1 / 32

Håndtering av drift/operasjoner (kap. 8)

Håndtering av drift/operasjoner (kap. 8). Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer)

apollo
Download Presentation

Håndtering av drift/operasjoner (kap. 8)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Håndtering av drift/operasjoner (kap. 8) • Pålitelige operasjoner (drift) er viktig når organisasjoner blir avhengige av sine datasystemer (jfr. problemene i bankenes betalingssentral, Skandiabankens problemer) • God tilgang til Internett er viktig for bedriftens forhold til kunder (når vi selger via e-post og Web må dette være tilgjengelig til enhver tid) • Det moderne samfunn er avhengig at teknologien fungerer, backupsystemer hjelper bare i visse tilfeller (ved strømbrudd må de fleste virksomheter stanse) • Jo mer automatiske tjenester, jo mer teknologiavhengig er vi (digitale penger kontra kontanter, kort/bestillingsnr kontra papirbillett på fly) • Risikoreduksjon (jfr. N. Carr) • Så selv drift om kan høres kjedelig ut er det ofte på dette nivået at suksessen til en ny tjeneste blir avgjort (jfr. mange sosiale nett før Facebook) MS kap 8

  2. Drift • Her skal vi se på: • Outsourcing • Sikkerhet • Katastrofeberedskap (distribuerte systemer) MS kap 8

  3. Nytt perspektiv MS kap 8

  4. Operasjoner (Drift) • Ofte en vesentlig del av kostnadene • Men mindre nå enn før: • bedre utstyr • billigere utstyr • plug & play • bedre programvare • og ikke minst – flinkere brukere MS kap 8

  5. Problemer • Feil • Responstid (Web systemer) • Data ikke tilgjengelig • Data tilgjengelig, men galt format • Fingertrøbbel (brukere) MS kap 8

  6. Løsninger • Brannslukking • Kjøpe mer utstyr • Teste (ikke minst brukergrensesnitt) • Dokumentere, måle, kontrollere. • Finne de virkelige problemene, løse disse. • Standarder og Strategi! MS kap 8

  7. Outsourcing • Flere muligheter: • Driftsstøtte (kjøper ekspertise istedenfor å ha eget personell) • Kjøper spesialtjenester (kostbart å holde eget personell oppdatert på alle tjenester) • Setter ut tjenester som er så enkle at hvem som helst kan ta seg av disse (f.eks. hjelpefunksjoner, drift av PC, nett, osv.) • Outsource alle IT tjenester • ASP (Application Service Providers) tilbyr slike tjenester • Cloud Computing, tjenester over Internett MS kap 8

  8. Viktige spørsmål • Kan vi stole på at vi får de tjenester vi trenger (ressurser, feilretting, stabilitet…)? • Vil ASP’en kunne kjøre vår egen programvare, eventuelt de versjonene vi velger • Har vi alternativer om vi ikke er fornøyd med servicenivået? • Vil data være lagret sikkert? • Er det flere eller færre ledd som kan gå galt? • Dekker kontrakten med den eksterne leverandøren alle de oppgaver som utføres i dag, eller mister vi noe? • Er det uinteressant at vi ikke lengre har denne kompetansen internt? • Har vi et system som også vil virke i framtiden? MS kap 8

  9. Er det forskjell på at • Hvilken bedrift/type som outsourcer IT: • SAS • Bank • Røde Kors • Legekontor MS kap 8

  10. Sikkerhet • Med Internett etc. åpner vi bedriftens systemer mot omverdenen • (vi kan sammenligne med utvikling i butikker, fra disk til selvbetjening) • Mange trusler • Interne og eksterne krav (for eksempel, lovgiving) for at sikkerhet ivaretas MS kap 8

  11. Sikkerhet kommer ofte sist… • Utviklingen av biler: • 1900-1920 Få utviklet teknologien, driftssikkerhet • 1920-1950 Produksjon, overkommelig pris • 1950-1970 Design • 1970-1990 Driftsøkonomi • 1990-2005 Sikkerhet viktig • 2005- Miljø MS kap 8

  12. Også slik med datamaskinen • 1943-1970 Få utviklet teknologien, kapasitet, driftssikkerhet • 1970-1985 Produksjon, overkommelig pris • 1985-2000 Funksjonalitet • 2000- Sikkerhet begynner å bli viktig MS kap 8

  13. Typer av angrep MS kap 8

  14. Norske Internettbanker • Utsatt for angrep på enkelte konto • Kontoer er tappet • De nasjonale mellommennene blir tatt • Men av de 50 sakene som Kripos etterforsket i 2006 er ingen hovedmenn tatt • Høyere sikkerhetsnivå nå (ekstra passord) MS kap 8

  15. 5 pilarer for sikkerhet • Autentisering • Er de den de sier de er? • Identifisering • Systemer for identifisering, sertifikater • Datasikkerhet (beskyttelse mot misbruk) • Data integritet (beholde data i original/riktig form) • Verifisering av transaksjoner slik at ingen kan nekte for at de deltok i transaksjonen MS kap 8

  16. Biometri • Snakket om i svært mange år • Muligheter: • Fingeravtrykk/håndflate • Iris gjenkjenning • Stemmegjenkjenning • Problemer: • Pålitelighet (se f.eks. http://www.youtube.com/watch?v=MAfAVGES-Yc) • Kan føles for nærgående • Kostbart MS kap 8

