Retsudvalget 2013-14
REU Alm.del Bilag 394
Offentligt
1402035_0001.png
December 2013
Cyberforsvar
der virker
Cyberforsvar, der virker
1
NOVEMBER
2013
DECEMBER
2013
 PDF to HTML - Convert PDF files to HTML files
1402035_0002.png
December 2013
Forord
Cybertruslen mod Danmark er reel. Danske offentlige
myndigheder og private virksomheder er dagligt ud-
sat for forstyrrende eller skadelige aktiviteter fra for-
skellige aktører. Center for Cybersikkerhed vurderer,
at de alvorligste trusler kommer fra fremmede stats-
lige aktører, der udnytter internettet til at spionere og
stjæle dansk intellektuel ejendom.
Når Center for Cybersikkerhed bliver opmærksom på
tegn på angreb, tager centret kontakt til den berørte
myndighed eller virksomhed. Det er erfaringen, at or-
ganisationen typisk ikke er klar over, at den er under
angreb. I værste fald er den allerede kompromitteret,
og forretningshemmeligheder eller anden følsom in-
formation er stjålet.
Center for Cybersikkerhed og Digitaliseringsstyrelsen
arbejder målrettet med at sikre en høj grad af cyber-
sikkerhed og sætte emnet på dagsordenen.
Denne vejledning beskriver
en konkret, prioriteret
køreplan
for, hvordan myndigheder og virksomheder
kan mindske risikoen for cyberangreb og undgå at ud-
sætte sig for markant risiko ved cyberangreb.
Vejledningens fokus er således
begrænset
til den
del af det samlede informationssikkerhedsarbejde,
der håndterer forebyggelse af angreb fra internet-
tet (hackerangreb). Øvrige aspekter af arbejdet med
informationssikkerhed, så som fysisk sikkerhed eller
opbygning af robust it-arkitektur, berøres ikke i denne
vejledning.
Ændringer i sikkerhedsopsætning og tankegang kan ikke
gennemføres uden ledelsesopbakning i myndigheder og
virksomheder. Derfor henvender denne vejledning sig
primært til
ledelsesniveauet
i organisationerne.
Til manges overraskelse kan en væsentlig del af de
målrettede cyberangreb forhindres ved hjælp af fire
konkrete sikkerhedstiltag, som enhver topledelse
bør kende og prioritere. Tiltagenes anvendelighed og
vigtighed understreges af, at Rigsrevisionen for nylig
har gennemført it-revision hos bl.a. Statens It på bag-
grund af netop disse tiltag.
Rigsrevisionen anbefalede i den forbindelse, at Digi-
taliseringsstyrelsen eller Center for Cybersikkerhed
udarbejdede en vejledning om, hvilke sikringstiltag en
statslig virksomhed bør overveje til at imødegå aktu-
elle trusler fra hacking.
Det er disse tiltag, som beskrives i denne vejledning.
De fire tiltag, ”top fire”-tiltagene, løser ikke proble-
met alene, men de løfter angrebsbyrden til et niveau,
hvor færre modstandere kan være med. Vejledningen
beskriver desuden andre tiltag, som kan forbedre cy-
bersikkerheden yderligere.
En robust informations- og kommunikationsteknologisk
infrastruktur er en forudsætning for beskyttelse af Dan-
mark og danske data mod cyberangreb. Digitale syste-
mer og data skal beskyttes, så grundlaget for fortsat
økonomisk vækst sikres. Det er nødvendigt, at cyber-
sikkerhedsarbejdet tager udgangspunkt i en klar forstå-
else af, hvordan truslerne kan håndteres. Denne forstå-
else kan vejledningen forhåbentlig bidrage til.
God læselyst.
Thomas Lund-Sørensen
Chef for Center for Cybersikkerhed
Lars Frelle-Petersen
Direktør for Digitaliseringsstyrelsen
2
Cyberforsvar, der virker
 PDF to HTML - Convert PDF files to HTML files
1402035_0003.png
December 2013
Køreplan for et godt cyberforsvar
Den følgende køreplan, som består af syv skridt, be-
skriver, hvordan en organisation kan etablere et vel-
fungerende cybersikkerhedsprogram, som sikrer, at
organisationen får et cyberforsvar, der virker
Køreplanens første skridt:
Forankring i topledelsen
God cybersikkerhed starter hos topledelsen. Uden
opbakning og prioritet fra topledelsen fejler selv de
bedste hensigter om god cybersikkerhed.
Regeringen har besluttet, at statens institutioner skal
styre informationssikkerheden efter ISO 27001-stan-
darden. I forlængelse af denne skal der etableres et
’ledelsessystem’ for styringen. Dette ledelsessystem
er et samlet udtryk for de politikker, procedurer,
beslutningsgange og aktiviteter, som udgør kompo-
nenterne i organisationens arbejde med informati-
onssikkerhedsstyring. Se litteraturlisten for mere in-
formation.
