Digital sikkerhed i Danmark Årsrapport fra Rådet for Digital Sikkerhed

Transkript

1 Digital sikkerhed i Danmark 2014 Årsrapport fra Rådet for Digital Sikkerhed

2

3 INDHOLD 2 FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST 4 RÅDETS ARBEJDE 7 TRUSSELSBILLEDET I SIKKERHEDSUDSIGTEN FOR BEHOV FOR NYE KRYPTERINGSSTANDARDER 10 INTERN SIKKERHED I VIRKSOMHEDER 11 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA 12 UDFASNING AF CPR-NUMMERET 13 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK 15 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED 16 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN 17 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATABESKYTTELSESMYNDIGHED 18 AKTIVITETER I TAL 19 RESUMEÉR FRA RÅDETS UDMELDINGER 22 ÅRSREGNSKAB 2012/13 23 MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHED

4 FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST Rådet for Digital Sikkerhed (RfDS) har i 2014 vedvarende italesat, at den hastigt fremskridende digitalisering kræver et tilsvarende øget fokus på informationssikkerhed, herunder privatlivsbeskyttelse. Rådet har løbende bidraget med kommentarer, analyser, vurderinger og rådgivning, og det har hen over året uden tvivl styrket sin rolle som en troværdig og seriøs aktør. Udgangspunktet for Rådets aktiviteter er en bred kreds af eksperter og praktikere. Rådets medlemmer omfatter såvel store som mellemstore og små virksomheder, universiteter og forskningsinstitutioner, branche- og interesseorganisationer samt repræsentanter fra kommuner, regioner og ministerier. Vi trækker på deres viden og indsigt i alle vores indsatser og arbejder i en konsensus-orienteret struk tur med bestyrelsens 19 medlemmer og et aktivt for mandskab som omdrejningspunkt. Vi står derfor på et solidt videns- erfaringsfundament, når vi indgår i dialog og samarbejde med andre aktører om tryg digitalisering i Danmark. Vores status som medlemsbaseret forening, der er uafhængig af politiske og kommercielle interesser, giver os en unik platform for at udvikle Rådets vurderinger og aktiviteter. Vi agerer gerne vagthund, når internationale standarder for informationssikkerhed og privatlivsbeskyttelse efter Rådets vurdering ikke iagttages eller gennemføres effektivt. Vi bidrager ligeså gerne med konstruktive bud på, hvordan danske virksomheder, myndigheder og forskere kan styrke den digitale vækst på en sikker måde. Vi fokuserer på at få alle relevante aktører til at aktivere og udnytte deres kompetencer inden for informationssikkerhed og privatlivsbeskyttelse for på den måde at være med til at udvikle nye metoder, redskaber og processer, der kan sikre borgernes tillid til den digitaliserede dagligdag. Rådets indsats fra juli 2013 til december 2014 har favnet mange emner. Fra kritik af den fortsatte misforståede brug af cpr-nummeret som identitetsbevis hos både offentlige og private aktører til anbefaling af nye krav til fremtidens danske eid-løsning. Fra behovet for systematisk implemen tering af ISO27000-serien af standarder i den offentlige og private sektor herunder som specifikt krav ved outsourcing til et bredere og mere principielt krav om integrering af privacy by design og privacy impact assessment i alle nye it-løsninger. Rådet har i samarbejde med Digitaliseringsstyrelsen og Undervisningsministeriet igangsat flere specifikke målrettede projekter til forbedring af sikkerheden i Danmark: I forlængelse af regeringens nye informations- og cyber sikkerhedsstrategi har Rådet taget initiativ til et åbent samarbejde om udvikling af undervisningsmateriale til folkeskolerne, hvilket vil kunne hjælpe elever, forældre og lærere til at opnå bedre forståelse for informationssikkerhed. Materialet udvikles, så det passer ind i folkeskolens læseplaner, og indsatsen sker i samarbejde med Undervisningsministeriet, Medierådet for Børn og Unge, Forbrugerrådet, Digitaliseringsstyrelsen og IT-Branchen. Aktualiseret af CSC-sagen og Se og Hør-sagen er der kommet øget fokus på danske virksomheders og myndigheders formåen i forhold til at beskytte danske borgers data. Rådet er i denne sammenhæng i dialog og arbejder sammen med blandt andre IT-Branchen, Digitaliseringsstyrelsen og Erhvervsstyrelsen på at øge informationssikkerheden. Målet er at udvikle red ska ber til virksomheder, så de kan etablere et sikkerhedsniveau, der passer til deres behov og den kontekst, de arbejder i, samtidig med at der tages hensyn til økonomi og sikres brugervenlighed. For dansk erhvervsliv er øget informationssikkerhed specielt relevant i forhold til virksomheders anvendelse og opbevaring af personfølsomme oplysninger og sikker opbevaring af immaterielle produkter som fx ophavsrettigheder. Mangel på informationssikkerhed kan føre til tab og kan skade danske virksomheders konkurrenceevne. Der arbejdes i dette regi også på at finde muligheder for tryg indberetning af sikkerhedshændelser i virksomhederne, så viden om omfang og typer af sådanne hændelser fremadrettet kan indgå i forebyggende sikkerhedsindsatser I den forløbne periode er masseovervågning kommet højt på dagsordenen, blandt andet på grund af Edward 2 DIGITAL SIKKERHED I DANMARK / 2014

5 Snowdens afsløringer. Den danske tele- og sessionslogning, lovgrundlaget for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste samt politiets ønske om at registrere nummerplader på alle bilister gav Rådet anledning til at understrege vigtigheden af at opretholde demokratiske principper og værdier om borgernes grund rettigheder, transparens, tilsyn og kontrol. Det sker i en tid, hvor Danmarks sikkerhed og virksomhedernes forretnings hemmeligheder udfordres af terrorister, kriminelle og andre fjendtlige aktører. Netop på grund af trusselsbilledet har vi også spillet aktivt ind i dialoger om, hvordan der opbygges mere viden og uddannelse i cybersikkerhed på universite terne, skoler, i statslige institutioner og i virksomheder. Disse emner vil fortsat være indsatsområder for Rådet. Vi forventer, at der fremover vil komme øget fokus på adgang til og brug af sundhedhedoplysninger, herunder beskyttelse af borgernes følsomme oplysninger. Adgang til sundhedsoplysninger spiller en afgørende rolle for tilrettelæggelse af behandlingsforløb for patienter og også for forskningen og udvikling af folkesundheden. Derudover rummer danske data på sundhedsområdet et stort potentiale i forhold til udvikling og kommercialisering i medici nalindustrien. Vi vil gerne bidrage til at finde nye veje til i højere grad både at udforske og udnytte sundhedsdata. Det vil være til gavn for såvel patienter som forskningen og industrien. Vi vil blandt andet fokusere på og sikre bedre oplysning om mulighederne for benytte privacy enhancing technologies til anonymisering og pseudonymisering af sundhedsdata. Formand Birgitte Kofod Olsen Næstformand Rasmus Theede DIGITAL SIKKERHED I DANMARK /

