__MAIN_TEXT__

Page 1

LEONORA ONARHEIM BERGSJØ KJERSTI BRATTEKÅS JANITA ANDREASSEN BRUVOLL

Digital sikkerhet er høyt prioritert av regjeringen, og i 2019 kom den med en nasjonal strategi for digital sikkerhet. Et viktig kompetansemål i strategien er at digital sikkerhet skal inngå i relevante yrkes- og profesjonsutdanninger.

KRISTIAN MALMKVIST EIE GULLIK GUNDERSEN MARTIN GILJE JAATUN GEIR M. KØIEN BJARTE MALMEDAL NILS AGNE NORDBOTTEN KJELL OL AV NYSTUEN L ASSE ROSENVINGE THOMAS TØMMERNES

ISBN 978-82-15-03422-5

9

788215

034225

DIGITAL SIKKERHET EN INNFØRING

Et sterkt lag av norske fagfolk har derfor skrevet denne grunnleggende læreboken om digital sikkerhet. Boken er lettlest og oppslagsvennlig og gir studentene en innføring i sentrale temaer som sikkerhetskultur, digital etikk, personvern, lover, verdivurdering, risiko, sårbarhet, trusler, autentisering, den kommersielle IKT-sikkerhetsbransjen, overvåking og deteksjon, hendelseshåndtering og opprydding. Dette er sentrale temaer som ikke bare de som tar digital sikkerhet som hovedemne, men også studenter innen ingeniørfag og tekniske fag bør ha kjennskap til.

EIRIK NESBAKKEN

Håkon Bergsjø Ronny Windvik Lasse Øverlier (red.)

Arbeidsplasser, hjem, utdanninger og sosiale arenaer er i stor grad blitt avhengige av IKT-systemer og internett. Overalt i samfunnet er det derfor et økende behov for kompetanse innen digital sikkerhet.

Bidragsytere:

HÅKON BERGSJØ har i en årrekke

arbeidet i Forsvaret og Nasjonal sikkerhetsmyndighet (NSM). Han har hatt flere lederstillinger innen digital sikkerhet og har blant annet ledet NSMs Nasjonale cybersenter. Bergsjø har siden 2019 ledet Felles Cyberkoordineringssenter (FCKS).

RONNY WINDVIK har siden 1999 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han har ledet en rekke forskningsprosjekter innen fagfeltet. Windvik er i dag forskningssjef innen cybersikkerhet og cyberoperasjoner ved FFI.

LASSE ØVERLIER har siden 2002 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han er sjefsforsker og kompetanseansvarlig for IKT-sikkerhet. Han har vært gründer, prosjektleder og IT-sjef i det private og har siden 2002 også undervist i datasikkerhet ved NTNU campus Gjøvik. Han har en ph.d. innen IKT-sikkerhet fra UiO.


LEONORA ONARHEIM BERGSJØ KJERSTI BRATTEKÅS JANITA ANDREASSEN BRUVOLL

Digital sikkerhet er høyt prioritert av regjeringen, og i 2019 kom den med en nasjonal strategi for digital sikkerhet. Et viktig kompetansemål i strategien er at digital sikkerhet skal inngå i relevante yrkes- og profesjonsutdanninger.

KRISTIAN MALMKVIST EIE GULLIK GUNDERSEN MARTIN GILJE JAATUN GEIR M. KØIEN BJARTE MALMEDAL NILS AGNE NORDBOTTEN KJELL OL AV NYSTUEN L ASSE ROSENVINGE THOMAS TØMMERNES

ISBN 978-82-15-03422-5

9

788215

034225

DIGITAL SIKKERHET EN INNFØRING

Et sterkt lag av norske fagfolk har derfor skrevet denne grunnleggende læreboken om digital sikkerhet. Boken er lettlest og oppslagsvennlig og gir studentene en innføring i sentrale temaer som sikkerhetskultur, digital etikk, personvern, lover, verdivurdering, risiko, sårbarhet, trusler, autentisering, den kommersielle IKT-sikkerhetsbransjen, overvåking og deteksjon, hendelseshåndtering og opprydding. Dette er sentrale temaer som ikke bare de som tar digital sikkerhet som hovedemne, men også studenter innen ingeniørfag og tekniske fag bør ha kjennskap til.

EIRIK NESBAKKEN

Håkon Bergsjø Ronny Windvik Lasse Øverlier (red.)

Arbeidsplasser, hjem, utdanninger og sosiale arenaer er i stor grad blitt avhengige av IKT-systemer og internett. Overalt i samfunnet er det derfor et økende behov for kompetanse innen digital sikkerhet.

Bidragsytere:

HÅKON BERGSJØ har i en årrekke

arbeidet i Forsvaret og Nasjonal sikkerhetsmyndighet (NSM). Han har hatt flere lederstillinger innen digital sikkerhet og har blant annet ledet NSMs Nasjonale cybersenter. Bergsjø har siden 2019 ledet Felles Cyberkoordineringssenter (FCKS).