  17. Fortsatt • Pin-koder • Passord • Kort • Spørsmål som bare du kjenner svaret på • Med kortleser på alle maskiner kan sikkerhetsnivået økes (brukes i helseetaten) MS kap 8

  18. Bank-id – fra Web siden: • BankID er en personlig og enkel elektronisk legitimasjon for sikker identifisering og signering på nettet. BankID tilbys av bankene i Norge, ta kontakt med banken din hvis du ønsker å skaffe deg BankID. • BankID er basert på en samordnet infrastruktur som er utviklet av banknæringen gjennom BankID Samarbeidet, i regi av Finansnæringens Hovedorganisasjon og Sparebankforeningen. • BankID er sikkert, og kundene kan være helt trygge når de benytter BankID. Det skriver FNHs adm. direktør, Arne Skauge, og Sparebankforeningens adm. direktør Arne Hyttnes i et brev til finanskomiteen og transport- og kommunikasjonskomiteen på Stortinget. Bakgrunnen er debatten i media om BankID-sikkerheten. MS kap 8

  19. Er Bank id sikker? • En gruppe ledet av professor Kjell Jørgen Hole ved UiB hevder at systemet ikke er sikkert • Systemet baserer seg på PKI (Public Key Infrastructure) med en privat og en offentlig løsning • Den som disponerer den private nøkkelen kan signere dokumenter, logge inn på kontoer, overføre penger m.m. • Av praktiske grunner er den private løsningen lagret sentralt MS kap 8

  20. Er betalingskortet sikkert • Forskere ved Cambridge har laget en kopling fra en datamaskin til et betalingskort som får terminalen til å tro at transaksjonen skal gå kodefri. • Selv om en taster inn feil kode går transaksjonen igjennom • Virker ikke der alt går via bankens server MS kap 8

  21. Problemer med sentral lagring • Prinsipielt: • Hvordan skal vi forsikre oss om at nøkkelen ikke blir misbrukt av de som oppevarer den (banker, myndigheter) • Praktisk: • Hvordan skal vi fortelle banken at vi vil bruke nøkkelen? MS kap 8

  22. Bruk av sentral lagret nøkkel • Vi aksesserer nøkkelen med personnummer, PIN og engangskoder (som med banken i dag) • Dvs. vi ”legitimerer” oss på denne måten MS kap 8

  23. Hva sier Hole & Co • Med ”phishing” og ”man in the middle” kan vi lure engangskoder ut av kundene • I praksis kan dette gjøres ved: • Åpne et falskt grensesnitt på brukerens maskin • Fange opp engangskoden (bruke den til vår innlogging i nettbanken) • Gi en feilmelding til bruker • Fange opp neste engangskode, og så bruke denne som bekreftelse på transaksjonen der vi tømmer kontoen • Hole har kjørt vellykkede angrep etter denne oppskriften • Problemet vil vokse om bankid skal brukes i mange sammenhenger MS kap 8

  24. Hva sier bankene • Bank ID er sikkert • Hole har ikke vist svakheter i BankID, bare at det finnes ”dumme” brukere MS kap 8

  25. Men • Kredittilsynet er bekymret • Det hjelper jo ikke om den sentrale del av Bankid er sikkert, dersom det svakeste ledd er hos brukeren • Med en lokal lagring av nøkkelen ville mange av disse problemene vært unngått • Det kunne i praksis skje ved å ha nøkkelen på et plastkort MS kap 8

  26. Til slutt • Det vi er ute etter er ikke formell sikkerhet men praktisk sikkerhet • Vi låser huset med nøkkel, men likevel kan hvem som helst bryte seg inn. • Likevel representerer låsen en praktisk sikkerhet.

  27. Betalingssystemer • Primitive i dag • Personifisert sikkerhet er bedre: • Ekstra kode i minibank • Ikke tillate minibank • Åpne for bruk i minibank med kode på mobilen • Unngå kode i butikker du bruker ofte • Unngå kode for småbeløp • osv.

  28. Teknikker for sikkerhet PC-MCIA Sikkerhet for trådløse system. MS kap 8

  29. Men, sikkerhet er vanskelig • Systemene er store og komplekse • Der vi ellers kan teste for å se om funksjonene virker er det ikke like lett når det gjelder sikkerhet • For skurkene gjelder det å finne svakeste leddet i kjeden • Mye av de samme problemene som vi har med militære forsvarsannlegg: • Hva hjelper de å ha en sterk linje på grensen mellom Tyskland og Frankrike når tyskerne kjører tanks gjennom Belgia i 1940. • Tyskland visste at det kom en invasjon i 1944, men hvor kommer den? MS kap 8

  30. Vil vi være helt sikre • Unngå å lagre konfidensielle data • Kun lagre i systemer som ikke er koplet til Internett • Men dette begrenser bruken • Imidlertidig kan det være en god løsning å avgrense deler av systemet MS kap 8

  31. Katastrofeberedskap • Interne ressurser: • Backup av data • Flere datasentre • Distribuerte systemer • Backup nett (redundans eller alternative samband) • LAN, server farms, etc. (f.eks., CNN under terrorangrepet på World Trade Center) • Testing er viktig • Eksterne ressurser: • Egne leverandører av backup tjenester • Samarbeid med andre institusjoner (i forskj. tidssoner?) MS kap 8

  32. Backup • Flere kopier av filer • På forskjellige steder • Forskjellige versjoner • Viktig: • Kontrollere at backup virker • Rutiner på innlasting fra backup • Gjennomgang på hva som kan skje – ”worst case” scenario MS kap 8

More Related