Digital sikkerhed i Danmark Årsrapport fra Rådet for Digital Sikkerhed

Størrelse: px
Starte visningen fra side:

Download "Digital sikkerhed i Danmark 2014. Årsrapport fra Rådet for Digital Sikkerhed"

Transkript

1 Digital sikkerhed i Danmark 2014 Årsrapport fra Rådet for Digital Sikkerhed

2

3 INDHOLD 2 FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST 4 RÅDETS ARBEJDE 7 TRUSSELSBILLEDET I SIKKERHEDSUDSIGTEN FOR BEHOV FOR NYE KRYPTERINGSSTANDARDER 10 INTERN SIKKERHED I VIRKSOMHEDER 11 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA 12 UDFASNING AF CPR-NUMMERET 13 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK 15 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED 16 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN 17 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATABESKYTTELSESMYNDIGHED 18 AKTIVITETER I TAL 19 RESUMEÉR FRA RÅDETS UDMELDINGER 22 ÅRSREGNSKAB 2012/13 23 MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHED

4 FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST Rådet for Digital Sikkerhed (RfDS) har i 2014 vedvarende italesat, at den hastigt fremskridende digitalisering kræver et tilsvarende øget fokus på informationssikkerhed, herunder privatlivsbeskyttelse. Rådet har løbende bidraget med kommentarer, analyser, vurderinger og rådgivning, og det har hen over året uden tvivl styrket sin rolle som en troværdig og seriøs aktør. Udgangspunktet for Rådets aktiviteter er en bred kreds af eksperter og praktikere. Rådets medlemmer omfatter såvel store som mellemstore og små virksomheder, universiteter og forskningsinstitutioner, branche- og interesseorganisationer samt repræsentanter fra kommuner, regioner og ministerier. Vi trækker på deres viden og indsigt i alle vores indsatser og arbejder i en konsensus-orienteret struk tur med bestyrelsens 19 medlemmer og et aktivt for mandskab som omdrejningspunkt. Vi står derfor på et solidt videns- erfaringsfundament, når vi indgår i dialog og samarbejde med andre aktører om tryg digitalisering i Danmark. Vores status som medlemsbaseret forening, der er uafhængig af politiske og kommercielle interesser, giver os en unik platform for at udvikle Rådets vurderinger og aktiviteter. Vi agerer gerne vagthund, når internationale standarder for informationssikkerhed og privatlivsbeskyttelse efter Rådets vurdering ikke iagttages eller gennemføres effektivt. Vi bidrager ligeså gerne med konstruktive bud på, hvordan danske virksomheder, myndigheder og forskere kan styrke den digitale vækst på en sikker måde. Vi fokuserer på at få alle relevante aktører til at aktivere og udnytte deres kompetencer inden for informationssikkerhed og privatlivsbeskyttelse for på den måde at være med til at udvikle nye metoder, redskaber og processer, der kan sikre borgernes tillid til den digitaliserede dagligdag. Rådets indsats fra juli 2013 til december 2014 har favnet mange emner. Fra kritik af den fortsatte misforståede brug af cpr-nummeret som identitetsbevis hos både offentlige og private aktører til anbefaling af nye krav til fremtidens danske eid-løsning. Fra behovet for systematisk implemen tering af ISO27000-serien af standarder i den offentlige og private sektor herunder som specifikt krav ved outsourcing til et bredere og mere principielt krav om integrering af privacy by design og privacy impact assessment i alle nye it-løsninger. Rådet har i samarbejde med Digitaliseringsstyrelsen og Undervisningsministeriet igangsat flere specifikke målrettede projekter til forbedring af sikkerheden i Danmark: I forlængelse af regeringens nye informations- og cyber sikkerhedsstrategi har Rådet taget initiativ til et åbent samarbejde om udvikling af undervisningsmateriale til folkeskolerne, hvilket vil kunne hjælpe elever, forældre og lærere til at opnå bedre forståelse for informationssikkerhed. Materialet udvikles, så det passer ind i folkeskolens læseplaner, og indsatsen sker i samarbejde med Undervisningsministeriet, Medierådet for Børn og Unge, Forbrugerrådet, Digitaliseringsstyrelsen og IT-Branchen. Aktualiseret af CSC-sagen og Se og Hør-sagen er der kommet øget fokus på danske virksomheders og myndigheders formåen i forhold til at beskytte danske borgers data. Rådet er i denne sammenhæng i dialog og arbejder sammen med blandt andre IT-Branchen, Digitaliseringsstyrelsen og Erhvervsstyrelsen på at øge informationssikkerheden. Målet er at udvikle red ska ber til virksomheder, så de kan etablere et sikkerhedsniveau, der passer til deres behov og den kontekst, de arbejder i, samtidig med at der tages hensyn til økonomi og sikres brugervenlighed. For dansk erhvervsliv er øget informationssikkerhed specielt relevant i forhold til virksomheders anvendelse og opbevaring af personfølsomme oplysninger og sikker opbevaring af immaterielle produkter som fx ophavsrettigheder. Mangel på informationssikkerhed kan føre til tab og kan skade danske virksomheders konkurrenceevne. Der arbejdes i dette regi også på at finde muligheder for tryg indberetning af sikkerhedshændelser i virksomhederne, så viden om omfang og typer af sådanne hændelser fremadrettet kan indgå i forebyggende sikkerhedsindsatser I den forløbne periode er masseovervågning kommet højt på dagsordenen, blandt andet på grund af Edward 2 DIGITAL SIKKERHED I DANMARK / 2014

