ITEK og DIs vejledning om beskyttelse af data mod fremmede landes overvågning

Størrelse: px
Starte visningen fra side:

Download "ITEK og DIs vejledning om beskyttelse af data mod fremmede landes overvågning"

Transkript

1 ITEK og DIs vejledning om beskyttelse af data mod fremmede landes overvågning

2 Udgivet af: DI ITEK og DI Redaktion: Henning Mortensen ISBN:

3 Beskyttelse af nationalstatens borgere og territorium Terrorisme er på den politiske dagsorden overalt i verden. Politisk er der hos stort set alle parter et behov for at vise handlekraft mod terror og dæmme op overfor terroren og dens konsekvenser. Midlerne hertil er mange spændende fra små lokale sociologiske initiativer over retningslinier for den økonomiske politik til national overvågning af borgerne i bred forstand. Terror kan defineres som et uacceptabelt voldeligt middel til at opnå et politisk mål 1. Det er naturligvis væsentligt for et demokratisk samfund at politiske mål kan nås uden anvendelse af voldelige midler og derfor er indsatsen mod terror vigtig. Der skal gøres en indsats for at beskytte såvel en nations borgere som selve nationens territorium inklusive nationens infrastruktur. Nogle af midlerne, der tages i anvendelse for dæmme op for terror, er imidlertid kritisable i den betydning at de har nogle andre uheldige konsekvenser for samfundet. Det kan f.eks. være en indskrænkning af privatlivets fred blandt borgerne eller et pres på eller en decideret underminering af retssikkerheden. Det kan også være overvågning af virksomheder, som i bedste fald ikke ved, om deres data kan holdes fortrolige, og i værste fald ved at deres data aflyttes og bruges mod virksomheden som industrispionage. Nogle af midlernes effektivitet i forhold til at bekæmpe terror kan også drages i tvivl, fordi vi ved så lidt om, hvordan terrorister agerer 2. I disse tilfælde får vi overvågning, spionage og privacykrænkelser uden reel effekt mod terror. DI ITEK har været aktiv i debatten om informationssikkerhed, privatlivets fred, retssikkerheden og industrispionage på mange forskellige fronter i de senere år. Alle vores vejledninger og politiske dokumenter kan findes på vores sikkerhedshjemmeside 3. Der er gennem de senere år sket en forandring i det internationale miljø. Mange landes efterretningstjenester har fået til stadighed flere værktøjer til at beskytte deres borgere og territorium i relation til at dæmme op for terror. Hvor trusler fra udenlandske myndigheder tidligere var forbundet med spionage af typen skæg, hat og blå briller, er der nu - under henvisning til truslen om terror - taget initiativer, som under særlige omstændigheder gør aflytning af andre landes borgere og virksomheder officiel og lovlig. Disse nye og delvist officielle redskaber har skabt en ændring i trusselsbilledet for danske virksomheder, som virksomhederne bør forholde sig til. Nærværende vejledning har til formål at give en introduktion til det ændrede risikobillede, som udenlandsk overvågning giver anledning til for danske virksomheder. Vejledningen vil blive afsluttet med en række værktøjer, som virksomhederne kan bruge, for at beskytte sig mod overvågning fra udenlandske myndigheder. Listen over værktøjer er ikke udtømmende, og den bør bruges efter en konkret vurdering af situationen. Et ændret risikobillede Overvågning og spionage er blandt de ældste erhverv i denne verden. Derfor er beskyttelse af informationer også blandt de ældste erhverv. I starten forsøgte man at skjule sine budskaber en disciplin der kaldes steganografi. Et eksempel på dette kendes fra Histaios, der barberede håret af sin budbringer, skrev sin besked og lod budbringeres hår vokse ud igen, således at han trygt kunne rejse af sted med begrænset risiko for at budskabet blev fundet 4. En mere avanceret måde at Simon Singh, Kodebogen, p. 19, Gyldendals Bogklubber 3

4 kommunikere sine fortrolige budskaber på er at anvende kryptografi. Hvordan dette i dag fungerer i praksis skal ikke berøres i denne vejledning, men et historisk eksempel er det såkaldte Cæsarcipher, hvor Cæsar krypterede sine meddelelser ved at rykke bogstaverne i alfabetet tre pladser, så ordet: kryptografi bliver til: nuøswrjudil, hvis man bruger det danske alfabet 5. Med de nuværende teknologiske muligheder er kompleksiteten i det at skjule sine budskaber på en sikker måde, som ikke kan brydes af uvedkommende, øget. Disse muligheder er blevet flittigt anvendt af såvel terrorister som myndigheder men også af almindelige borgere og virksomheder for at beskytte deres informationer mod dem, som de til enhver tid måtte betragte som uvedkommende. Vores egne og fremmede landes myndigheder har for at beskytte egne borgere og eget territorium fået mulighed for at foretage systematisk overvågning i en grad som hidtil ikke har været kendt. Flere eksempler på allerede vedtagne initiativer i ind- og udland illustrerer dette: - FRA-loven 6 er et eksempel på en svensk lovgivning, som påvirker danske virksomheder. I loven specificeres det, at den svenske myndighed, Försvarets Radioanstalt, kan overvåge udenlandsk telefoni og internet, som switches eller routes ind over den svenske grænse. Overvågningen omfatter såvel trafikinformation som selve trafikken. Det vil sige, at de svenske myndigheder kan se, hvem der udveksler information med hvem, og hvad selve informationen indeholder. Dermed går denne lov videre end den danske logningsbekendtgørelse, som kun logger trafikinformationerne. Den svenske lov medfører, at al trafik skal afleveres til myndigheden, som så på baggrund af et filter med forbudte ord udvælger, hvilken trafik der skal anvendes konkret. Loven er blevet vedtaget i foråret 2008, men ændret allerede i efteråret , således at svensk indenrigstrafik ikke længere er omfattet. Det skyldtes voldsomme protester internt i Sverige. Loven overvåger altså nu alene udenlandsk trafik. Der er flere interessante aspekter ved loven i forhold til danske virksomheder. For det første kan danske virksomheder ikke undgå, at trafikken routes eller switches ind over den svenske grænse. Det skyldes den måde, som tele- og internettet er bygget op på, hvor trafik routes eller switches den hurtigste og bedste vej for at sikre effektiv tilgængelighed for brugerne. Denne vej kan udmærket gå over den svenske eller for den sags skyld andre landes grænse. For det andet kan de oplysninger, som opsamles af svenskerne, deles med andre lande, og man ved derfor ikke, hvor ens oplysninger ender. Principielt set kunne de komme tilbage til de danske efterretningsmyndigheder, for hvem det ikke er lovligt at gennemføre en sådan type overvågning. For det tredje har danske virksomheder ingen garanti for, hvad svenske myndigheder bruger oplysningerne til. Der er ganske vist specificeret et formål i den svenske lovgivning, men der er for danske virksomheder ingen muligheder for at sikre - eller få indsigt i - om dette formål overholdes. Loven har været ganske meget omtalt i svenske og danske medier 8. Data som transmitteres ukrypteret over såvel telefon- som internet kan dermed ikke betragtes som værende fortrolige. - Grundig visitation ved flyrejser på tværs af grænser bliver mere og mere udbredt. I USA er Transportation Security Administration, som blev dannet efter den 11. september 2001 og er 5 Simon Singh, Kodebogen, p. 24, Gyldendals Bogklubber 6 Regeringens proposition 2006/07:63, En anpassad Försvarsunderrättelsesverksamhet, Se Computerworlds artikler om loven: 4

