Cybersikkerhet, 3. utgave

Audun Jøsang

CYBERSIKKERHET

CYBERSIKKERHET

Audun Jøsang

CYBERSIKKERHET

Teknologier og styring

universitetsforlaget

© H. Aschehoug & Co. (W. Nygaard) AS ved Universitetsforlaget 2025

1. utgave 2021

2. utgave 2023

ISBN 978-82-15-07469-6

Materialet i denne publikasjonen er omfattet av åndsverklovens bestemmelser. Uten særskilt avtale med rettighetshaverne er enhver eksemplarfremstilling og tilgjengeliggjøring bare tillatt i den utstrekning det er hjemlet i lov eller tillatt gjennom avtale med Kopinor, interesseorgan for rettighetshavere til åndsverk.

Utnyttelse i strid med lov eller avtale kan medføre erstatningsansvar og inndragning og kan straffes med bøter eller fengsel.

Henvendelser om denne utgivelsen kan rettes til:

Universitetsforlaget

Postboks 508 Sentrum

0105 Oslo

www.universitetsforlaget.no

Omslag: Ellen Lorenzen

Sats: ottaBOK

Trykk og innbinding: Livonia Print, Latvia

Boken er satt med: Plantin MT Pro 10,5/13,5 pkt.

Papir: 100 g Arctic Matt 1,0

Innhold

4 4 2

4 4 3

4 5 Hash-funksjoner og MAC

4 6 Diffie-Hellman nøkkelutveksling

4 6 1 Tradisjonell Diffie-Hellman

4 6 2 ECDH: Elliptisk kurve Diffie-Hellman

4 .7 Asymmetriske algoritmer

4 7 1

7 2

7 3 Digital signatur

4 7 4 Autentisert kryptering med fremoverhemmelighold

4 .8 Kryptografiens historie

8

4 8 2 Chiffer i middelalderen

4 9 Chiffer frem mot første verdenskrig

4 9 1 Kerckhoffs-prinsippet

4 .9 .2 Engangsnøkkel

4 10 Chiffer rundt andre verdenskrig

4 10 1

4 10 2 Shannons teori om kryptografi

4 11 Chiffer frem mot år 2000

4 .12 Chiffer etter år 2000

4 12 1 Blokkchiffer: Erstatte en gammel og sliten hest med en som er ung og sterk

4 12 2 Hash-funksjoner: Det trengtes nye svamper

4 12 3 Postkvantekrypto: En redningsbåt i tilfelle skipet synker

4 .13 Kryptografi og energiforbruk

4 13 1 TLS overalt

4 13 2 Kryptovaluta

4 14 Oppgaver

5 1 Nøkkelhåndtering

1 1 Nøkkeltyper

5 1 2 Kryptoperioder

5 1 3 Nøkkelstørrelser

5 1 4 Livssyklus for nøkler

5 2 PKI

5 2 1 Nøkkeldistribusjonsproblemet

5 2 2 X 509-sertifikater og PKI-komponenter

5 2 3 Generering av X 509-sertifikater

5 2 4 Validering av X 509-sertifikater

5 2 5 Tillitsmodeller for PKI

5 .3 Utfordringer og løsninger for PKI

5 3 1 PKI støtter kun tillit til autentisitet

5 3 2 Sertifikatrevokering

5 3 3 CA-autorisering og sertifikattransparens

5 4 Bruk av blokkjeder

5 .5 Oppgaver

3 1 Blåtann-teknologier

8 3 Kunnskapsbaserte autentikatorer: passord og lærte mønstre 187

8 3 1 Beskyttelse av passord mot cracking 187

8 3 2 Råd om sterke passord 190

8 3 3 Passordbanker 191

8 4 Eierskapsbaserte autentikatorer: Enheter 193

8 4 1 OTP-brikker 194

8 .4 .2 Passnøkler .

8 4 3 Adgangs- og ID-kort 197

8 4 4 Autentisering av pass 197

8 4 5 Sekundære kanaler 200

8 5 Egenskapsbaserte autentikatorer: Biometri 201

8 .5 .1 Krav til biometriske systemer

8 5 2 Virkemåte og komponenter i biometriske systemer 202

8 5 3 Kvalitetsaspekter ved biometriske systemer 204

8 5 4 Trygghetsaspekter ved biometriske systemer 206

8 6 Flerfaktorautentisering 206

8 .7 Fjernverifisering av identitet

8 8 Rammeverk for autentisering

8 8 1 USA: NIST SP 800-64-4 Retningslinjer for digital identitet 211

8 8 2 EU: eIDAS 211

8 8 3 India: e-Pramaan 212

8 .9 Oppgaver

9 1 Definisjon av IAM

9 2 Identitetshåndtering

9 .2 .1 Identitet

9 2 2 Silomodell for identitetshåndtering 219

9 2 3 Føderert identitetshåndtering

9 2 4 Protokoller for ID-føderering

9 2 5 OpenID Connect

9 .2 .6 Identitetsføderasjonene ID-porten, Altinn, HelseID og Feide .

9 2 7 Europeisk eID og ID-føderering

9 2 8 Big Tech-identitetsføderasjoner

9 2 9 Kategorisering av identitetsføderering 229

9 3 Tilgangskontroll

9 .3 .1 DAC: Navnebasert tilgangskontroll

9 3 2 MAC: Merkebasert tilgangskontroll

9 3 3 RBAC: Rollebasert tilgangskontroll

9 3 4 ABAC: Attributtbasert tilgangskontroll

9 4 OAuth og distribuert tilgangsstyring

9 4 1 OAuth i sosiale nettverk

9 4 2 OAuth for tilgang og samhandling mellom helseinstitusjoner

9 .5 Oppgaver

10 .1 Hva er forskjellen mellom personvern og personopplysningsvern?

10 2 Personvern i den digitale tidsalderen

3 Personverninvaderende teknologier

10 3 1 Sporing med informasjonskapsler

10 3 2 Sporing med e-postadresser og telefonnummer

10 3 3 Sporing med plattformfingeravtrykk

10 3 4 Sporing med mobilapper

10 4 Blokkering av sporing

10 5 GDPR og personopplysningsloven

10 6 Roller i GDPR

10 6 1 Den registrerte og tilhørende personopplysninger

10 6 2 Den behandlingsansvarlige

10 .6 .3 Databehandleren .

10 6 4 Personvernombudet

10 6 5 Tilsynsmyndigheten og sanksjoner ved overtredelse av GDPR

10 7 Spesielt relevante artikler i GDPR

10 7 1 Artikkel 5: Prinsipper for behandling av personopplysninger

10 .7 .2 Artikkel 6: Behandlingens lovlighet

10 7 3 Artikkel 25: Innebygd personvern

10 7 4 Artikkel 32: Sikkerhet ved behandlingen

10 7 5 Schrems II-dommen og artikkel 45 og 46 om overføring av personopplysninger til land utenfor EU/EØS

10 .8 Artikkel 35: Vurdering av personvernkonsekvens – DPIA

10 8 1 Prosessen rundt DPIA

10 8 2 Når er det nødvendig å utføre en DPIA?

