Datasikkerhet er settet med midler , teknologier og prosedyrer som tar sikte på å beskytte IT -systemer når det gjelder tilgjengelighet , konfidensialitet og integritet til IT-midler eller eiendeler.
Et synonym som noen ganger brukes i denne sammenhengen er cybersecurity [1] (fra engelsk cyber security ), et begrep som mer presist representerer en underklasse [2] [3] , som er det området for informasjonssikkerhet som kun er avhengig av teknologi : Med det vektlegges ofte egenskapene som en teknologi må ha for å møte angrep som tar sikte på å kompromittere dens korrekte funksjon og ytelse reaktivitetogrobusthetspenst, .
I IT-sikkerhet er tekniske, organisatoriske, juridiske og menneskelige elementer involvert. For å vurdere sikkerheten er det vanligvis nødvendig å identifisere truslene, sårbarhetene og risikoene knyttet til IT-ressurser, for å beskytte dem mot mulige angrep (interne eller eksterne) som kan forårsake direkte eller indirekte skade med en påvirkning som overstiger en viss tolerabilitetsterskel ( økonomisk, sosiopolitisk, omdømme, etc ...) til en organisasjon. I tillegg til de tre grunnleggende egenskapene (tilgjengelighet, konfidensialitet, integritet) kan de også vurderes: autentisitet , ikke-avvisning, ansvar, pålitelighet.
Informasjonssikkerhet er et svært alvorlig problem på det teknisk-informasjonsfeltet på grunn av den økende databehandlingen av samfunnet og tjenester (offentlige og private) når det gjelder IT-utstyr og -systemer og den parallelle spredningen og spesialiseringen av angripere.
Interessen for sikkerheten til informasjonssystemene har derfor vokst de siste årene, i forhold til deres utbredelse og rollen de spiller i fellesskapet [4] .
Siden informasjon er en bedriftsressurs , og at det meste av informasjonen nå er lagret på IT-medier, er enhver organisasjon interessert i å garantere sikkerheten til sine data, i en kontekst der IT-risikoen forårsaket av brudd på sikkerheten stadig øker. For dette er det presise regler om personvern , inkludert for eksempel den generelle databeskyttelsesforordningen . Imidlertid er spørsmålet om personvern begrensende, og omhandler kun spørsmålet om beskyttelse av personopplysninger og ekskluderer resten; Personvernloven pålegger faktisk ingen beskyttelse for informasjon uten personopplysninger. Det er ofte forvirring mellom beskyttelse av personopplysninger og informasjonssikkerhet til domstolene (konfidensiell og konfidensiell informasjon som ikke har noe med personopplysninger å gjøre).
ISO 27001- standarden eksisterer på internasjonalt nivå med sikte på å standardisere metodene som er egnet for å beskytte data og informasjon mot trusler av alle slag, for å sikre deres integritet, konfidensialitet og tilgjengelighet. Standarden angir kravene til et adekvat styringssystem for informasjonssikkerhet (ISMS; på engelsk Information security management system eller ISMS) rettet mot riktig håndtering av bedriftsdata. Et uunnværlig trinn i enhver sikkerhetsplanlegging er risikovurdering og risikostyring . Organisasjoner kan få ISMS- sertifisert til ISO 27001.
Problemet med sikkerheten til programmer ( operativsystemer og applikasjoner ) har blitt oppmerksom på programvareutviklere som en konsekvens av den betydelige veksten i bruken av dataverktøy og Internett . Når det gjelder produksjon av "beskyttet" programvare, kan begrepet sikkerhet defineres som fravær av motstridende forhold som kan forårsake dødelig eller uopprettelig skade på et system. I programvaredesign er det derfor viktig å oppnå det mest funksjonelle kompromisset mellom effektiviteten av bruken av det aktuelle programmet og dets evne til å "overleve" eksterne angrep og mer eller mindre kritiske feil. Det grunnleggende nivået for programsikkerhet er gitt av sikkerheten til operativsystemet som applikasjonsprogrammene hviler på.
To grunnleggende egenskaper forklarer begrepet sikkerhet:
En programvare (eller et program ) er desto sikrere jo lavere sannsynligheten for en feil er og hvor alvorlig skaden er som følge av selve feilen.
