Alle vi som jobber med informasjonssikkerhet er godt kjent med sikkerhetsegenskapene K – I – T, Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhetsansvarlige og personvernombud har heiet fram disse sikkerhetsegenskapene i årtier, og minnet om å ta hensyn til dem i interne og eksterne risikovurderinger.
Men har vi nå fått en fjerde sikkerhetsegenskap, Robusthet, med forordningen?
Artikkel 32 i personvernforordningen sier:
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i […], skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet […]
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
Hva er egentlig robusthet?
Personvernforordningen definerer ikke robusthet (resilience), men sier likevel noe om det i punkt 49 i fortalen: «[…] å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten […]».
Den mest hensiktsmessige tolkningen av dette er muligens presentert av (National Institute of Standards and Technology, NIST) som sier at robusthet handler om informasjonssystemers evne til å:
- fortsette å operere under ugunstige forhold eller stress, selv under degradert eller svekket tilstand, samtidig som de opprettholder essensiell operasjonell drift; og
- gjenopprette normaltilstand på en effektiv måte, innen en tidsramme som er i samsvar med virksomhetens behov.
Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Samtidig skal personvernprinsippene og de registrertes rettigheter og friheter ivaretas. Dette gjelder under både normale og unormale omstendigheter. Det vil for eksempel si at informasjonssikkerheten i programvare og tjenester ikke svekkes eller må settes opp på nytt, men opprettholdes ved endringer (dette inkluderer oppdateringer) og ytre påvirkninger. Når organisasjonen sikrer at systemene har innebygd personvern og informasjonssikkerhet, bygges robusthet inn i systemene. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger.
Hvordan oppnå robusthet?
Tekniske og organisatoriske tiltak for å oppnå robusthet kan være:
- Regelmessige opplæringstiltak og bevisstgjøringskampanjer for å bygge personvern- og sikkerhetskultur i hele virksomheten
- Prosedyrer for effektiv avvikshåndtering, noe som omfatter å
- oppdage sikkerhetshendelser,
- analysere sikkerhetshendelser for å finne ut om det har oppstått brudd på personopplysningssikkerheten,
- gjenopprette normaltilstand,
- rapportere brudd på personopplysningssikkerheten til ledelsen, de registrerte, behandlingsansvarlig, Datatilsynet mm,
- implementere tiltak som lukker sårbarheten som medførte hendelsen,
- evaluere og lære av hendelsen (omfatter også opplæring av ansatte)
- Tilgangsstyring – ivareta konfidensialitet, integritet og tilgjengelighet
- Regelmessig evaluering av effektiviteten av eksisterende tiltak
- Kontinuerlig vurdere nye tekniske og organisatoriske tiltak med hensyn til «state of the art» og utviklingen i samfunnet
- Regelmessig sikkerhetstesting av systemer, løsninger, programmer og verktøy
- Etablere og vedlikeholde kontinuitetsplaner, inkludert rutiner for sikkerhetskopiering og gjenoppretting.
- Etablere og vedlikeholde beredskapsplaner
- Regelmessige øvelser for de ansatte på kriser og utfordringer i henhold til virksomhetens beredskapsplaner og kontinuitetsplaner
- Styringssystem for personvern og informasjonssikkerhet
Sikkerhetsegenskapene skal ivareta personvernprinsippene
Manglende robusthet kan føre til sikkerhetshendelser. Det er ikke selve mangelen på robusthet som vil være et brudd på informasjonssikkerhet, men resultatet av mangelen på robusthet.
Artikkel 4 punkt 12 i forordningen definerer brudd på personopplysningssikkerheten slik: «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Alle de fire sikkerhetsegenskapene skal bidra til en effektiv ivaretagelse av personvernprinsippene, og dine og mine rettigheter og friheter. Den behandlingsansvarlige og databehandleren har plikt til å sørge for dette.
Fra at vi tradisjonelt sett har hatt de tre sikkerhetsegenskapene K – I – T, er vi med personvernforordningen beriket med fire? Skal vi forkorte dem R – I – K – T?