5 Snowdens afsløringer. Den danske tele- og sessionslogning, lovgrundlaget for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste samt politiets ønske om at registrere nummerplader på alle bilister gav Rådet anledning til at understrege vigtigheden af at opretholde demokratiske principper og værdier om borgernes grund rettigheder, transparens, tilsyn og kontrol. Det sker i en tid, hvor Danmarks sikkerhed og virksomhedernes forretnings hemmeligheder udfordres af terrorister, kriminelle og andre fjendtlige aktører. Netop på grund af trusselsbilledet har vi også spillet aktivt ind i dialoger om, hvordan der opbygges mere viden og uddannelse i cybersikkerhed på universite terne, skoler, i statslige institutioner og i virksomheder. Disse emner vil fortsat være indsatsområder for Rådet. Vi forventer, at der fremover vil komme øget fokus på adgang til og brug af sundhedhedoplysninger, herunder beskyttelse af borgernes følsomme oplysninger. Adgang til sundhedsoplysninger spiller en afgørende rolle for tilrettelæggelse af behandlingsforløb for patienter og også for forskningen og udvikling af folkesundheden. Derudover rummer danske data på sundhedsområdet et stort potentiale i forhold til udvikling og kommercialisering i medici nalindustrien. Vi vil gerne bidrage til at finde nye veje til i højere grad både at udforske og udnytte sundhedsdata. Det vil være til gavn for såvel patienter som forskningen og industrien. Vi vil blandt andet fokusere på og sikre bedre oplysning om mulighederne for benytte privacy enhancing technologies til anonymisering og pseudonymisering af sundhedsdata. Formand Birgitte Kofod Olsen Næstformand Rasmus Theede DIGITAL SIKKERHED I DANMARK /