RONNY WINDVIK har siden 1999 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han har ledet en rekke forskningsprosjekter innen fagfeltet. Windvik er i dag forskningssjef innen cybersikkerhet og cyberoperasjoner ved FFI.

LASSE ØVERLIER har siden 2002 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han er sjefsforsker og kompetanseansvarlig for IKT-sikkerhet. Han har vært gründer, prosjektleder og IT-sjef i det private og har siden 2002 også undervist i datasikkerhet ved NTNU campus Gjøvik. Han har en ph.d. innen IKT-sikkerhet fra UiO.


Digital sikkerhet

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 1

19.02.2020 10:02


9788215034225_Bergsjø mfl_Digital sikkerhet.indd 2

19.02.2020 10:02


Håkon Bergsjø, Ronny Windvik og Lasse Øverlier (red.)

Digital sikkerhet En innføring

universitetsforlaget

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 3

19.02.2020 10:02


© Universitetsforlaget 2020 ISBN 978-82-15-03422-5 Materialet i denne publikasjonen er omfattet av åndsverklovens bestemmelser. Uten særskilt avtale med rettighetshaverne er enhver eksemplarfremstilling og tilgjengeliggjøring bare tillatt i den utstrekning det er hjemlet i lov eller tillatt gjennom avtale med Kopinor, interesseorgan for rettighetshavere til åndsverk. Utnyttelse i strid med lov eller avtale kan medføre erstatningsansvar og inndragning og kan straffes med bøter eller fengsel. Henvendelser om denne utgivelsen kan rettes til: Universitetsforlaget AS Postboks 508 Sentrum 0105 Oslo www.universitetsforlaget.no Omslag: Cecilie Mohr Sats: ottaBOK Trykk: 07 Media – 07.no Innbinding: Bokbinderiet Johnsen AS Boken er satt med: Times LT Std 10,5/14 Papir: 100 g Arctic Matt

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 4

19.02.2020 10:02


Innhold

Forord. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Kapittel 1 Introduksjon til digital sikkerhet . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Ronny Windvik 1.1 Digitalisering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2 Sikkerhet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3 Sikkerhetsmål. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.1 Konfidensialitet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.2 Integritet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.3.3 Tilgjengelighet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4 Kryptografi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.1 Krypteringsnøkler. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.2 Symmetrisk kryptering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.3 Asymmetrisk kryptering. . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.4 Hash-funksjoner . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.4.5 MAC-funksjoner. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

19 19 21 21 22 22 24 25 26 27 29 30 31 32 32

Kapittel 2 Sikkerhetskultur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 Bjarte Malmedal 2.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2 Hva er kultur?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3 Digital sikkerhetskultur. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4 Digital sikkerhetskultur – grunnleggende faktorer . . . . . . . . . . . . . . 2.4.1 Fellesskap. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.2 Styring og kontroll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.3 Tillit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

33 34 35 35 37 37 38

5

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 5

19.02.2020 10:02


Innhold

2.4.4 Risikooppfattelse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.5 Optimisme for teknologi og digitalisering . . . . . . . . . . . . . . 2.4.6 Kompetanse. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.4.7 Interesse for teknologi og IT. . . . . . . . . . . . . . . . . . . . . . . . . 2.4.8 Adferdsmønstre. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.5 Forandre en digital sikkerhetskultur . . . . . . . . . . . . . . . . . . . . . . . . . 2.6 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

39 40 40 41 42 43 44 46 46

Kapittel 3 Sikkerhet i et digital-etisk perspektiv. . . . . . . . . . . . . . . . . . . . . . . 47 Leonora Onarheim Bergsjø 3.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.1.1 Etikk, dilemmaer og ny teknologi. . . . . . . . . . . . . . . . . . . . . 3.2 Digital etikk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.1 Er ikke teknologien nøytral?. . . . . . . . . . . . . . . . . . . . . . . . . 3.2.2 Når algoritmene får bestemme. . . . . . . . . . . . . . . . . . . . . . . 3.2.3 Teknologi som utfordrer. . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2.4 Digital-etisk refleksjon over ny teknologi. . . . . . . . . . . . . . . 3.3 Digital-etiske vurderinger . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3.1 Digital-etisk risikovurdering. . . . . . . . . . . . . . . . . . . . . . . . . 3.3.2 Lovlig, etisk og robust teknologi . . . . . . . . . . . . . . . . . . . . . 3.3.3 Etiske prinsipper for god teknologi. . . . . . . . . . . . . . . . . . . . 3.3.4 Verdier i konflikt. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4 Etikk i et globalt perspektiv. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1 Etikk er gresk for meg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.2 Reflektert etikk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.3 Applisert etikk. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.4 Moralske maskiner? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.5 Hva slags samfunn vil vi ha? . . . . . . . . . . . . . . . . . . . . . . . . 3.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47 48 49 49 50 51 52 53 53 54 55 56 56 57 57 58 59 60 61 61 62

