Taggat med: HSM

IT-säkerhetskonferens C2 17 – Förmiddag

Detta är en sammanställning från IT-säkerhetskonferensen Command & Control 2017 förmiddag. Eftermiddagens sammanställning hittar du här

C2 17 har en PANIK-knapp
Klart det finns en PANIK-knapp

Dagens IT-säkerhetskonferens Command & Control ’17 börjar med mingel och frukost samt kaffe i den underbara lokalen Bygget och jag träffar på gamla och nya bekanta i branschen. Efter kaffe och smörgås håller dagens moderatorer Anne-Marie Eklund Löwinder och Åsa Schwarz en introduktion, formalia och genomgång av dagens program.

Kontrollen över internet

Anne-Marie Eklund Löwinder, CISO på IIS

Anne-Marie Eklund Löwinder

Anne-Marie berättar att .se-zonen var den första i världen som började att använda DNSSEC. Olika svagheter i DNS har successivt lett till att DNSSEC har ökat sin penetration bland toppdomäner.

Efter många och långa påtryckningar mot ICANN så blir rotzonen signerad vid den första ceremonin Juni 2010. Anne-Marie berättar om ICANN och IANA som sköter den operativa driften av systemet för signering. Det sker även kontroller i enlighet med 27002:2013 samt NIST SP 800-53 “High Impact system”.

Även så berättar Amel om ansökningsförfarandet och hur hon fick ansöka om att bli en av personerna som har hand om nyckeln för rotzonen. Tre personer skulle bl.a. gå i god för att hon var en bra person. Fysisk säkerhet vid själva ceremonierna är otroligt viktig och åtskilliga lager av fysisk säkerhet finnes.

aep används som hårdvarusäkerhetsmodul (HSM) tillsammans med smarta korta, 7 st TCR:er används.

Alla nycklar har ett bäst-före-datum och om problem uppstår så att nyckelpersoner inte kan ta sig till ceremonin så finns det tre olika fallback-rutiner. Minst tre av sju krypto-officerare måste ha möjlighet att närvara.

Ansvar är bästa försvar – styrkan i de tre försvarslinjerna

Karin Winberg, internrevisor på Riksbanken 

Karin Winberg

Föredraget handlar om ett ramverk som baseras på COSO:s principer om kontroll och uppföljning. Karin delar upp detta i tre försvarslinjer:

  1. Verksamheten och stödfunktioner – 90% av alla medarbetare. Rapporterar till VD
  2. Riskkontroll, regelefterlevnad – 9% av alla medarbetare. Övervakar 1:a linjen samt rapporterar till VD och styrelse
  3. Internrevision – 1% av alla medarbetare. Utvärderar 1 & 2 samt rapporterar till styrelse

Två samt tre är komplement till 1:an. Även förutsätter detta att det finns en VD, ägare samt styrelse. Olika linjer ovan rapporterar även till olika delar, dvs olika rapporteringsvägar. Finns en fjärde försvarslinje som kan vara en extern revisor eller tillsynsmyndighet.

En annan viktig del är hur oberoende olika delar är. Efter denna genomgång går Karin igenom olika nyckelkontroller samt roller och ansvar inom de olika linjerna.

Karin Skarp

Svenskt it-säkerhetsindex

Karin Skarp, Key Account Manager inom marknadsområdet National Security på Advenica

Berättar om en metod (index) för att mäta en organisations mognadsgrad inom cybersäkerhet. Framtaget tillsammans med Dataföreningen, SIG Security, Stockholms Universitet samt Radar. Även om digital ansvar och dess tre hörnstenar som handlar om Digital Functionality, Digital Privacy och Digital Sustainability.

Radar har tagit fram en sammanställning när det gäller olika branscher och dess mognadsgrad och detta återfinnes även i en rapport där svar från 266 organisationer återspeglas. Majoriteten av alla organisationer ligger runt 45-50% på skalan förutom bank och finans som ligger bättre till.

När det gäller kommuner så ligger dom dåligt till när det gäller risk samt mognad. Dock tycker Karin att detta är felaktigt, säg exempelvis om liv står på spel när det gäller vattenrening?

Indexet hjälper till att se var Er organisation är nu och vart ni är på väg.

Länk: https://radareco.se/radar-sakerhetsindex/ 

 Informationssäkerhet 3.0 – när säkerhet blir en del av Polisens verksamhet

Josefine Östfeldt, it-säkerhetschef på Polismyndigheten

Börjar sitt föredrag med att visa bilden på ett inbjudningskort. Syftet är att visa på att säkerhetsorganisationen bör oftare vara inbjuden till olika delar av organisationers arbete.