6 RÅDETS ARBEJDE Dette er den anden årsrapport fra Rådet fra Digital Sikkerhed (RfDS). Den omfatter perioden fra juli 2013 til december Rådet opretholder en hjemmeside, digitalsikkerhed.dk, hvor Rådets aktiviteter kan følges. Uforkortede versioner af dokumenter m.v., som omtales her i årsrapporten, kan findes på hjemmesiden. Rådet er stadig i en etableringsfase baseret på strategi for , som er vedtaget af bestyrelsen. Den lyder således: FORMÅL Rådet for Digital Sikkerhed har som formål at fremme tryg it-anvendelse i fremtidens digitale samfund. Det gør vi ved at: Fremme forståelsen for informationssikkerhed og persondatabeskyttelse. Deltage i den offentlige debat om digitalisering og it-anvendelse. Indgå i dialog med offentlige og private aktører om tillid, risici og muligheder i et digitaliseret samfund. Vurdere innovativ udnyttelse af teknologiens muligheder. Fremlægge anbefalinger. VÆRDIGRUNDLAG Rådet for Digital Sikkerhed baserer sine aktiviteter på følgende værdier og principper: UAFHÆNGIGHED Rådet for Digital Sikkerhed er en uafhængig medlemsorganisation. Vi opfylder vores formål uden instruktion fra offentlige eller private aktører, og Rådet er ikke bundet af kommercielle interesser. ROBUSTHED Rådet for Digital Sikkerhed besidder og inddrager højt specialiseret viden og erfaringer om informationssikkerhed og privatlivsbeskyttelse. Vi bringer denne viden i spil for at skabe en kvalificeret debat og en sund digital kultur. ÅBENHED Rådet for Digital Sikkerhed deltager aktivt i dialog og samarbejde med alle relevante interessenter. Vi sikrer åbenhed i forhold til vores analyser og resultater ved at stille dem til rådighed for vores medlemmer og offentligheden. MÅL Vi søger at opfylde vores formål ved i perioden at: Sætte borgernes behov for redskaber og anbefalinger til tryg it-anvendelse i fokus. Vi bidrager især til øget viden og forståelse for informationssikkerhed og privatlivsbeskyttelse hos unge, ældre og it-svage borgere. Bidrage med råd og anbefalinger, der er relevante for offentlig og privat sektor, i forhold til at minimere og håndtere deres risiko for angreb og tab af sikkerhed, fortrolighed, integritet autentifikation og tilgængelighed. Opfordre til at sikre effektiv informationssikkerhed og stille risikoanalyser til rådighed, der synliggør konsekvenserne af digitalisering og it-anvendelse for borgernes tillid, frihed og sikkerhed. 4 DIGITAL SIKKERHED I DANMARK / 2014

7 AKTIVITETER I rapporteringsperioden har Rådet afviklet et betydeligt antal aktiviteter, som har understøttet de fastsatte mål. Der har været et jævnt stigende antal medieomtaler og medvirken i radio- og tv-udsendelser, i alt cirka 900 medieeksponeringer i 2014, når spredning via nyhedsbureauer medregnes. Medieomtalen har baggrund i pressemeddelelser og opfølgning på andre aktiviteter og i stigende omfang også opsøgende henvendelse fra medier, som ønsker RfDS vurdering og synspunkter på aktuelle emner. I 2014 er RfDS begyndt at offentliggøre skriftlige ud meldinger om aktuelle emner i to formater. Mere tilbundsgående udredninger med anbefalinger benævnes Information og Anbefalinger, mens Rådets politik og holdning til bestemte emne benævnes Positioner. Der er i perioden udsendt fire anbefalinger og to positioner. Rådet har afgivet en række høringsvar. Nogle af disse er afgivet uopfordret, men efterhånden er Rådet ved at være blevet medtaget på alle relevante høringslister. Rådet har været medarrangør på en række morgenmøder og gå-hjem-møder med emner som masseovervågning, cookie-regler, cloud og sikkerhed, cyberwar og Hvad laver forskerne? Rådets formand og næstformand har efter indbydelse i perioden bidraget med indlæg på i alt 27 konferencer, herunder Databeskyttelsesdagen i Landstingssalen, Dansk ITs digitaliseringskonference, Dansk ITs sundheds-it udvalg, DTU alumni-møde om big mother og kryptologi, Forbruger rådet TÆNKs miniseminar om identitetstyveri, konference på Københavns Universitet om digitalisering og borgerbeskyttelse, IDAs Driving IT konference, Dansk Internet Forum s Internetdagen og FSB konference om Samfundets kritiske infrastruktur. Rådets formand har indledt en dialog med repræsentanter for Folketingets partier om, hvorledes informationssikkerhed og privatlivsbeskyttelse generelt kan forbedres. Formandsskabet har løbende modtaget og besvaret henvendelser fra politikere, folketingsudvalg og embedsfolk, som har ønsket at høre Rådets vurderinger i aktuelle spørgsmål. Formandskabet har derudover deltaget i møder i Forsvarsministeriet, Center for Cybersikkerhed og Erhvervsministeriet samt været i tæt dialog med blandt andre Digitaliseringsstyrelsen, Erhvervsstyrelsen og Undervisningsministeriet om konkrete initiativer for fremadrettet samarbejde. Endvidere har Rådet været vært for og deltaget i en række dialogmøder, herunder om medicoudstyr, privacy impact assessment (PIA), cyberwar, sikkerhedsuddannelse på AAU og EU/FRA-ekspertmøde om informationssamfundet. Rådet har lagt 10 tips til din digitale sikkerhed og gode råd om, hvordan man kan undgå phishing på sin hjemmeside. Informationer af denne art vil blive udbygget i takt med behov og Rådets muligheder. RÅDETS UDMELDINGER Periodens i alt fire anbefalinger fra Rådet har omhandlet masseovervågning, unødig registrering af vælgeres politiske overbevisning, Heartbleed-sikkerhedsbristen og Digital vækst med tillid som fundament, der var et indspil til regeringens plan for digital vækst. Periodens to positioner har omhandlet Rådets vurdering af de informationssikkerhedsmæssige konsekvenser af politiets planlagte brug af automatisk nummerpladegenkendelse og finanssektorens udvidede adgang til borgeroplysninger i SKAT. Rådet har i forbindelse med disse udmeldinger og i andre sammenhænge udsendt et antal pressemeddelelser og har også skrevet debatindlæg i dagspressen. I forbindelse med anbefaling nr. 2 om digitalt system til vælgererklæringer havde Rådet med ekspertbistand fra Alexandra Instituttet foretræde for Folketingets Kommunaludvalg. Dette blev fulgt op med en henvendelse til daværende indenrigsminister Magrethe Vestager. I forlængelse af Retsudvalget og Kulturudvalgets vedtagelse af en fælles beretning i juni 2014 og nedsættelse af en parlamentarisk arbejdsgruppe om datasikkerhed har Rådet deltaget i møder og høringer i arbejdsgruppen med bidrag om informationssikkerhed og persondatabeskyttelse. Rådets præsentationer er tilgængeligt på Folketingets hjemmeside og på digitalsikkerhed.dk HØRINGSSVAR OG HENVENDELSER TIL MYNDIGHEDER Rådet har i perioden fremsendt følgende høringssvar til ministerier og henvendelser til Folketing og regering: 13. september. 2013: Udkast til Bekendtgørelse om medicin- og vaccinationsoplysninger. Der peges på behov for at gennemføre en privacy impact assessment (PIA). Videre fremhæves en række forhold, som peger på behov for større hensyntagen til privatlivsbeskyttelse, herunder tildeling af adgangsrettigheder. DIGITAL SIKKERHED I DANMARK /