Kapittel 4 Identifikasjon, autentisering og aksesskontroll . . . . . . . . . . . . . . . 63 Geir M. Køien 4.1 Innledning – tillit og usikkerhet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 En tankevekker – nordmenn er elendige på passord. . . . . . . 4.1.2 Om behovet for identifikasjon og autentisering . . . . . . . . . . 4.1.3 Personer og prosesser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

63 63 63 64

6

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 6

19.02.2020 10:02


Innhold

4.1.4 Sjekking av identitet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.1.5 Sjekking av rettigheter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2 Identifikatorer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2.1 Entiteter, identitet og identifikatorer. . . . . . . . . . . . . . . . . . . 4.2.2 Egenskaper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3 Autentisering og kryptografiske nøkler. . . . . . . . . . . . . . . . . . . . . . . 4.3.1 Angripere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.2 Ærlige deltakere . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.3 Grenser for tillit. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.4 Typer av autentisering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.5 Faktorer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.6 Autentiseringsprotokoller. . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.7 Et autentiseringseksempel. . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4 Sikker tilstand . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.1 Om å etablere sikker tilstand («security context»). . . . . . . . 4.4.2 Levetider. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.3 Lengder. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4.4 Nøkkelhierarki . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5 Autorisasjon og aksesskontroll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1 Autorisasjon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.2 Rettigheter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.3 Klarering og autorisasjon . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.4 Aksesskontroll. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.5 Sikkerhetsfilosofi. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.6 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

65 65 65 65 67 67 68 68 68 69 70 71 72 75 75 76 76 77 78 78 78 79 80 81 82 83 84

Kapittel 5 Digitalt personvern, ID-tyveri og anonymitet. . . . . . . . . . . . . . . . . 85 Lasse Øverlier 5.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2 Digitalt personvern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.1 Overvåkning og informasjonskilder. . . . . . . . . . . . . . . . . . . 5.2.2 Personverninvaderende teknologier . . . . . . . . . . . . . . . . . . . 5.2.3 Datamaskin på Internett . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.4 Smarttelefon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.5 «Smartbil». . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.2.6 Sosial kredittverdighet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.3 Identitetstyveri. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4 Anonymitet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

85 86 87 88 93 94 95 95 96 98

7

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 7

19.02.2020 10:02


Innhold

5.4.1 Digital anonymitet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.4.2 Nettanonymitet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

100 101 105 106 107

Kapittel 6 Lover og ansvar. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 Gullik Gundersen 6.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1 Hvorfor jus i en bok om digital sikkerhet?. . . . . . . . . . . . . . 6.1.2 Generelt om rettslig regulering av digital sikkerhet. . . . . . . 6.2 Personopplysningsloven og personvernforordningen . . . . . . . . . . . . 6.2.1 Introduksjon til personvern. . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2 Informasjonssikkerhet og personvern. . . . . . . . . . . . . . . . . . 6.2.3 Prinsipper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3 Sikkerhetsloven . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.4 Ansvar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5 Felles regler. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.5.1 Dokumentert sikkerhetsstyring. . . . . . . . . . . . . . . . . . . . . . . 6.5.2 Risikostyring og risikovurdering. . . . . . . . . . . . . . . . . . . . . 6.5.3 Avvikshåndtering og -rapportering. . . . . . . . . . . . . . . . . . . . 6.6 Særregler for behandling av personopplysninger . . . . . . . . . . . . . . . 6.6.1 Vurdering av personvernkonsekvenser. . . . . . . . . . . . . . . . . 6.6.2 Innebygd personvern. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.7 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

109 110 110 112 112 113 114 117 120 120 120 121 123 123 123 124 125 126 126

Kapittel 7 Sårbarheter i IKT-systemer. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129 Nils Agne Nordbotten 7.1 Inneldning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Hva er en sårbarhet?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3 Ulike typer sårbarheter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.1 Eksempel 1: Mulige sårbarheter ved bruk av tjeneste over Internett. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3.2 Eksempel 2: Sårbarheter i trådløse nettverk. . . . . . . . . . . . . 7.4 Hvordan kan man redusere sårbarheten i egne systemer?. . . . . . . . . 7.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

129 130 134 134 137 139 141 142 142

8

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 8

19.02.2020 10:02


Innhold

Kapittel 8 Trusler og etterretning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 Kristian Malmkvist Eie 8.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2 Begreper. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.1 Hva er en trussel? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2.2 Hva er forskjellen på en bevisst og en ubevisst trussel?. . . . 8.2.3 Hvilke faktorer utgjør en trussel?. . . . . . . . . . . . . . . . . . . . . 8.2.4 Hva eller hvem er en trusselaktør?. . . . . . . . . . . . . . . . . . . . 8.2.5 Hva betyr Advanced Persistent Threat (APT)?. . . . . . . . . . . 8.2.6 Forskjellen på data, informasjon og etterretning . . . . . . . . . 8.3 Digital trusseletterretning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.1 Fire sentrale ferdigheter . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.2 Etterretning som prosess. . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3.3 Etterretning som produkt . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4 Å handle basert på etterretning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