5 en del af Homeland Security, ansvarlig for, at USA's transportsystem fungerer på sikker vis 9. I et informationssikkerhedsperspektiv betyder dette, at de amerikanske grænsemyndigheder på vilkårlig vis kan få adgang til at analysere indhold på en hvilken som helst bærbar computer, der føres over grænsen ind i USA. Det har ikke været muligt via TSA s egen hjemmeside at finde en annonceret politik på dette område! Flere af medlemmerne i DI ITEKs udvalg for informationssikkerhed har fra egne virksomheder kendskab til, at noget sådant finder sted. Hvis man slækker lidt på kildekritikken, kan man finde masser af eksempler på, at TSA inddrager bærbare computere og undersøger dem uden passagerens mulighed for at holde øje med, hvad der sker 10. Man får indtryk af, at der er to typer af analyser: En type som skal afgøre, om computeren kan fungere som et element i en bombe og en anden type, som skal sikre myndigheden kendskab til indholdet på harddisken. Som det fremgår af disse kilder, er USA et af de mest omtalte lande, hvor dette foregår. Eksempler på tilsvarende tiltag er imidlertid også kendte fra grænseovergangene til andre lande f.eks. Kina. Data, der er placeret på bærbare lagermedier ved indrejse i et andet land, kan derfor ikke betragtes som fortrolige. - Vender vi os mod danske regler, er der også de senere år set flere eksempler på overvågning, som rammer både danske og udenlandske statsborgere. Logningsbekendtgørelsen 11 sikrer f.eks., at alle trafikoplysninger i den danske del af internettet skal logges, så de efterfølgende kan bruges af myndighederne til at opklare forskellige forbrydelser. Dette følger af et EUdirektiv, som Danmark i forhold til de fleste andre EU-lande - bortset fra Sverige - har valgt at fortolke ganske stramt. Men logning vil gå igen i et vist omfang i andre lande, og derfor vil mange forskellige politimyndigheder få adgang til data om deres respektive statsborgere og virksomheder. Vi har også set en ny TV-overvågningslov i Danmark, som udvider rummet for TV-overvågning 12. Hertil kommer flere andre initiativer i terrorlovene fra 2002 og Udviklingen med mere omfattende overvågning må forventes at fortsætte, hvilket illustreres af mere science-fiction-agtige forslag som f.eks. EU's ideer om ubemandede overvågningsdroner og andre overvågningstiltag 13, EU s bevilling i det 7. rammeprogram til Detection of abnormal behaviour og Small area 24 hours surveillance 14 samt USA's ideer om satellitovervågning af eget territorium 15. Særligt interessant bliver det, hvis myndighederne i visse lande ønsker at få direkte indsigt i, hvordan produkter er blevet til. Dette kan potentielt dels bruges til overvågning af egne 9 Mere information om TSA på Se specielt deres 20-lags sikkerhedsmodel: og Foruden disse kilder bruges i praksis også en ældre amerikansk dom om børnepornografi til at fastslå at grænsemyndighederne har ret til at få adgang til indholdet af tilfældige bærbare computere: lement Begge emner er beskrevet i det 7. rammeprogram for forskning, Cooperation, Security, call 1, initiativ: SEC og SEC ,

6 borgere og dels kunne krænke rettighedshaverne. I denne situation er overvågning ikke det centrale, men virksomhederne står overfor at skulle overholde et formelt krav for at kunne eksportere men dog et krav, som potentielt set kan underminere forretningen 16. Hertil kommer, at nogle af de myndigheder, der overvåger, ikke nødvendigvis er demokratiske og bruger de indsamlede informationer på demokratisk vis. Og selv hvis de er demokratiske, kan indsamlede informationer måske bruges til et andet formål end netop at bekæmpe terror f.eks. til at bedrive industrispionage eller undertrykke en politisk opposition. Endelig er der er altid en risiko for, at de systemer, som lagrer data, kompromitteres gennem hacking eller uhensigtsmæssigheder i administrationen af data. Under alle omstændigheder er det altid vanskeligt for en virksomhed at vide, hvad informationerne bruges til, og der kan derfor være grund til at beskytte data, i henhold til det ændrede risikobillede, vi står overfor. Afgrænsning af trusler Der findes en række overvågningstiltag, som virksomhederne bør overveje at beskytte sig imod. Vi vil ikke i denne vejledning hævde at dække dem alle. For det første ser vi udelukkende på data og altså ikke på fysisk beskyttelse af personer, bygninger eller andet. For det andet vil vi i forhold til data alene se på to grundlæggende typer af tiltag: Det ene vedrører overvågning af elektronisk kommunikation, og det andet vedrører overvågning af data, som er tilstede på en fysisk lagerenhed. For det tredje dækker denne vejledning alene overvågning fra fremmede landes myndigheder og altså ikke angreb fra udenlandske hackere m.v. For en mere detaljeret gennemgang af generelle sikkerhedsmæssige trusler henvises til DI ITEKs publikation: Trusler mod virksomhedens ITsikkerhed 17. Elektronisk kommunikation af data Myndighederne kan være interesseret i at få fat i oplysninger om: - hvem der kommunikerer med hvem (trafikinformation), for på den måde at få et billede af hvem der sammen er i gang med at lægge hemmelige planer - hvad der kommunikeres (indhold), for at finde ud af om de, der kommunikerer, udveksler informationer om noget, der har deres eget samfunds interesse Det, der kommunikeres om, kan være terroranslag, men stater kunne også have interesse i andre ting f.eks. politiske oppositioners synspunkter og planer, religiøse bevægelsers initiativer og forretningshemmeligheder hos fremmede nationer, som kan stille statens egne virksomheder ringere. Adgang til fysisk computer Når en person rejser ind i et land kunne det være med det formål at sprede (demokratisk eller ekstremistisk) politisk propaganda, få produceret en ting eller på anden måde bedrive forretning. Det kunne også være i rollen af turist eller terrorist. Ved grænsen er det derfor en oplagt mulighed for myndighederne at søge informationer på bærbart elektronisk udstyr om, hvad personens formål er. I en række tilfælde tager myndighederne det bærbare udstyr fra den rejsende, bringer det uden for synsvidde og foretager derefter handlinger, der kan have til hensigt at vise indholdet på udstyret. I virkeligheden burde myndighederne revidere denne politik, fordi det er usandsynligt, at en terrorist eller en politisk aktivist vil bringe data med over grænsen på denne måde, når der er mulighed til at uploade til online filservere før rejsen. Effekten af politikken er dermed vanskelig at få øje på

