Faghópur um stjórnun upplýsingaöryggis

Faghópur um stjórnun upplýsingaöryggis

Hópurinn vill stuðla að aukinni vitund um gagnaöryggismál og upplýsingaöryggi með jafningjafræðslu og miðlun upplýsinga um t.d. aðferðir, verkfæri og verklag. Fundir verða með því sniði að fyrirlesari er fenginn til þess að fjalla um eitt afmarkað efni og mynda síðan umræður út frá því. Hópurinn stendur einni fyrir stærri morgunverðarfundum og ráðstefnum í samstarfi við aðra faghópa eða virta aðila utan Stjórnvísi.  

Viðburðir á næstunni

NIS tilskipunin - raunhæf ráð um innleiðingu - fjarfundur

Í haust taka gildi lög um öryggi net- og upplýsingakerfa mikilvægra innviða en með þeim er innleidd svonefnd NIS-tilskipun. Með lögunum eru lagðar víðtækar upplýsingaöryggiskröfur á tiltekinn hóp lögaðila, bæði opinbera og einkaaðila. Mikilvægt er að þeir aðilar nýti tímann fram að gildistöku laganna til að tryggja hlítingu við þau. Á fundinum verður farið yfir hvernig æskilegt sé að slík innleiðing fari fram í raun og hver reynslan hefur verið af sambærilegum innleiðingum lagalegra upplýsingaöryggiskrafna hér á landi á undanförnum árum.

Hörður Helgi Helgason er lögmaður og einn eigenda lögmannsstofunnar Landslög. Hörður Helgi hefur á undanförnum 15 árum veitt stofnunum og fyrirtækjum ráðgjöf á sviði upplýsingaöryggis og persónuverndar, á síðustu árum einkum um innleiðingu nýrra persónuverndarreglna. Hann var settur forstjóri Persónuverndar frá 2013 til 2014.

Fundurinn er fjarfundur, nánari útfærsla kemur síðar. 

Fréttir

Aðalfundur faghóps um upplýsingaöryggi

Þann 7.maí fór fram aðalfundur stjórnar faghóps um upplýsingaöryggi en faghópurinn var stofnaður þann 19.nóvember 2019. Á fundinum var farið yfir störf faghópsins síðan hann tók til starfa ásamt því að ný stjórn var kjörin.  

Stjórn faghóps Stjórnvísi um upplýsingaöryggi árið 2020-2021 skipa:

    • Anna Kristín Kristinsdóttir, Isavia. Formaður
    • Arnar Freyr Guðmundsson
    • Davíð Halldórsson, KPMG
    • Hrefna Arnardóttir, Advania
    • Jón Elías Þráinsson, Landsnet
    • Margrét Kristín Helgadóttir, Fiskistofa
    • Margrét V. Helgadóttir, Pósturinn
    • Margrét Valdimarsdóttir, Credit Info
    • Jón Kristinn Ragnarsson, Ion ráðgjöf (nýr)

Við þökkum fráfarandi stjórnarmeðlimum kærlega fyrir störf sín og bjóðum nýja stjórn hjartanlega velkomna til starfa.  

Ábyrgir stjórnarhættir - auknar kröfur um gagnsæi

Á þessum morgunfundi fjallaði Ólafur Sigurðsson framkvæmdastjóri Birtu lífeyrissjóðs um auknar áherslur fjármagnveitenda á ábyrgar fjárfestingar. Að því loknu fjallaði Sigurður Ólafsson út frá sjónarhóli stjórnarmanns, um auknar kröfur til ófjárhagslegra viðbótarupplýsinga. Þessar upplýsingar veita innsýn, eru mikilvægar til að auka gagnsæi og þurfa að byggja á vönduðum stjórnarháttum. 

Birta lífeyrissjóður nálgast ábyrgar fjárfestingar sem hugmyndafræði sem miðar að því að bæta vænta ávöxtun og áhættu til lengri tíma með sjálfbærni sem megin markmið samkvæmt UFS flokkun. Það sem er í boði eru viðmið ESG Reporting Guide 2,0, GRI Standards og IR Integrated Reporting. (ófjárhagslegar upplýsingar).  Meðalhófið er mikilvægt.
Ólafur tók nokkur dæmi af UFS umræðu; umhverfið, samfélagið og stjórnarhættir.  Birta styrkir Virk sem er mikilvægt og þar er hægt að ræða um fjárhagslega stærð.
Það er frábært framlag sem felst í að veita umhverfisverðlaun í atvinnulífinu því það virðist minnka kostnað og bæta framlegð sem verður vegna tiltektar í rekstrinum.
Árið 2015 voru gefnar út leiðbeiningar um stjórnarhætti fyrirtækja af Viðskiptaráði Íslands, Nasdaq Iceland og SI.  Leiðbeiningarnar fela í sér tilmæli til viðbótar við lög og reglur og þeim fylgir meiri sveigjanleiki þar sem grundvöllur leiðbeininganna um stjórnarhætti fyrirtækja er “fylgið eða skýrið” reglan.  Stjórnarhættir eiga að vera virðisskapandi.
Vínbúðin og ISAVIA vinna skv. GRI.  GRI 300 er ekkert annað en fjárhagslegar upplýsingar.  Það að draga úr útblæstri dregur úr kostnaði.  Í GRI 400 eru áhugaverðar kennitölur eins og hve margir voru veikir vegna álags í vinnu.  Fari talan yfir 5% í veikindum þá er það sannarlega farið að hafa áhrif á rekstur fyrirtækisins.  Sama á við um fræðslu og þróun þegar fyrirtæki fjárfesta í menntun starfsmanna sem svo hætta vegna of mikils álags.  Til að dæma um hvort þetta eru verðmyndandi upplýsingar þá þurfa upplýsingarnar að vera til staðar yfir 5 ára tímabil.
Þegar borin er saman arðsemi eigin fjár og þess að fylgja reglunum þá er fylgnin ekki mikil ca. 0,07 en alla vega, þá leiðir það ekki til lakari árangurs.  Margt bendir til að það bæti ávöxtun og minnki áhættu Birtu.