10 8 3 Trusselaktører som element i vurdering av risiko

10 8 4 Hvem skal utføre DPIA?

10 .8 .5 Trinnene i DPIA

2 1

Helse, miljø og sikkerhet

.2 .2 Hensyn til personsikkerhet og sikkerhet

12

4 1 Fysisk skallsikring

12 4 2 Å arbeide i sikre områder

12 .4 .3 Sikring av utstyr utenfor virksomhetens områder

12 4 4 Beskyttelse mot fysiske trusler i de nære omgivelsene

12 4 5 Emisjonssikkerhet

12 5 Kontinuitet i tekniske støttesystemer

12 5 1 Avbruddsfri strømforsyning

12 .5 .2 Vannforsyning, avløp, gassforsyning, lufttemperatur og luftfuktighet

12 6 Oppgaver

3

.2 .1

.4 .2 Forurenset læring

17 3

.2 .2 Lover og forskrifters formål og virkeområde

.5 .4

7 3

.7 .4 FSB-loven

av personopplysninger (PIPL)

17 .8 .4 Nasjonal etterretningslov

9 Generelle bemerkninger om cyber-organisasjonsstrukturer

17 10 Oppgaver

.1 Styringsnivåer for cybersikkerhet

1 1 Overordnet styring av cybersikkerhet

18 1 2 Spørsmål som styret og toppledelsen bør stille seg

18 1 3 Ledelse av cybersikkerhet

18 1 4 Administrasjon og drift av cybersikkerhet

18 .2 Standarder og rammeverk for styring og ledelse av cybersikkerhet

18 3 ISO/IEC 27000-serien med standarder

18 3 1 Historien bak ISO/IEC 27001 og 27002

18 3 2 ISO/IEC 27001 Ledelsessystem for informasjonssikkerhet (ISMS) – krav

18 3 3 ISMS som en PDCA-syklus

Forord

Boken du holder i hånden, er en lærebok om cybersikkerhet som primært er ment for informatikk- og ingeniørutdanninger på bachelor- og masternivå. Etter som samfunnet vårt er blitt mer og mer digitalisert, er kunnskap om cybersikkerhet blitt en allmennkompetanse alle bør ha. Derfor kan alle studieprogrammer, både tekniske og ikke-tekniske, ha nytte av boken. I tillegg til cybersikkerhetsteknologier dekker boken styring og ledelse av cybersikkerhet, og er derfor særlig aktuell innen ledelse (MBA), samfunnsfag (statsvitenskap) og rettsvitenskap.

Denne boken vil først og fremst gi kunnskap om hvordan man skal beskytte organisasjoner mot cybertrusler, og tar i mindre grad opp hvordan man beskytter personlig digitalt utstyr mot angrep. Ettersom personvern er tett knyttet til cybersikkerhet, dekker boken også personvern, med utgangspunkt i EUs personvernforordning (GDPR). Alle som har ansvar eller interesse for cybersikkerhet og personvern i egen virksomhet, vil ha nytte av boken. Skal vi bygge vår nasjonale og globale IKT-infrastruktur med robust sikkerhet, er vi avhengige av at alle som setter krav til, designer, utvikler, drifter og bruker denne infrastrukturen, har cyber sikkerhetskompetanse. Cybersikkerhet starter med utdanningen!

Cybersikkerhet er et svært bredt fagfelt. Innføringen i cybersikkerhet som denne boken gir, er bredere enn den er dyp. Boken er nettopp ment å gi en innføring i hele fagfeltet cybersikkerhet, fra teorier og teknologier til styring og regelverk. Hvert kapittel kunne lett vært utvidet til å bli en egen bok i seg selv.

Jeg vil gjerne takke mine kunnskapsrike kollegaer på Institutt for informatikk ved Universitetet i Oslo for det stimulerende miljøet og de faglige diskusjonene vi har. Dette har bidratt til modning og artikulering av sikkerhetskonseptene som denne boken beskriver. Jeg vil også takke samarbeidspartnere fra mange andre virksomheter, institutter og universiteter, som direkte eller indirekte har bidratt til denne boken. Spesielt vil jeg takke følgende personer som har lest og kommentert utkast til denne og tidligere utgaver av boken, eller som har bidratt med viktige innspill: Siri Bromander, Håkon Styri, Nils Petter Wien, Gudmund Grov, Eli Sofie Amdam, Kjetil Otter Olsen, Laszlo Erdödi, Vasileios Mavroeidis, Janne Hagen,

Dinh Uy Tran, Dag Østerhagen, Knut Herje, Jostein Jensen, Eirik Gulbrandsen, Marianne Aas, Lee Bygrave, Ravi Borgaonkar, Geir Køien, Johannes Jøsang, Vivi Ringnes Berrefjord, Per Thorsheim, Christoph Bush, Simen Bakke, Nils Gruschka og Ryan Marinelli. Jeg vil også takke Universitetsforlaget for profesjonell veiledning og grundig korrektursjekk. Sist, men ikke minst, vil jeg takke min familie for at de hele tiden har støttet meg – både da jeg jobbet med denne utgaven, og under arbeidet med de to foregående utgavene fra 2021 og 2023. Du finner en rekke oppgaver i slutten av hvert kapittel. Forelesningspresentasjoner til hvert kapittel, løsningsforslag til oppgavene og tilleggsressurser fins på nettsiden nedenfor: https://www.mn.uio.no/ifi/forskning/grupper/sec/laeringsressurser/

Oslo, juni 2025 Audun Jøsang

Grunnleggende begreper

«Intet er så praktisk som en god teori.»

Kurt Lewin, tysk-amerikansk psykolog

I et nøtteskall er cybersikkerhet beskyttelse av digitale verdier mot skade. Med digitaliseringen av de fleste forretningsprosesser blir informasjonsressursene eksponert for cybertrusler fra hvor som helst. De mange høyprofilerte angrepene som det rapporteres om i pressen, viser tydelig hvordan cybertrusler forårsaker alvorlige konsekvenser som virksomheter sliter med å forhindre og håndtere. Av denne grunn har opprettholdelse av robust cybersikkerhet blitt en kritisk faktor for global økonomi og politikk, nasjonal sikkerhet, virksomheter så vel som enkeltpersoner. Mens cybersikkerhet tradisjonelt bare har vært en teknologisk disiplin, er styring av cybersikkerhet nå sett på som en grunnpilar i virksomheters teknologistyring og ledelse.

Læringsmål i dette kapitlet er å forstå betydningen av og sammenhengen mellom følgende begreper:

• «sikkerhet», «cybersikkerhet» og «informasjonssikkerhet»

• «trussel», «sårbarhet», «verdi», «hendelse» og «risiko»

• «konfidensialitet», «integritet» og «tilgjengelighet» (KIT-sikkerhetsmålene)

• «autorisering», «autentisering» og «tilgangskontroll»

1 .1 Betydninger av begrepet «sikkerhet»

Begrepet «sikkerhet» er overlesset med ulike betydninger på norsk, noe som kan skape forvirring. Som eksempel viser figur 1.1 hvordan tre svært ulike engelske begreper typisk oversettes til «sikkerhet», selv om det finnes presise norske oversettelser av hvert engelske begrep.