6 RÅDETS ARBEJDE Dette er den anden årsrapport fra Rådet fra Digital Sikkerhed (RfDS). Den omfatter perioden fra juli 2013 til december Rådet opretholder en hjemmeside, digitalsikkerhed.dk, hvor Rådets aktiviteter kan følges. Uforkortede versioner af dokumenter m.v., som omtales her i årsrapporten, kan findes på hjemmesiden. Rådet er stadig i en etableringsfase baseret på strategi for , som er vedtaget af bestyrelsen. Den lyder således: FORMÅL Rådet for Digital Sikkerhed har som formål at fremme tryg it-anvendelse i fremtidens digitale samfund. Det gør vi ved at: Fremme forståelsen for informationssikkerhed og persondatabeskyttelse. Deltage i den offentlige debat om digitalisering og it-anvendelse. Indgå i dialog med offentlige og private aktører om tillid, risici og muligheder i et digitaliseret samfund. Vurdere innovativ udnyttelse af teknologiens muligheder. Fremlægge anbefalinger. VÆRDIGRUNDLAG Rådet for Digital Sikkerhed baserer sine aktiviteter på følgende værdier og principper: UAFHÆNGIGHED Rådet for Digital Sikkerhed er en uafhængig medlemsorganisation. Vi opfylder vores formål uden instruktion fra offentlige eller private aktører, og Rådet er ikke bundet af kommercielle interesser. ROBUSTHED Rådet for Digital Sikkerhed besidder og inddrager højt specialiseret viden og erfaringer om informationssikkerhed og privatlivsbeskyttelse. Vi bringer denne viden i spil for at skabe en kvalificeret debat og en sund digital kultur. ÅBENHED Rådet for Digital Sikkerhed deltager aktivt i dialog og samarbejde med alle relevante interessenter. Vi sikrer åbenhed i forhold til vores analyser og resultater ved at stille dem til rådighed for vores medlemmer og offentligheden. MÅL Vi søger at opfylde vores formål ved i perioden at: Sætte borgernes behov for redskaber og anbefalinger til tryg it-anvendelse i fokus. Vi bidrager især til øget viden og forståelse for informationssikkerhed og privatlivsbeskyttelse hos unge, ældre og it-svage borgere. Bidrage med råd og anbefalinger, der er relevante for offentlig og privat sektor, i forhold til at minimere og håndtere deres risiko for angreb og tab af sikkerhed, fortrolighed, integritet autentifikation og tilgængelighed. Opfordre til at sikre effektiv informationssikkerhed og stille risikoanalyser til rådighed, der synliggør konsekvenserne af digitalisering og it-anvendelse for borgernes tillid, frihed og sikkerhed. 4 DIGITAL SIKKERHED I DANMARK / 2014

7 AKTIVITETER I rapporteringsperioden har Rådet afviklet et betydeligt antal aktiviteter, som har understøttet de fastsatte mål. Der har været et jævnt stigende antal medieomtaler og medvirken i radio- og tv-udsendelser, i alt cirka 900 medieeksponeringer i 2014, når spredning via nyhedsbureauer medregnes. Medieomtalen har baggrund i pressemeddelelser og opfølgning på andre aktiviteter og i stigende omfang også opsøgende henvendelse fra medier, som ønsker RfDS vurdering og synspunkter på aktuelle emner. I 2014 er RfDS begyndt at offentliggøre skriftlige ud meldinger om aktuelle emner i to formater. Mere tilbundsgående udredninger med anbefalinger benævnes Information og Anbefalinger, mens Rådets politik og holdning til bestemte emne benævnes Positioner. Der er i perioden udsendt fire anbefalinger og to positioner. Rådet har afgivet en række høringsvar. Nogle af disse er afgivet uopfordret, men efterhånden er Rådet ved at være blevet medtaget på alle relevante høringslister. Rådet har været medarrangør på en række morgenmøder og gå-hjem-møder med emner som masseovervågning, cookie-regler, cloud og sikkerhed, cyberwar og Hvad laver forskerne? Rådets formand og næstformand har efter indbydelse i perioden bidraget med indlæg på i alt 27 konferencer, herunder Databeskyttelsesdagen i Landstingssalen, Dansk ITs digitaliseringskonference, Dansk ITs sundheds-it udvalg, DTU alumni-møde om big mother og kryptologi, Forbruger rådet TÆNKs miniseminar om identitetstyveri, konference på Københavns Universitet om digitalisering og borgerbeskyttelse, IDAs Driving IT konference, Dansk Internet Forum s Internetdagen og FSB konference om Samfundets kritiske infrastruktur. Rådets formand har indledt en dialog med repræsentanter for Folketingets partier om, hvorledes informationssikkerhed og privatlivsbeskyttelse generelt kan forbedres. Formandsskabet har løbende modtaget og besvaret henvendelser fra politikere, folketingsudvalg og embedsfolk, som har ønsket at høre Rådets vurderinger i aktuelle spørgsmål. Formandskabet har derudover deltaget i møder i Forsvarsministeriet, Center for Cybersikkerhed og Erhvervsministeriet samt været i tæt dialog med blandt andre Digitaliseringsstyrelsen, Erhvervsstyrelsen og Undervisningsministeriet om konkrete initiativer for fremadrettet samarbejde. Endvidere har Rådet været vært for og deltaget i en række dialogmøder, herunder om medicoudstyr, privacy impact assessment (PIA), cyberwar, sikkerhedsuddannelse på AAU og EU/FRA-ekspertmøde om informationssamfundet. Rådet har lagt 10 tips til din digitale sikkerhed og gode råd om, hvordan man kan undgå phishing på sin hjemmeside. Informationer af denne art vil blive udbygget i takt med behov og Rådets muligheder. RÅDETS UDMELDINGER Periodens i alt fire anbefalinger fra Rådet har omhandlet masseovervågning, unødig registrering af vælgeres politiske overbevisning, Heartbleed-sikkerhedsbristen og Digital vækst med tillid som fundament, der var et indspil til regeringens plan for digital vækst. Periodens to positioner har omhandlet Rådets vurdering af de informationssikkerhedsmæssige konsekvenser af politiets planlagte brug af automatisk nummerpladegenkendelse og finanssektorens udvidede adgang til borgeroplysninger i SKAT. Rådet har i forbindelse med disse udmeldinger og i andre sammenhænge udsendt et antal pressemeddelelser og har også skrevet debatindlæg i dagspressen. I forbindelse med anbefaling nr. 2 om digitalt system til vælgererklæringer havde Rådet med ekspertbistand fra Alexandra Instituttet foretræde for Folketingets Kommunaludvalg. Dette blev fulgt op med en henvendelse til daværende indenrigsminister Magrethe Vestager. I forlængelse af Retsudvalget og Kulturudvalgets vedtagelse af en fælles beretning i juni 2014 og nedsættelse af en parlamentarisk arbejdsgruppe om datasikkerhed har Rådet deltaget i møder og høringer i arbejdsgruppen med bidrag om informationssikkerhed og persondatabeskyttelse. Rådets præsentationer er tilgængeligt på Folketingets hjemmeside og på digitalsikkerhed.dk HØRINGSSVAR OG HENVENDELSER TIL MYNDIGHEDER Rådet har i perioden fremsendt følgende høringssvar til ministerier og henvendelser til Folketing og regering: 13. september. 2013: Udkast til Bekendtgørelse om medicin- og vaccinationsoplysninger. Der peges på behov for at gennemføre en privacy impact assessment (PIA). Videre fremhæves en række forhold, som peger på behov for større hensyntagen til privatlivsbeskyttelse, herunder tildeling af adgangsrettigheder. DIGITAL SIKKERHED I DANMARK /