Topledelsen bør søge svar på en række centrale
spørgsmål:
Ved vi, hvad der er vores vigtigste informationer,
hvor de er, og hvordan informationsteknologien
understøtter vores forretning?
Ved vi, hvad det betyder for vores forretning, hvis
vores vigtigste informationer stjæles eller lækkes,
eller hvis vores online-services er utilgængelige i
kortere eller længere tid?
Er vi overbevist om, at vores informationer er til-
strækkeligt beskyttet?
Har vi en nedskrevet informationssikkerhedspolitik,
som vi aktivt støtter, og som vores medarbejdere for-
står og følger?
Opfordrer vi vores tekniske specialister til at vi-
dendele om cybersikkerhed med lignende organi-
sationer samt deltage i erfaringsudvekslingsfora?
Har vi en sikkerhedsorganisation (bør indgå i et
ledelsessystem), der er forankret på chefniveau?
Bliver vi løbende opdateret om, hvilke cybertrus-
ler og -aktører der truer os, deres metoder og mo-
tivation?
Har vi gjort os klart, at topledelsen selv er et op-
lagt mål for cyberangreb?
Der er mange fordele ved at kende svaret på disse
spørgsmål, herunder:
Strategiske fordele ved bedre at kunne indtænke
præcis viden om cybertruslen i organisationens
beslutningsprocesser.
Økonomiske fordele ved at reducere antallet af suc-
cesfulde angreb gennem bedre cybersikkerhed.
Operationelle fordele ved at være bedre forberedt
på angreb, reagere effektivt og have cybersikker-
hedspolitikken på plads.
Køreplanens andet skridt:
Den rette tekniske kompetence
Den daglige opgave med at imødegå cyberrisici skal
uddelegeres af topledelsen. Det er vigtigt, at de, der
får opgaven, forstår teknikken, formår at kommunike-
re med topledere og kan lede medarbejdere med de
rette tekniske kompetencer.
Der er behov for både gode systemadministratorer og
medarbejdere med analytiske kompetencer.
Medarbejderne med de rette kompetencer kan være
placeret andre steder i en koncern eller hos en leve-
randør. Det er dog vigtigt, at den enkelte organisation
selv tager ansvaret for sikkerheden, også selvom op-
gaven er uddelegeret til andre.
Cyberforsvar, der virker
3
 PDF to HTML - Convert PDF files to HTML files
1402035_0004.png
December 2013
Cyberforsvar, der virker
Godt forsvar kræver en forståelse af angrebet. Ved
målrettede cyberangreb bruger angriberne ofte en
metode, der går ud på at lokke modtagere af e-mails
til at åbne en ondsindet vedhæftning eller klikke på et
link til en ondsindet hjemmeside.
God cybersikkerhed sigter på at
forhindre
så mange
angreb som muligt ved laveste omkostninger. Total
beskyttelse er desværre en umulighed. Tiltagene skal
derfor også medvirke til at
mindske
og ikke mindst
de-
tektere og reagere på angreb.
Endelig bør myndigheden eller virksomheden komme
angriberen i forkøbet med
proaktive tests,
så svaghe-
der kan findes og forbedres, før de bliver udnyttet.
1. fase (indbrud):
Angriberen sender en e-mail med ondsindet vedhæft-
ning eller link. Offeret åbner vedhæftningen eller be-
søger linket, malware installeres og ”ringer hjem”.
Køreplanens tredje skridt:
Implementér ”top fire”
Ethvert cybersikkerhedsprogram bør fokusere på fire
sikringstiltag – ”top fire” – før noget andet. Samlet re-
ducerer de risikoen for cyberangreb i alle angrebets
faser, de er yderst effektive, og de kan indføres grad-
vist.
Sikringstiltag skal indføres med udgangspunkt i en risi-
kobaseret tilgang ud fra vigtigheden af informationer-
ne, systemerne og den enkelte medarbejderfunktion,
der skal beskyttes.
Fokuser indsatsen på topledelsen og andre højrisiko-
mål. Udbred senere til hele organisationen. Gør det
samme for forretningskritiske data.
Tabellen på næste side giver et overblik over de fire tiltag.
At implementere ”top fire” kan være teknisk kom-
plekst, indebære omkostninger og kan møde med-
arbejdermodstand. God planlægning kan reducere
forhindringerne og mindske modstanden. Konkret
teknisk vejledning til gennemførelse af ”top fire” kan
findes i litteraturlisten.
