|
Informasjonssikkerhet og digitale signaturer Hva er informasjonssikkerhet
|
tarix | 01.09.2018 | ölçüsü | 1,11 Mb. | | #66632 |
|
Hva er informasjonssikkerhet Hvorfor informasjonssikkerhet – hvilke trusler har vi og hvilke verdier bør vi beskytte Litt om sikkerhets- og sårbarhetsanalyse Hvor og hvordan kan vi sikre oss – noen eksempler på sikkerhetstiltak Litt om PKI og digital underskrift Sikkerhet og etikk - noen sammenhenger Førsteamanuensis Arild Jansen, AFIN, Universitetet i Oslo Arildj@jus.uio.no, http://www.afin.uio.no/
En liten øvelse Hva er etter deres mening de tre viktigste sikkerhetstruslene truslene dere kan bli utsatt for Hvilke 3 sikkerhetstiltak (eller flere) mener dere er særlig viktig Mener dere sikkerheten på Universitetets datanett og maskiner er god nok ?
Definisjon av informasjonssikkerhet Beskyttelse mot brudd på konfidensialitet, integritet og tilgjengelighet for informasjonen og også for det informasjons-systemet informasjonen inngår i. Sagt på en annet måte Robuste og effektive informasjonssystemer, som gir korrekt informasjon til rette personer til rett tid
Noen viktige begreper til informasjonssikkerhet Konfidensialitet - Sikkerhet for at kun autoriserte brukere får tilgang til informasjonen.
- Eks: Kontrollere tilgang til filer på lokal PC, nettverk, databaser,…
Integritet - Sikkerhet for at informasjonen er fullstendig, nøyaktig og gyldig.
- Eks: Beskytte bankkonto, personregister, pasientinformasjon,…
Tilgjengelighet - Sikkerhet for at informasjonen er tilgjengelig for autoriserte brukere til rett tid.
- Eks: Sørge for at vi har tilgang til de ressurser (utstyr, programmer og data vi har rett til på og behov for ).
Viktige begreper (2) Autentisering - Benyttes for å bevise at en bruker er den brukeren han eller hun utgir seg for å være.
- Eks: passord, pin-kode, pass,…. som bare jeg har
Autorisasjon - Benyttes for å gi en bruker tilgang til kun den informasjonen eller til det informasjonssystemet han eller hun skal ha tilgang til.
- Eks: at jeg som bruker har bestemte rettigheter på en PC
Ikke-benekting (nonrepudiation) - Benyttes for at en bruker ikke senere skal kunne nekte for at det er han eller hun som har utført handlingen.
- Eks: at jeg ikke kan fraskrive meg en avtale jeg har underskrevet
Hvorfor bør vi tenke (mer) på informasjonssikkerhet Dere vil ha stadig mer av deres ”verdier” tilgjengelig på nettet - Økonomiske forhold , personopplysninger (f eks. helseopplysninger) , annen informasjon dere er avhengig av eller er viktig for dere
Krav om generell tilgjengelighet, men også økende avhengighet Sikkerhetshendelser som virus, spam, tyveri med mer kan skape store problemer for dere eller andre dere samhandler med Dette berører også oss privatpersoner mer enn før - Økonomiske forhold
- Helseopplysninger
- Andre typer følsomme opplysninger
Noen problemområder og trusler På lokalt utstyr: - Virus, ormer, hacking, informasjonskapler (cookies)
- Dårlig brukergrensesnitt som skaper ’unødvendige’ feil
- Menneskelige/organisatoriske feil
I nettverket/infrastrukturen - Avlytting, ødeleggelse/misbruk
- Tyveri av identitet, falske nettsteder,
- Trådløse nett innebærer spesielle sikkerhetsproblemer
- Virus, ormer, hacking,.tjenestenekting, kapasitetsproblemer, ..
- Data- og informasjonskvalitet knyttet til både tekniske og organisatoriske forhold
Noen trusler ved bruk av IKT systemer
Hvordan vurdere behov for sikring Forela en sikkerhets- og sårbarhetsanalyse: Hvilke verdier vil jeg beskytte - Menneskeliv /helse, økonomi, informasjon,…
Hvilke trusler kan inntreffe - Innbrud, hacking, virus, misbruk, dårlig datakvalitet
Hva er sannsynligheten for at disse trusler finner sted - Stor, middels, liten , (ingen?)
Hva blir konsekvensene (”skadekostnad”) - Risikokostnad = skadekostnad * skadefrekvens
Hvilke tiltak bør/må vi iverksette : - En vurdering av utgifter til tiltak versus (potensielle kostnader ved et ”uhell”)
- Unødvendig strenge sikkerhetstiltak er ikke en god løsning
En enkel sårbarhetsanalyse: Skal jeg installere et reservekopieringsprogram hjemme
Eksempler på tekniske tiltak Brukernavn og passord (som skiftes?), ++ Antivirus, spamfilter Begrense nedlasting (?) Reservekopiering Autentiserings- og autorisasjonsmekanismer Brannmur VPN (Virtual Private Network) Innbruddsdetektering, overvåkning,.. PKI (Offentlig nøkkel infrastruktur) og elektronisk signatur Filtrering av nettsider, Ulike personvernøkende teknologier
Eksempler på tiltak
Internett og sikkerhet Internett protokollene ble opprinnelig laget med tanke på en kommunikasjon basert på åpenhet og fleksibilitet, og ikke med tanke på sikkerhet. De første sikkerhetshendelser ble oppdaget fra midten og mot slutten av 1980-tallet. I dag skal ”alle” bruke Internett til ”alt”. Vår bruk av Internett blir overvåket, både ”lovlig” av programvareselskaper og tjenesteleverandører og ulovlig av alt fra nysgjerrige til organiserte kriminelle Med bakgrunn i den voldsomme økningen i bruk av Internett, er det utrolig viktig å ”tenke” sikkerhet.