8 10. oktober 2013: Ændring af lov om Det Centrale Personregister (tildeling af nyt personnummer i særlige tilfælde samt ophævelse af markeringer i CPR om forskerbeskyttelse). Rådet anbefaler, at muligheden for at tilvælge forskerbeskyttelse opretholdes. Mere generelt anbefaler RfDS, at det fremlagte lovforslag kombineres med en grundlæggende reform af cpr-systemet, der gør digitale ID-løsninger (eid) til omdrejningspunkt for sikker identifikation, og dermed afløser cpr-nummeret i sin nuværende form. Denne generelle anbefaling uddybes i en pressemeddelelse (8. oktober 2013), hvor det foreslås, at cpr-nummeret ændres, så det ikke indeholder personinformation om alder og køn, og at der følges op med nye generelle retningslinjer for digital identifikation og autentificering. Rådet noterer, at der i anbefalinger fra Vækstteam for IKT og digital vækst (januar 2014) er henvist til Rådets fremhævning af behovet for at se på sikkerheden ved cpr-nummeret. 4. marts 2014: I høringssvar vedrørende Lovforslag om Center for Cybersikkerhed peger Rådet på 11 konkrete problemer i lovforslaget. Et af punkterne vedrører placeringen af CFCE under Forsvarets Efterretningstjeneste og lovforslagets meget brede og udefinerede adgang til indsamling af data. RfDS finder ikke, at der med lovforslaget sikres tilstrækkelig beskyttelse af borger nes og virksomhedernes data og opfordrer derfor til, at CFCS i det hele adskilles fra Forsvarets Efterretningstjenestes funktionsområde og henlægges til en forvaltningsmyndighed, der er omfattet af persondataloven. Rådets formand har efterfølgende deltaget i møde i Forsvarsministeriet om høringssvaret. Endvi dere har formanden i mange forskellige sammenhænge deltaget i den debat, der har været om lovforslaget. 8. maj 2014: Rådet deltager i Folketingets Retsudvalgs høring om CFCS-loven. 14. maj 2014: Rådet sender sammen med IDA og Forbrugerrådet TÆNK et brev til Folketingets Europa-, Rets- og Kulturudvalg med opfordring til at støtte EU persondataforordningen. 23. maj 2014: Rådet sender sammen med 17 andre organisationer et brev til Folketingets retsudvalg med en opfordring til, at Folketinget tager initiativ til at beskytte danske borgere mod unødvendig og ubegrundet overvågning og registrering. Henvendelsen vedrører de danske logningsregler og den nylige dom fra EU-domstolen, som underkender EUs logningsdirektiv. De danske regler går på flere punkter videre, end det nu underkendte EU-direktiv. 27. juni 2014: I sit høringssvar om den næste generation af NemID, peger Rådet på seks forskellige områder, hvor en ny løsning bør opgraderes og forbedres ift. den nuværende. 26. august 2014: Rådet deltager i høring i Folketingets Retsudvalgs arbejdsgruppe med oplæg om Digital tryghed og it-sikkerhed. 22. oktober 2014: Rådet deltager i høring om myndigheders behandling af persondata i Folketingets Retsudvalgs arbejdsgruppe med oplæg om sikkerheden i outsourcet it-drift. 6 DIGITAL SIKKERHED I DANMARK / 2014

9 TRUSSELSBILLEDET I 2014 Af Shehzad Ahmad Det seneste års tid har én tendens præget diskussionen af informationssikkerhed i Danmark: Truslen mod borgernes data. Det begyndte, da Edward Snowden afslørede myndighedernes omfattende overvågning af borgernes kommunikation både i USA og internationalt. Emnet fik en dansk vinkel, da en tidligere Se og Hør-journalist afslørede, at ugebladet via en centralt placeret kilde havde udnyttet fortrolige data om kendte personers kreditkortransaktioner hentet fra it-systemerne hos Nets. Hvor Snowdens oplysninger handler om eksterne parter, der tilgår data i andres systemer, er Se og Hør-sagen et eksempel på insider-misbrug: En medarbejder misbruger den tillid, arbejdspladsen viser ham, til at udnytte fortrolige oplysninger. Dette er naturligvis under forudsætning af, at anklagerne mod den tidligere Nets- og IBMmedarbejder holder stik. Både eksterne og interne trusler mod informationssikkerheden kræver, at virksomheder, myndigheder og organisationer træffer forholdsregler, der minimerer risikoen. Kryptering er en mulighed, der især virker mod eksterne trusler: Selv om angriberne kan aflytte kommunikation, kan de ikke se indholdet af den, hvis den er krypteret. Mod interne trusler er kryptering mindre effektiv. Det kan beskytte mod misbrug fra medarbejdergrupper uden teknisk viden. Men en it-medarbejder vil ofte kunne omgå hindringer som kryptering. Her er det mere effektivt at indføre procedurer, der mindsker risikoen for misbrug for eksempel ved løbende sikkerhedstjek af nøglepersoner og krav om, at der skal to personer til at aktivere kritiske funktioner. UAFVIDENDE HJÆLPERE En særlig vinkel på insidertruslen er, at medarbejdere ofte uafvidende er med til at hjælpe eksterne angribere. I mange tilfælde, hvor angribere udefra har fået fat i fortrolige data, har de fået hjælp fra en medarbejder. Det kan ske via phishing eller malware. Phishing-truslen har været voksende. Den går ud på, at angriberne sender en mail til offeret med link til en webside. På websiden opfordres offeret til at indtaste fortrolige oplysninger. Svindleren kan fx skrive, at det er nødvendigt at genaktivere en konto efter et hackerangreb. Medarbejderen indtaster brugernavn og password, som derefter lander hos bagmændene. De senere år er phishing blevet mere målrettet via såkaldt spear phishing. Nu sender angriberne e mails rettet mod specifikke firmaer eller organisationer og med henvisninger til viden og personer, som modtageren kender. Det gør mailen mere troværdig. MALWARE GIVER ADGANG Mailen til en ansat i den virksomhed, angriberne har udset sig, kan også indeholde malware (skadelig software). Det kan være i form af et link til en farlig webside eller en ved hæftet fil. Hvis det skadelige program kører, kan det fungere som en bagdør ind i virksomhedens systemer. Herfra kan angriberne snuse rundt efter data. De it-kriminelle bruger altså malware og phishing til at få fat i fortrolige data. Malware bruges derudover også til afpresning, hvor det skadelige program lukker for adgangen til data på computeren. Endelig indgår malware i svindel med annonceklik på websider og andre lyssky metoder til at tjene penge. ENKLE FORHOLDSREGLER Samlet set er truslerne mod informationssikkerheden stigende både i Danmark og internationalt. Truslerne kommer både fra amatører, fra den organiserede kriminalitet og fra efterretningstjenester og andre statslige aktører. Mange analyser viser, at ganske simple midler kan mindske risikoen markant. Det er på den ene side godt, for det betyder, at det ikke er så vanskeligt at gøre noget ved problemet. På den anden side viser det, at de fleste organisationer bruger for få ressourcer på informationssikkerheden. Ofte fejler organisationer på de mest basale discipliner såsom at holde software opdateret og at styre rettighederne til, hvem der må tilgå hvilke data. Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

