Dokumentsikkerhed fra vugge til grav

Om DI og DI ITEKs sikkerhedsarbejde Mission Udvalgets mission er at bidrage til forbedring af informationssikkerheden i DI’s medlemskreds og i det øvrige samfund. Organisation Leverandører, brugere og omverdenen (forbrugere, forskere, ITST og andre interessenter)   Produkter Netværk, vejledninger, bøger, politiske udspil, høringssvar Emner: ledelse, trusler, løsninger, forretningen, infrastruktur, spam, spyware, fysisk sikkerhed, cloud computing, hjemmearbejdspladser, privacy (PbD, PIA, PET) Aktuelle indsatsområder National strategi for bekæmpelse af BOTs Copenhagen Privacy Principles Cookiebekendtgørelsen Kommende: Sikkerheden i produktionen og produkterne Dagens emne: Dokumentsikkerhed fra vugge til grav

Motivation: kopiering og outsourcing - Outsourcing (og cloud computing) - Virksomheder tættere integreret med hinanden elektronisk Dansk kultur Andre landes eller konkurrenters interesser Andre landes kultur Trusselsbillede Brug f.eks. OCTAVE Kopiering - case med emballage Spionage Social engineering Hacking: Opsnapning ved lagring eller transmission Glemte, tabte eller stjålne terminaler Udskiftning i medarbejderstaben

Vejledningens formål Arbejdshypotese Vi skal gøre det vanskeligere for de kriminelle at få adgang til forretningskritiske data, som: Skabes på en harddisk i Danmark Transmitteres via internettet eller en bærbar terminal Anvendes hos en outsourcingpartner et sted ude i verden Bagvedliggende formål Sikre at danske virksomheder i en global verden ikke mister deres forretningskritiske data - f.eks. forskningsresultater eller patenterede opskrifter eller produktionstegninger Sikre at der fortsat eksisterer danske virksomheder, som begår sig i en global verden Sikre at der stadig er arbejdspladser i Danmark Altså beskyttelse af dokumenter som supplement til klassisk perimetersikkerhed

De første skridt til at beskytte data Hvilke data har vi? Hvor er data henne? Hjemme Under transmission Ude

Klassifikationsmodel Baggrund DS 484 Lavet på baggrund af Statsministeriets cirkulære nr. 2004 Igen baseret på et fælles klassifikationssystem fra NATO, EU og WEU Klasser Offentlige informationer / data - f.eks. reklamer, årsberetninger, hjemmeside Interne informationer / data f.eks. Arbejdsplaner, driftsoplysninger og rabatordninger Følsomme informationer / data Kun for betroede medarbejdere – f.eks. medarbejderoplysninger, kontrakter Fortrolige informationer / data Kun for særligt betroede medarbejdere – f.eks. patenter, skabeloner, produktionsdata, produktionsmetoder, arbejdstegninger, opskrifter, forretningsstrategi

Risikoanalyse Hvilke risici står informationer / data overfor? Trussel, konsekvens (høj, middel, lav), sandsynlighed (høj, middel, lav) Personrelaterede trusler Sure medarbejdere, tidligere medarbejdere Uopmærksomme kolleger Konkurrenter Kriminelle Metoder: tyveri, hacking, skadelig kode, økonomi, manglende opdatering, manglende viden, sårlige procedurer/politikker Systemmæssige trusler - F.eks. sårbare programmer Trusler udenfor virksomhedens kontrol F.eks. naturkatastrofer Sikkerheden hos modtager af data På baggrund af risikoanalysen laves der politikker, procedurer og iværksættes korrigerende foranstaltninger

Summa sumarum Hvilke data har vi? Hvor er data henne? (Hjemme, under transmission, ude) Hvilken klassifikation skal de have? (Offentlig, intern, følsom, fortrolig) Hvilken risiko er der for at miste kontrol med data? Trussel, konsekvens (høj, middel, lav), sandsynlighed (høj, middel, lav) Hvilke korrigerende foranstaltninger kan iværksættes? (Politik, procedurer, teknologi, uddannelse, restrisiko)

Samlet begrebsapparat Offentlige Interne Følsomme Fortrolige Grundlæggende Mellem Udvidet Holistisk Hjemme Transmission Ude

Hjemme og under transmission Beskyt perimeteren: Firewall, antivirus, IDS, netværkssegmentering, rollebaseret adgangskontrol, mængdemæssig begrænsning på adgang til data, logning, kryptering Også på bærbare terminaler Under transmission Krypter: VPN site-to-site

Ude – del 1 Sikkerheden skal tilknyttes det enkelte dokument I dokumentet Forsegling af dokument via certifikat, hvor dokumentet ikke kan åbnes førend brugeren har autentificeret sig Kontrollen med brugeren Centraliseret rettighedsstyring af dokumenter (hvem må tilgå dem) Autentifikation af bruger mod brugerdatabase der kontrolleres af modervirksomhed Klientløsning (som skal installeres) eller serverløsning (adgang til certifikatserver) Fordeling af rettigheder - Automatisk tidsudløb af rettigheder Rettighedsstyring i forhold til åbne, gemme, redigere, videresende, printe, faxe, kopiere og slette Blokering af skærmdumps Anmodning om nye rettigheder bør kunne ske fra dokumentet Tildelte brugerrettigheder håndteres automatisk i tilknytning til bruger (directory over nye brugere, nuværende brugere og slettede brugere)

Ude – del 2 Andre nyttige forhold Skal fungere bag en anden virksomheds firewall Anvende anerkendt kryptering uanset lokalitet Logning af brugeradfærd Test for sårbarheder i applikationer tillige med patchstyring Vurdering af funktionalitet på forskellige platforme – herunder mobile terminaler Åben kode, således at 3. parter kan udvikle add ons Overholde lovgivning om krav til tilstrækkelig beskyttelse Evt. tillade skanning for virus

Oversigt over produkter Oracle Information Rights Management Symantec Data Loss Prevention, Endpoint Encryption, E-mail gateway IBM Secure File Encryption for Deaktop McAfee Total Data Protection for Data ScanArmor – BitArmor DataControl Der kan findes flere produkter på markedet. DI anbefaler ikke disse produkter, men angiver dem muligheder, der kan overvejes til at løse en konkret udfordring.

Kontakt Henning Mortensen hem@di.dk