145 146 147 148 148 151 154 155 156 157 161 166 179 181 182 182

Kapittel 9 Funksjonsbasert risikovurdering. . . . . . . . . . . . . . . . . . . . . . . . . . . 185 Janita A. Bruvoll, Kjersti Brattekås og Kjell Olav Nystuen

9.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.2 Hva er risiko?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3 Standardisert risikovurdering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4 Hva er systemet og funksjonene, og hvem skal ha kjennskap til det?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4.1 Verdier og avhengighet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.5 Funksjonsbasert tilnærming til risiko. . . . . . . . . . . . . . . . . . . . . . . . . 9.5.1 Kritiske samfunnsfunksjoner og infrastrukturer. . . . . . . . . . 9.5.2 Jernbanen – et eksempel. . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.5.3 Resiliente funksjoner / resiliens . . . . . . . . . . . . . . . . . . . . . . 9.6 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

185 188 190 193 193 194 195 196 198 200 201 201

Kapittel 10 Den kommersielle IKT-sikkerhetsbransjen. . . . . . . . . . . . . . . . . . 203 Thomas Tømmernes 10.1 En bransje i endring. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 10.2 Kommersiell IKT-kriminalitet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

9

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 9

19.02.2020 10:02


Innhold

10.3 IKT-sikkerhetsbransjen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.1 Produsenter. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.2 Distributører . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.3.3 Salg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.4 Fra statusanalyse til avhending . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

207 207 209 209 210 213 215 215

Kapittel 11 Programvaresikkerhet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 Martin Gilje Jaatun 11.1 Hva er programvaresikkerhet?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Alle feil er ikke født like . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3 Måling av sikkerhet. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.1 Arkitekturanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.3.2 Penetrasjonstesting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.4 OWASP Top Ten . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.5 Unngå designfeller. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.6 Kan små virksomheter ha en programvaresikkerhetsgruppe?. . . . . . 11.7 Lisens til å kode?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.8 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

217 219 220 222 225 225 227 228 229 230 230 230

Kapittel 12 Sikkerhetsovervåkning og deteksjon . . . . . . . . . . . . . . . . . . . . . . 233 Lasse Rosenvinge og Eirik Nesbakken 12.1 Kunnskap og visibilitet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2 Deteksjonsteknologier. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.1 Nettverk – NIDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.2 Nettverk – logger fra brannmur . . . . . . . . . . . . . . . . . . . . . . 12.2.3 Nettverk – flowdata (trafikkdata). . . . . . . . . . . . . . . . . . . . . 12.2.4 Nettverk – Passiv DNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.5 Nettverk – Passiv TLS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.6 Nettverk – webtrafikklogg – HTTP-logg . . . . . . . . . . . . . . . 12.2.7 Nettverk – e-postlogg. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.8 Klient og server – PC og serverlogger . . . . . . . . . . . . . . . . . 12.2.9 Klient og server – HIDS. . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.10 Dataanalyse – filanalyse ved hjelp av sandkasse . . . . . . . . .

234 237 239 241 241 243 244 246 247 248 249 252

10

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 10

19.02.2020 10:02


Innhold

12.2.11 Dataanalyse – Security Information and Event Management – SIEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.2.12 Anomali – anomalideteksjon . . . . . . . . . . . . . . . . . . . . . . . . 12.3 Sikkerhetsovervåkning. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.4 Deteksjonsevne . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12.5 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

256 259 261 262 265 266 266

Kapittel 13 Hendelseshåndtering og opprydding. . . . . . . . . . . . . . . . . . . . . . 267 Håkon Bergsjø

13.1 Innledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2 De ulike trinnene. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2.1 Forbered virksomheten på håndtering av hendelser (trinn 1). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13.2.2 Vurdering og kategorisering (trinn 2). . . . . . . . . . . . . . . . . . 13.2.3 Kontrollere og håndtere hendelsen (trinn 3). . . . . . . . . . . . . 13.2.4 Evaluering og læring (trinn 4). . . . . . . . . . . . . . . . . . . . . . . . 13.3 Oppsummering og tips. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Oppgaver. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Referanser. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

267 269 269 270 272 276 277 278 278

Engelsk-norsk ordliste. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 Forfatteromtaler. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 Stikkordregister. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 285