8 10. oktober 2013: Ændring af lov om Det Centrale Personregister (tildeling af nyt personnummer i særlige tilfælde samt ophævelse af markeringer i CPR om forskerbeskyttelse). Rådet anbefaler, at muligheden for at tilvælge forskerbeskyttelse opretholdes. Mere generelt anbefaler RfDS, at det fremlagte lovforslag kombineres med en grundlæggende reform af cpr-systemet, der gør digitale ID-løsninger (eid) til omdrejningspunkt for sikker identifikation, og dermed afløser cpr-nummeret i sin nuværende form. Denne generelle anbefaling uddybes i en pressemeddelelse (8. oktober 2013), hvor det foreslås, at cpr-nummeret ændres, så det ikke indeholder personinformation om alder og køn, og at der følges op med nye generelle retningslinjer for digital identifikation og autentificering. Rådet noterer, at der i anbefalinger fra Vækstteam for IKT og digital vækst (januar 2014) er henvist til Rådets fremhævning af behovet for at se på sikkerheden ved cpr-nummeret. 4. marts 2014: I høringssvar vedrørende Lovforslag om Center for Cybersikkerhed peger Rådet på 11 konkrete problemer i lovforslaget. Et af punkterne vedrører placeringen af CFCE under Forsvarets Efterretningstjeneste og lovforslagets meget brede og udefinerede adgang til indsamling af data. RfDS finder ikke, at der med lovforslaget sikres tilstrækkelig beskyttelse af borger nes og virksomhedernes data og opfordrer derfor til, at CFCS i det hele adskilles fra Forsvarets Efterretningstjenestes funktionsområde og henlægges til en forvaltningsmyndighed, der er omfattet af persondataloven. Rådets formand har efterfølgende deltaget i møde i Forsvarsministeriet om høringssvaret. Endvi dere har formanden i mange forskellige sammenhænge deltaget i den debat, der har været om lovforslaget. 8. maj 2014: Rådet deltager i Folketingets Retsudvalgs høring om CFCS-loven. 14. maj 2014: Rådet sender sammen med IDA og Forbrugerrådet TÆNK et brev til Folketingets Europa-, Rets- og Kulturudvalg med opfordring til at støtte EU persondataforordningen. 23. maj 2014: Rådet sender sammen med 17 andre organisationer et brev til Folketingets retsudvalg med en opfordring til, at Folketinget tager initiativ til at beskytte danske borgere mod unødvendig og ubegrundet overvågning og registrering. Henvendelsen vedrører de danske logningsregler og den nylige dom fra EU-domstolen, som underkender EUs logningsdirektiv. De danske regler går på flere punkter videre, end det nu underkendte EU-direktiv. 27. juni 2014: I sit høringssvar om den næste generation af NemID, peger Rådet på seks forskellige områder, hvor en ny løsning bør opgraderes og forbedres ift. den nuværende. 26. august 2014: Rådet deltager i høring i Folketingets Retsudvalgs arbejdsgruppe med oplæg om Digital tryghed og it-sikkerhed. 22. oktober 2014: Rådet deltager i høring om myndigheders behandling af persondata i Folketingets Retsudvalgs arbejdsgruppe med oplæg om sikkerheden i outsourcet it-drift. 6 DIGITAL SIKKERHED I DANMARK / 2014