Hvis enkelte programmer ikke længere kan
opdateres,
bør organisationen lave en plan for udfas-
ning eller isolering af disse programmer. Det er en stor
risiko at lade enkelte programmer, der ikke længere
kan opdateres, påvirke organisationens generelle sik-
kerhedsniveau.
Få brugere har behov for lokale
administratorrettig-
heder,
så de skal så vidt muligt fjernes overalt. Domæ-
nerettigheder for systemadministratorer bør ligeledes
begrænses mest muligt. Hvis det er nemt for en syste-
madministrator at bevæge sig rundt i et system, er det
også nemt for en angriber.
Det er it-afdelingen, som kan være placeret internt et
andet sted i en koncern eller hos en leverandør, der
efter konkret behovs- og risikovurdering bør beslutte,
hvilke programmer der må køre på et system.
Det gør
et angreb vanskeligt.
2. fase (rekognosering):
Angriberen forbinder videre ind og kortlægger virk-
somhedens netværk
3. fase (dataeksport):
Angriberen indsamler
data og sender
det hjem.
4
Cyberforsvar, der virker
 PDF to HTML - Convert PDF files to HTML files
1402035_0005.png
December 2013
Sikringstiltag
Medarbej-
dermod-
stand
Etable-
ringsom-
kostninger
Driftsom-
kostninger
Designet
til at
forhindre
eller de-
tektere
Designet
til at
hjælpe
med at
modvirke
angrebs-
fase 1
Hjælper
med at
modvirke
angrebs-
fase 2
Hjælper
med at
modvirke
angrebs-
fase 3
Udarbejd positivliste over applika-
tioner
af godkendte programmer, for
at forhindre kørsel af ondsindet eller
uønsket software
Opdatér programmer,
fx. Adobe Rea-
der, Microsoft Office, Flash Player og
Java, med seneste sikkerhedsopdaterin-
ger, højrisiko inden for to dage
Opdatér operativ-systemet
med sene-
ste sikkerhedsopdateringer, højrisiko
inden for to dage. Undgå Windows XP
eller tidligere
Begræns antallet af brugerkonti med
domæne- eller lokaladministrator-
privilegier.
Disse brugere bør anvende
separate uprivilegerede konti til email
og websurfing
Medium
Høj
Medium
Begge
Ja
Ja
Ja
Lav
Høj
Høj
Forhindre
Ja
Muligt
Nej
Lav
Medium
Medium
Forhindre
Ja
Muligt
Muligt
Medium
Medium
Lav
Forhindre
Muligt
Ja
Muligt
Med ”top fire” gennemført og vel vedligeholdt er cy-
bersikkerheden væsentligt forbedret i organisationen.
Herefter kan man – baseret på en risikoanalyse med
udgangspunkt i truslerne mod organisationen – gå vi-
dere i retning af et mere avanceret cyberforsvar, som
beskrives i de næste skridt af køreplanen.
Køreplanens fjerde skridt:
Gennemfør løbende awareness
Sørg for, at de tekniske foranstaltninger bliver bakket
op af velinformerede medarbejdere, som er bekendt
med de angrebsmetodikker, der ofte benyttes paral-
lelt med et teknisk angreb.
”Social engineering” udføres både via fysisk kontakt,
telefonsamtaler og mail - og har alene til formål at fra-
narre medarbejdere information eller andre elemen-
ter, der kan give adgang til organisationens aktiver.
Et efterfølgende angreb vil blive udført under dække
af, at angriberen har legitime brugerrettigheder og er
dermed nærmest umuligt at dæmme op for - eller for
den sags skyld at opdage. Derfor skal organisationens
medarbejdere allerede ved ansættelsen gøres op-
mærksom på disse risici og løbende holdes opdateret
på området.
Køreplanens femte skridt:
Opbyg en reaktiv kapacitet
Intet forsvar er 100 % sikkert. Succesfulde angreb vil
forekomme, men de skal forudses og opdages.
God logning øger chancen for at opdage cyberangreb
og undersøge dem til bunds. Samtidig hjælper logning
til at forstå angrebenes omfang og konsekvenser - og
ikke mindst undgå dem i fremtiden. Men mange orga-
nisationer gemmer ikke de rigtige logs eller undlader
de vigtigste detaljer. Ofte indsamles der ingen logda-
ta, fordi opgaven synes uoverskuelig. Modsat forsøger
nogle at gemme det hele og drukner i data. Selv med
gode logs prioriterer organisationerne ofte ikke at un-
dersøge dem for cyberangreb.
Start i det små med få logs om højrisikomål og fokuser
på enkelte værkstøjer i analyse-platformen. Centralisér
loggene og få det til at virke. Udbyg så med flere logs
og flere værktøjer. Indfør med andre ord logning ud fra
en risikobaseret tilgang, ligesom med sikringstiltagene.