11

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 11

19.02.2020 10:02


9788215034225_Bergsjø mfl_Digital sikkerhet.indd 12

19.02.2020 10:02


Forord

Den 30. januar 2019 lanserte regjeringen en ny nasjonal strategi for digital sikkerhet samt en nasjonal strategi for digital sikkerhetskompetanse. Strategiene skal møte de utfordringene som samfunnet står overfor som følge av en hurtig og gjennomgående digitalisering. For å møte sikkerhetsutfordringene legger strategien følgende fem overordnede mål til grunn: 1) forebyggende digital sikkerhet, 2) digital sikkerhet i kritiske samfunnsfunksjoner, 3) styrket sikkerhetskompetanse, 4) avdekke og håndtere digitale angrep og 5) bekjempe data- og IKT-relatert kriminalitet. Formålet med denne boken er å bidra til målet om styrket digital sikkerhetskompetanse i utdanningen. Målgruppen for boken er studenter som tar utdanninger på fagområder der IKT har en sentral rolle, og hvor det da vil være behov for digital sikkerhetskompetanse. Dette inkluderer flere yrkes- og profesjonsutdanninger, og denne boken fokuserer på utdanningene ingeniør og informasjons- og datateknologi. Til boken er det invitert norske fagfolk for å skrive om sentrale temaer innen digital sikkerhet som en frivillig digital sikkerhetsdugnad. Alle forfattere og redaktører skriver denne boken uten noen form for kompensasjon eller godtgjøring gjennom å donere alle sine inntekter fra boken til gode formål innen digital sikkerhet. Dette er et felles bidrag fra oss for å løfte kompetansen innenfor digital sikkerhet i Norge. Først gir Ronny Windvik en introduksjon til digital sikkerhet, deretter skriver Bjarte Malmedal om digital sikkerhetskultur, Leonora Onarheim ­Bergsjø om sikkerhet og digital etikk, Geir M. Køien om identifikasjon, autentisering og aksesskontroll, Lasse Øverlier om personvern, ID-tyveri og anonymitet samt Gullik Gundersen om lover og ansvar. Videre skriver Nils Agne Nordbotten om sårbarheter i IKT-systemer, Kristian Malmkvist Eie om trusler og etterretning og Janita Andreassen Bruvoll, Kjersti Brattekås og Kjell Olav Nystuen om funksjonsbasert risikovurdering. Til slutt skriver Thomas Tømmernes om den kommersielle IKT-sikkerhetsbransjen, Martin Gilje Jaatun om program­varesikkerhet, Lasse R ­ osenvinge og Eirik Nesbakken om sikkerhetsovervåkning og deteksjon og Håkon Bergsjø om hendelseshåndtering og opprydding.

13

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 13

19.02.2020 10:02


Forord

Mange personer har hjulpet oss med å realisere denne boken, og uten deres hjelp hadde du ikke lest dette. Takk til Universitetsforlaget, og spesielt forlagsredaktør Eli Valheim. Takk til fagkonsulent Geir Olav Dyrkolbotn for mange gode kommentarer til manus. Takk for råd, tips, kommentarer og støtte: Daniela Soares Cruzes, Monica Endregard, Stig Rune Sellevåg, Trine Dunker Windvik, Federico Mancini, Ulrik F. Thyve, Vegard Kjærstad, Ane Svensli, Simon Berg og Katharine Cecilia Williams. Boken har en egen nettside med læringsressurser for studenter og forelesere. Her finner du blant annet presentasjoner til hvert kapittel, nyttige lenker og eksempler. Adressen til læringsressursene er: https://nettressurser.no/digitalsikkerhet. Oslo, februar 2020 Håkon Bergsjø, Ronny Windvik og Lasse Øverlier

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 14

19.02.2020 10:02


1

Introduksjon til digital sikkerhet Ronny Windvik

Læringsmål: Forstå behovet for kompetanse innen digital sikkerhet. Kjenne til sikkerhets­målene konfidensialitet, integritet og tilgjengelighet. Kjenne til grunnleggende kryptografi.

Alle som bruker digitale enheter og tjenester, utsetter seg for digitale trusler. Kriminelle bryter seg inn i datasystemer og stjeler informasjon de for eksempel kan selge eller bruke til å tappe kredittkortet ditt. Når de ikke klarer å bryte seg inn gjennom den tekniske sikkerheten, manipulerer eller presser de deg til å gjøre som de vil. Statlige trusselaktører prøver hele tiden å spionere på eller påvirke ulike deler av samfunnet vårt, og veien går ofte gjennom mennesker eller sårbar teknologi. I et digitalisert samfunn er dette noe alle må forholde seg til, enten som privatperson eller som ansatt i norske virksomheter. La oss ta et eksempel som har skjedd flere ganger de senere årene. Hvert år vil mange nordmenn motta falske e-poster og SMS-er når skattemeldingen og skatteoppgjøret sendes ut. E-postene og SMS-ene utgir seg for å være fra Skatteetaten eller kemneren, med varsel om restskatt eller tilgodehavende. Ved å trykke på en vedlagt lenke, blir en falsk innloggingsside for Skatteetaten åpnet i nettleseren, og her forsøker de kriminelle å lure ut mest mulig opplysninger fra ofrene. I noen tilfeller har e-postene også et vedlegg, som for eksempel forsøker å utnytte en sårbarhet i PDF-leseren for å få kontroll over PC-en til offeret. E-postene, SMS-ene, vedleggene og de falske nettsidene er ofte godt laget, og virker derfor legitime. Det er da ikke rart at privatpersoner og virksomheter hvert år blir svindlet av denne metoden, og metoden er nær risikofri for de kriminelle. De kriminelle utnytter her både menneskelige og teknologiske sårbarheter, og digital sikkerhet handler om tiltak som beskytter mot begge. Studenter må med an-