Figur 1.1. Upresis og presis oversettelse av engelske begreper

Nedenfor er et eksempel på overlesset bruk av «sikkerhet», der vi må tolke ordet i ulike betydninger for å forstå setningen.

«Etter bølgen av cyberangrep mot biler med alvorlige ulykker som konsekvens kan vi med sikkerhet si at sikkerhet i biler er viktig for sikkerhet i trafikken Vi krever sikkerhet fra bilprodusentene om forsvarlig sikkerhet i biler »

Ved å bruke ulike, mer avgrensede begreper i stedet for å gjenta «sikkerhet» med ulike betydninger kan vi artikulere setningen mer presist:

«Etter bølgen av cyberangrep mot biler med alvorlige ulykker som konsekvens kan vi med visshet si at cybersikkerhet i biler er viktig for trygghet i trafikken Vi krever garanti fra bilprodusentene om forsvarlig cybersikkerhet i biler »

Begrepet «usikkerhet» er på tilsvarende måte overlesset med ulike betydninger. For å ha et rikere og mer presist språk bør «uncertain(ty)» oversettes som «uviss(het)»

Tilsvarende bør «unsecure» oversettes som «usikker», mens «unsafe» og «insecure» bør oversettes som «utrygg». Nedenfor er et eksempel på overlesset bruk av «usikkerhet» som må tolkes i ulike betydninger.

«Etter flere uforklarlige cyberhendelser med biltype X, har vi foretatt undersøkelser .

Selv om vi har noen hypoteser, hersker det fremdeles usikkerhet om kilden til digital usikkerhet Inntil vil har funnet årsaken og løst problemet vil det derfor skape stor usikkerhet i trafikken å bruke denne biltypen .»

I stedet for å gjenta «usikkerhet» med ulike betydninger kan vi artikulere samme setning mer presist med mer avgrensede begreper:

«Etter flere uforklarlige cyberhendelser med biltype X, har vi foretatt undersøkelser Selv om vi har noen hypoteser, hersker det fremdeles uvisshet om kilden til digital usikkerhet . Inntil vil har funnet årsaken og løst problemet vil det derfor skape stor utrygghet i trafikken å bruke denne biltypen »

Selv om «sikkerhet» og «usikkerhet» er overlessede ord, blir vi i praksis sjelden forvirret, fordi vi raskt forstår den rette betydningen ut fra sammenhengen. Likevel er det språkfattig å overlesse «sikkerhet» og «usikkerhet» med mange ulike meninger – det er bedre å bruke ord med klar, presis betydning, noe denne boken gjør.

Et tilfelle der betydningsforskjellen er avgjørende, er når vi snakker om et feilsikkert (eng. fail secure) eller feiltrygt (eng. fail safe) system, som beskrevet i avsnitt 12.2.2. Ta f.eks. en ståldør til et bankhvelv der låsen er styrt elektronisk. En feilsikker lås går automatisk i lås hvis strømmen forsvinner, for å beskytte verdiene i hvelvet. En feiltrygg lås åpnes automatisk hvis strømmen forsvinner, slik at det ikke oppstår fare for at mennesker stenges inne i hvelvet.

I de fleste tilfeller er det ikke feil at «certainty» og «safety» oversettes til «sikkerhet», og de fleste ordbøker og Google translate gjør nettopp det. Likevel anbefaler denne boken å oversette «certainty» til «visshet», og «safety» til «personsikkerhet» eller «trygghet».

1 .2 Hva er sikkerhet?

Generelt sett er sikkerhet beskyttelse av verdier mot skade. Det fins mange ulike kategorier av verdier som hver kan skades på forskjellige måter.

Sikkerhet er beskyttelse av verdier mot skade

Sentrale verdikategorier er eiendom, infrastruktur, demokrati, samfunnsorden, liv og helse, miljø, data og personopplysninger. For hver av disse verdikategoriene er det veletablerte fagområder for sikkerhet:

• Fysisk sikkerhet er beskyttelse av fysisk eiendom mot innbrudd, tyveri og ødeleggelse.

• Personsikkerhet/safety/trygghet/HMS er beskyttelse av liv og helse.

• Miljøsikkerhet er beskyttelse av miljøet ved å forhindre forurensning og invasjon av fremmede arter i naturen.

• Sivil sikkerhet er opprettholdelse av lov og orden, også kalt rettssikkerhet.

• Samfunnssikkerhet er beskyttelse av kritisk infrastruktur og grunnleggende funksjoner som energiforsyning, kommunikasjon og transport.

• Nasjonal sikkerhet er opprettholdelse av vår nasjonale suverenitet, territorielle integritet og demokratiske styreform (se definisjon fra sikkerhetsloven i avsnitt 17.4.1).

• Cybersikkerhet er beskyttelse av digitale verdier mot skade, og å ha evne til å håndtere cyberhendelser og reparere skade når det inntreffer.

• Person(opplysnings)vern er beskyttelse av personopplysninger gjennom krav til innsamling, lagring, sletting, deling og behandling av informasjon om personer (se kapittel 10 om personvern).

Verdi-/sikkerhetskategoriene ovenfor er ofte gjensidig avhengige av hverandre. For eksempel er cybersikkerhet naturligvis helt essensielt for samfunnssikkerhet, fordi kritisk infrastruktur styres av IT-systemer. I sektorer der personsikkerhet/ safety er svært sentralt, benyttes begrepet «sikkerhet» typisk i betydningen «safe-

ty», mens begrepet «sikring» ofte benyttes i betydningen «informasjonssikkerhet». Olje- og gassindustrien er nettopp en slik sektor.

Figur 1.2 viser at det fins ulike kilder og årsaker til sikkerhetsbrudd. Innen fagfeltet cybersikkerhet fokuseres det mest på tilsiktede handlinger som årsaker til hendelser. Samtidig er det viktig å ta i betraktning at digitale verdier også kan skades som følge av menneskelige feil, tekniske feil, systematiske feil og naturhendelser. Systematiske feil betyr at sikkerhetsbrudd oppstår på grunn av inadekvate spesifikasjoner for systemer og prosesser. Sagt på en annen måte: Sikkerhetsbrudd oppstår nettopp fordi systemene er korrekt bygd etter spesifikasjoner som er feil. Tekniske feil er relativt lett å rette opp ved å sørge for at systemet er i samsvar med spesifikasjonene. Retting av systematiske feil er gjerne vanskeligere, fordi man først må rette spesifikasjonene, slik at systemene kan endres – alternativt må man bygge nye systemer. Hvis feilen allerede fins i milliarder av systemer, må disse først fases ut, noe som kan ta mange år. Svakheter i mobilnett er et eksempel på dette, som beskrevet i avsnitt 7.4.5.

1 .3 Hva

er cybersikkerhet og informasjonssikkerhet?