7 Beskyttelse På det generelle plan har virksomheden en værktøjskasse med redskaber, som kan bruges til at beskytte sig mod udenlandske myndigheder i de to skitserede scenarier. Det er virksomhedens ledelse, der på baggrund af en konkret vurdering skal beslutte hvilke initiativer, der skal iværksættes. Risikoanalyse Det helt centrale i denne vejledning er, at virksomhederne overvejer hvilken risiko, de står overfor. Virksomheden bør derfor foretage en risikoanalyse. At foretage en risikoanalyse er et helt grundlæggende sikkerhedstiltag, som ikke kun vedrører andre landes overvågning, men som altid bør foretages i forhold til alle risici, så virksomheden har et reelt billede at agere ud fra. I forhold til den konkrete sag må virksomheden vurdere, om de data, der kommunikeres via nettet eller telefoni eller som virksomhedens ansatte bærer med sig til udlandet, er af afgørende betydning for virksomhedens forretning. Herefter bør virksomheden vurdere, om der er initiativer, som sikrer data tilstrækkeligt i forhold til den aktuelle trussel samt sandsynligheden for at truslen opstår. Hvis dette ikke er tilfældet må ekstra korrigerende sikkerhedsforanstaltninger sættes i værk. DI ITEK anbefaler, at virksomhederne foretager en risikoanalyse. Risikoanalysen bør også omfatte mulighederne for, at udenlandske myndigheder kan opsnappe virksomhedens data. Dataklassifikation Et andet generelt middel til at beskytte de data, som er vigtigst, er dataklassifikation. Typisk vil det ikke være nødvendigt eller omkostningsmæssigt fornuftigt at beskytte alt lige godt. Derfor skal der foretages en klassifikation af data. De data, som er vigtigst skal beskyttes bedst. DI ITEK har omtalt dataklassifikation mere uddybende i publikationen: Forøg virksomhedens informationssikkerhed. Her henvises der til overvejelserne i den danske sikkerhedsstandard DS484 og Statsministeriets cirkulære nr. 204 af 7. december 2001vedrørende sikkerhedsbeskyttelse af informationer. I praksis vil der typisk være behov for fire klasser: - offentlige informationer, som er tilgængelige for alle - interne informationer, som er tilgængelige for ansatte i virksomheden - følsomme informationer, som er tilgængelige for særligt betroede medarbejdere - fortrolige informationer, som er tilgængelige for ledelsen og enkelte betroede medarbejdere i en konkret situation Typisk vil de fortrolige informationer være tegninger, opskrifter eller patenter, som udgør rygraden i virksomhedens forretning. Der kan desuden være tale om regnskabsdata, som viser, hvem der er kunder, og til hvilke priser produkter købes og sælges. DI ITEK anbefaler, at virksomhederne foretager en klassifikation af deres data. Da der kan være ganske mange data i en virksomhed, anbefales det at starte med at klassificere data om forretningsstrategi, regnskab og data fra HR- samt sikkerheds-, forsknings- og udviklingsafdelinger. Kryptering Kryptering af data er et vigtigt middel til at undgå, at uvedkommende kan læse data, som de retmæssigt eller uretmæssigt får adgang til herunder at fremmede myndigheder kan læse data. Det gælder både data på et medie og data under transport. Ved at anvende særlig stærk kryptering vil sandsynligheden for at krypteringen kan brydes indenfor en rimelig tid være forsvindende lille, selv 7

8 om forsøget gøres på en af verdens hurtigste computere. I praksis er det vigtigt, at virksomhederne forholder sig kritisk til, hvilken kryptering der anvendes, og hele tiden holder sig opdateret omkring hvilken standardkryptering, der er brudt eller forventes brudt. Kryptering kan bruges på såvel data, der transmitteres som data, der er lagret. Det vil sige, at man ved at anvende kryptering kan sikre sig imod såvel den overvågning af transmission, der finder sted på tværs af grænser, som den overvågning, der vil finde sted, hvis en myndighed i en lufthavn beder om at få udleveret bærbart elektronisk udstyr. Der er blandt de fleste virksomheder kryptering af transmissionen mellem virksomhedernes lokationer og hjemmearbejdspladser, fordi netværksforbindelserne imellem disse er krypteret VPN 18 (f.eks. ved anvendelse af IPsec), hvilket giver en væsentlig del af beskyttelsen i forhold til f.eks. FRA-loven omtalt ovenfor. I stedet for at anvende VPN kan virksomheder kryptere deres kommunikation på anden vis. En ofte anvendt metode er at anvende SSL 19. VPN med IPsec eller SSL over protokoller som f.eks. webtrafik, er altså kryptering af kommunikationslinjerne. Krypteringen kan som nævnt også ske af den enkelte fil, mens denne er lagret. På denne måde kan man altså opnå to lag af kryptering et på filniveau og et på transmissionsniveau. Trådløse netværk er i en række sammenhænge krypteret. Igen afhænger sikkerheden af, hvor kraftig krypteringen er. WEP-kryptering må betragtes som helt usikker i dag. WPA og WPA2 kryptering er i skrivende stund rimeligt sikre, men er udfordret på længere sigt 20. Særligt er der indikationer i retning af at WPA kan skulle opdateres i en ikke alt for fjern fremtid 21. Også i denne sammenhæng er det vigtigt at vælge sikre passwords i forbindelse med valideringen, da disse bedre kan beskytte netværket mod indbrud og misbrug. Der kan være behov for at supplere trådløse netværk med hårdere kryptering af indholdet (altså de enkelte filer), certifikater eller transmissionen via VPN med IPsec hen over enheden, der giver trådløs adgang, og det netværk den trådløse enhed giver adgang til. Kryptering giver naturligvis ingen beskyttelse, hvis medarbejderen lander i en lufthavn og tvinges til at logge på sit udstyr og dermed dekrypterer og giver adgang til data. Omvendt vil man i lufthavnen næppe kunne få adgang til krypterede data, hvis medarbejderen ikke vil logge på. 18 VPN står for Virtual Private Network. VPN skaber en tunnel mellem to links - altså fra punkt til punkt (LAN til LAN eller fra klient til VPN gateway). Dette kan ske både i linklaget eller i netværkslaget. Typisk anvendes IPsec (netværkslaget), som autentificerer de to kommunikerende parter og krypterer IP-pakkerne som transmitteres imellem dem. De to links - altså de to kommunikerende parter vil typisk være en PC hos to virksomheder, men end-to-end kan også være mellem to servere hos de to virksomheder. 19 SSL står for Secure Socket Layer. En nyere udgave kaldes TSL der står for Transport Layer Security. SSL fungerer på transportlaget. SSL krypterer indhold og autentificerer en server men ikke en klient. Hvis både server og klient skal autentificeres skal der bruges PKI / certifikater og 8