Birta breytir ekki heiminum en lýsir yfir vilja til samstarfs og tengir sig við markmið. Birta hefur fjárfest bæði í Marel og Össur og einnig í mörgum nýsköpunarfyrirtækjum.  Nýsköpun og uppbygging á innviðum tengjast markmiðum nr.9 sem er nýsköpun og uppbygging og byggja upp trausta innviði, stuðla að sjálfbærri iðnvæðingu.  Niðurstaða Ólafs er sú að það þurfi viðbótarupplýsingar og nú er öskrandi tækifæri fyrir gagnaveitur. 

Sigurður sagði ófjárhagslegar upplýsingar verða fjárhagslegar til lengri tíma.  Í dag er öskrað eftir upplýsingum og kallað eftir gagnsæi og réttum upplýsingum í stjórnkerfinu, á almennum og opinberum markaði.  Skýrsla stjórnar um ófjárhagsleg mál getur uppfyllt þessa þörf.  Endurksoðendur gefa álit sitt að ársreikningi, í skýrslu stjórnar koma upplýsingar úr samfélagsskýrslunni ESG/GRI. Úr ársreikningi koma tölur sem skipta máli fyrir fjárfesta og meta fyrirtækið út frá þeim gögnum sem þar eru settar fram.  Endurskoðendur staðfesta að í skýrslu stjórnar sé verið að fjalla um ákveðin málefni.  Stjórnarmaðurinn er því ábyrgur fyrir að þær upplýsingar sem komi fram í skýrslu stjórnar séu ábyggilegar.  Félag endurkoðenda telja að óvissa ríki um hvort endurskoðun skuli ná til upplýsinga í skýrslu stjórnar eða eingöngu staðfesti að  upplýsingar séu veittar án álits á réttmæti þeirra.  Ársreikningaskrá RSK sýnir að úrbóta er þörf.  Sérstaklega verður gengið eftir því að kanna upplýsingagjöf í skýrslu stjórnar hvað varðar ófjárhagslegar upplýsingar. 

Ófjárhagslegar upplýsingar eru viðbótarupplýsingar og mikilvægt fyrir stjórnarmenn að kynna sér þær vel, þær séu vandaðar og hægt að treysta því að þær séu í lagi.  Málið snýst um 65.gr. og 66.gr. í 6.kafla skýrslu stjórnar.  Í Skýrslu stjórnar 8.grein skal upplýsa um aðalstarfsemi og gefa yfirlit yfir þróun, stöðu og árangur í rekstri félagsins ásamt lýsingu á megináhættu og óvissuþáttum.  Spurningar sem vert er að velta upp eru t.d. Er stjórnarmaður viss um að fylgt sé skilgreindu verklagi og góðum stjórnarháttum? Mega bankar og lífeyrissjóðir fjárfesta í eða lána fyrirætkjum ef vandaðar ófjárhagslegar viðbótarupplýsingar liggja ekki fyrir. Eru ófjárhagslegar viðbótarupplýsingar frá stjórnendum fyrirtækja staðfestar af stjórn?

Það er til staðall sem dregur þetta saman, en viðmið hafa ekki verið til hér á landi.  Til eru alþjóðleg viðmið  “The integrated Reporting Framework.  Að lokum sagði Sigurður að stjórnarmenn ættu að kynna sér vel lög og reglur um framsetingu viðbótarupplýsinga, upplýsingar verða að byggja á góðum stjórnarháttum, ferlum og undirliggjandi eftirlits-/stjórnkerfum.  Þessar upplýsingar eru mikilvægar til að auka gagnsæi og veita góða innsýn í rekstrarumhverfi fyrirtækis.  Vönduð og vel unnin skýrsla stjórnar er ein mikilvægasta undirstaða heilbrigðs verðs-og lánshæfismats.  Þetta er ekki sprettur heldur langhlaup.

Hér er hlekkur á áhugavert myndband um "Integrated Reporting Framework": https://videopress.com/v/nboxyfAp
H
ér er hlekkur á vefsvæði Kontra Nordic en þar er að finna ýmsar upplýsingar á þessu sviði: https://kontranordic.com/links/

Fundinum var streymt á Facebook - hér er hlekkur á myndskrána:
https://www.facebook.com/Stjornvisi/videos/2585059381775400/

 

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Stjórn

Anna Kristín Kristinsdóttir
-1 -  Formaður - ISAVIA ohf.
Arnar Freyr Guðmundsson
Annað -  Stjórnandi - Háskóli Íslands - háskólanemar
Davið Halldórsson
Sérfræðingur -  Stjórnandi - KPMG ehf
Hrefna Arnardóttir
Deildarstjóri -  Stjórnandi - Advania
Jón Elías Þráinsson
Sérfræðingur -  Stjórnandi - Landsnet
Jón Kristinn Ragnarsson
Sérfræðingur -  Stjórnandi - ION Ráðgjöf
Margrét Kristín Helgadóttir
Sérfræðingur -  Stjórnandi - Fiskistofa
Margrét V. Helgadóttir
Sérfræðingur -  Stjórnandi - Íslandspóstur
Margrét Valdimarsdóttir
Annað -  Stjórnandi - Creditinfo
Fannst þér efnið á síðunni hjálplegt?