Nye ord skapes kontinuerlig, og ordenes popularitet endrer seg over tid. «Informasjonssikkerhet» dukket opp på 1970-tallet og er fremdeles populært. Begrepet, som er en direkte oversettelse av det engelske «information security», er dessuten nedfelt i en rekke internasjonale standarder og rammeverk. «Datasikkerhet» har vært populært fra 1980-tallet, mens «IT-sikkerhet» og «IKT-sikkerhet» kom på 1990-tallet. Begrepet «cybersikkerhet» dukket opp og ble populært på 2010-tallet, og betegner typisk sikkerhet for systemer og forretningsprosesser som er koblet til internett. Begrepet «digital sikkerhet» ble innført av norske myndigheter i 2019 ved publikasjonen av Nasjonal strategi for digital sikkerhet [1] i den hensikt å være

1 3 Hva er cybersikkerhet og informasjonssikkerhet? 21 et samlebegrep for alle begrepene ovenfor. Hvorfor har vi så mange ulike begreper som egentlig betyr det samme? Svaret ligger i at kjært barn har mange navn, og at cybersikkerhet er et svært viktig tema som angår alle mennesker og virksomheter. Noen vil kanskje hevde at de ulike begrepene har ulike betydninger, men ulikhetene er uansett så små at det er lite meningsfylt å skille mellom dem. I alle fall har «cybersikkerhet» og «digital sikkerhet» samme betydning. En mulig forskjell kunne være at «cybersikkerhet» og «digital sikkerhet» kun dekker tilsiktede trusler, mens «informasjonssikkerhet» dekker alle slags trusler. EUs NIS-direktiv (Network and Information Security Directive) fra 2016 ble i 2023 implementert som lov om digital sikkerhet, og dekker alle slags trusler (allrisiko), ikke bare tilsiktede trusler. På den bakgrunn er det naturlig å si at «digital sikkerhet» spenner like vidt som «informasjonssikkerhet». Grunnen til at begrepene kan virke forskjellige, er kanskje at de har oppstått til ulik tid, på samme måte som «sykegymnastikk» og «fysioterapi» er begreper med samme betydning fra ulike tidsepoker.

Et eksempel på en alvorlig cyberhendelse som ikke var tilsiktet, er CrowdStrikehendelsen i 2024. Årsaken til hendelsen var oppdateringen av sikkerhetsprogramvaren Falcon Sensor, der en feil førte til at omtrent 8,5 millioner Windows-maskiner rundt i verden krasjet og ikke kunne restartes. Det kan virke kontraintuitivt at denne hendelsen, som er blitt kalt den største cyberhendelsen i historien,1 ikke var resultatet av et tilsiktet angrep.

Cybersikkerhet har utviklet seg til å bli et selvstendig fagområde uavhengig av fagfeltet informatikk, hvor det oppstod [2]. Foruten å være en del av informatikkfeltet er cybersikkerhet blitt en betydelig del av bl.a. statsvitenskap, rettsvitenskap, økonomi og ledelse, KI og datavitenskap, matematikk, fysikk, psykologi, pedagogikk og sosiologi. Cyber sikkerhet har med andre ord vokst til å bli et enormt bredt fagområde.

I det etterfølgende benyttes hovedsakelig begrepet «cybersikkerhet», men «informasjonssikkerhet» benyttes også, i sammenhenger der det er naturlig. «Cybersikkerhet» betyr beskyttelse av digitale verdier mot skade. En digital verdi kan være selve informasjonen, men også ressurser knyttet til behandling av informasjon.

Digitale verdier er informasjon samt ressurser som brukes i behandling av informasjon

Eksempler på digitale verdier er digitale enheter, applikasjoner, nettverk, data og brukere med deres akkreditiver, som forklart i avsnitt 18.7 om cyberforsvarsmatrisen.

Fagfolk som vet hvor skoen trykker, beskriver typisk cybersikkerhet i praktiske ordelag som Rick Howards første prinsipp om cybersikkerhet: «å redusere sannsynligheten av betydelig skade forårsaket av en cyberhendelse i løpet av de neste tre årene» [3, s. 39]. En mer utfyllende definisjon av cybersikkerhet er «beskyttelse av digitale verdier mot angrep som kan føre til uautorisert avsløring av informa1 https://www.theguardian.com/australia-news/article/2024/jul/19/microsoft-windows-pcs-outageblue-screen-of-death.

sjon, korrupsjon av data, programvare og maskinvare, samt avbrudd i tjenestene de tilbyr». Det hersker egentlig ingen generell enighet om hva cybersikkerhet er, og det fins mange forskjellige definisjoner foreslått av ulike standarder, retningslinjer og rammeverk. Definisjonen i rammen nedenfor er sannsynligvis den mest konsise av dem alle. Uansett, alle definisjonene peker i samme retning.

Cybersikkerhet er beskyttelse av digitale verdier mot skade

En klassisk definisjon av hvordan digitale verdier kan skades, er gjennom brudd på konfidensialitet, integritet eller tilgjengelighet. Målsettingen for informasjonssikkerhet er dermed å opprettholde konfidensialitet, integritet og tilgjengelighet, forkortet KIT, for digitale verdier (eng. Confidentiality, Integrity and Availability, CIA). Dette kalles ofte KIT-triaden, typisk illustrert som i figur 1.3.

En slik måte å definere informasjonssikkerhet på er å finne i en rekke standarder og rammeverk, hvor den internasjonale standarden ISO/IEC 27000 [4] er et prominent eksempel. Denne standarden definerer informasjonssikkerhet som følger:

«Informasjonssikkerhet er beskyttelse av informasjonens konfidensialitet, integritet og tilgjengelighet I tillegg kan andre egenskaper, f eks autentisitet, sporbarhet, ubenektelighet og pålitelighet, omfattes »

ISO/IEC 27000

Den første setningen i definisjonen ovenfor er intuitiv og stemmer med KIT-triaden, men den andre setningen bringer inn relativt avanserte begreper som kan gjøre det vanskelig å forstå nøyaktig hva som menes med informasjonssikkerhet. For å rydde opp i forvirringen er et enkelt råd rett og slett å se bort fra den andre setningen. Forklaringen på at den andre setningen likevel står i definisjonen fra ISO/IEC 27000, er at den måtte inkluderes for å oppnå konsensus i standardiseringskomiteen. Tenk deg at representanter fra mange land rundt i verden er samlet i et standardiseringsmøte for å bli enige om en definisjon. Alle er enige om

den første setningen, men noen argumenterer sterkt for at begrepene i den andre setningen også må inkluderes. I slike tilfeller kan definisjonen bli bestemt ved avstemning, der ordlyden noen ganger kan høres ut som et kompromiss. En god måte å forstå definisjonen fra ISO/IEC 27000 på er at begrepene i den andre setningen støtter KIT-sikkerhetsmålene konfidensialitet, integritet og tilgjengelighet. Det er faktisk nyttig å skille mellom sikkerhetsmålene KIT og andre egenskaper som støtter KIT. Egenskaper som støtter KIT, kan f.eks. kalles «sikkerhetstiltak», «-mekanismer», «-tjenester» eller «-kontroller». I denne boken bruker vi begrepet «sikkerhetstiltak» som oversettelse av det engelske «security control». Eksempler på hvordan ulike sikkerhetstiltak støtter KIT, nevnes i avsnitt 1.8, som beskriver sikkerhetsmålene konfidensialitet, integritet og tilgjengelighet. Begrepene «autentisitet», «sporbarhet», «ubenektelighet» og «pålitelighet» fra den andre setningen i definisjonen fra ISO/IEC 27000 er forklart senere i kapitlet.