IT-säkerhetsenheten vid Polisen är just nu 30 pers men kommer snart att bli 70 personer på grund av omorganisation. Polismyndighetens vision när det gäller it- och informationssäkerhetsarbete är att vara ett föredöme för andra myndigheter.

I takt med digitalisering av myndigheten så ökar också efterfrågan på enhetens arbete. Även arbetssättet förändras med exempelvis DevOps och mer agilt, där säkerhetsarbete behövs.

Josefines organisation går mot att jobba mer agilt och mer integrerat mot övriga organisationer inom Polisen. En agil organisation måste kunna jobba snabbt och kräver helt nya krav hur arbetet bedrivs.

  1. Ingen separation av it- och informationssäkerhet. Allt under en funktion men givetvis “Separation of duties”
  2. Säkerhetsfunktionen ska jobba nära verksamheten. Säkerhet är inget man lägger till på slutet.
  3. Riskbaserat it- och informationssäkerhetsarbete. 100% säkerhet är inte bra för en verksamhet, konstant förändring. Identifiera risken
    1. SOC/CERT
    2. Penetrationstester
  4. En mix av kompetenser. Ger bra synergier
  5. Bidra till att utveckla verksamheter. Tillför en ny dimension samt vara proaktiva och ta ansvar.

It-säkerhet i självkörande bilar

Christina Rux, Senior Service Architect, Connected Car IT Services på Volvo Cars

Ungefär 100-200 ECU:er uppkopplad på CAN-bussen i en bil. Man har även börjat att tala om att gå över till Ethernet internt i bilen. Just nu håller Volvo dock på att fundera på vad som ska in i bilar år 2025, för detta är något som planeras nu.

Christinas avdelning jobbar med uppkopplade tjänster såsom:

  • Volvo on call
  • Remote update service
  • Phone as key
  • Uber – Självkörande bilar
  • Zenuity – Definera funktioner för självkörande bilar tillsammans med Autoliv
  • Mobility – Ny enhet på Volvo
  • In car delivery. Leveranser direkt till bilen
  • Road friction indication. Meddelar till molnet hur väglaget är
  • Autonomous drive

Hon nämner även att det genomfördes 330 000 starter av motorvärmare på ett dygn via en app i mobiltelefonen.

När det gäller hur bilen är uppkopplad så är det via en telematikenhet med modem är uppkopplad via Wifi, bluetooth eller modem med SIM-kort.

Hackade bilar blev blev en stor realitet 2015  och hackers intresse för uppkopplade bilar förväntas öka. Ett dataintrång måste kunna stoppas på några minuter. Refererar även till Charlie Miller och Chris Valaseks arbete om att hacka Jeep Cherokee. Externa protokollet från bilen till molnet var samma som gick in på CAN-bussen. Även berättar Chrisina om hacket av Teslas bil och att en over-the-air uppgradering kunde lösa problemet utan att återkalla bilar.

Volvo har en privat PKI inom och utanför bilen. Autentisering och åtkomstkontroll av bilen, mobil-appar och web-lösningar. E2E security mellan bilen, molnet och appar.

Användning av kryptering fortsätter att växa

Ponemon InstituteAnvändning av kryptering fortsätter att växa som ett svar på konsumenternas oro, sekretessregler och pågående cyberattacker.

Ändå finns det fortfarande stora utmaningar i verkställandet av datakrypteringspolicyer enligt en ny undersökning från Ponemon Institute.

Huvudresultat från undersökningen:

  • Stadig ökning av användningen av kryptering där 35 % av organisationerna har en företagstäckande krypteringsstrategi
  • De flesta organisationer tar kryptering i drift för att mildra effekterna av dataförlust.
  • Det främsta upplevda hotet mot känsliga data finns i anställdas misstag snarare än i yttre angrepp.
  • De två största utmaningarna för organisationer som verkställer en datakrypteringspolicy är att veta var känsliga data finns och hantera den aktuella tekniken.
  • Kryptonyckelhantering identifieras som en viktig fråga av mer än hälften av organisationerna.
  • Hos organisationer med hög säkerhetsmedvetenhet är det nu tre gånger mer sannolikt att inneha en formell krypteringsstrategi än de med den lägsta säkerhetsmedvetenheten.