9 TRUSSELSBILLEDET I 2014 Af Shehzad Ahmad Det seneste års tid har én tendens præget diskussionen af informationssikkerhed i Danmark: Truslen mod borgernes data. Det begyndte, da Edward Snowden afslørede myndighedernes omfattende overvågning af borgernes kommunikation både i USA og internationalt. Emnet fik en dansk vinkel, da en tidligere Se og Hør-journalist afslørede, at ugebladet via en centralt placeret kilde havde udnyttet fortrolige data om kendte personers kreditkortransaktioner hentet fra it-systemerne hos Nets. Hvor Snowdens oplysninger handler om eksterne parter, der tilgår data i andres systemer, er Se og Hør-sagen et eksempel på insider-misbrug: En medarbejder misbruger den tillid, arbejdspladsen viser ham, til at udnytte fortrolige oplysninger. Dette er naturligvis under forudsætning af, at anklagerne mod den tidligere Nets- og IBMmedarbejder holder stik. Både eksterne og interne trusler mod informationssikkerheden kræver, at virksomheder, myndigheder og organisationer træffer forholdsregler, der minimerer risikoen. Kryptering er en mulighed, der især virker mod eksterne trusler: Selv om angriberne kan aflytte kommunikation, kan de ikke se indholdet af den, hvis den er krypteret. Mod interne trusler er kryptering mindre effektiv. Det kan beskytte mod misbrug fra medarbejdergrupper uden teknisk viden. Men en it-medarbejder vil ofte kunne omgå hindringer som kryptering. Her er det mere effektivt at indføre procedurer, der mindsker risikoen for misbrug for eksempel ved løbende sikkerhedstjek af nøglepersoner og krav om, at der skal to personer til at aktivere kritiske funktioner. UAFVIDENDE HJÆLPERE En særlig vinkel på insidertruslen er, at medarbejdere ofte uafvidende er med til at hjælpe eksterne angribere. I mange tilfælde, hvor angribere udefra har fået fat i fortrolige data, har de fået hjælp fra en medarbejder. Det kan ske via phishing eller malware. Phishing-truslen har været voksende. Den går ud på, at angriberne sender en mail til offeret med link til en webside. På websiden opfordres offeret til at indtaste fortrolige oplysninger. Svindleren kan fx skrive, at det er nødvendigt at genaktivere en konto efter et hackerangreb. Medarbejderen indtaster brugernavn og password, som derefter lander hos bagmændene. De senere år er phishing blevet mere målrettet via såkaldt spear phishing. Nu sender angriberne e mails rettet mod specifikke firmaer eller organisationer og med henvisninger til viden og personer, som modtageren kender. Det gør mailen mere troværdig. MALWARE GIVER ADGANG Mailen til en ansat i den virksomhed, angriberne har udset sig, kan også indeholde malware (skadelig software). Det kan være i form af et link til en farlig webside eller en ved hæftet fil. Hvis det skadelige program kører, kan det fungere som en bagdør ind i virksomhedens systemer. Herfra kan angriberne snuse rundt efter data. De it-kriminelle bruger altså malware og phishing til at få fat i fortrolige data. Malware bruges derudover også til afpresning, hvor det skadelige program lukker for adgangen til data på computeren. Endelig indgår malware i svindel med annonceklik på websider og andre lyssky metoder til at tjene penge. ENKLE FORHOLDSREGLER Samlet set er truslerne mod informationssikkerheden stigende både i Danmark og internationalt. Truslerne kommer både fra amatører, fra den organiserede kriminalitet og fra efterretningstjenester og andre statslige aktører. Mange analyser viser, at ganske simple midler kan mindske risikoen markant. Det er på den ene side godt, for det betyder, at det ikke er så vanskeligt at gøre noget ved problemet. På den anden side viser det, at de fleste organisationer bruger for få ressourcer på informationssikkerheden. Ofte fejler organisationer på de mest basale discipliner såsom at holde software opdateret og at styre rettighederne til, hvem der må tilgå hvilke data. Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