I stigende rekkefølge er de mulige effektene av feil som en programvare kan pådra seg :
Når programvaren er produsert, kontrolleres dens oppførsel, for å utføre et omfattende søk etter defektene som er tilstede, og deretter gå videre til deres eventuelle eliminering. Det finnes flere sikkerhetsmodeller for programkontroll, basert på to ulike metoder:
For å være effektivt må et program kontrolleres i sine spesifikasjoner og må være fritt for defekter i koden: for dette formålet utføres en kontroll av programspesifikasjonene og ytelsene knyttet til pålitelighet ; for det andre analyseres hver del av koden og funksjonen til systemet .
Institute of Electrical and Electronics Engineers har kategorisert feil i programvare i tre forskjellige kategorier avhengig av arten av feilene i seg selv:
Dagens tilnærming til cybersikkerhet fokuserer på hva og hvordan man skal gjøre for å forhindre en sikkerhetshendelse og hva man skal gjøre hvis en slik hendelse inntreffer. Dette er også bekreftet i retningslinjene ( cybersecurity framework ) [5] utstedt av National Institute of Standards and Technology (NIST) som sørger for følgende makroprosesser:
Den såkalte risikoanalysen tar utgangspunkt i identifiseringen av eiendelene som skal beskyttes, og evaluerer deretter de mulige truslene med tanke på sannsynlighet for inntreden og relativ potensiell skade (alvorlighetsgrad). Basert på risikoestimatet avgjøres det om, hvordan og hvilke sikkerhetsmessige mottiltak som skal iverksettes (risikoplan). Risikoanalyse går typisk foran idriftsettelsesfasen av IT-systemet.
Ofte er angriperens mål ikke representert av IT-systemene selv, men snarere av dataene som finnes i dem: IT-sikkerhet er derfor interessert i å forhindre ulovlig tilgang ikke bare til uautoriserte brukere, men også til personer med begrenset autorisasjon til spesifikke operasjoner, for å forhindre data som tilhører datasystemet fra å bli kopiert, endret eller slettet.
Brudd kan være flere: det kan være uautoriserte forsøk på tilgang til begrensede områder, tyveri av digital identitet eller konfidensielle filer , bruk av ressurser som brukeren ikke skal kunne bruke, etc. IT-sikkerhet er også opptatt av å forhindre enhver tjenestenekt- situasjon (DoS). DoS er angrep som settes i gang på systemet med sikte på å gjøre noen ressurser ubrukelige for å skade brukerne av systemet.
PentestI tillegg til risikoanalysen utføres ofte en penetrasjonstest , i daglig tale kjent som pentest eller etisk hacking ; det er et simulert cyberangrep autorisert på et datasystem , utført for å evaluere systemets sikkerhet. Testen utføres for å identifisere svakheter (også referert til som sårbarheter), inkludert muligheten for uautoriserte parter til å få tilgang til systemfunksjoner og data, og styrker, noe som muliggjør en omfattende risikovurdering. Det må ikke forveksles med en enkel sårbarhetsvurdering . [6]
IT-systemer er underlagt trusler som kan utnytte sårbarheter (trussel og sårbarhet er sammenhengende, men distinkte konsepter [7] ): dette kan forårsake angrep som tar sikte på å få tilgang til dataene deri eller å undergrave funksjonaliteten eller tjenestetilgjengeligheten . Ofte avhenger sikkerheten til dataene i den også av hvordan datasystemet fungerer eller ikke. De samme årsakene til ute av drift av IT-systemer kan også grupperes i to klasser av hendelser:
Utilsiktede hendelser gjelder ikke ondsinnede angrep, men refererer til hendelser forårsaket av brukeren selv ved et uhell, for eksempel: bruk forskjellig fra den anbefalte av enkelte systemer, inkompatibilitet av maskinvaredeler , uventede feil, etc. Alle disse hendelsene kompromitterer sikkerheten til systemet, spesielt når det gjelder tilgjengelighet . For å unngå tilfeldige hendelser finnes det ingen generelle løsninger; en første løsning er å lage en vanlig sikkerhetskopi av systemet, inkludert data og applikasjoner, som er typisk for gjenopprettingsprosedyrer for katastrofe , for å kunne møte uventet skade.