9 En række af de algoritmer (A5/1 22 og A5/2 23 ), der bruges ved GSM-kryptering, som bruges til mobiltelefoni mellem håndsættet og mobilmasten, er principielt set brudt. En række andre faktorer gør det dog yderst vanskeligt hvis ikke umuligt for menigmand at aflytte en mobiltelefonsamtale. Myndighederne har dog særlige værktøjer til rådighed og kan derfor altid aflytte mobiltelefoni, selv om denne er krypteret. Den del af transmissionen, som går fra basestationen og videre ud i telenettet, er ikke krypteret. Fastnettelfoni er ikke krypteret. I dette lys synes det at være af mindre betydning med al den offentlige omtale, der har været af den brudte GSM-kryptering. GSM mobiltelefoni kan overvejes erstattet af 3G (UMTS) mobiltelefoni. 3G er mere sikkert end GSM af to årsager. For det første autentificerer netværket overfor telefonen, hvad der ikke sker ved GSM. For det andet anvendes som standard A5/3 kryptering, som ikke anses for at være brudt. Afhængig af udbyder og håndsæt kan A5/3 også anvendes på GSM. Igen er den del af transmissionen, som går fra basestationen og videre ud i telenettet, ikke krypteret. Det forventes at 2G langsomt vil blive opgraderet til 3G 24. Der findes enkelte løsninger til kryptering af tale i en mobiltelefon. Betingelsen for at man kan drage nytte af at kryptere sine samtaler, er at modtageren har en lignende telefon, der er i stand til at dekryptere dem. I nogen lande vil serviceudbyderen afvise opkald via GSM, som er krypterede. I lyset af den meget omtale af den brudte GSM-kryptering er der ingen grund til at være urolig over at anvende mobiltelefoni. Men omvendt er det en dårlig ide at udveksle virksomhedens fortrolige oplysninger over mobiltelefon, fordi myndigheder vil kunne få adgang til denne. DI ITEK anbefaler, at man anvender krypterede VPN-netværk mellem en virksomheds lokationer og imellem en virksomhed og dens faste samarbejdspartnere. Det anbefales desuden, at man anvender stærk kryptering ved transmission til andre parter af fortrolige data. Trådløse netværk bør suppleres med VPN eller hård kryptering. Det anbefales, at man anvender stærk kryptering ved transport af fortrolige data på lagermedier ved rejser til andre lande. Myndigheder kan generelt få adgang til telefoni. Det anbefales derfor, at man ikke over almindelig mobil- eller fastnet telefon drøfter fortrolige informationer. Onion-routing Kryptering af den type, der er omtalt ovenfor, giver beskyttelse i forhold til indholdet af en transmission af data, men vil ikke give beskyttelse i forhold til trafikinformationerne altså oplysninger om hvem, der kommunikerer med hvem. Det skyldes, at data transmitteres i små pakker, der indeholder både en lille del af beskeden og et kort med afsender og modtager på. For at pakkerne kan komme fra afsender til modtager, er det typisk relevant, at disse informationer er tilgængelige. Imidlertid kan pakkernes trafikinformationer også krypteres, og pakkerne kan sendes gennem et netværk af forskellige computere til den endelige modtager. Dette kaldes onion-routing, 22 A5/1 hævdes at være brudt, men på trods af den megen omtale i pressen er der endnu ikke set en endelig praktisk demonstration. A5/1 er kun brudt teoretisk og det endelige bevis, der skulle fremsættes er i det mindste i skrivende stund ikke blevet fremsat. 23 A5/2 understøttes ikke længere af GSM-association. Denne anvendes således kun i de særlige tilfælde, hvor både håndsættet er gammelt og hvor GSM-infrastrukturen ikke er opdateret. Dette er kun aktuel muligheden i nogle af verdens fjerneste afkroge. GSMA beskriver algoritmerne her: 24 GSM-direktivet er ved at blive ændret, så GSM frekvenser også må bruges til andre formål dvs. 3G. 9

10 fordi det svarer til, at man én for én piller skallerne af et løg indtil pakkerne når frem til den endelige modtager, som kan komme ind til det egentlige indhold. Onion-routing kan være relevant i en række sammenhænge. Men der er løbende debat om, hvor sikkert hele systemet er i sin opbygning. Der er desuden debat om, hvilke initiativer forskellige myndigheder kan tage for at forsøge at tiltrække pakkerne og se, hvem der kommunikerer. Tilsvarende er debat om parter med deciderede fjendtlige hensigter vil kunne lokke trafikken til sig. Formålet med begge dele er at sætte en stump kode ind i de data, som sendes tilbage til modtageren gennem netværket. Hvis modtagerens browser reagerer på denne kode, kan den som sætter koden ind finde ud af, hvem der kommunikerer. For at undgå dette, skal modtageren dermed have meget stor kontrol med sin egen trafik. Som eksempel på en type onion-routing findes det meget omtalte TOR-netværk, som er gratis at bruge. Foruden onion-routing findes der flere typer anonymiseringstjenester, som igen tilbyder at fungere som mellemmand for trafikken. Imidlertid er det meget vanskeligt at gennemskue, hvilken tillid man kan have til disse mellemmænd, og hvilke muligheder andre landes myndigheder har for at få adgang til de pågældende mellemmænds trafik. DI ITEK anbefaler ikke generelt anvendelsen af onion-routing, med mindre det er af afgørende betydning, at man ikke kan se, hvem der kommunikerer hvad der sjældent gør sig gældende for virksomheder. Følsomme og fortrolige data bør ikke transmitteres via onion-routing. Onion-routing er bedst egnet til privat kommunikation og i tilfælde, hvor virksomheden ikke har andre alternativer. Satellit telefoni En måde at få en mobil løsning, som ikke er GSM-baseret, er at anvende satellittelefoni. Med en satellittelefon ringes der direkte op til en satellit uden at anvende en eksisterende teleinfrastruktur. Hvis serviceudbyderen har et globalt dækkende satellitnet anvendes eksisterende teleinfrastruktur ikke til at transmittere meddelelsen. Hvis modtageren også har en satellittelefon anvendes eksisterende teleinfrastruktur slet ikke. Der findes udstyr, som under visse omstændigheder kan opsnappe beskeder, som sendes via satellittelefoni, men det er langt mindre udbredt end udstyr til at opsnappe GSM-telefoni. Satellittelefoni kan kombineres med kryptering af samtaler. Satellitinfrastrukturen kan i visse implementeringer være indrettet sådan, at det er stort set umuligt at opsnappe kommunikationen, fordi den foregår på forskellige frekvenser, der skifter på tilfældig måde hele tiden. DI ITEK anbefaler, at man ikke gennem telefoni udveksler fortrolige oplysninger. Satellit telefoni kan overvejes som en udvej, hvis man ønsker ikke at anvende en teleudbyder i et bestemt land. Retningslinjer for medarbejderne ved udlandsrejser Virksomheden skal have en overordnet sikkerhedspolitik og eventuelt uddybende retningslinier, som gør medarbejderne i stand til at beskytte virksomhedens data i overensstemmelse med det beskyttelsesniveau, som virksomhedens ledelse har vedtaget. Når der skal udformes retningslinier i forhold til rejse med bærbart udstyr indeholdende data, skal virksomhedens ledelse som minimum tage stilling til: 10