1 .4 Trusler, sårbarheter, verdier, hendelser og risikoer

Det er viktig å ha en klar begrepsforståelse for å kunne snakke presist om cybersikkerhet. Sentrale begreper er «trusler», «sårbarheter», «verdier», «hendelser», «risikoer» og «tiltak». Det er også essensielt å forstå sammenhengen mellom disse begrepene, som beskrives nedenfor.

• Trusselaktør: En trusselaktør er en aktiv entitet som kan utløse eller gjennomføre et trusselscenario. Trusselaktører kan være intelligente entiteter med bevisst skadehensikt, eller naturkrefter som er for sterke eller uforutsigbare for effektiv forebygging.

• Trusselscenario: Et trusselscenario er en sekvens av trinn som kan utløses eller styres av en trusselaktør, og som kan skade digitale verdier. Et trusselscenario er mulig å gjennomføre og kan føre til en hendelse når det fins sårbarheter (svakheter) som kan utnyttes.

• Sårbarhet: En sårbarhet representerer en svakhet, feil eller mangel som gjør at (et trinn i) et trusselscenario kan gjennomføres, noe som dermed gjør det mer sannsynlig at en trusselaktør vil lykkes i et angrep som fører til en hendelse. En sårbarhet kan også tolkes som en mangel på sikkerhetstiltak, det vil si at sårbarheten kan fjernes ved å innføre ett eller flere sikkerhetstiltak. De tre hovedkategoriene av sårbarheter er

• tekniske sårbarheter, som er svakheter i systemer, nettverk, programvare og maskinvare

• prosessårbarheter, det vil si svakheter i funksjoner og aktiviteter, og svakheter i sammensetningen av disse

• menneskelige sårbarheter, som er svakheter i menneskelig bevissthet, holdning og atferd

En sårbarhetsflate er alle mulighetene en trusselaktør kan utnytte som del av et angrep. Å minske sårbarhetsflaten vil redusere risikoen, som naturligvis er ønskelig, men vil som regel ha en kostnad, og kan redusere funksjonalitet, og det må derfor gjøres en avveining. Noen ganger skiller man mellom svakheter og sårbarheter, der en svakhet representerer en abstrakt type sårbarhet uten referanse til et reelt system, mens en sårbarhet er en instans av en svakhet i et spesifikt system. Dette skillet gjøres f.eks. av CVSS (Common Vulnerability Scoring System), beskrevet i avsnitt 3.3.

• Sikkerhetstiltak: Et sikkerhetstiltak (eng. security control) er en måte å hindre eller bremse et trusselscenario på slik at det ikke (lett) kan gjennomføres. Å innføre sikkerhetstiltak er det samme som å fjerne sårbarheter. Det fins en rekke forskjellige tiltak, som kan deles inn i kategorier, se figur 1.5. Noen norske miljøer bruker også ordet «kontroll», som er en direkte oversettelse fra engelsk.

• Verdi: En digital verdi kan være informasjon, men også ressurser for lagring, behandling og utnyttelse av informasjon, som beskrevet i avsnitt 18.7. Begrepet «verdi» har en tvetydighet som kan skape forvirring. På den ene siden kan «verdi» (eng. asset) bety en ressurs som er viktig for virksomhetens forretningsprosesser og målsettinger. På den andre siden kan «verdi» (eng. value) bety nytteverdien av ressursen. Å benytte «verdi» i begge betydninger samtidig kan gi forvirrende utsagn som at «verdien av verdiene må estimeres som del av risikovurderingen». I tillegg kan begrepet «verdi» benyttes for å uttrykke strategiske og etiske målsettinger for en virksomhet, som f.eks. «vårt verdigrunnlag er å være bærekraftig for miljøet». Vi vil primært styre unna denne tvetydigheten ved at «verdi» tolkes ut fra sammenhengen. Om nødvendig brukes enten «ressurs» (eng. asset) eller «nytteverdi» (eng. value) for å gjøre det tydelig hva som menes.

• Hendelse: En sikkerhetshendelse er et tilfelle av brudd på konfidensialitet, integritet eller tilgjengelighet (brudd på et KIT-sikkerhetsmål) for en digital verdi som resulterer i en negativ konsekvens for eieren av verdien. Under risikoanalysen forsøker man blant annet å estimere sannsynligheten for at ulike hendelser inntreffer. Det kan skilles mellom hendelser som følger av en tilsiktet handling, og hendelser som følger av andre årsaker, som feil, ulykker og naturskade. Begge typer hendelser kan gi brudd på cybersikkerhet, men kun den ene er forårsaket av en målrettet trusselaktør. Fagområdet cybersikkerhet dekker begge typer hendelser, men fokuserer mest på tilsiktede hendelser og målrettede trusselaktører.

• Konsekvens: En konsekvens av en sikkerhetshendelse er en form for tap som kan ha ulike aspekter, som tapt fortjeneste/profitt (for kommersielle selskaper), tap av ytelser/tjenester (for ikke-kommersielle organisasjoner), tap av omdømme, kostnader som følge av brudd på juridisk etterlevelse eller kostnader ved gjenoppretting av skaden etter hendelsen. Under risikoanalysen forsøker man blant annet å estimere konsekvensens størrelse eller alvorlighetsgrad. Ulike former for konsekvens av en sikkerhetshendelse gir også føringer for hvordan vi

omtaler hendelsen. Den kan f.eks. kalles «avvik», «sikkerhetstruende hendelse», «kompromittering» eller «sikkerhetsbrudd».

• Risiko: En cybersikkerhetsrisiko er en relevant kombinasjon av trussel, sårbarhet og potensiell sikkerhetshendelse som kan berøre en digital verdi. Risikoidentifisering er å kartlegge slike relevante kombinasjoner. Å gjøre en risikoanalyse er å kombinere estimert sannsynlighet for en hendelse og estimert alvorlighet av konsekvensene for å beregne nivået eller størrelsen på tilhørende risiko.

Figur 1.4 viser dynamikken mellom trusselaktør, trusselscenario, sårbarhet, hendelse og konsekvens. Eksemplet i figuren indikerer sårbarheter som kan utnyttes ved ulike trinn i trusselscenarioet, som betyr at trusselen har større sannsynlighet for å nå angrepsmålet og skape en hendelse. Når hendelsen inntreffer, kan det få ulike konsekvenser, avhengig av evnen til gjenoppretting. Manglende sikkerhetskopi eller dårlig beredskap er også sårbarheter som typisk medfører at konsekvensene blir mer alvorlige enn de ellers ville blitt.

Sikkerhetstiltak har til hensikt å forhindre et trusselscenario, eller å redusere negative konsekvenser av en hendelse. Å innføre sikkerhetstiltak er det samme som å fjerne sårbarheter som utnyttes i de tilhørende trinnene i trusselscenarioet, eller å styrke cyberberedskap ved hendelser. Effekten av sikkerhetstiltak er å redusere sannsynligheten for at trusselscenarioet kan fullføres og forårsake en sikkerhetshendelse, eller å redusere konsekvensene i tilfelle hendelsen inntreffer likevel.