10 SIKKERHEDSUDSIGTEN FOR 2015 Af Shehzad Ahmad og Rasmus Theede Informationssikkerheden i Danmark står over for hidtil usete udfordringer, og den byder også på store mulighe der. Digitaliseringen udvider mængden af følsomme digitale data, som er potentielt sårbare over for angreb. Presset på sikkerheden har derfor aldrig været større. For at imødegå dette, opbygges der i Danmark nu nye styrker og alliancer, som kan være med til at skabe et sikkert digitalt Danmark. RfDS deltager aktivt i dette arbejde. DE MENNESKELIGE FEJL FYLDER STADIG MEST I en tid med høj fokus på avancerede angreb og tek niske forsvarsmekanismer er det nemt at glemme, at langt den hyppigste årsag til brud på datasikkerheden ligger hos den enkelte medarbejder. Måske en medarbejder ved en fejl får sendt fortrolige informationer af sted eller med forsæt misbruger arbejdspladsens fortrolige data eller it-systemer. Alt for mange, der omgås personfølsomme data i deres dagligdag, har ikke kendskab til de regler, der gælder på området. Uddannelse af brugere og beskrivelse af sikkerhedsregler er billigt, nemt at gå til og kan give stor værdi, hvis udført fornuftigt vel og mærke. Hvis man ikke allerede har gjort det, er det et godt sted at starte i FUNDAMENTET SLÅR STADIG REVNER Næst efter menneskelige fejl er mangel på basale sikkerhedsprocesser den hyppigste årsag til sikkerhedsbrud. Det gælder både i forhold til borgernes følsomme data og virksomhedernes forretningshemmeligheder. Det drejer sig om simple ting som dokumentation af, hvor data faktisk opbevares, processer for opdatering af sårbarheder og adgangsstyring. Der skal være styr på disse basale ting, for hackere springer over, hvor gærdet er lavest. FLERE AVANCEREDE TRUSLER De avancerede angreb bliver mere sofistikerede og mere almindelige. Det tester grænserne for både effektiviteten og kapaciteten af vores eksisterende sikkerhedskontroller. Der er uden tvivl kræfter, der vil os det ondt og vil gå meget langt for at få fat i noget af det mest værdifulde, vi har i Danmark, nemlig vores knowhow. Regeringen har igangsat en række initiativer for at afhjælpe dette, men det må kun blive et supplement. Ansvaret for sikkerheden ligger fortsat hos myndigheden, leverandøren og virksomheden. Det er meget svært at yde effektiv beskyttelse mod avancerede angreb. RfDS er i færd med udarbejde nogle bud på effektiv beskyttelse baseret på RfDS s medlemmers egne erfaringer. BORGERNES SIKKERHED ER UNDER PRES De it-kriminelle er i dag så dygtige og har så stærke værktøjer, at de har let ved at narre deres ofre. For eksempel udsender de phishing-mails, der er en tro kopi af mails fra de organisationer, de efterligner. Konsekvensen er, at den almindelige borger let kan falde for svindlen og afgive fortrolige oplysninger på en forfalsket webside. Vi ser også nye og bedre gennemførte eksempler på social engineering. Svindlere ringer op til borgere og giver sig ud for at være fra Windows Support. De oplyser, at borgerens pc har sikkerhedsproblemer, og tilbyder at løse dem. Hvis borgeren tror på historien, kan de narre vedkommende til at installere skadelig software på pc en. Identitetstyveri er ligeledes et stigende problem. Her er årsagen ofte, at borgerne nok beskytter deres data, men ikke gør det effektivt. Der bruges for simple passwords eller samme passwords til flere forskellige tjenester. Der er stadig også for mange, som undlader at aktivere to-faktor autentifikation (fx indtastning af kode fra sms før en ny enhed kan benyttes). Der er også vækst i angreb med ransomware. Det er skadelig software, der spærrer for adgangen til programmer eller data. Bagmændene prøver at presse penge ud af offeret, som mod betaling kan få sine data tilbage. Her som i andre sammenhænge er manglen på backup et problem: Hvis borgeren har en sikkerhedskopi, kan vedkommende ignorere kravet om løsesum og blot indlæse kopien i stedet. Vores opfordring til borgerne i 2015 lyder derfor: Vær kritisk! Tag sikkerhedskopi også af din tablet og smartphone! Aktiver to-faktor-autentifikation! Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. 8 DIGITAL SIKKERHED I DANMARK / 2014

