiv deltagelse af alle interessenter. SDN’s interessenter (regioner, sygehuse m.v.) kan have andre forventninger til sikkerhedsniveauet, da sikkerheden ikke er formelt styret og kommunikeret
Anbefalinger
Risikoprofil
Cybersecurity anbefaling Den overordnede styring af sikkerheden i SDN formaliseres så sikkerhedsniveauet afstemmes blandt alle relevante interessenter. Cybersecurity (tilgængelighed) vægtes højere end Informationssikkerhed (fortrolighed) Derfor anbefales det at implementere end-to-end kryptering på systemniveau
Efter Se og Hør sagen… En betroet medarbejder misbruger sine beføjelser Kan det overhovedet undgås? Der iværksættes tiltag der afbalancerer hensynet til tilgængelighed med hensynet til fortrolighed Det anbefales at bruge endepunktskryptering
Databehandling Transmission af data er også behandling af data – derfor skal der udarbejdes en databehandleraftale Datatilsynets tilbagemelding har været at det er de dataansvarliges ansvar (jer) For at komme i gang har jeg lavet det udsendte udkast som ca. 1/3 har underskrevet og returneret Regionerne arbejder på en fælles skabelon
Eftermiddagens program Kan vi formalisere sikkerhedsarbejdet og styre informationssikkerheden efter ISO 27001 Kan vi finde fælles fodslag om databehandleraftaler – også med udenlandske parter Kan/skal SDN spille en rolle i sikkerhedsovervågning af services
Trusselsbilledet Angreb bliver hyppigere og mere avancerede Opdateringer er nøglen til beskyttelse mod 0-dags sårbarheder Hvordan passer det med de egenudviklede systemer som vi stadig har rigtig mange af? Er opdaterede antivirus og malware detektorer nok? Er medarbejderne ”paranoide” nok?
Værktøjer Overvågning af normalbilledet er nødvendigt for at kunne opdage det unormale Kan vi reagere hurtigt og rigtigt når vi bliver ramt Kan vi genoprette skaden og omsætte erfaringen til yderligere ”awareness” hos medarbejderne
SDN version 3 Nuværende kontrakt udløber 31/3-2017 Derfor iværksættes udbud i løbet af 2016 Hvem deltager i kravsspecificering Forventet kontraktindgåelse ultimo 2016 Klargøring til drift Q1-2017 Drift efter ny kontrakt 1/4-2017
SDN v.3 indhold Hvilke ønsker og krav har I til SDN v.3? Skal vi spille en aktiv rolle i forhold til sikkerhedsovervågning? Er der andre udfordringer vi kan hjælpe jer med?
? Peder Illum, pi@medcom.dk