Blant de to hendelsene nevnt ovenfor er de uønskede for det meste uventede, selv om det er forsvarlig å forvente alt, og er de såkalte angrepene fra brukere som ikke er autorisert til å behandle data eller bruke tjenester. Noen av de uønskede hendelsene som kan oppleves kan være:
Årsakene til sannsynlig tap av data i datasystemer kan klassifiseres i:
Ondsinnede angrep gjøres, via Internett eller annen tilkobling, av eksterne brukere som ved hjelp av spesiell programvare, noen ganger laget av dem selv, ulovlig kommer inn i systemet , klarer å få maskintilgjengelighet , for å administrere ressurser og data uten å ha de rette kravene. Typiske tilfeller av angrep er:
Et litt annet tilfelle er tilgang til systemer av uautoriserte brukere: den består av uautorisert tilgang til de ulike ressursene og tjenestene til systemet, men i motsetning til et ondsinnet angrep, brukes maskinen og ikke nettverket (f.eks. utnyttelse og shellcode ).
EffekterI verste fall kan angrep forårsake alvorlig skade på systemer av nasjonal interesse (f.eks. et atomkraftverk som tas ut av drift). Faren for de vanligste angrepene består ikke bare i å ta i besittelse av andres krav, data og tjenester, men også å forårsake den såkalte "ranete" brukeren en slags usikkerhet til å stole på datasystemene som ofte er en del av dagliglivet. .
Et alternativt og nøytralt effektbegrep er «påvirkning».
Beskyttelse mot cyberangrep oppnås ved å handle på to hovednivåer:
For noen er det også det "organisasjonsmessige" nivået bestående av prosedyrer, policyer, myndigheter og ansvar, mål og tilsyn. Videre, spesielt det siste tiåret, har betydningen av den menneskelige faktoren i cyberangrep i økende grad dukket opp.
Passiv sikkerhet (fysisk sikkerhet)Med passiv sikkerhet mener vi vanligvis teknikkene og verktøyene av en defensiv type, det vil si komplekset av teknisk-praktiske løsninger som har som mål å hindre uautoriserte brukere fra å få tilgang til ressurser, systemer, anlegg, enheter, utstyr, informasjon og data. natur. Konseptet passiv sikkerhet er derfor svært generelt: For eksempel, for fysisk tilgang til beskyttede lokaler, er bruk av pansrede adkomstdører, sammen med bruk av personidentifikasjonssystemer, å anse som passive sikkerhetskomponenter.
Først av alt på et fysisk og materiellt nivå, å plassere serverne på steder som er så sikre som mulig, utstyrt med overvåking og/eller tilgangskontroll, samt skadebeskyttelsessystemer (brann, vann, strømstøt, katastrofale hendelser, etc.); selv om dette er en del av normal sikkerhet og ikke "datasikkerhet", genererer det faktum å ta i bruk de mest sofistikerte teknikkene ofte en falsk følelse av sikkerhet som kan føre til å neglisjere de enkle.
Aktiv sikkerhet (logisk sikkerhet)Aktiv sikkerhet betyr teknikkene og verktøyene som gjør informasjon og data (så vel som applikasjoner) av konfidensiell karakter sikret, og beskytter dem både mot muligheten for at en uautorisert bruker kan få tilgang til dem ( konfidensialitet ), og fra muligheten for at en uautorisert brukeren kan endre dem ( integritet ). Denne kategorien inkluderer både maskinvare- og programvareverktøy .
Dette nivået er normalt logisk og krever autentisering og autorisasjon av en enhet som representerer brukeren i systemet. Operasjonene som utføres av brukeren under autentiseringsprosessen spores i loggfiler . Denne prosessen med å spore aktiviteter kalles ansvarlighet . Den påfølgende revisjonsfasen er knyttet til den . Begrepet revisjon brukes noen ganger for begge faser.
Passiv og aktiv sikkerhet er komplementære til hverandre, og begge er avgjørende for å oppnå et tilstrekkelig sikkerhetsnivå.
Den menneskelige faktorenTallrike undersøkelser de siste årene har vist at den menneskelige faktoren er en viktig del av cyberangrepet. Sluttbrukeren regnes nå som det svake leddet i menneske-maskin-systemet [9] og det anslås at mer enn 90 % av sikkerhetshendelsene har en form for menneskelig feil i opprinnelsen [10] [11] . Blant de mest oppdagede formene for feil og risikable vaner er utilstrekkelig passordadministrasjon, manglende evne til å gjenkjenne uredelige nettsteder, farlige e-postvedlegg og villedende URL-er. Gitt viktigheten av den menneskelige komponenten for å bestemme den overordnede cyberrisikoen som en organisasjon er utsatt for [12] , lar opplæring i IT-sikkerhet, rettet mot å øke bevisstheten til sluttbrukeren, på alle nivåer, deg ikke bare overholde bransjeforskrifter og god praksis for cyberforsvar , men anses nå som avgjørende [13] for å redusere risiko.