Resultaten av studien visar att det har skett en stadig ökning av idrifttagandet av krypteringslösningar som används av organisationer under de senaste nio åren. 35 % av organisationerna har nu en krypteringsstrategi som tillämpas konsekvent inom hela företaget jämfört med 29 % förra året. Undersökningen visade också att endast 14 % av organisationerna inte har någon krypteringsstrategi alls jämfört med 22 % förra året.

kyptonyckelhanteringFör första gången är den primära drivkraften för att driftsätta kryptering i de flesta organisationer, att minska effekterna av alla dataförluster, medan tidigare år det främsta bekymret var att skydda organisationens varumärke eller rykte. Av de organisationer som anser att de har en skyldighet att offentliggöra att en informationsförlust ägt rum, tror nästan hälften att de genom att kryptera sina data får en säkerhet, som gör att man inte behöver avslöja att den faktiska förlusten inträffade.

Den snabbast växande orsaken till varför organisationer tar kryptering i bruk är att se till att de uppfyller sina åtaganden mot sina kunders sekretess. 42 % av organisationerna fokuserar på sina kunders intressen snarare än för sin egen skull, vilket har ökat med fem procent jämfört med förra året.

Det främsta upplevda hotet mot exponering av känslig eller konfidentiell data förblir anställdas misstag enligt 27 % av de tillfrågade. När anställdas misstag är kombinerat med oavsiktliga system- eller processfel, uppväger oro över oavsiktlig exponering oron över verkliga fientliga attacker med mer än 2 till 1. Dessutom utgör nu påtvingade avslöjanden, som utlösts på begäran om e-upptäckt, det näst högsta upplevda hotet av förlust av känsliga data.

När man tillfrågades om var kryptering används, rangordnade organisationerna backupband och databaser som de viktigaste följt av kryptering av nätverk och kryptering av bärbara datorer. Kryptering i molnet hade en relativt låg rangordning jämfört med rangordning av andra användningsfall vid kryptering utanför de 10 högsta.

keyDe två största utmaningarna som organisationer, som verkställer en datakrypteringspolicy, möter var att upptäcka var känsliga data faktiskt finns. Detta rapporterades av 61 % av de tillfrågade samt förmågan att effektivt driftsätta krypteringstekniken, vilket rapporteras av 50 % av de tillfrågade. 

Kryptonyckelhantering identifierades som en viktig fråga hos mer än hälften av organisationerna i undersökningen och värderade den övergripande utmaningen förknippad med hantering av kryptonycklar eller certifikat högre än 7 på en skala av 10 (10 är högst). 30 % av organisationerna värderade utmaningen till 9 eller 10. Medan tre fjärdedelar av organisationerna identifierade kryptonyckelhantering som en formell disciplin inom sin organisation misslyckades flerän 70 % av dessa organisationer med att allokera utpekad personal eller verktyg för uppgiften med hantering av kryptonycklar.

Standarden Key Management Interoperability Protocol (KMIP), som tillåter organisationer att driftsätta centraliserade kryptonyckelhanteringssystem som täcker flera användningsfall och leverantörer av utrustning, har redan etablerat en relativt hög nivå av medvetenhet inom IT och IT-säkerhetsanvändare. KMIP uppfattas ha ökande betydelse och förväntas bidra till kryptering och strategier för kryptonyckelhantering speciellt kring moln, lagring ochprogramnivåkryptering. Mer än hälften av de tillfrågade sa att KMIP-standarden var viktig i molnkryptering jämfört med 42 % året innan.

Hårdvarusäkerhetmoduler (HSMs) betraktas alltmer som en viktig komponent i en strategi för kryptonyckelhantering. Dessa enheter används för att skydda kritiska databearbetningsaktiviteter och kryptonycklar av högt värde och kan användas för att starkt tvinga fram säkerhetspolicyer och åtkomstkontroller.

ThalesRichard Moulds, vice president för strategi på Thales eSecurity säger:

”Även om kryptonyckelhantering skulle kunna framstå som ett hinder för idrifttagning av kryptering är det inte någon ny fråga. De utmaningar som är förknippade med hantering av kryptonycklar har redan tagits upp i starkt reglerade branscher såsom bearbetning av betalningar, där bästa praxis är väl beprövad och lätt kan översättas till en mängd andra vertikaler. Med mer än 40 års erfarenhet av att tillhandahålla lösningar för kryptonyckelhantering.Thales är idealiskt positionerat för att hjälpa organisationer att ompröva och omvärdera sin kryptosäkerhet och infrastruktur för kryptonyckelhantering och leverera lösningar som säkerställersinintegritet och trovärdighet.”

Fler än 4800 företag och IT-chefer tillfrågades i USA, Storbritannien, Tyskland, Frankrike, Australien, Japan, Brasilien och för första gången detta år i Ryssland, för att undersöka globala krypteringstrender och regionala skillnader i användning av kryptering. Resultat från den ryska undersökningen visade att anammandet av kryptering i regionen var väldigt mycket i linje med resten av de undersökta länderna.