11 BEHOV FOR NYE KRYPTERINGSSTANDARDER Af Ivan Damgaard Fra juni 2013 og helt frem til i dag har Edwards Snowdens afsløringer af NSA s aktiviteter skabt ballade, debat og bekymring over hele verden. Vi fået tegnet et billede af en amerikansk efterretningstjeneste, der foretager masseovervågning af en væsentlig del af trafikken på internettet, vel at mærke uanset om de involverede brugere er under mistanke eller ej. Vi har hørt om hemmelige aftaler om udlevering af data, som firmaer tvinges til at indgå, og om aktiviteter, der har til formål at indbygge bagdøre i internet-standarder, så NSA er i stand til nemt at få fat i data, selv om der anvendes kryptering. Ikke overraskende har NSA og den amerikanske regering enten benægtet oplysningerne eller afvist at kommentere dem. Så der er masser af plads til spekulationer: Hvad er op og ned på alt det her? Er det efterhånden umuligt at skabe sikker kommunikation på nettet? Kan NSA bryde enhver kryptering? For det første skal man huske, at Snowden ikke er den eneste kilde til oplysninger om NSA, selv om materialet, han har lækket, er langt det mest omfattende. Selv taget med et gran salt er der næppe tvivl om, at både den amerikanske og engelske efterretningstjeneste har gang i meget omfattende overvågning af borgere over hele verden, og at man har forsøgt at svække de internationale standarder for sikker kommunikation på nettet. Dette sidste punkt er måske den bedst dokumenterede del af NSA s aktiviteter og faktisk også den mest alvorlige: Hvis standarderne for sikker kommunikation på nettet har fået indbygget svagheder, der gør det muligt at komme uden om den kryptering, der benyttes, så skal man være ualmindelig naiv for at tro, at der ikke er andre, der finder disse svagheder og begynder at udnytte dem. Mindst én af disse svagheder er allerede fundet i offentlig forskning. Så i et forsøg på at gøre livet nemmere for sig selv, har NSA gjort internettet mindre sikkert for os alle. Det må være indlysende for enhver, at det er en uholdbar situation, uanset hvilken politisk holdning man måtte have til overvågning, og til hvor meget af det, vi skal acceptere. Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Men kan problemet løses? Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Omgåelsen sker enten ved at få de involverede parter til at udlevere data, eller ved at udnytte bagdøre i protokoller og andre svagheder i systemerne. I forhold til hvad vi ved fra forskningen, ville det ikke give mening, hvis NSA uden videre kunne bryde hvad som helst. Derfor må konklusionen være, at opdaterede standarder for kryptering med tilstrækkeligt store nøgler faktisk er et effektivt værn mod masseaflytning, hvis de bruges rigtigt. Det er her hunden ligger begravet: Måden vi bruger kryptering på, er bundet op på de protokoller, der i øjeblikket er standard på nettet. De trænger alvorligt til et eftersyn og sandsynligvis endda til at blive re-designet fra bunden, ikke kun fordi de har været under indflydelse af NSA, men også fordi flere af dem er resultatet af lappeløsninger lagt oven på hinanden. Det problem bør kunne løses, og det kan kun gå for langsomt! Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

12 INTERN SIKKERHED I VIRKSOMHEDER Af Rasmus Theede og Tom Engly Over det sidste år har der i pressen været omtale af mange sager om databrud. Se og Hør kom i vælten, da det blev afdækket, at de havde betalt en kilde med tilknytning til Nets for at lække oplysninger om kendte danskeres anvendelse af kreditkort. Flere politikere var i medierne og kritiserede it-sikkerheden, og mange andre meningsdannere fulgte trop. Anskuer man Se og Hør-sagen fra et it-sikkerhedsfagligt perspektiv, var problemet imidlertid ikke, hvad man rent fagligt forstår ved manglende it-sikkerhed. En række af de gængse og krævede sikkerhedsforanstaltninger var således på plads hos Nets. For eksempel var medarbejderen, der skaffede sig adgang til kreditkortoplysningerne, sikkerhedsgodkendt af PET og havde lovlige administrative rettigheder. Han udnyttede ikke tekniske sårbarheder, han misbrugte ikke andres rettigheder og han udførte heller ikke aktiviteter, som man med gængse it-sikkerhedsværktøjer ville kunne logge, spore og reagere på. Der var i stedet tale om en betroet medarbejders ulovlige udnyttelse af en i øvrigt lovlig adgang. Kunne Nets så have forhindret det? Medarbejderen benyttede et såkaldt batch job, som er en rutine, der opsættes og afvikles af systemadministratorer. Sådanne batch jobs skal efter persondataloven og sikkerhedsbekendtgørelsen ikke logges. Hverken interne ISO krav og procedurer hos Nets, kontrol ved Datatilsynet eller ekstern revision ville dermed have haft mulighed for at spore hændelsen. Hændelser, som det der foregik hos Nets, vil være yderst vanskelige for alle typer virksomheder at spore og så vidt vi kan vurdere, er misbrug af denne type noget, som forekommer yderst sjældent i it-branchen. Se og Hør-sagen må derfor ikke betragtes som en aktualisering af en generel problemstilling angående datasikkerhed. I stedet bør sagen give stof til eftertanke om, hvordan virksomheder bedst beskytter sig mod og forebygger det, Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor. man kan kalde for ondsindede medarbejdere. Det er nødvendigt at kunne stole på de medarbejdere, man sætter til at arbejde med virksomhedens data. Det vi kan lære af Se og Hør-sagen er, at det er i alles interesse fortsat at arbejde med sikkerhedsbehovet og at finde løsninger, som gør det muligt at kontrollere og begrænse adgange til data på måder, der er meningsfulde og transparente for medarbejderne. Vi kan aldrig opnå 100% sikkerhed for, at en medarbejder holder sig fra at begå kriminalitet, men vi kan gøre det nemmere at opdage det i tide. Sagen viser også tydeligt, at det er nødvendigt at skelne mellem den risiko, interne medarbejdere og samarbejdspartnere kan udgøre og den, der udspringer fra eksterne hackere. Derfor er det Rådets opfattelse, at det øgede fokus på sikkerhed skal omfatte en konkret risikovurdering af medarbejderes og samarbejdspartneres adgang til virksomhedernes og dermed også kundernes data. Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. Tom Engly er koncernsikkerhedschef i Tryg og medlem af bestyrelsen for RfDS. 10 DIGITAL SIKKERHED I DANMARK / 2014