11 - hvordan medarbejderen skal reagere hvis han stoppes af myndighederne og bliver konfronteret med en BEGRUNDET MISTANKE for at have bedrevet noget ulovligt versus hvis det er en TILFÆLDIG STIKPRØVE medarbejderen er udsat for? - DI ITEK anbefaler, at medarbejderen instrueres i at finde ud af om han stoppes i forbindelse med en konkret mistanke eller som et led i en tilfældig stikprøve - DI ITEK anbefaler, at man altid åbner op for computeren, hvis der foreligger en konkret mistanke, da medarbejderen de fleste steder kan risikere at blive straffet, hvis der ikke samarbejdes! - Hvis der er tale om en tilfældig stikprøve må det bero på virksomhedens øvrige nedenstående politikker, hvad der skal ske. - om medarbejderen må boote computeren op? - DI ITEK anbefaler at udstyret bootes op på forlangende. Dette vil demonstrere overfor myndighederne, at der ikke er tale om en bombe, der i givet fald ville detonere, samtidig med at det ikke giver anledning til at myndighederne får adgang til data - om medarbejderen må give tilladelse til at udstyret fysisk skilles ad? - DI ITEK anbefaler, at medarbejderen giver tilladelse til at udstyret skilles ad, hvis det sker under medarbejderens tilstedeværelse og under forudsætning af, at data ikke kan læses eller kopieres fra lagermediet - om medarbejderen må logge på PC en og vise indholdet? - Det må bero på en vurdering fra ledelsen af hvilke informationer medarbejderen/virksomheden må have på computeren tillige med hvilke sikringstiltag der er foretaget for at beskytte dem om medarbejderen må logge på computeren og vise indholdet - Såfremt der er tale om en tilfældig stikprøve og der på lagermediet findes fortrolige eller følsomme data, som er beskyttet via hård kryptering, anbefaler DI ITEK at der ikke gives adgang til data - hvordan medarbejderen skal forholde sig hvis han nægter at give adgang til udstyret og dermed bliver nægtet indrejse? - Det må bero på en vurdering fra ledelsen foretaget på baggrund af, hvad der er lagret af information, om medarbejderen skal rejse hjem uden sit udstyr eller give adgang til data - om medarbejderen må have data af klasserne fortroligt eller følsomt med på rejse? - DI ITEK anbefaler, at man minimerer mængden af fortrolige eller følsomme data, man rejser med, mest muligt - om lagerenhederne på medarbejderens udstyr skal være krypteret? - DI ITEK anbefaler, at lagerenheder altid er krypterede, hvis der rejses med følsomme eller fortrolige oplysninger - om password må udleveres på forlangende? 11

12 - DI ITEK anbefaler, at der aldrig udleveres password med mindre dette eksplicit kræves i en situation, hvor der er KONKRET MISTANKE - om medarbejderne kun må rejse med elektronisk udstyr, der ikke indeholder data, men alene applikationer? - DI ITEK anbefaler, at virksomhederne generelt rejser med så få data som muligt - om medarbejderen skal afrapportere en sådan henvendelse fra myndighederne til hovedkvarteret? - DI ITEK anbefaler, at medarbejderen altid rapporterer hjem til modervirksomheden, hvis myndighederne i et land har haft adgang til data. På den måde kan virksomheden støtte medarbejderen og evt. sætte advokater på sagen - om der er forskel på politikken afhængigt af hvilke lande der rejses til? - DI ITEK anbefaler, at virksomheden løbende holder sig orienteret om sikkerhedstilstanden forskellige steder i verden via Udenrigsministeriets hjemmeside. Om virksomheden vil indføre særlige tiltag i forhold til udvalgte lande, må bero på en konkret vurdering foretaget af virksomhedens ledelse - om der er forskel på politikken afhængigt af, hvad hvilket eventuelt formål der er med at få adgang til udstyret? - Om virksomheden vil indføre særlige politikker i forhold til hvilket formål der er med at få adgang til data må bero på en konkret vurdering foretaget af virksomhedens ledelse 12

DI og DI ITEK's vejledning om bevissikring

DI og DI ITEK's vejledning om bevissikring DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde

Netværk, WAN teknik. Introduktion til VPN. Afdeling A Odense. WAN kredsløb. Hovedkontor Viborg. Afdeling B Roskilde Netværk, WAN teknik Introduktion til VPN WAN kredsløb Viborg A Odense B Roskilde Indhold Forudsætninger... 3 Introduktion til VPN... 3 VPN tunnel... 3 Site-to-site VPN tunnel... 4 Site-to-site VPN tunnel

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Privacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer

Privacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer Privacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer Indholdsfortegnelse Baggrund Trusselsbilledet Tillid Scenarier for beskyttelse Beskyttelse af lagret information

Læs mere

DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data

DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data Danske virksomheders data udsættes i takt med den til stadighed mere omfattende digitalisering over for væsentlige

Læs mere

Trusselsvurdering Cyberangreb mod leverandører

Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.

Læs mere

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR

IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR IT-SIKKERHEDSVEJLEDNING IT-SIKKERHED ER OGSÅ DIT ANSVAR 1 HUSK n Adgangskoder må ikke videregives til andre. n Andre må ikke anvende din personlige bruger-id. n Ved mistanke om, at andre har fået kendskab

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering.

Hvad er KRYPTERING? Metoder Der findes to forskellige krypteringsmetoder: Symmetrisk og asymmetrisk (offentlig-nøgle) kryptering. Hvad er KRYPTERING? Kryptering er en matematisk teknik. Hvis et dokument er blevet krypteret, vil dokumentet fremstå som en uforståelig blanding af bogstaver og tegn og uvedkommende kan således ikke læses

Læs mere

Introduktion til MPLS

Introduktion til MPLS Introduktion til MPLS Henrik Thomsen/EUC MIDT 2005 VPN -Traffic Engineering 1 Datasikkerhed Kryptering Data sikkerheds begreber Confidentiality - Fortrolighed Kun tiltænkte modtagere ser indhold Authentication

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

> DKCERT og Danskernes informationssikkerhed

> DKCERT og Danskernes informationssikkerhed > DKCERT og Danskernes informationssikkerhed Fujitsu Security Event, 29. januar 2019 Henrik Larsen 28 January, 2019 S 1 > Hvem er DKCERT? > Grundlagt 1991 efter en af de første store hackersager i Danmark

Læs mere

Trådløst LAN hvordan sikrer man sig?