15

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 15

19.02.2020 10:02


Kapittel 1 Introduksjon til digital sikkerhet

dre ord forstå både de menneskelige og teknologiske sidene ved digital sikkerhet, og målet er at denne boken skal bidra til det. Kapittel 1  – Introduksjon til digital sikkerhet  – definerer sentrale begreper som digi­tal sikkerhet, konfidensialitet, integritet og tilgjengelighet. Det gis også en grunnleggende introduksjon til kryptografi, som er nødvendig for å forstå kapitlene som beskriver bruken av kryptografi for blant annet å beskytte informasjon mot innsyn eller modifikasjon. Kapittel 2 – Sikkerhetskultur – omhandler hvordan man på jobben (ledere og medarbeidere) og privat kan bidra til en god sikkerhetskultur. I eksempelet med Skatteetaten utnyttes menneskelige sårbarheter til å lure mottakerne til å åpne vedlegget eller gi fra seg informasjon til den falske nettsiden. En god sikkerhetskultur, basert på blant annet opplæring og bevisstgjøring, setter de ansatte i stand til å ta sikre valg på arbeidsplassen, som å ikke åpne vedlegget eller gi fra seg informasjon. Kapittel 3 – Sikkerhet og digital etikk – omhandler hvordan teknologiske løsninger gjenspeiler ulike verdisett og etiske prinsipper, hvilken sosial påvirkning teknologi kan ha og hva det vil si å sikre god, robust utvikling i teknisk og sosial forstand. Et viktig spørsmål her er hva som kjennetegner dataløsninger som er sikre i både teknisk og etisk forstand. I eksempelet med Skatteetaten kunne brukerne i teorien vært bedre beskyttet hvis stat/kommune kjente deres brukermønstre inngående. Ved å analysere mønstre i brukerens anvendelse av kommunale og statlige internettjenester og lignende, kunne Skatteetaten raskt oppdaget avvik og identifisert om andre enn brukeren logget inn. Spørsmålet er om vi ønsker at Skatteetaten skal ha en slik inngående brukerkjennskap og om det sikrer gode sikkerhetsløsninger? Kapittel 4 – Identifikasjon, autentisering og aksesskontroll – omhandler våre forskjellige identiteter på nett, hvordan IKT-systemer verifiserer påstått identitet og hvordan aksesskontroll fungerer. I eksempelet blir mottakerne lurt til å oppgi blant annet brukernavn og passord til en falsk nettside, noe de kriminelle senere bruker til å få aksess til ofrenes opplysninger hos Skatteetaten. Bruk av tofaktorautentisering vil gjøre det vanskeligere for de kriminelle å logge inn, og det er derfor tofaktorautentisering fremheves som et av de viktigste sikkerhetstiltakene innen digital sikkerhet. Kapittel 5 – Digitalt personvern, ID-tyveri og anonymitet – omhandler utfordringene mellom personvern og samfunnets behov for tilgang til informasjon, faren for og beskyttelse mot ID-tyveri, og det gis en introduksjon til anonymitet på nett. Kapittelet tar også opp utfordringer for personvernet, tips om hva som er lurt for å motvirke ID-tyveri, hvordan det er mulig å være anonym på nett samt hvorfor det

16

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 16

19.02.2020 10:02


Kapittel 1 Introduksjon til digital sikkerhet

ikke er mulig å overvåke bare «de som bør overvåkes». I eksempelet vises et mulig scenario av hvordan bedrifter faktisk kan ta i bruk teknologien dersom vi ikke hadde hatt reguleringer, personvern og lover. Kapittel 6 – Lover og ansvar – omhandler hvordan rettslig regulering stiller krav til digital sikkerhet og hvilket ansvar eiere av IKT-systemer har. Som eier og bruker av IKT-systemer er det viktig å ha kjennskap til personopplysningsloven og annen rettslig regulering av digital sikkerhet. I eksempelet behandler Skatteetaten personopplysninger, og de er underlagt personopplysningsloven. Sammen med annet regelverk gir dette en del føringer for hvordan Skatteetaten forplikter seg til å beskytte brukernes personopplysninger, men personopplysningsloven legger også føringer på hva Skatteetaten kan bruke opplysningene til. Kapittel 7 – Sårbarheter i IKT-systemer – omhandler ulike typer sårbarheter, potensielle konsekvenser av disse og hva man kan gjøre for å redusere sårbarheten i egne IKT-systemer. I eksempelet utnytter de kriminelle en sårbarhet i PDF-leseren for å få kontroll over PC-en til offeret. Kompetanse om hvordan man reduserer sårbarheter i egne IKT-systemer er derfor viktig for alle innen digital sikkerhet. Kapittel 8 – Trusler og etterretning – omhandler hvilke trusler som finnes på Internett og hvordan man gjennom etterretning kartlegger og vurderer trusselaktørene. Kompetanse om de forskjellige trusselaktørene og hvordan de arbeider er viktig for å kunne gjøre gode risikovurderinger og gjenkjenne kriminell aktivitet. I eksempelet bør brukerne og Skatteetaten vite om denne typen IKT-kriminalitet, og blant annet varsle hverandre om de mistenkelige e-postene og SMS-ene. Kapittel 9 – Funksjonsbasert risikovurdering – omhandler risikovurderinger med utgangspunkt i systemers funksjonalitet innen digital sikkerhet. Alle virksomheter bør gjennomføre risikovurderinger, og mange av leserne av denne boken bør derfor forvente at de må bidra inn i slike prosesser hos sine fremtidige arbeidsgivere. I eksempelet bør beskyttelsestiltak som iverksettes hos Skatteetaten være basert på resultatet av helhetlige risikovurderinger. Skatteetaten skal levere en funksjon, for eksempel å sikre finansiering til velferdssamfunnet, og må dermed identifisere hvilke verdier og systemer de er avhengige av for å levere denne funksjonen. Kapittel 10 – Den kommersielle IKT-sikkerhetsbransjen – omhandler hvordan bransjen jobber med å levere digital sikkerhet til norske virksomheter. Mange virksomheter i Norge kjøper produkter og tjenester innen digital sikkerhet, og må derfor forholde seg til denne bransjen. I eksempelet vil blant annet rådgivning innen risikovurdering og de tekniske beskyttelsestiltakene kunne leveres av IKT-sikkerhetsbransjen.