Fokuset på sluttbrukeren representerer en dyp kulturell endring for mange operatører innen informasjonssikkerhet, som tradisjonelt har nærmet seg problemet fra et utelukkende teknisk perspektiv, og følger retningslinjene angitt av de store verdens 'sikkerhetssentre' [14] , som oppmuntrer til utvikling av en sikkerhetskultur i selskapet, og erkjenner at en bevisst bruker utgjør en viktig forsvarslinje mot cyberangrep.
Andre faktorerI følge forskning fra NordVPN avhenger risikoen for å bli offer for cyberangrep også av landet og andre viktige faktorer. NordVPN og Statista har faktisk satt sammen en rangering av landene med «høyest risiko for cyberangrep» , basert på vanlige variabler for hvert enkelt land:
Fra analysen (som tildelte hvert land en poengsum mellom 0 og 1, basert på faren) kom det frem at det er nettopp de mest utviklede landene som er mest utsatt; høy lønnsomhet, avansert teknologisk infrastruktur og høy digitalisering vil føre til et høyere nivå av nettkriminalitet. Av 50 analyserte land kom det frem at Island er landet med høyest risiko for cyberangrep, mens Italia rangerer nøyaktig i midten, på 24. plass. [15] Den fullstendige rangeringen, med listen over land i farerekkefølge fra 1. til 50., er offentlig og kan enkelt konsulteres på NordVPN - Cyber Risk Index .
Beskyttelse av IT-ressurser oppnås gjennom tekniske og organisatoriske tiltak, både forebyggende og beskyttende, med sikte på å sikre:
Disse tre egenskapene blir ofte sitert ved å bruke definisjonen "CIA Triad" [16] (fra Confidentiality, Integrity, Availability).
Egenskapene konfidensialitet, integritet og tilgjengelighet til dataene utgjør den grunnleggende forutsetningen som alle etterfølgende sikkerhetsvurderinger utføres på. Disse egenskapene er vanligvis også ledsaget av egenskapen til ikke-avvisning , det vil si muligheten for å tilskrive en data til en godt identifisert avsender eller eier.
Oppnåelsen av tilgjengelighet avhenger av flere faktorer som interfererer mellom bruker og system, for eksempel: robustheten til grunn- og applikasjonsprogramvaren , påliteligheten til utstyret og miljøene de befinner seg i. Ofte avhenger sikkerheten til dataene i den også av hvordan datasystemet fungerer eller ikke.
MottiltakDe mulige angrepsteknikkene er mange, så det er nødvendig å bruke forskjellige defensive teknikker samtidig for å beskytte et datasystem, og plassere barrierer mellom angriperen og målet. Datasystemet skal kunne hindre direkte eller indirekte endring av informasjonen, både av uautoriserte brukere og på grunn av tilfeldige hendelser; den skal også forhindre uautorisert tilgang til data. Videre er det generelt sett ikke en god idé å anta at mottiltakene i et system er tilstrekkelige til å avverge ethvert angrep.
For å takle eventualiteter som stammer fra mulige feil eller fysisk skade, for eksempel fysisk eller passiv sikkerhet, opererer vi mange ganger i en kontekst med redundans for utstyret (f.eks . serverklynge ) eller med distribuerte systemer innenfor katastrofeforebyggende planer som sikrer feiltoleranse , garantere pålitelighet og tilgjengelighet, det vil si driftskontinuiteten til IT-systemet og bedriften. Noen ganger er det også foretrukket å opptre forebyggende gjennom katastrofeforebyggende planer .
Blant de vanligste mottiltakene av en logisk type på det lokale nettverket til et system og dets undersystemer finner vi:
En annen gren av IT-sikkerhet omhandler sikkerhetsproblemene knyttet til overføring av konfidensiell informasjon på nettverket eller på et hvilket som helst telekommunikasjonssystem eller sending og mottak av beskyttede konfidensielle data eller beskyttelse av data under overføring.