Når en organisation erkender et cyberangreb, er det
afgørende at være godt forberedt, holde hovedet
koldt og undgå overreaktioner. Det er også vigtigt at
erkende sine egne begrænsninger og søge bistand fra
professionelle it-sikkerhedseksperter.
Cyberforsvar, der virker
5
 PDF to HTML - Convert PDF files to HTML files
1402035_0006.png
December 2013
Køreplanens sjette skridt:
Løbende sikkerhedstekni-
ske undersøgelser
”Top fire”-tiltagenes dækningsområde, vedligehol-
delse og effektivitet bør løbende afprøves gennem
proaktive sikkerhedstekniske undersøgelser og øvel-
ser, ligesom eventuelle øvrige eller nye svagheder i it-
miljøet løbende bør afdækkes.
Sjette skridt i køreplanen går billedligt talt ud på hele
tiden at gå rundt og banke på rørene og udbedre
svagheder og fejl, før de udvikler sig. Det har direkte,
åbenlyse fordele, men det er også godt til at skabe en
sikkerhedsorienteret virksomhedskultur. Man kan for
eksempel simulere angreb, måle hvor hurtigt de bli-
ver opdaget og overveje, om udfaldet nødvendiggør
yderligere reaktive tiltag.
Det er her, ligesom for de øvrige tiltag, en forudsæt-
ning, at myndigheden eller virksomheden har opbyg-
get eller har adgang til tilstrækkelig teknisk kompe-
tence.
Køreplanens syvende skridt:
Indfør yderligere sik-
ringstiltag
Selv om ”top fire” er grundlæggende - og ethvert cy-
bersikkerhedsprogram bør fokusere på dem før noget
andet - er de ikke tilstrækkelige til at kunne imødegå
alle angreb.
Myndigheder og virksomheder bør, når de grundlæg-
gende tiltag er på plads, indføre yderligere sikrings-
tiltag på forskellige komponenter fordelt over hele
it-miljøet, for eksempel vedrørende anvendelse og
styring af mobile enheder.
Derudover kan der i det konkrete tilfælde opstå en si-
tuation, hvor forretningshensyn sættes over styr ved
implementering af ”top fire”. I sådanne tilfælde, hvor
fordelene opvejes af ulemper, bør ”top fire” selvsagt
ikke implementeres. I stedet bør midlertidige alter-
native sikkerhedstiltag overvejes, indtil ”top fire” kan
gennemføres.
Køreplan for cyberforsvar, der virker
6
Cyberforsvar, der virker
 PDF to HTML - Convert PDF files to HTML files
1402035_0007.png
December 2013
Litteraturliste
Australian Signals Directorate.
Strategies to Mitigate Targeted Cyber Intrusions,
2012.
Australian Signals Directorate.
“Top 4” Strategies to Mitigate Targeted cyber Intrusions
(teknisk vejledning), 2013
Rigsrevisionen.
Beretning til Statsrevisorerne om forebyggelse af hackerangreb,
oktober, 2013.
UK Department for Business, Innovation & Skills.
Cyber risk management: a board level responsibility,
2012.
SANS Institute.
The Critical Security Controls,
2013.
UK Department for Business, Innovation & Skills.
10 Steps to Cyber Security,
2012.
På Center for Cybersikkerheds hjemmeside, cfcs.dk, er der yderligere information om cybertrusler og cybersik-
kerhed, herunder løbende opdaterede situationsbilleder og trusselvurderinger samt en årlig risikovurdering.
På Digitaliseringsstyrelsens hjemmeside, digst.dk, kan du finde vejledningen om styring af informationssik-
kerhed i staten med udgangspunkt i ISO 27001.
Cyberforsvar, der virker
7
 PDF to HTML - Convert PDF files to HTML files
1402035_0008.png
Center for Cybersikkerhed
Postadresse: Kastellet 30
Besøgsadresse: Østbanegade 83
2100 København Ø
Email: [email protected]
Telefon: +45 3332 5580
Center for Cybersikkerhed bidrager til at
styrke Danmarks modstandsdygtighed
mod trusler rettet mod samfundsvigtig
informations- og kommunikationstekno-
logi og varsler om og imødegår cyberan-
greb med henblik på at styrke beskyttel-
sen af danske interesser.
Digitaliseringsstyrelsen
Landgreven 4
Postboks 2193
1017 København K
Email: [email protected]
Telefon: +45 3392 5200
Digitaliseringsstyrelsen står i spidsen
for omstillingen til et mere digitalt of-
fentligt Danmark. I forbindelse med in-
formationssikkerhed indtager styrelsen
en koordinerende rolle med blandt an-
det vejledninger til risikovurderinger
og awareness. Styrelsen er også ansvar-
lig for indførelsen af sikkerhedsstandar-
den ISO 27001 i staten.