17

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 17

19.02.2020 10:02


Kapittel 1 Introduksjon til digital sikkerhet

Kapittel 11  – Programvaresikkerhet  – omhandler forskjellen mellom sikkerhetsfunksjonalitet og sikker funksjonalitet, samt hva de vanligste sikkerhetsfeilene er i programvare. Dette kapittelet fokuserer på digital sikkerhet hos de som utvikler programvare. Mange virksomheter i Norge utvikler programvare selv, og da ofte til intern bruk. I eksempelet er det viktig at Skatteetaten utvikler sikker programvare og kan stille krav om sikker funksjonalitet til de som utvikler programvare for seg. Kapittel  12  – Sikkerhetsovervåking og deteksjon  – omhandler sikkerhetsovervåking av IKT-systemer og deteksjon av datainnbrudd. Kapittelet fokuserer på overvåkning og deteksjon i data fra nettverkstrafikk, fra datamaskiner og fra tjenester i skyen. Sikkerhetsovervåking og deteksjon er i økende grad utfordrende på grunn av de store datamengdene og kryptering. I eksempelet vil et sikkerhetssystem kunne detektert at PC-en ble tatt over av kriminelle via sårbarheten i PDF-leseren, og varslet brukeren eller IKT-drift om dette. Kapittel 13 – Hendelseshåndtering og opprydding – omhandler hvordan datainnbrudd skal håndteres på en sikker og effektiv måte. Spørsmålet kapittelet bidrar til å svare på er: Hva bør du gjøre hvis virksomheten du arbeider i blir utsatt for et alvorlig datainnbrudd? I eksempelet kan de kriminelle ha fått tilgang til sensitive personopplysninger og bedriftshemmeligheter gjennom sårbarheten i PDF-leseren hvis vedlegget ble åpnet på en datamaskin på jobben. Bør virksomheten skru av samtlige datamaskiner? Bør hendelsen anmeldes? Bør virksomheten offentliggjøre hendelsen i mediene?

Digital sikkerhet handler om beskyttelse av «alt» som er sårbart fordi det er koblet til eller på annen måte er avhengig av informasjons- og kommunikasjonsteknologi (JD, 2019). I boken brukes digital sikkerhet synonymt med begrepene datasikkerhet og IKT-sikkerhet.

Informasjonssikkerhet handler om at informasjonen ikke blir kjent for uved­ kommende, at informasjonen ikke blir endret utilsiktet eller av uved­kommende og at informasjonen er tilgjengelig for autoriserte ved behov (Datatilsynet, 2018). Informasjonssikkerhet inkluderer både informasjon i IKT-systemer og informasjon utenfor IKT-systemer, som papirer i en safe. Digital sikkerhet bidrar til informasjonssikkerhet.

18

9788215034225_Bergsjø mfl_Digital sikkerhet.indd 18

19.02.2020 10:02


LEONORA ONARHEIM BERGSJØ KJERSTI BRATTEKÅS JANITA ANDREASSEN BRUVOLL

Digital sikkerhet er høyt prioritert av regjeringen, og i 2019 kom den med en nasjonal strategi for digital sikkerhet. Et viktig kompetansemål i strategien er at digital sikkerhet skal inngå i relevante yrkes- og profesjonsutdanninger.

KRISTIAN MALMKVIST EIE GULLIK GUNDERSEN MARTIN GILJE JAATUN GEIR M. KØIEN BJARTE MALMEDAL NILS AGNE NORDBOTTEN KJELL OL AV NYSTUEN L ASSE ROSENVINGE THOMAS TØMMERNES

ISBN 978-82-15-03422-5

9

788215

034225

DIGITAL SIKKERHET EN INNFØRING

Et sterkt lag av norske fagfolk har derfor skrevet denne grunnleggende læreboken om digital sikkerhet. Boken er lettlest og oppslagsvennlig og gir studentene en innføring i sentrale temaer som sikkerhetskultur, digital etikk, personvern, lover, verdivurdering, risiko, sårbarhet, trusler, autentisering, den kommersielle IKT-sikkerhetsbransjen, overvåking og deteksjon, hendelseshåndtering og opprydding. Dette er sentrale temaer som ikke bare de som tar digital sikkerhet som hovedemne, men også studenter innen ingeniørfag og tekniske fag bør ha kjennskap til.

