Tidligere var digitale angrep noe som førte til at informasjonssystem ble utsatt. I dag kan det utføres digitale angrep som kan få dødelige følger i vår fysiske verden. Det var noe av det viktigste vi tok med oss fra konferansen Security Divas, en konferanse om informasjonssikkerhet for og med kvinner.
I forrige uke deltok vi på Security Divas, som i år ble arrangert for femte år på rad i Gjøvik. Vi deltok også i fjor på konferansen som arrangeres av Norsk senter for informasjonssikring (NorSIS) med mål om å ta vare på, og forsterke, sikkerhetsmiljøet med flere damer. Dette bidrar til nettverksbygging og faglige innspill til alle kvinner som er – eller ønsker å være – involvert i informasjonssikkerhet.
Det var 110 engasjerte kvinner som deltok på årets konferanse. Det var gode foredragsholdere, og interessante og høyst relevante innlegg. I pausene og under måltidene var det både tid og mulighet for å diskutere faglige tema, utveksle erfaringer og utvide nettverket.
Konferansens første dag dreide seg om digitalisering og sikkerhet, mens det dagen etter handlet om personvern, Big Data og beskyttelse av egen identitet.
Hva er så det viktigste vi sitter igjen med og som vi vil formidle videre?
Mørketallene – de usynlige lovbruddene
Leder for NSR Mørketallsundersøkelsen 2014 og informasjonssikkerhetsutvalget, Janne Hagen, fortalte om de usynlige lovbruddene. Mange digitale angrep skjer uten at de blir oppdaget og rapportert inn til myndighetene. Datatilsynet får blant annet mange færre avviksmeldinger på personopplysninger på avveier enn det vi antar at skjer. Datatilsynet deltok i arbeidet med Mørketallsundersøkelsen, og blogget også om den da undersøkelsen ble presentert i september. Undersøkelsen viser blant annet hvor stor tillit offentlig sektor har til nettskyleverandører. Få stiller krav om databehandleravtale, og vi mener at det er alt for mange som ikke vet hvordan leverandørene håndterer deres data eller hvor data blir lagret. Dette er nedslående og kan innebære to lovbrudd; at man ikke har oversikt over hvor data behandles, og at det kan ha skjedd en ulovlig overføring til tredjeland.
Funn fra tilsyn
Nasjonal sikkerhetsmyndighet (NSM) hadde et innlegg med en overskrift som vi kjente oss igjen i. Vigdis Grønhaug, kontrolldirektør i NSM, ga en beskrivelse av hvilke funn de hadde gjort innenfor informasjonssikkerhet. Oppsummeringen kunne like gjerne vært fra tilsynene vi i Datatilsynet gjør på internkontroll og informasjonssikkerhetsområdet. Ikke mye nytt å lære for oss, men interessant å se hvor like avvik vi finner i kontroller etter våre to regelverk (sikkerhetsloven og informasjonssikkerhetsområdet i personopplysningsloven).
Security Architect Divas?
Digitale angrep handler ikke lenger bare om angrep som fører til at informasjonssystem blir tatt ned eller kompromittert, men nå blir det også utført digitale angrep som fører til fysisk skade. Sofie Nystrøm er utvalgsmedlem i regjeringens nye Digitale Sårbarhetsutvalg (Lysneutvalget). Hun fortalte blant annet om en sabotasje på et smelteverk i Tyskland i desember i fjor, som førte til store fysiske skader.
En virksomhet som har en sikkerhetsarkitekt viser en høyere grad av modenhet. Sikkerhetsarkitekten er en person som ser på linken mellom krav og implementasjon, ser behovene og forstår hvordan de skal løse dem, sier Nystrøm.
Et stort problem med sikkerhetsarbeidet i enkelt virksomheter, er at det jobbes mye med enkelttiltak fremfor å jobbe med helhetlige tiltak. Statistikk fra Microsoft (2014) sa at det tar 48 sekunder fra en pc er kompromittert til en angriper har oppnådd administratorrettigheter på domenet. Vi som jobber med sikkerhet må tilstrebe å se på rotårsaker til at noe oppstår i stedet for å hotfixe (en kortsiktig reparasjon av et sikkerhetshull eller sårbarhet). Man skal selvsagt patche og oppdatere sine system, men man må også se på de underliggende problemene og se på helheten av et system.