13 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA Af Henning Mortensen Virksomhederne har i disse år stor opmærksomhed på, hvordan nye typer af it-løsninger kan være med til at ef fektivisere, skabe nye forretningsområder og dermed også sikre vækst og nye arbejdspladser. Det vil skabe værdi både for virksomhederne, borgerne og samfundet som helhed. Blandt nogle af de buzzwords vi hører igen og igen er big data, cloud computing, sociale netværk, mobility og Internet of Everything. En god del af de mennesker, hvis personlige data er in vol veret, vil imidlertid have en sund skepsis. For at flest muligt skal kunne se værdien af den teknologiske udvikling, er det derfor vigtigt at arbejde med at understøtte tilliden til digitaliseringen. Sagt på en anden måde: I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Opskriften på, hvordan det skal ske, findes allerede. Rådet for Digital Sikkerhed, Dansk Industri, Forbrugerrådet og flere andre aktører har gennem de senere år arbejdet med en tretrinsraket bestående af Privacy Impact Assessment, Privacy by Design og Privacy Enhancing Technologies. Disse tiltag er det frivilligt at bruge nu, men i udkastet til den kommende EU persondataforordning lægges der op til, at dele af disse tiltag bliver obligatoriske. Ved at bruge disse metoder, kan man øge tilliden til, at data behandles på en sikker måde. I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Privacy Impact Assessment (PIA) er en analyse af den risiko, der er forbundet med, at personoplysninger be handles set fra den registreredes perspektiv. Virksomheden laver dermed en risikovurdering og kortlægger blandt andet, om det faktisk er nødvendigt præcist at identificere den registrerede, i hvilke behandlingsprocesser det evt. er nødvendigt, om der er tilvejebragt et tilstrækkeligt sikkerhedsniveau, om data videregives og om gældende love efterleves. Når man har gennemført en PIA, er resultatet en liste med punkter, som viser, hvor det er muligt at forbedre beskyttelsen af de registreredes data. Nogle af disse kan man vælge at implementere, mens andre vil være uhensigtsmæssige. De tiltag, som implementeres, ændrer designet af it-løsningen eller de processer, hvorefter data behandles. Når løsningen er udformet på denne måde, kaldes det for Privacy by Design (PbD). Det indikerer, at privatlivsbeskyttelse er tænkt med ind i løsningen helt fra start. Nogle af de elementer, man kan designe ind i en it-løsning, har særligt fokus på beskytte behandlingen af personoplysninger, og de kaldes derfor Privacy Enhancing Technologies (PET). PET findes i mange former. Et eksempel er rollebaseret adgangskontrol, hvor en medarbejder kun kan få adgang til de personoplysninger, som vedkommende har brug for, for at kunne udføre sit daglige arbejde. Mere vidtgående eksempler er at opdele data således, at identitetsdata adskilles fra de øvrige data, der efterfølgende ikke eller kun vanskeligt kan identificere den registrerede. Det kendes for eksempel fra analyse af trafikmønstre, hvor det ikke er muligt at identificere den enkelte trafikant. Dette kaldes pseudonymisering eller anonymisering. Ved at gennemgå denne tretrinsraket med PIA, PbD og PET kan virksomhederne forbedre beskyttelsen af de personoplysninger, de indsamler og håndterer. Alt i alt vil der være tale om en bedre beskyttelse, som, hvis gøres rigtigt, vil reducere risikoen for tab af data. Dette kan kommunikeres til de registrerede og indgå i virksomhedens samlede profilering, og det vil dermed være med til at øge tilliden til virksomhedens behandling af personoplysninger og også den generelle tillid til den teknologiske udvikling. Henning Mortensen er chefkonsulent i DI ITEK om og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

14 UDFASNING AF CPR-NUMMERET Af Ivan Damgaard og Anette Høyrup I slutningen af 2013 kom Rådet for Digital Sikkerhed med en anbefaling om at udfase cpr-nummeret i sin nuværende form, således at det fremover ikke indeholder informationer om borgernes alder og køn. Formålet er at tilpasse cpr-systemet i forhold til den digitale udvikling og derved mindske risikoen for identitetstyveri. Det fremgår også af anbefalingen, at man aldrig bør au ten tificere en persons identitet alene på baggrund af cpr-nummeret. Selv om en persons cpr-nummer ikke er blevet direkte kompromitteret, er der stadig en betydelig risiko for, at nummeret kan gættes, hvis angriberen kender offerets fødselsdato og køn. Rådets melding kommer på baggrund af en markant stigning af danskere, som udsættes for identitetstyverier og et stigende antal sager, hvor myndigheder og virksomheder uforvarende kommer til at offentliggøre eller får hacket borgernes personnumre. For eksempel lykkedes det i 2012 for hackere at skaffe sig adgang til alle personnumre i politiets kørekortregister. Rådet for Digital Sikkerhed foreslår ændringerne af cprsystemet indført i følgende trin over nogle år og at ændringerne ses som et første skridt i retning af et fremtidigt nyt dansk system for digital identifikation, som i højere grad sikrer borgerne en rimelig og tidssvarende privatlivsbeskyttelse: Trin 1: Tilbud om nyt personnummer til personer, der har været udsat for identitetstyveri, og hvor personnummeret er blevet kompromitteret på uoprettelig vis. Trin 2. Borgere, som ønsker det, skal for et rimeligt gebyr selv kunne anmode om at få et nyt personnummer, der ikke indeholder oplysning om alder og køn. Trin 4: På længere sigt skal cpr-systemet afløses af et nyt digitalt identifikationssystem (eid), hvor både it-sikkerhed og privatlivsbeskyttelse skal indbygges fra start. Rådet mener desuden, at en revision af cpr-systemet skal følges op med nye generelle retningslinjer for digitale identifikation og autentificering, og at disse retningslinjer skal være på plads, inden der igangsættes udbud af en afløser for den nuværende NemID-løsning. Anbefalingen blev fremlagt på Forbrugerrådet TÆNKs Miniseminar om identitetstyveri i januar 2014, og løsningsforslaget indgik i Forbrugerrådet katalog over forslag til løsningsmodeller på identitetstyveri, som er blevet præsenteret for Digitaliseringsstyrelsens interessentforum for identitetstyveri. Interessentforum for identitetstyveri har primært været et vidensudvekslingsmøde, hvor Rådets konkrete forslag om udfasning af cpr-nummeret ikke har været genstand for diskussion, men blot fremlæggelse. På Digitaliseringsstyrelsens 6. møde om identitetstyveri i december 2014 oplyste Digitaliseringsstyrelsen, at de er ved at forbedre informationen om it-sikkerhed herunder om identitetstyveri på websitet borger.dk, og også at Digitaliseringsstyrelsen ønsker at deltage i kampagnearbejde om it-sikkerhed sammen med Rådet for Digital Sikkerhed. Der er imidlertid ingen der for nuværende arbejder aktivt videre med at styrke cpr-systemet gennem udfasning af informationen om alder og køn i personnummeret, som foreslået af Rådet for Digital Sikkerhed. Trin 3: Øvrige borgere tildeles nye personnumre uden oplysninger om alder og køn i takt med, at der udstedes nye sygesikringsbeviser, kørekort og pas. Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. Anette Høyrup er jurist ved Forbrugerrådet Tænk og medlem af bestyrelsen for RfDS. 12 DIGITAL SIKKERHED I DANMARK / 2014