1 .5 Sikkerhetstiltak

Sikkerhetstiltak kan kategoriseres på forskjellige måter, selv om de alle støtter sikkerhetsmålene konfidensialitet, integritet og tilgjengelighet (KIT) på en eller annen måte. En mulig kategorisering kan være å skille mellom forebyggende, oppdagende og korrigerende tiltak, som vist i figur 1.5.

• Forebyggende tiltak: Denne typen tiltak skal forhindre hendelser slik at de ikke inntreffer. Eksempler er autentisering og tilgangskontroll, som skal sørge for at uautoriserte ikke får tilgang til informasjon og ressurser. Tiltak som dette kalles også «sannsynlighetsreduserende tiltak», siden de reduserer sannsynligheten for sikkerhetshendelser.

• Oppdagende tiltak: Oppdagende tiltak skal gjøre det lett å oppdage angrep og hendelser. Et eksempel er IDS (Intrusion Detection System), som trigger alarmer etter bestemte kriterier. I noen tilfeller kan slike tiltak oppdage angrep på et så tidlig tidspunkt at det ennå ikke har skjedd noe sikkerhetsbrudd, men som regel dreier oppdagende tiltak seg om å redusere tiden fra hendelsen inntreffer, til korrektive tiltak kan iverksettes.

• Korrigerende tiltak: Tiltak i denne kategorien brukes for å reparere skade og gjenopprette drift etter en hendelse. Et eksempel er å ha sikkerhetskopier som kan hentes og reinstalleres hvis driftsdata går tapt eller blir ødelagt. Et annet eksempel er å lage planer for, og øve på, cyberberedskap, slik at virksomheten er godt forberedt hvis en hendelse skulle inntreffe.

NSMs Grunnprinsipper for IKT-sikkerhet, beskrevet i avsnitt 18.4, benytter en lignende firedelt kategorisering: 1) identifisere og kartlegge; 2) beskytte og opprettholde; 3) oppdage; 4) håndtere og gjenopprette. Denne typen kategorier kalles sikkerhetsfunksjoner.

En annen måte å kategorisere sikkerhetstiltak på er å ta utgangspunkt i operasjonelle temaer, f.eks. slik: 1) kartlegging av verdier; 2) beskyttelse av data; 3) sikker konfigurering; 4) identitets- og tilgangshåndtering; 5) håndtering av sårbarheter; 6) ivaretagelse av nettverkssikkerhet osv. En slik kategorisering brukes f.eks. i CIS Controls beskrevet i avsnitt 18.6 og i NIST SP 800-53 Security and Privacy Controls for Information Systems and Organizations [5], og var brukt i den tidligere utgaven av standarden ISO/IEC 27002:2013.

I en tredje type kategorisering skiller man mellom 1) organisatoriske tiltak; 2) tiltak for personellsikkerhet; 3) fysiske sikkerhetstiltak; og 4) teknologiske sikkerhetstiltak – denne brukes i standarden ISO/IEC 27002:2022 Informasjonssikkerhetstiltak, beskrevet i avsnitt 18.3.4.

De ulike måtene å kategorisere sikkerhetstiltak på beskrevet ovenfor dekker naturligvis de samme sikkerhetstiltakene – de er bare alternative måter å ordne sikkerhetstiltakene i forskjellige grupper på. En virksomhet må velge de tiltakene som virker mest formålstjenlige for styring av cybersikkerhet. Dette må betraktes ut fra antatt avkastning på investering (eng. Return on Investment, ROI), som betyr oppnådd risikoreduksjon med et sikkerhetstiltak i forhold til kostnaden ved etablering

og drift av tiltaket. Denne typen vurdering er nærmere beskrevet i kapittel 19. Det bør også vurderes om tiltak kan ha negative sideeffekter, noe som kan uttrykkes som en kostnad. Det er som regel nødvendig å ha sikkerhetstiltak fra alle kategoriene for tilstrekkelig å forebygge, oppdage og korrigere cyberhendelser. Prinsippet om at sikkerhetstiltak og -mekanismer støtter KIT-sikkerhetsmålene, er illustrert i figur 1.6, parallellisert med hvordan sivil sikkerhet med målsetting om å opprettholde lov og orden støttes ved å ha politi og sikkerhetsvakter med egnet utstyr (tiltak).

Figur 1.6. Sammenheng mellom sikkerhetstiltak og sikkerhetsmål, med analogi til sivil sikkerhet

Å si at et sikkerhetsmål skal oppfylles, forteller i seg selv intet om hvordan det skal gjøres i praksis. Det er opp til dem som jobber med cybersikkerhet i en virksomhet, å velge de best egnede tiltakene for å oppnå sikkerhetsmål for digitale verdier. Når man velger tiltak, velger man samtidig spesifikke tjenester og mekanismer som kan være bundet til enkelte produkter og leverandører.

1 .6 Kilder til krav om cybersikkerhet

For en virksomhet er det viktig å kjenne til krav om cybersikkerhet, både i egen organisasjon og hos andre, for å ha god sikkerhetsstyring og for å kunne velge passende sikkerhetstiltak. Det er ledelsens ansvar å legge til rette for at virksomheten kartlegger krav om cybersikkerhet. Generelt kan vi si at kravene som stilles til en organisasjons cybersikkerhet, kan ha tre ulike utgangspunkter:

1. Krav om forsvarlig sikkerhet i henhold til god praksis: For hver type systemer eller applikasjoner som implementeres og settes i drift, er det viktig å kjenne til hva som er god praksis med hensyn til å bygge inn sikkerhetsmekanismer og funksjoner. For eksempel er det standard praksis at grensesnittet mellom internett og virksomhetens datanett er beskyttet med en brannmur. Det er også standard praksis at tilgang til tjenester i egne nettverk eller til online-tjenester er beskyttet med brukerautentisering og tilgangskontroll. En konsis beskrivelse av god praksis for cybersikkerhet er utvalget av 15 sikkerhets-

tiltak i prioritetsgruppe 1 fra NSMs Grunnprinsipper for IKT-sikkerhet, som beskrevet i avsnitt 18.4, eller sikkerhetstiltak fra IG1 (Implementation Group 1) i CIS Controls, beskrevet i avsnitt 18.6. De fleste virksomheter vil ha stor nytte av å implementere slike. I tillegg, hvis en virksomhet mottar informasjon om en trussel som sannsynligvis vil utnytte en sårbarhet og forårsake en hendelse, er det naturlig å implementere forebyggende tiltak. Imidlertid er det utilstrekkelig for en virksomhet å bare følge god praksis. Ifølge CMMI-modenhetsskalaen (se avsnitt 18.9) anses en virksomhet å ha lav modenhet i styring av cybersikkerhet hvis den ikke i tillegg foretar egne risikovurderinger for å identifisere nødvendige sikkerhetstiltak.