EIRIK NESBAKKEN

Håkon Bergsjø Ronny Windvik Lasse Øverlier (red.)

Arbeidsplasser, hjem, utdanninger og sosiale arenaer er i stor grad blitt avhengige av IKT-systemer og internett. Overalt i samfunnet er det derfor et økende behov for kompetanse innen digital sikkerhet.

Bidragsytere:

HÅKON BERGSJØ har i en årrekke

arbeidet i Forsvaret og Nasjonal sikkerhetsmyndighet (NSM). Han har hatt flere lederstillinger innen digital sikkerhet og har blant annet ledet NSMs Nasjonale cybersenter. Bergsjø har siden 2019 ledet Felles Cyberkoordineringssenter (FCKS).

RONNY WINDVIK har siden 1999 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han har ledet en rekke forskningsprosjekter innen fagfeltet. Windvik er i dag forskningssjef innen cybersikkerhet og cyberoperasjoner ved FFI.

LASSE ØVERLIER har siden 2002 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han er sjefsforsker og kompetanseansvarlig for IKT-sikkerhet. Han har vært gründer, prosjektleder og IT-sjef i det private og har siden 2002 også undervist i datasikkerhet ved NTNU campus Gjøvik. Han har en ph.d. innen IKT-sikkerhet fra UiO.


LEONORA ONARHEIM BERGSJØ KJERSTI BRATTEKÅS JANITA ANDREASSEN BRUVOLL

Digital sikkerhet er høyt prioritert av regjeringen, og i 2019 kom den med en nasjonal strategi for digital sikkerhet. Et viktig kompetansemål i strategien er at digital sikkerhet skal inngå i relevante yrkes- og profesjonsutdanninger.

KRISTIAN MALMKVIST EIE GULLIK GUNDERSEN MARTIN GILJE JAATUN GEIR M. KØIEN BJARTE MALMEDAL NILS AGNE NORDBOTTEN KJELL OL AV NYSTUEN L ASSE ROSENVINGE THOMAS TØMMERNES

ISBN 978-82-15-03422-5

9

788215

034225

DIGITAL SIKKERHET EN INNFØRING

Et sterkt lag av norske fagfolk har derfor skrevet denne grunnleggende læreboken om digital sikkerhet. Boken er lettlest og oppslagsvennlig og gir studentene en innføring i sentrale temaer som sikkerhetskultur, digital etikk, personvern, lover, verdivurdering, risiko, sårbarhet, trusler, autentisering, den kommersielle IKT-sikkerhetsbransjen, overvåking og deteksjon, hendelseshåndtering og opprydding. Dette er sentrale temaer som ikke bare de som tar digital sikkerhet som hovedemne, men også studenter innen ingeniørfag og tekniske fag bør ha kjennskap til.

EIRIK NESBAKKEN

Håkon Bergsjø Ronny Windvik Lasse Øverlier (red.)

Arbeidsplasser, hjem, utdanninger og sosiale arenaer er i stor grad blitt avhengige av IKT-systemer og internett. Overalt i samfunnet er det derfor et økende behov for kompetanse innen digital sikkerhet.

Bidragsytere:

HÅKON BERGSJØ har i en årrekke

arbeidet i Forsvaret og Nasjonal sikkerhetsmyndighet (NSM). Han har hatt flere lederstillinger innen digital sikkerhet og har blant annet ledet NSMs Nasjonale cybersenter. Bergsjø har siden 2019 ledet Felles Cyberkoordineringssenter (FCKS).

RONNY WINDVIK har siden 1999 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han har ledet en rekke forskningsprosjekter innen fagfeltet. Windvik er i dag forskningssjef innen cybersikkerhet og cyberoperasjoner ved FFI.

LASSE ØVERLIER har siden 2002 jobbet som forsker innen datasikkerhet ved Forsvarets forskningsinstitutt (FFI), hvor han er sjefsforsker og kompetanseansvarlig for IKT-sikkerhet. Han har vært gründer, prosjektleder og IT-sjef i det private og har siden 2002 også undervist i datasikkerhet ved NTNU campus Gjøvik. Han har en ph.d. innen IKT-sikkerhet fra UiO.

Profile for Universitetsforlaget

Digital sikkerhet  

Et sterkt lag av norske fagfolk har skrevet denne grunnleggende læreboken om digital sikkerhet. Boken er lettlest og oppslagsvennlig og gir...

Digital sikkerhet  

Et sterkt lag av norske fagfolk har skrevet denne grunnleggende læreboken om digital sikkerhet. Boken er lettlest og oppslagsvennlig og gir...