Helhetlig tankegang må inn i systemutviklingen og i sikkerhetsarbeidet allerede fra starten av. Det er ofte et stort gap mellom krav, og implementasjon og produksjon. Kravspesifikasjonen inneholder sikkerhetskrav, policy, rammeverk, styringssystem, standarder, lovverk og kontrakter. Men de som jobber med utvikling forholder seg mest til implementasjon, testing, leverandører og underleverandører. En virksomhet som har en sikkerhetsarkitekt viser en høyere grad av modenhet. Sikkerhetsarkitekten er en person som ser på linken mellom krav og implementasjon, ser behovene og forstår hvordan de skal løse dem.
Hva vil den nye personvernforordningen medføre?
De kommende personvernreglene fra EU (forordningen) blir sannsynligvis vedtatt i løpet av våren 2015 og vil så bli implementert i Norge i løpet av et par år. Dette fortalte Eva Jarbekk, som er advokat og leder av Personvernnemnda. Reglene vil medføre at det blir langt viktigere enn tidligere med god intern styring og oversikt over personopplysninger i både offentlige og private bedrifter. Virksomheter med over 5000 registrerte må ansette personvernombud, Datatilsynet vil kunne gi enorme bøter til virksomheter som har store avvik, og krav om avvikshåndtering vil bli strengere. Det vil være krav om «retten til å bli glemt», og krav om innebygd personvern (Privacy by Design) når man utvikler nye system eller løsninger. Datatilsynet er i gang med arbeidet med å se på forordningen og vi har allerede mye veiledning innenfor nytt og eksisterende regelverk. Blant annet har vi oversatt de syv prinsippene for innebygd personvern og vi har på trappene en veiledning på hvordan man skal gjøre en vurdering av personvernkonsekvenser (Privacy Impact Assessment).
Dagens forbrukere er i økende grad bekymret over at deres personopplysninger samles inn, (mis)brukes og videreselges, og flere begynner med digitalt selvforsvar, sier Tranberg.
«Don’t give data to a stranger»
Skal man være naiv, paranoid eller bruke sunn fornuft i dagens digitale samfunn? Skal vi bruke vårt egentlige navn på sosiale nettsteder, eller bør vi bruke pseudonym i all vår digitale kommunikasjon? Hvem kan vi stole på og hvem bør vi passe oss for? Vi hørte Pernille Tranberg, som er dansk journalist, snakke om god og dårlig bruk av Big Data. Dagens forbrukere er i økende grad bekymret over at deres personopplysninger samles inn, (mis)brukes og videreselges, og flere begynner med digitalt selvforsvar. Tranberg ga oss tips om å beskytte vår digitale identitet og ha ulike brukernavn på sosiale nettsteder. Hun snakket varmt om tjenester som tilbyr personvern som standardinnstilling (privacy by default), fremfor sporing som standardinnstilling (tracking by default).
Personvernutfordringer ved Big Data er ikke ukjent for oss i Datatilsynet, og vi skrev en rapport om Big Data for halvannet år siden. En av utfordringene er nedkjølingseffekt ved at mennesker begrenser seg i sin digitale kommunikasjon med fare for hvem som «lytter». Men blir dette riktig eller skal vi stille større krav til virksomhetene som behandler våre personopplysninger? Vi bør kunne forvente at opplysningene vi legger fra oss blir behandlet trygt og sikkert, ved at opplysningene ikke blir solgt videre til datameglere eller brukt av virksomhetene til «å forbedre egne tjenester». Men selvsagt må vi ha sunn fornuft når vi beveger oss i «det offentlige rom» og sikre oss for å unngå ID-tyveri. Her har både vi og NorSIS mange gode råd. Hvor utsatt er DU for ID-tyveri? Ta en test for å finne det ut.
Hilsen Krystalle Parmeggiani – mitt pseudonym generert på nett for i dag