2. Krav om å begrense sikkerhetsrisiko til et akseptabelt nivå: Sikkerhetstiltak for dette formålet identifiseres gjennom sikkerhetsrisikovurdering og risikohåndtering. For eksempel kan en risikovurdering peke på nødvendigheten av å installere en avansert brannmur med kapasitet til å motstå DDoS-angrep, fordi sannsynligheten for og konsekvensene av DDoS-angrep anses å være høye. DDoS (Distributed Denial of Service) er et overlastangrep som betyr at et nettsted blir bombardert med så mye trafikk at legitime brukere ikke når frem. Hvis vanlig praksis setter krav om en (enkel) brannmur, kan risikovurdering sette krav om en avansert «neste generasjons» brannmur som kan filtrere bort DDoS-trafikk (se avsnitt 6.4). Risikovurderingen kan også peke på nødvendigheten av å innføre tofaktorautentisering (sterk brukerautentisering) for tilgang til svært sensitive ressurser (se kapittel 8). Hvis vanlig praksis setter krav om (enkel) brukerautentisering, kan risikovurdering i tillegg sette krav om sterk brukerautentisering. Risikostyring beskrives i kapittel 19.

3. Juridisk lovbestemte, regulatoriske og kontraktsmessige krav til cybersikkerhet: Alle virksomheter er underlagt lover og forskrifter om cybersikkerhet som må overholdes, og for spesifikke sektorer og organisasjoner gjelder ofte flere lover. Det er hver organisasjons plikt å ha oversikt over hvilke juridiske krav til cybersikkerhet som må overholdes. Sikkerhetsloven stiller for eksempel en rekke krav om cybersikkerhet som underlagte foretak er pliktige til å overholde. Mange regelverk, som f.eks. sikkerhetsloven, spesifiserer også at virksomheter må identifisere krav om sikkerhet ut ifra risikovurderinger, som er kjernen i denne listens forrige punkt. Regelverk for cybersikkerhet beskrives i kapittel 17.

Krav om cybersikkerhet kan være artikulert på en relativt overordnet måte, f.eks. som sikkerhetsmål i henhold til KIT, eller på en mer detaljert måte, som spesifikke sikkerhetstiltak.

1 .7

Cyberrisiko og styring av cybersikkerhet

Cyberrisiko er potensialet for at cybertrusler vil utnytte sårbarheter og skade digitale verdier, og dermed forårsake en hendelse med negativ konsekvens. En

cyberrisiko er med andre ord en relevant kombinasjon av en trussel, en sårbarhet og en verdi. Det fins alltid mange ulike risikoer, og risikoidentifisering består nettopp av å identifisere de betydeligste risikoene for virksomheten, avdelingen, systemet eller forretningsprosessen man fokuserer på.

Generelt anses størrelsen på en bestemt risiko som proporsjonal med verdiens nytteverdi, trusselens styrke og sårbarhetens alvorsgrad. Med andre ord, jo flere og større verdier man har, jo flere og sterkere trusler man er utsatt for, og jo flere og mer alvorlige sårbarheter man har, desto større er ens risikoeksponering. Dette prinsippet er illustrert på venstre side av figur 1.7, der størrelsen på trekanten representerer størrelsen på risikoen. Risikotrekanten skal vise at hvis man prøver å redusere risiko, har man i teorien muligheten til å redusere verdier, redusere trusler eller redusere sårbarheter. I praksis er det vanskelig å redusere verdier eller trusler, noe som gjør at reduksjon av sårbarheter i de fleste tilfeller er det beste alternativet. En praktisk måte å fjerne eller redusere sårbarheter på er å implementere sikkerhetstiltak, som forklart i avsnitt 1.5.

Man kan spørre om det ville være mulig å eliminere all sikkerhetsrisiko bare ved å implementere nok sikkerhetstiltak. Svaret er nei, av flere grunner:

1. Trusselaktører oppdager kontinuerlig nye sårbarheter i eksisterende systemer.

2. Nye sårbare tjenester legges kontinuerlig ut på internett, og utsettes raskt for cybertrusler.

3. Nye angrepsverktøy, f.eks. basert på KI, utvikles kontinuerlig.

4. Trusselaktører er innovative; de finner stadig opp nye angrepsmetoder.

5. Trusselaktører har lite å frykte pga. manglende og svak håndhevelse av lover på internett.

6. Sikkerhetstiltak koster penger, og virksomheter har et begrenset budsjett.

Konklusjonen er at styring av cyberrisiko må være en kontinuerlig prosess som tar sikte på å stoppe trusler og håndtere på hendelser. Et passende budsjett for cybersikkerhetsaktiviteter må være basert på forretningsmessige hensyn i virksomheten. På et abstrakt nivå kan man si at virksomheten bør sikte mot en balanse mellom størrelsen på cyberrisikoen og budsjettet for sikkerhetstiltak, som illustrert på høyre side av figur 1.7.

Cybersikkerhetsstyring betyr å styre alle aktiviteter en virksomhet iverksetter for å opprettholde og forbedre beskyttelsen av sine digitale verdier. Disse aktivitetene systematiseres i et styringssystem for cybersikkerhet, eller ISMS, som beskrevet i kapittel 18. Formålet med cybersikkerhetsstyring er å etablere et forsvarlig beskyttelsesnivå for digitale verdier som modifiserer cyberrisikoen til å bli akseptabel, visualisert som en balanse mellom risikoer og tiltak. Hva som er forsvarlig sikkerhet eller akseptabel risiko, bestemmes og konkretiseres av virksomheten selv, med hensyn til krav fra regelverk, myndigheter, partnere, kunder eller virksomhetens egne policyer.

Cybersikkerhetsstyring betyr styring av alle aktiviteter en virksomhet iverksetter for å opprettholde og forbedre beskyttelsen av sine digitale verdier .

«Cybersikkerhetsstyring» og «styring av cyberrisiko» betyr egentlig det samme (se kapittel 19). Cyberrisiko er en viktig kilde til en virksomhets risiko generelt. Toppledere og virksomhetens styre og eiere må vurdere cyberrisiko sammen med andre risikoer, som finansrisiko og omdømmerisiko.

1 .8 KIT-sikkerhetsmålene

Avsnitt 1.3 presenterte definisjonen av informasjonssikkerhet, som er å opprettholde sikkerhetsmålene konfidensialitet, integritet og tilgjengelighet, forkortet til KIT på norsk og CIA (Confidentiality, Integrity and Availability) på engelsk. KIT-sikkerhetsmålene beskrives nedenfor.

1 8 1

Konfidensialitet

Konfidensialitet er kanskje det sikkerhetsmålet folk først og fremst tenker på i forbindelse med informasjonssikkerhet. Alle organisasjoner og privatpersoner har behov for å beskytte informasjon de besitter, mot tilgang fra uvedkommende. ISO/IEC 27000 gir en enkel definisjon:

«Konfidensialitet er egenskapen at informasjon ikke blir gjort tilgjengelig eller vist til uautoriserte individer, entiteter eller prosesser »

ISO/IEC 27000:2022

Denne definisjonen er i utgangspunktet lett å forstå, men det er likevel viktig å legge merke til begrepet «uautorisert», for hvis det er uklart hvem som er autorisert eller ikke, blir «konfidensialitet» etter denne definisjonen plutselig meningsløst. Her hersker det en del forvirring som det må styres unna, noe vi kommer tilbake til i avsnitt 1.10 om autorisering og tilgangskontroll.