Trådløst LAN hvordan sikrer man sig? Trådløst LAN hvordan sikrer man sig? Trådløse acces points er blevet så billige, at enhver der har brug for en nettilsluttet computer et andet sted end ADSL modemmet står, vil vælge denne løsning. Det

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen DK CERT COMPUTER EMERGENCY RESPONSE TEAM Chefkonsulent Preben Andersen DK CERT Analyse og beskyttelsescenter Primær opgave: Gennem samarbejdet i CERT FIRST åbne kilder, at opbygge en samlet viden, der

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Hvordan kryptering af chat, mail og i cloud services og social networks virker

Hvordan kryptering af chat, mail og i cloud services og social networks virker Hvordan kryptering af chat, mail og i cloud services og social networks virker Alexandra Instituttet Morten V. Christiansen Kryptering Skjuler data for alle, som ikke kender en bestemt hemmelighed (en

Læs mere

WLAN sikkerhedsbegreber -- beskrivelse

WLAN sikkerhedsbegreber -- beskrivelse Denne guide er oprindeligt udgivet på Eksperten.dk WLAN sikkerhedsbegreber -- beskrivelse Indeholder en kort beskrivelse over de forskellige sikkerhedsværltøjer og standarder der findes for WLAN idag!

Læs mere

Understøttelse af LSS til NemID i organisationen

Understøttelse af LSS til NemID i organisationen Understøttelse af LSS til NemID i organisationen Table of contents 1 Dette dokuments formål og målgruppe... 3 2 Introduktion til LSS til NemID... 4 2.1 Forudsætninger hos organisationen... 5 2.1.1 SSL

Læs mere

IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag

IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag IT-Sikkerhed - en klods om benet eller sund fornuft? Lars Ole Pedersen OZ5VO Et dialog foredrag Oversigt Introduktion Trusselsvurdering Center for Cybersikerhed Password sikkerhed og beskyttelse Virus/Malware

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER

FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER FOKUS PÅ IT-SIKKERHED! GODE RÅDE OM RANSOMWARE OG FOREBYGGELSER 2017 Den 12. maj 2017 blev den vestlige verden ramt af det største cyberangreb i internettets historie. Værst gik ransomware angrebet WannaCry

Læs mere

Overvågningen og beskyttelsen af den amerikanske ambassade

Overvågningen og beskyttelsen af den amerikanske ambassade Dato: 16. november 2010 Overvågningen og beskyttelsen af den amerikanske ambassade 1. Indledning I den seneste tid har der været omtale i medierne af, at amerikanske repræsentationer foretager overvågning

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

Sikkerhed på smartphones og tablets

Sikkerhed på smartphones og tablets Sikkerhed på smartphones og tablets Foredrag og materiale: Allan Greve, AGR Consult Ældre Sagens IT-Temadag, distrikt 5 1 www.0055.dk Indhold Foredraget giver IT-kyndige et overblik over Principper for

Læs mere

Symantec - Data Loss Prevention

Symantec - Data Loss Prevention Symantec beskyttelse af data/dokumenter Beskrivelsen af Symantecs bud på tekniske løsninger. I beskrivelsen indgår tre følgende løsninger fra Symantec: - Data Loss Prevention - Disk eller ekstern device

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre. Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler

Læs mere

En introduktion til. IT-sikkerhed 16-12-2015

En introduktion til. IT-sikkerhed 16-12-2015 En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse

Læs mere

Profil Search s Persondatapolitik

Profil Search s Persondatapolitik Profil Search s Persondatapolitik Hvad er det Profil Search værner om privatlivets fred, og vi er naturligvis forpligtet til at beskytte den. I overensstemmelse med den generelle databeskyttelsesforordning

Læs mere

Sikker IT-Brug. En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål. sanistaal.com

Sikker IT-Brug. En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål. sanistaal.com Sikker IT-Brug En kort introduktion til et sikkert online arbejdsmiljø og gode IT-vaner i Sanistål sanistaal.com Indhold 2 Kære kollega 4 Kom godt i gang 5 Logning 6 Kodeord 7 Mobile enheder 9 Dataopbevaring

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Retsudvalget REU Alm.del endeligt svar på spørgsmål 422 Offentligt

Retsudvalget REU Alm.del endeligt svar på spørgsmål 422 Offentligt Retsudvalget 2015-16 REU Alm.del endeligt svar på spørgsmål 422 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Politi- og Strafferetsafdelingen Dato: 18. marts 2016 Kontor: Sikkerhedskontoret

Læs mere

Sessionslogning En analyse blandt IDAs logningseksperter og specialister

Sessionslogning En analyse blandt IDAs logningseksperter og specialister Sessionslogning 2019 En analyse blandt IDAs logningseksperter og specialister Februar 2019 Sessionslogning 2019 Resume I slutningen af 2016 faldt der dom i den såkaldte EU's Watson/TELE2-dom. Her blev

Læs mere

beskrivelse af netværket på NOVI

beskrivelse af netværket på NOVI beskrivelse af netværket på NOVI Beskrivelse af netværket på NOVI - NOVInet Indledning Som lejer/beboer på NOVI har man mulighed for at få virksomhedens computere tilsluttet det fælles netværk i NOVI Park

Læs mere

WWW.CERT.DK Forskningsnettets deltagelse i det danske operationelle ISP-beredskab

WWW.CERT.DK Forskningsnettets deltagelse i det danske operationelle ISP-beredskab Forskningsnettets deltagelse i det danske operationelle ISP-beredskab Preben Andersen, chefkonsulent Forskningsnet CERT 1 Kodeks: Tiltrædelse ISP-Sikkerhedsforum Håndtering af trusler mod infrastrukturen

Læs mere

Fortroligt dokument. Matematisk projekt

Fortroligt dokument. Matematisk projekt Fortroligt dokument Matematisk projekt Briefing til Agent 00-DiG Velkommen til Kryptoafdeling 1337, dette er din første opgave. Det lykkedes agenter fra Afdelingen for Virtuel Efterretning (AVE) at opsnappe

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk

Hillerød Kommune. It-sikkerhedspolitik Bilag 8. Kontrol og adgang til systemer, data og netværk It-sikkerhedspolitik Bilag 8 Kontrol og adgang til systemer, data og netværk November 2004 Indholdsfortegnelse 1 Formål...3 2 Ansvar og roller...3 2.1 Byrådet...3 2.2 Kommunaldirektøren/ Direktionen...3

Læs mere

IT-sikkerhed MED CODING PIRATES

IT-sikkerhed MED CODING PIRATES IT-sikkerhed MED CODING PIRATES Hvad er truslerne? Hygiejne er ikke god nok, patching, backup, kodeord og oprydning efter stoppede medarbejdere. Det er for let, at finde sårbare systemer. Brugere med for

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune Hjørring Kommune Sag nr. 85.15.00-P15-1-17 12-03-2018 Side 1. Overordnet I-sikkerhedspolitik for Hjørring Kommune Indledning Informationssikkerhedspolitikken (I-sikkerhedspolitikken) udgør den overordnede

Læs mere

Forsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt

Forsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt Forsvarsudvalget 2013-14 L 192 endeligt svar på spørgsmål 3 Offentligt Folketingets Forsvarsudvalg Christiansborg FORSVARSMINISTEREN 23. maj 2014 Folketingets Forsvarsudvalg har den 13. maj 2014 stillet

Læs mere

Kryptologi og RSA. Jonas Lindstrøm Jensen (jonas@imf.au.dk)

Kryptologi og RSA. Jonas Lindstrøm Jensen (jonas@imf.au.dk) Kryptologi og RSA Jonas Lindstrøm Jensen (jonas@imf.au.dk) 1 Introduktion Der har formodentlig eksisteret kryptologi lige så længe, som vi har haft et sprog. Ønsket om at kunne sende beskeder, som uvedkommende

Læs mere

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen

Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen Vejledning til håndtering af fund af børnepornografisk materiale på arbejdspladsen 1/10 Udgivet af: Red Barnet og DI Digital Redaktion: Kuno Sørensen og Henning Mortensen ISBN: 978-87-7353-938-5 3. opdaterede

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik.