15 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK Af Jørn Guldberg og Birgitte Kofod Olsen Det er en vigtig del af den offentlige infrastruktur, at vi har en troværdig digital identitet. Det gør, at borgere og virksomheder kan være trygge ved anvendelsen af digitale løsninger i det offentlige. Samtidig sikrer det, at vi har en sikkerhedsmæssig robust løsning for digital kommunikation af fortrolig information. RfDS har ved flere lejligheder påpeget behovet for en op gradering af den eksisterende nationale eid-løsning (NemID), og Rådet afgav i juni 2014 på linje med en lang række øvrige aktører høringssvar til Digitaliseringsstyrelsen om, hvorledes afløseren for NemID bør udformes. Rådet mener, at den kommende løsning bør tage udgangspunkt i blandt andet følgende principper: Integritet: Borgerens digitale identitet bør tilhøre borgeren på samme måde som et pas til traditionel identifikation. Brugeren bør kunne autentificere sig over for tredjepart og etablere afledte identiteter, uden at dette registreres hos eid-udstederen. Fortrolighed: Der skal være fokus på, at borgere reelt kan sikre den fortrolige del af den digitale identitet, og infrastrukturen skal hindre identitetstyveri og misbrug. Privatlivsbeskyttelse: Identiteten i den nye eid bør generelt afløse brug af cpr-nummer i den offentlige sektor og private sektor. Målet skal være, at der i en given transaktion kun udveksles de faktisk nødvendige oplysninger (med cpr-nummeret udveksles altid køn, alder og sandsynlighedsindikator vedr. indvandringsstatus samt nøgle, der kan benyttes til samkøring med andre oplysninger). Åbenhed og kompatibilitet: Det må være et naturligt krav, at en borger kan få udstedt en digital identitet fra det offentlige på samme måde, som man kan få udstedt et pas. Denne identitet er naturligvis en unik identitet til at identificere borgeren ultimativt. Men den kan ikke stå alene, som det nuværende NemID gør. Der skal etableres alternative muligheder for afledte identiteter til anvendelse ved mindre kritiske behov, herunder identiteter som formidler en delmængde af attributter vedrørende en given borger. Dette vil åbne et marked for identitetsudstedelser baseret på borgerens enkelte attributter, og det vil desuden medvirke til at reducere risikoen for utilgængelighed ved nedbrud i et enkelt centralt system. I sit høringssvar pegede RfDS videre på blandt andet følgende mere specifikke forhold: IDENTIFIKATION PÅ FLERE NIVEAUER Kommunikationen mellem borger og det offentlige består af både stærkt fortrolige og mindre følsomme oplysninger. Den offentlige digitale identitet skal derfor både bestå af en identitet på almindeligt sikkerhedsniveau og en identitet, der har tilstrækkelig styrke til, at borger og virksomheder trygt kan kommunikere med det offentlige om selv de mest følsomme informationer. Den stærke identitet skal være forbeholdt den bindende og stærkt fortrolige kommunikation og til brugerens generering af nye afledte identiteter. Den offentlige digitale identitet bør sammen med andre digitale identiteter kunne benyttes valgfrit af brugeren i kontakten til virksomheder og handlende. SINGLE SIGN-ON Selv om der opereres med identifikation på flere forskellige niveauer og via forskellige udbydere, skal de forskellige løsninger kunne bindes sammen. Der skal derfor være mulighed for step-up autentifikation (med samme løsning) eller om nødvendigt henvisning til anden autentifikationsløsning. For eksempel vil bestilling af en lægetid ikke skulle kræve den højeste troværdighed af identiteten, men ved viderestilling til egen patientjournal skal brugeren autentificeres til det højere sikkerhedsniveau. FULDMAGTER Den nye løsning skal gøre det nemmere og mere gennemskueligt at benytte fuldmagter. Som borger skal man for eksempel kunne give fuldmagter på både læger, revisorer DIGITAL SIKKERHED I DANMARK /

16 og advokater med specifikke rettigheder, som svarer til, hvad disse fagpersoner har brug for at vide. En tilsvarende løsning skal kunne bruges borgere imellem i forhold til specifikke rettigheder, således at for eksempel it-svage personer ikke føler sig nødsaget til at give deres personlige nøgler til familiemedlemmer eller andre. BRUGERVENLIGHED OG TILGÆNGELIGHED Rådet peger på, at der skal sikres en god kombination af brugervenlighed, sikkerhed og tilgængelighed. Blandt andet følgende kan i den sammenhæng benyttes: Forskellige unikke tekniske identifikatorer til forskellige tjenester (i modsætning til nu, hvor der anvendes samme brugernavn eller cpr-nummer alle steder). Nøgler skal kunne håndteres på tværs af teknologiske platforme, styresystemer og hardwaretyper (PC, tablets, smartphones og andre gadgets). Den nye eid-løsning skal kunne bruges til kryptering af mails på en nem og ligetil måde, der kan være med til at fremme sikker mail-kommunikation. AFVIKLING AF CPR-NUMMER TIL IDENTIFIKATION OG ØGET BRUG AF PSEUDONYMISERING Brugen af cpr-nummer som gennemgående identifikation bør i en ny eid-løsning afvikles. En lang række sager har vist, at det er problematisk, at samme nøgle, der oven i købet indeholder personoplysninger (alder og køn og sandsynlighedsindikator vedrørende indvandring), bruges som nøgle på tværs af offentlige og private it-systemer. I stedet bør der bruges forskellige identitetsnøgler, og der skal også være muligheder for, at identiteten kun verificeres, men ikke meddeles andre parter, med mindre der faktisk er brug for det. Dette kan opnås ved øget brug af pseudonymisering. Brug af en tredje faktor til autentifikation, når der er tale om personfølsomme oplysninger, fx biometri. Kompatibilitet med andre tilgængelige ID-systemer, fx Facebook, hvor dette sikkerhedsniveau er tilstrækkeligt, og adgang til, at brugere kan benytte andre to-faktor ID-systemer, som benytter åbne standarder (fx Google og Microsoft). Jørn Guldberg er talsmand for it-sikkerhed i IDA Ingeniørforeningen i Danmark. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. 14 DIGITAL SIKKERHED I DANMARK / 2014

17 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED Af Rasmus Theede Vi har allerede set mange eksempler på, hvor galt det kan gå, hvis vores evne til at beskytte informationer ikke følger med tiden. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. ISO27001-standarden er et stærkt fundament, på hvilket det er muligt bygge en tidssvarende beskyttelse, hvis den vel at mærke implementeres og benyttes med omhu. Derfor er det en god nyhed, at statslige myndigheder i 2013 overgik til den internationale ISO-standard, som nu forefindes i en opdateret 2013-version. Det kan være vanskeligt at gennemskue, præcist hvad vi forsøger at beskytte os imod, og hvordan det skal gøres. Blandt truslerne er for eksempel servernedbrud, hackerangreb, outsourcing, industrispionage og denial of service (DoS) angreb. Der er så mange trusler, at det kan blive svært at overskue, og konsekvensen er ofte, at myndigheder og virksomheder enten undervurderer de reelle trusler eller helt giver op. ISO27001 udmærker sig ved, at den med en struktureret og pragmatisk tilgang tager udgangspunkt i den enkelte myndighed og virksomheds behov for at beskytte sine vigtige informationer. Standarden hjælper med at få overblik. Når ISO27001 er implementeret succesfuldt, vil man være klar over, hvor de største risici er, og hvor man kan sætte mest effektivt ind. Når man implementerer ISO27001, er der i forenklede træk nogle krav, der skal opfyldes: Vi skal tage stilling til, hvad vi overhovedet vil med sikkerhed (scope). Vi skal have ledelsens fulde støtte, have styr på, hvad det præcist er, vi gerne vil beskytte, og hvordan vi har tænkt os at gøre det. Alt dette baseret på en grundig risikovurdering. Derud over skal vi kunne dokumentere, at vi har implementeret de nødvendige kontroller, og så skal vi løbende måle på, at kontrollerne fungerer, som de skal. Alt dette kræver grundig forberedelse og udarbejdelse af regler og politikker, som kan forstås af både ledelsen, forretningen og medarbejderne. Alt efter virksomhedens/ myndighedens størrelse eller kompleksitet kan dette kræve fra et par hundrede til flere tusinde timers arbejde. Vælger vi at investere den nødvendige tid, og gøre hvad der skal til, har vi til gængæld et uhyre stærkt fundament og ikke mindst et stærkt værktøj, som gør det muligt for ledelsen at træffe de rigtige sikkerhedsmæssige beslutninger. Man hører ofte både virksomheder og myndigheder udtale, at vi læner os op ad ISO Udfordringen er her, at læner vi os for meget, så risikerer vi at vælte. Følges principperne i standarden ikke i sin helhed, vil der opstå huller. ISO27001 er udfærdiget til at danne fundamentet for sikkerhed i virksomheden, og med de it-trusler, vi står over for nu og i fremtiden, har vi ikke råd til dybe sprækker i fundamentet. ISO27001 kan være en stor bid at sluge. Rådet for Digital Sikkerhed vil sammen med en række samarbejdspartnere i 2015 arbejde på at udgive en række værktøjer, skabeloner og hjælpepolitikker, der kan hjælpe en organisation med at blive klar til ISO Dette sker under Rådets arbejdsgruppe for cybersikkerhed. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS DIGITAL SIKKERHED I DANMARK /