I denne sammenhengen er autentiseringsteknikker ( Kerberos ) og kryptering utbredt som mottiltak mot sniffing . På den tekniske fronten tar nettverksbeskyttelsestiltak form av bruk av passende nettverksprotokoller som HTTPS , SSL , TLS , IPsec og SSH som ikke gjør annet enn å bruke kryptografiske metoder på ett eller flere nivåer av ISO -modellnettverksarkitektur . / OSI .
Med den enorme veksten av Internett og World Wide Web har sikkerhetsproblemer også utvidet seg til det, og derfor trenger vi ideer og prinsipper å være basert på. For å takle risikoen forbundet med å bruke den, gir EU sitt bidrag gjennom beskyttelsesprogrammet "Safer Internet".
Tryggere InternettIdeen om nettverksbeskyttelsesprogrammet "Safer Internet" ble født etter veksten av Internett og den økende tilstedeværelsen av barn i kontakt med denne verden. "Safer Internet", introdusert av Europaparlamentet 11. mai 2005, har som mål å fremme sikker bruk av internett spesielt for barn: et europeisk nettverk av 21 nasjonale linjer der sluttbrukere anonymt kan rapportere tilstedeværelsen av ulovlig innhold på internett , og opprettelsen av 23 nasjonale bevissthetsnoder for å fremme sikker bruk av internett for barn, foreldre og lærere. I tillegg til selvregulerende tiltak og utvikling av passende teknologier , spiller utdanning en nøkkelrolle. Faktisk er det viktig med deltakelse og utdanning av foreldre og lærere, som ofte er raske på Internett, som konstant følger barna i deres navigering, og gir dem de kritiske verktøyene som er nødvendige for en bevisst tilnærming til Internett.
Programvareprodukter eller IT-systemer kan sertifiseres i sine sikkerhetsattributter, med merverdi på selve produktet eller systemet når det gjelder sikkerhetsannonsering (kvalitetssertifisering når det gjelder sikkerhet), av anerkjente kompetente organer, basert på en IT-sikkerhetsstandard . Vanligvis går sertifiseringsprosessen gjennom en fase med produkt-/systemevaluering (kalt OdV, dvs. objektet for evalueringen ) av et akkreditert evalueringslaboratorium, hvor kunden/utvikleren av operasjonen har identifisert et såkalt sikkerhetsmål (ToS) i vilkår for spesifikasjonene som produktet ditt skal sikre. Vurderingssikkerhetsnivået er vanligvis definert i TdS . Evaluatorens oppgave er å verifisere ved hjelp av evalueringsaktiviteten at produktet/systemet samsvarer eller ikke med sikkerhetsspesifikasjonene som kreves av kunden/utvikleren, gjennom passende evalueringskriterier, og deretter utarbeide en rapport og et endelig sertifikat i offentlig domene.
Cybersikkerhet er en viktigere del av ITIL 4-rammeverket.
En av de viktigste kampene og klagene til antivirusindustrien er å skape en enhetlig og global regulering, et grunnlag for felles regler for juridisk vurdering og muligens straff for nettkriminalitet og nettkriminelle . Faktisk, selv i dag, selv om et antivirusselskap skulle være i stand til å finne ut hvem som er cyberkriminelle bak opprettelsen av et bestemt virus eller malware eller et hvilket som helst cyberangrep, kan lokale myndigheter ofte ikke handle. [17] [18] Dette skyldes hovedsakelig det faktum at praktisk talt hver stat har sin egen regulering, forskjellig fra andre staters.
"[Datavirus] bytter fra ett land til et annet, fra en jurisdiksjon til en annen - beveger seg rundt i verden, ved å bruke det faktum at vi ikke har kapasitet til å politie operasjoner som dette globalt. Så Internett er som om noen [hadde] gitt gratis flybilletter til alle online-kriminelle i verden. " [17] " |
( Mikko Hyppönen ) |
Og det er også takket være noen europeiske antivirusselskaper (f.eks . BullGuard , F-Secure , Frisk , Panda , Sophos , TG Soft , ...) at for å løse problemet har EU-kommisjonen besluttet å opprette EC3 (European Cybercrime Center ). [19] EC3 ble offisielt åpnet 1. januar 2013 . EC3 vil fokusere på EUs kamp mot nettkriminalitet . [20]