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik. Fortrolighedspolitik Effektiv fra: 8. november 2017 Introduktion Pagobox ApS ( "Pleo", "os", "vi" eller "vores") driver Pleo.io webstedet, Pleo webapplikationen, Pleo mobilapplikationen og tilbyder Pleo

Læs mere

TERROR TERRORIS TERRORISM

TERROR TERRORIS TERRORISM DI SERVICE SÅDAN SIKKERHED I EN USIKKER VERDEN TERROR TERRORIS TERRORISM Virksomheder og terrorisme SIKKERHED I EN USIKKER VERDEN VIRKSOMHEDER OG TERRORISME Maj 2005 Forord Terrorismens uforudsigelighed

Læs mere

RICHO PARTNER SIDEN 1980 OPLÆG VEDRØRENDE PERSONDATA, SIKKER DOKUMENTHÅNDTERING & IT SIKKERHED COPYTEC

RICHO PARTNER SIDEN 1980 OPLÆG VEDRØRENDE PERSONDATA, SIKKER DOKUMENTHÅNDTERING & IT SIKKERHED COPYTEC RICHO PARTNER SIDEN 1980 OPLÆG VEDRØRENDE PERSONDATA, SIKKER DOKUMENTHÅNDTERING & IT SIKKERHED COPYTEC AGENDA HVILKE FARE FINDES DER HVAD KAN MAN GØRE VED DET DOKUMENTSIKKERHED HVAD MAN KAN GØRE CLOUD-LØSNINGER

Læs mere

Af Marc Skov Madsen PhD-studerende Aarhus Universitet email: marc@imf.au.dk

Af Marc Skov Madsen PhD-studerende Aarhus Universitet email: marc@imf.au.dk Af Marc Skov Madsen PhD-studerende Aarhus Universitet email: marc@imf.au.dk 1 Besøgstjenesten Jeg vil gerne bruge lidt spalteplads til at reklamere for besøgstjenesten ved Institut for Matematiske Fag

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

DISKUSSIONSSPØRGSMÅL

DISKUSSIONSSPØRGSMÅL DISKUSSIONSSPØRGSMÅL FOMUSOH IVO FEH, CAMEROUN 1) Hvorfor sidder Ivo i fængsel? 2) Hvad stod der i sms en? 3) Hvem er Boko Haram? 4) Hvorfor mener myndighederne, at Ivo og hans venner er en trussel mod

Læs mere

Råd om sikkerhed på mobile enheder

Råd om sikkerhed på mobile enheder Råd om sikkerhed på mobile enheder Center for Cybersikkerhed Kastellet 30 2100 København Ø Telefon: 3332 5580 E-mail: cfcs@cfcs.dk www.cfcs.dk 1. udgave 05.11.2018 2 Råd om sikkerhed på mobile enheder:

Læs mere

Tænk når du taster. kom nærmere

Tænk når du taster. kom nærmere Tænk når du taster kom nærmere Regler for medarbejdernes brug af TDC s pc-arbejdspladser Nedenfor kan du læse om de regler, TDC s Direktion har vedtaget for brugen af koncernens*) pc-arbejdspladser Reglerne

Læs mere

INFORMATIONSSIKKERHED I KØGE KOMMUNE

INFORMATIONSSIKKERHED I KØGE KOMMUNE I N F O R M A T I O N M E D O M T A N K E INFORMATIONSSIKKERHED I KØGE KOMMUNE INFORMATION MED OMTANKE INDHOLD Information med omtanke 3 Din pc 4 Adgangskode 5 Virus 6 E-mail og sikkerhed 7 Medarbejdersignatur

Læs mere

Præcisering af transportbaseret sikkerhed i Den Gode Webservice

Præcisering af transportbaseret sikkerhed i Den Gode Webservice Præcisering af transportbaseret sikkerhed i Den Gode Webservice 1. Historik...2 2. Indledning...3 3. SSL/TLS baseret netværk...3 4. Sundhedsdatanettet (VPN)...5 5. Opsummering...6 6. Referencer...6 Side

Læs mere

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1 SURFTOWNS SIKRINGSMILJØ Databehandleraftalen - Bilag 1 Indholdsfortegnelse Fysisk sikkerhed... 2 Logiske adgange... 2 Netværk... 2 Logning... 2 Sårbarhedsstyring... 2 Overvågning... 2 Backup... 3 Kryptering...

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

CPH:DOX* 2018: PRE-CRIME OVERVÅGNING // DEMOKRATI

CPH:DOX* 2018: PRE-CRIME OVERVÅGNING // DEMOKRATI 1 CPH:DOX* 2018: PRE-CRIME Velkommen på CPH:DOX! CPH:DOX er Danmarks internationale dokumentarfilmfestival, der hvert år afholdes i Danmark. Som en del af festivalen laver vi med skoleprogrammet UNG:DOX

Læs mere

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter IoT-sikkerhed Trusler og løsninger i produktionsapparatet og intelligente produkter DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed

Læs mere

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne

Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Til Sundheds- og Ældreministeriet Dato: 1. februar 2018 Udtalelse fra regionsrådet i Region Hovedstaden til Sundheds- og Ældreministeriets redegørelse til Statsrevisorerne Region Hovedstaden har kontinuerligt

Læs mere

IT-sikkerhed i Køge Kommune. IT med omtanke

IT-sikkerhed i Køge Kommune. IT med omtanke IT-sikkerhed i Køge Kommune Indhold Din pc 4 Adgangskode 5 Virus 6 Sikkerhedskopiering 7 Medarbejder signatur 7 E-mail og sikkerhed 8 Internettet 9 Dine bærbare enheder 10 Mere om følsomme data 11 Denne

Læs mere

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med

BESKYT DIN VIRKSOMHED. Tænk sikkerheden med BESKYT DIN VIRKSOMHED Tænk sikkerheden med 1 Kan din virksomhed klare en krise? Hvordan håndterer du tyveri af værdifuld viden og know-how? Har du styr på, om din virksomheds produkter kopieres eller misbruges

Læs mere

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE

RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE RETNINGSLINJER FOR BRUG AF IT PÅ TJELE EFTERSKOLE Som elev erklærer jeg herved, at jeg til enhver tid vil optræde som ansvarsbevidst bruger af IT-udstyr på Tjele Efterskole (herefter benævnt "vi", "os"

Læs mere

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,

Læs mere

Politik for informationssikkerhed i Plandent IT

Politik for informationssikkerhed i Plandent IT 9. maj 2018 Version 0.8. Politik for informationssikkerhed i Plandent IT Indhold Formål med politik for informationssikkerhed... 3 Roller og ansvar... 3 Politik for manuel håndtering af følsomme kundedata...