10 SIKKERHEDSUDSIGTEN FOR 2015 Af Shehzad Ahmad og Rasmus Theede Informationssikkerheden i Danmark står over for hidtil usete udfordringer, og den byder også på store mulighe der. Digitaliseringen udvider mængden af følsomme digitale data, som er potentielt sårbare over for angreb. Presset på sikkerheden har derfor aldrig været større. For at imødegå dette, opbygges der i Danmark nu nye styrker og alliancer, som kan være med til at skabe et sikkert digitalt Danmark. RfDS deltager aktivt i dette arbejde. DE MENNESKELIGE FEJL FYLDER STADIG MEST I en tid med høj fokus på avancerede angreb og tek niske forsvarsmekanismer er det nemt at glemme, at langt den hyppigste årsag til brud på datasikkerheden ligger hos den enkelte medarbejder. Måske en medarbejder ved en fejl får sendt fortrolige informationer af sted eller med forsæt misbruger arbejdspladsens fortrolige data eller it-systemer. Alt for mange, der omgås personfølsomme data i deres dagligdag, har ikke kendskab til de regler, der gælder på området. Uddannelse af brugere og beskrivelse af sikkerhedsregler er billigt, nemt at gå til og kan give stor værdi, hvis udført fornuftigt vel og mærke. Hvis man ikke allerede har gjort det, er det et godt sted at starte i FUNDAMENTET SLÅR STADIG REVNER Næst efter menneskelige fejl er mangel på basale sikkerhedsprocesser den hyppigste årsag til sikkerhedsbrud. Det gælder både i forhold til borgernes følsomme data og virksomhedernes forretningshemmeligheder. Det drejer sig om simple ting som dokumentation af, hvor data faktisk opbevares, processer for opdatering af sårbarheder og adgangsstyring. Der skal være styr på disse basale ting, for hackere springer over, hvor gærdet er lavest. FLERE AVANCEREDE TRUSLER De avancerede angreb bliver mere sofistikerede og mere almindelige. Det tester grænserne for både effektiviteten og kapaciteten af vores eksisterende sikkerhedskontroller. Der er uden tvivl kræfter, der vil os det ondt og vil gå meget langt for at få fat i noget af det mest værdifulde, vi har i Danmark, nemlig vores knowhow. Regeringen har igangsat en række initiativer for at afhjælpe dette, men det må kun blive et supplement. Ansvaret for sikkerheden ligger fortsat hos myndigheden, leverandøren og virksomheden. Det er meget svært at yde effektiv beskyttelse mod avancerede angreb. RfDS er i færd med udarbejde nogle bud på effektiv beskyttelse baseret på RfDS s medlemmers egne erfaringer. BORGERNES SIKKERHED ER UNDER PRES De it-kriminelle er i dag så dygtige og har så stærke værktøjer, at de har let ved at narre deres ofre. For eksempel udsender de phishing-mails, der er en tro kopi af mails fra de organisationer, de efterligner. Konsekvensen er, at den almindelige borger let kan falde for svindlen og afgive fortrolige oplysninger på en forfalsket webside. Vi ser også nye og bedre gennemførte eksempler på social engineering. Svindlere ringer op til borgere og giver sig ud for at være fra Windows Support. De oplyser, at borgerens pc har sikkerhedsproblemer, og tilbyder at løse dem. Hvis borgeren tror på historien, kan de narre vedkommende til at installere skadelig software på pc en. Identitetstyveri er ligeledes et stigende problem. Her er årsagen ofte, at borgerne nok beskytter deres data, men ikke gør det effektivt. Der bruges for simple passwords eller samme passwords til flere forskellige tjenester. Der er stadig også for mange, som undlader at aktivere to-faktor autentifikation (fx indtastning af kode fra sms før en ny enhed kan benyttes). Der er også vækst i angreb med ransomware. Det er skadelig software, der spærrer for adgangen til programmer eller data. Bagmændene prøver at presse penge ud af offeret, som mod betaling kan få sine data tilbage. Her som i andre sammenhænge er manglen på backup et problem: Hvis borgeren har en sikkerhedskopi, kan vedkommende ignorere kravet om løsesum og blot indlæse kopien i stedet. Vores opfordring til borgerne i 2015 lyder derfor: Vær kritisk! Tag sikkerhedskopi også af din tablet og smartphone! Aktiver to-faktor-autentifikation! Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. 8 DIGITAL SIKKERHED I DANMARK / 2014