Generelle trusler mot konfidensialitet er datatyveri, begått av eksterne aktører, eller datalekkasje, forårsaket av interne, enten ved uhell eller tilsiktet.

Sikkerhetstiltak som støtter konfidensialitet, er bl.a. følgende:

• brukerautentisering og tilgangskontroll for å beskytte lagret informasjon

• kryptering av data for beskyttelse under lagring eller overføring

• sikkerhetsfunksjoner i operativsystemer for å beskytte informasjon under prosessering

• vakter og fysisk adgangskontroll

Listen over tiltak ovenfor er overhodet ikke uttømmende. En rekke andre tiltak bidrar direkte eller indirekte til å opprettholde konfidensialitet, bl.a. sikkerhetskultur, policyer, prosedyrer og praksis.

1 .8 .2 Dataintegritet

Begrepet «integritet» kan ha ulike betydninger, og særlig to typer integritet er sentrale for informasjonssikkerhet. Vi kaller disse «dataintegritet» og «systemintegritet».

Dataintegritet beskrives her, mens systemintegritet beskrives i neste avsnitt.

En god definisjon av dataintegritet fins i standarden X.800 [6]:

«Integritet er egenskapen at data ikke har blitt endret eller slettet på en uautorisert måte .» X 800

Definisjonen er intuitivt lett å forstå, og er i tråd med definisjonen av konfidensialitet fra ISO/IEC 27000 ved at de begge benytter begrepet «uautorisert». For at definisjonen av integritet fra X.800 skal være funksjonell, er det også essensielt å vite hvem som er autorisert.

Generelle trusler mot dataintegritet er korrupte data, f.eks. forårsaket av eksterne aktører, eller innsidetrusler, enten tilsiktede eller forårsaket av uhell. Uautorisert sletting av data eller uautorisert oppretting eller endring av data og filer utgjør også brudd på dataintegritet. Dataintegritet er i prinsippet ekvivalent med data-autentisitet, for hvis data er endret på en uautorisert måte, er dataene ikke lenger autentiske – eller omvendt: Hvis data mangler autentisitet, er integriteten uviss.

Sikkerhetstiltak som støtter dataintegritet, kan være følgende:

• brukerautentisering og tilgangskontroll for å beskytte lagret informasjon

• kryptering eller kryptografisk sjekksum av data for beskyttelse under lagring eller overføring

• sikkerhetskopier av data

• vakter og fysisk adgangskontroll

Mange av sikkerhetstiltakene for konfidensialitet brukes også for å sikre dataintegritet. Listen over tiltak ovenfor er heller ikke uttømmende. Det finnes en rekke tiltak som kan bidra direkte eller indirekte til å opprettholde dataintegritet.

1 .8 .3

Systemintegritet

En god definisjon av systemintegritet fins i standarden ISO/IEC 27000:2025 [4]:

«Integritet er egenskapen av å opprettholde korrekthet og kompletthet »

ISO/IEC 27000

Denne definisjonen er relativt abstrakt, noe som åpner for tolkning av hva som menes med «kompletthet» og «korrekthet». Definisjonen refererer ikke til autoriserte entiteter, og det er dermed ikke eksplisitt avklart hvem som bestemmer hva som er korrekt og komplett, men det naturlige er at autoriteten er eieren av en digital verdi. Hvis «digital verdi» tolkes som data, dekker definisjonen dataintegritet. Hvis «digital verdi» tolkes som systemer og applikasjoner som prosesserer data, dekker definisjonen systemintegritet, altså at systemer, applikasjoner og nettverkskomponenter har riktig konfigurasjon, korrekt programvare og oppdatert patch-status.

Generelle trusler mot systemintegritet er miskonfigurerte systemer forårsaket av eksterne trusselaktører eller av interne aktører, tilsiktet eller ved et uhell, og utdatert programvare, som kan være forårsaket av mangelfull forvaltning av systemer og programvare. Sikkerhetstiltak for å opprettholde integritet kan være følgende:

• brukerautentisering og tilgangskontroll for alle, og sterk autentisering for admin-brukere

• konfigurasjonsstyring

• endringsledelse

En rekke andre tiltak kan også bidra direkte eller indirekte til å opprettholde systemintegritet.

1 8 4 Tilgjengelighet

Et essensielt sikkerhetsmål for digitale verdier er at de skal være tilgjengelige, for uten tilgjengelighet har IT-systemer ingen nytte. En god definisjon av tilgjengelighet er å finne i ISO/IEC 27000 [4]:

«Tilgjengelighet er egenskapen at data og tjenester er tilgjengelige og anvendbare ved forespørsel fra en autorisert entitet .»

ISO/IEC 27000

Denne boken gir en bred og grunnleggende innføring i fagfeltet cybersikkerhet og dets mange underdomener. Boken er unik ved at den dekker både cyberteknologier og styring av cybersikkerhet.

Bokens primære målgruppe er bachelor- og masterstudenter på studieprogrammerinnencybersikkerhet,digitalsikkerhet,informasjonssikkerhet og risikostyring, og studenter på studieprogrammer innen informatikk og datateknologi som tar emner eller moduler innen cybersikkerhet. Fordi digitaliseringen har gjort cybersikkerhet relevant i mange andre fagområder, er boken også aktuell for studenter på andre studieretninger. Den vil også være nyttig for ansatte i privat næringsliv eller i det offentlige som ønsker å oppdatere sine kunnskaper om cybersikkerhet.

Fagfeltet cybersikkerhet er i rask utvikling. Et viktig nytt kapittel i tredjeutgaven handler om KI og cybersikkerhet, i tillegg til et nytt kapittel om fysisk sikring. Innholdet i alle kapitlene er oppdatert og forbedret for å reflektere de nyeste metodene, standardene og veilederne for cybersikkerhet.

De mange høyprofilerte cyberangrepene som rapporteres i pressen, viser tydelig at cybertrusler forårsaker betydelig forretningsrisiko. Av denne grunn har styring av cybersikkerhet blitt en alvorlig utfordring for global politikk, nasjonal sikkerhet og virksomheter så vel som for privatpersoner. Mens cybersikkerhet tradisjonelt har vært en teknologisk disiplin, har feltet vokst seg så stort og komplekst at forsvarlig styring av cybersikkerhet er nødvendig.

Cybersikkerhet: Teknologier og styring forklarer kompliserte temaer på en klar måte med mange figurer og definerte læringsmål. Øvings- og caseoppgaver finner du både i boken og på bokens nettside.

Audun Jøsang er professor i cybersikkerhet ved UiO og gjesteprofessor ved QUT i Australia. I tillegg til en ph.d i informasjonssikkerhet fra NTNU har han to mastergrader, en i informasjonssikkerhet fra Royal Holloway College, University of London, og en siv.ing.-mastergrad i telekommunikasjon fra NTH.

ISBN 978-82-15-07469-6