Litt om kryptering og digitale signaturer Brukernavn og passord - Brukernavn er kjent, passordet holdes skult, blir kodet i en database på lokal maskin eller server.
Nettbank Symmetrisk og assymmetrisk kryptering SSL: (Secure Sockets layer ) - En protokoll for sikker overføring av informasjon over Internett, basert krypteringsteknologi. Vanligvis URL som begynner med "HTTPS" , + liten gul hengelås nederst i høyre hjørnet i nettleservinduet.
PKI: (public Key infrastruktur) : - En felles løsning for digitale signaturer og sertifikater
Noen eksempler Oppdatere en hjemmeside: http://www.uio.no/studier/emner/jus/afin/DRI1002/v06/ Elektronisk bank : http://www.postbanken.no/
Hvorfor elektronisk ID og –signatur (PKI)? Det har blitt stadig klarere at en infrastruktur for elektronisk ID og signatur er avgjørende for å realisere mange nye elektroniske tjenester. Det er vanskelig og dyrt å rulle ut og vedlikeholde nye sikkerhetsmekanismer, og offentlige virksomheter kan ikke gjøre dette hver for seg. Borgere har allerede altfor mange passord og PIN-koder å forholde seg til. Dette må forenkles. Elektronisk ID og signatur er den sikkerhetsmekanismen som møter fremtidens krav til sikkerhet og funksjonalitet.
969
Hvordan virker digital signatur
Asymmetrisk kryptografi – digital signatur
Anvendelsesområder Web-tjenester for publikum, autentisering og signering, formidling av vedtak fra forvaltningen Utveksling av informasjon/dokumenter mellom offentlige virksomheter Pålogging som ansatt eller som profesjonell Signering av meldinger, som ansatt eller som profesjonell, direkte eller indirekte
Web-tjenester for publikum
E-post mellom publikum og forvaltning
Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter
Sikker utveksling av informasjon og dokumenter mellom offentlige virksomheter
Felles sikkerhetsportal
Sikkerhet, etikk og moral Etikk: ”teori om rett og moral”, dvs. noen generelle, overordnede ”regler” eller retningslinjer (bud) som styrer ens atferd - Handler om hva som er rett og galt og hvorfor
- Prinsipper for å handle riktig
Er alle handliner som ikke er ulovlig også bra? Plikt-etikk og konsekvensetikk Forholdet mellom etikk og loven Eksempler på etikk i tilknytning til bruk av IKT
Konsekvensetikk og pliktetikk
Noen etiske ’ dilemmaer; Lese en feilsendt epost Låne bort eller låne et passord Prøve å knekke en kode for å demonstrere svakheten Legge ut ”mykporno” på UiO’s nettsider
http://www.usit.uio.no/it/reglement/it-reglement.html Den Norske Dataforening http://dataforeningen.no/?module=Articles;action=Article.publicOpen;ID=2636 http://dataforeningen.no/?module=Articles;action=Article.publicOpen;ID=2370 ACM - http://www.acm.org/constitution/code.html
Oppsummering IKT-løsninger og spesielt infrastrukturer innebærer en betydelig risiko og sårbarhet. Dette må legges realistiske sårbarhetsvurderinger til grunn Vi må ikke alene fokusere på å sikre datasystemer isolert, men som komplekse sosio-tekniske konstruksjoner hvor de organisatoriske og menneskelige aspekter er like viktige som de teknologiske Hva er akseptabel risiko og hvordan bestemmer vi den? Vi må stille spørsmålet om hvor stor risiko er vi villig til å ta; og hvem bør eller skal bære kostnadene ved dette. Vi kan ikke uten videre akseptere at forvaltning og næringsliv i samfunnets interesse utvikler nye løsninger hvor det er borgerne som må bære ”kostnadene” når noe går galt.
Forstår vi konsekvensene av den teknologiske utviklingen ”Det er sannsynlig at noe usannsynlig vil skje” (Aristoteles) Teknologiske systemer har alltid uventede og utilsiktede effekter: Sikkerhetsproblemer skapt av teknologien skal løses med bedre tekniske løsninger - Vi forutsetter da at disse vil fungere som planlagt og ikke har vesentlig negative konsekvenser
Det gjennomføres ofte ikke tilstrekkelig brede og gode risikovurderinger - Eks Bankkort og pin-koder, nøkkelkort
- Vil elektronisk signatur fungere etter hensikten?
- Hvem vil det ramme når den svikter ?
- Vil vår sykejournal på smartkort ha tilstrekkelig kvalitet?
Noen relevante litteratur mm Lov om elektronisk signatur (esignaturloven) eForvaltningsforskriften (Forskrift om sikker elektronisk kommunikasjon med og i forvaltningen) Lov om Personopplysninger med forskrift Noe relevant bakgrunnsstoff Hannemyr: Hva er Internett http://www.nettvett.no/ http://odin.dep.no/fad/norsk/tema/ITpolitikk/pkiorgan/bn.html
Dostları ilə paylaş: |
|
|