Læs mere

Josephine Ahm Til id på de sociale medier for B2B virksomheder 1 Inspirationsaften v/ Lasse Ahm Consult 16/03/2017

Josephine Ahm Til id på de sociale medier for B2B virksomheder 1 Inspirationsaften v/ Lasse Ahm Consult 16/03/2017 1 Overvej, hvad tillid betyder for dig. Det kan både være i personligt regi og i professionelt regi. Måske er det faktisk ikke så forskelligt fra hinanden. Skriv det ned på en seddel, så du bliver tvunget

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr Statsstøttet hackergruppe forsøger at kompromittere netværksudstyr i Danmark og resten af verden. Side 1 af 8 Indhold Hovedvurdering...

Læs mere

Overvejelser: Hvad er konsekvenserne ved at bruge tortur? Er der grænser for hvad vi vil gøre i kampen mod terrorisme?

Overvejelser: Hvad er konsekvenserne ved at bruge tortur? Er der grænser for hvad vi vil gøre i kampen mod terrorisme? Dilemma 1: Kan tortur acceptereres og retfærdiggøres, hvis det KUN bruges mod formodede terrorister for at få oplysninger om og afværge mulige terrorangreb? Hvad er konsekvenserne ved at bruge tortur?

Læs mere

Hvad mener du om Internettets fremtid?

Hvad mener du om Internettets fremtid? Hvad mener du om Internettets fremtid? Internettet blev tilgængeligt for almindelige mennesker i midten af 1990 erne. Siden er internettet blevet en vigtig del af vores hverdag. Vi bruger internettet til

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

IT-sikkerhedsbestemmelser for anvendelse af e-post

IT-sikkerhedsbestemmelser for anvendelse af e-post Bilag 8 IT-sikkerhedsbestemmelser for anvendelse af e-post Formålet med sikkerhedsbestemmelserne er at beskrive, hvordan medarbejdere i Randers Kommune, som anvender e-post via kommunens udstyr og e-postadresser,

Læs mere

Databrudspolitik i Luthersk Mission

Databrudspolitik i Luthersk Mission Databrudspolitik i Luthersk Mission September 2019 Denne politik har til hensigt at beskrive retningslinjer for håndtering af brud på persondatasikkerheden. Den er ikke fyldestgørende men en kort gennemgang

Læs mere

Børn og internet brug! Forældre guide til sikker brug at internettet

Børn og internet brug! Forældre guide til sikker brug at internettet Børn og internet brug! Forældre guide til sikker brug at internettet Som forældre er det vigtigt at du: Accepterer at medierne er kommet for at blive og er en del af børn og unges virkelighed. Så vis dem

Læs mere

Informationssikkerhedspolitik

Informationssikkerhedspolitik Folder om Informationssikkerhedspolitik ansatte og byrådsmedlemmer 25-11-2013 Indledning Faxe Kommune har en overordnet Informationssikkerhedspolitik. Denne folder er et uddrag, der kort fortæller hvad

Læs mere

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg

IT-sikkerhedspolitik. for Social- og Sundhedsskolen Esbjerg IT-sikkerhedspolitik for Social- og Sundhedsskolen Esbjerg Indhold IT-sikkerhedspolitik... 2 Formål... 2 Grundprincipper for sikkerhedsarbejdet... 2 Funktionsadskillelse og adgangsstyring... 2 Sikkerhedsforanstaltninger...

Læs mere

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium

Version: 1.0 Maj Informationssikkerhedspolitik for Struer Statsgymnasium Version: 1.0 Maj 2019 Informationssikkerhedspolitik for Struer Statsgymnasium Indholdsfortegnelse 1.1 Indledning:... 1 1.2 Omfang og ansvar:... 1 1.3 Sikkerhedsniveau:... 1 1.4 Sikkerhedsbevidsthed:...

Læs mere

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA HVILKE PERSONOPLYSNINGER LIGGER I INDE MED? Side 1 af 10 Oktober 2018 BESKYTTELSE AF PERSONDATA - DET ER OGSÅ JERES ANSVAR Som beboerrepræsentanter

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) (ekstern persondatapolitik) for Tabellae A/S vedr. behandling af persondata Version 1.1 Dato for seneste opdatering 25.10.2018 Godkendt af Stefan Reina Antal sider 13 Side 1 af 12 Tak, for dit besøg på

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) Privatlivspolitik (ekstern persondatapolitik) for Holms Støbeteknik vedr. behandling af persondata Version Versions 1.01 Dato 18/-2018 Godkendt af Bettina Holm Antal sider 12 Side 1 af 12 Privatlivspolitik

Læs mere

Fuld installation af Jit-klient

Fuld installation af Jit-klient Fuld installation af Jit-klient Indholdsfortegnelse Systemkrav til afvikling af Jit-klienten...3 Opsætning af firewall...4 Om installationsfilen...5 Installation af MSI-filen...6 Om SSL-certifikater...13

Læs mere

Beretning. udvalgets virksomhed

Beretning. udvalgets virksomhed Udvalget vedrørende Efterretningstjenesterne Alm.del UET - Beretning 1 Offentligt Beretning nr. 7 Folketinget 2005-06 Beretning afgivet af Udvalget vedrørende Efterretningstjenesterne den 13. september

Læs mere

It-sikkerhedstekst ST12

It-sikkerhedstekst ST12 It-sikkerhedstekst ST12 Krypteret dataudveksling via websider set fra brugerens synsvinkel Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST12 Version 1 November 2016 Browserens

Læs mere

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen Nets Denmark A/S Lautrupbjerg 10 P.O. 500 DK 2750 Ballerup T +45 44 68 44 68 F +45 44 86 09 30 www.nets.eu Brugervejledning - til internetbaseret datakommunikation med Nets ved hjælp af HTTP/S-løsningen

Læs mere

Besvarelse af samrådsspørgsmål P fra Kulturudvalget:

Besvarelse af samrådsspørgsmål P fra Kulturudvalget: Kulturudvalget 2015-16 KUU Alm.del endeligt svar på spørgsmål 157 Offentligt 1 Samråd den 7. juni 2016 kl. 14.00-15.00 Besvarelse af samrådsspørgsmål P fra Kulturudvalget: Hvad kan statsministeren oplyse

Læs mere

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde

DS 484 Den fællesstatslige standard for informationssikkerhed. Sikkerhedsaspekter ved Mobilitet og Distancearbejde DS 484 Den fællesstatslige standard for informationssikkerhed Sikkerhedsaspekter ved Mobilitet og Distancearbejde * Velkomst og dagens program Hvorfor er vi her Dagens formål og succeskriterier Disponeringen

Læs mere