18 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN Af Ole Kjeldsen og Birgitte Kofod Olsen Stadig flere it-løsninger afvikles i hostede applikationer, der tilgås via det åbne internet det som i branchen betegnes som public cloud. Denne udvikling betyder, at vi har brug for nye redskaber til at håndtere it-sikkerhed og privatlivsbeskyttelse. Det er derfor en rigtig god nyhed, at vi i 2014 fik den nye ISO27018-standard, som gør det nemmere at overskue og strukturere it-sikkerhed og privatliv omkring personfølsomme data i skyen. Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Det seneste års meget omtalte danske sager om læk, hac king og uberettiget adgang til personoplysninger har givet anledning til bekymringer i forhold til brug af public cloud løsninger. Sagerne omkring Se og Hør/Nets og CSC har eksponeret offentligt, at også andre typer løsninger er sårbare. Ofte har bekymringerne være fokuseret omkring lokationen, hvor databehandlingen finder sted, men det er nu tydeligt, at det ofte også er dårlig håndtering af de to andre elementer af god sikkerhed, processer og personale, der giver problemer. Brugen af public cloud vinder frem, fordi der er produktivitetsgevinster at hente. Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Den nye ISO27018 kan hjælpe dem, som efterspørger ydelser, med at stille strukturerede krav til leverandører, og den giver en fælles målestok for sammenligning af produkter og ydelser. Desuden tager den nye standard højde for de krav, som stilles til databehandlere i EU s gældende databeskyttelsesdirektiv. Ved at bruge ISO27018 kan man som dataansvarlig sikre, at: Man til enhver tid ved, hvor data befinder sig, og hvem der behandler dem. Data ikke bruges til aktiviteter ud over det, som er tiltænkt (fx marketing, forskning etc.) Man kender til processerne om sletning, transport og evt. tilbagetrækning af data, og at disse er reguleret og underlagt streng revision. EU s databeskyttelseskrav bliver overholdt, således at borgere kan tilgå, redigere og i nogle tilfælde også slette personhenførbare data. Man til enhver tid vil blive notificeret i tilfælde af en sikkerhedshændelse, som involverer cloud-løsningen eller egne data. ISO er et vigtigt tillæg til den overordnede standard ISO27001, som i sig selv er et godt rammeværktøj. Tilsammen er de to standarder højaktuelle i forhold til de digitaliseringsprocesser, som både danske offentlige myndigheder og private virksomheder står overfor. Det er oplagt fremover at indføje ISO som krav i kontrakter, da det er en nem måde at skabe sikkerhed for, at cloud-leverandører kun behandler personfølsomme data i mindst mulig omfang, at de gør det på en sikker og pålidelig måde, og at de kun anvender data til det, man som dataansvarlig på forhånd har godkendt. Ole Kjeldsen er teknologidirektør i Microsoft Denmark og medlem af bestyrelsen for RfDS. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. 16 DIGITAL SIKKERHED I DANMARK / 2014

19 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATA- BESKYTTELSESMYNDIGHED Af Birgitte Kofod Olsen For at sikre grundlaget for sund digital vækst er det nødvendigt, at Danmark har en stærk og robust databeskyttelsesmyndighed. I takt med at de digitale teknologier udvikles, er der behov for at styrke beføjelser og kompetencer hos det nationale tilsyn. Danmark bør efter Rådet for Digital Sikkerheds op fattelse i fremtiden have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databeskyttelse. På nogle punkter lever den nuværende danske databeskyttelsesmyndighed, Datatilsynet, op til, hvad der kan betegnes som gældende bedste praksis inden for EU. På andre punkter er der muligheder for forbedringer, og på et afgørende punkt kravet om at databeskyttelsesmyndigheden skal være uafhængig lever Danmark ikke op til gældende bedste praksis og dermed heller ikke til artikel 8 i EU s charter om grundlæggende rettigheder. Det skyldes, at Datatilsynet er placeret under det danske justitsministerium. Danmarks fremtidige databeskyttelsesmyndighed bør ikke være begrænset til at udføre tilsyn, men også bidrage til at vurdere, hvilke teknologier, designs og metoder, som kan anbefales til at understøtte god informationssikkerhed. Databeskyttelsesmyndigheden bør således både have et juridisk fokus, et betydeligt teknisk fokus, og det bør være en myndighed, som kan agere selvstændigt og have en aktiv rolle i forhold til at sikre en sund digital vækst og udvikling i Danmark inden for både den offentlige og private sektor. Gældende bedste praksis for nationale databeskyttelsesmyndigheder findes allerede kortlagt inden for EU og kan tjene som inspiration for en opgradering af den danske indsats på området. Derudover vil Rådet pege på, at der kan indhentes værdifulde erfaringer og viden fra det norske Datatilsynet og fra Canadas Office of the Privacy Commissioner to myndighe der som internationalt set er blandt de førende på området. Rådet for Digital Sikkerhed mener, at Danmark snarest muligt bør have en opgraderet national databeskyttelsesmyndighed, og at den bør etableres efter gældende bedste praksis, således at den kan blive en af EU s bedst fungerende. Den skal være selvstændig og placeres under Folketinget, således at den uden tvivl lever op til EU s nationale charter for grundlæggende rettigheder. En sådan stærk og robust databeskyttelsesmyndighed skal være del af det samlede eksempel til efterfølgelse på, hvorledes en nation kan skabe gode rammebetingelser for sund digital vækst. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. DIGITAL SIKKERHED I DANMARK /

20 AKTIVITETER I TAL JULI 2013 DECEMBER 2014 Høringssvar 5 Høringer i Folketinget 4 Information og anbefalinger 4 Positioner 2 Dialogmøder 28 Oplæg på konferencer DIGITAL SIKKERHED I DANMARK / 2014