11 BEHOV FOR NYE KRYPTERINGSSTANDARDER Af Ivan Damgaard Fra juni 2013 og helt frem til i dag har Edwards Snowdens afsløringer af NSA s aktiviteter skabt ballade, debat og bekymring over hele verden. Vi fået tegnet et billede af en amerikansk efterretningstjeneste, der foretager masseovervågning af en væsentlig del af trafikken på internettet, vel at mærke uanset om de involverede brugere er under mistanke eller ej. Vi har hørt om hemmelige aftaler om udlevering af data, som firmaer tvinges til at indgå, og om aktiviteter, der har til formål at indbygge bagdøre i internet-standarder, så NSA er i stand til nemt at få fat i data, selv om der anvendes kryptering. Ikke overraskende har NSA og den amerikanske regering enten benægtet oplysningerne eller afvist at kommentere dem. Så der er masser af plads til spekulationer: Hvad er op og ned på alt det her? Er det efterhånden umuligt at skabe sikker kommunikation på nettet? Kan NSA bryde enhver kryptering? For det første skal man huske, at Snowden ikke er den eneste kilde til oplysninger om NSA, selv om materialet, han har lækket, er langt det mest omfattende. Selv taget med et gran salt er der næppe tvivl om, at både den amerikanske og engelske efterretningstjeneste har gang i meget omfattende overvågning af borgere over hele verden, og at man har forsøgt at svække de internationale standarder for sikker kommunikation på nettet. Dette sidste punkt er måske den bedst dokumenterede del af NSA s aktiviteter og faktisk også den mest alvorlige: Hvis standarderne for sikker kommunikation på nettet har fået indbygget svagheder, der gør det muligt at komme uden om den kryptering, der benyttes, så skal man være ualmindelig naiv for at tro, at der ikke er andre, der finder disse svagheder og begynder at udnytte dem. Mindst én af disse svagheder er allerede fundet i offentlig forskning. Så i et forsøg på at gøre livet nemmere for sig selv, har NSA gjort internettet mindre sikkert for os alle. Det må være indlysende for enhver, at det er en uholdbar situation, uanset hvilken politisk holdning man måtte have til overvågning, og til hvor meget af det, vi skal acceptere. Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Men kan problemet løses? Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Omgåelsen sker enten ved at få de involverede parter til at udlevere data, eller ved at udnytte bagdøre i protokoller og andre svagheder i systemerne. I forhold til hvad vi ved fra forskningen, ville det ikke give mening, hvis NSA uden videre kunne bryde hvad som helst. Derfor må konklusionen være, at opdaterede standarder for kryptering med tilstrækkeligt store nøgler faktisk er et effektivt værn mod masseaflytning, hvis de bruges rigtigt. Det er her hunden ligger begravet: Måden vi bruger kryptering på, er bundet op på de protokoller, der i øjeblikket er standard på nettet. De trænger alvorligt til et eftersyn og sandsynligvis endda til at blive re-designet fra bunden, ikke kun fordi de har været under indflydelse af NSA, men også fordi flere af dem er resultatet af lappeløsninger lagt oven på hinanden. Det problem bør kunne løses, og det kan kun gå for langsomt! Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

12 INTERN SIKKERHED I VIRKSOMHEDER Af Rasmus Theede og Tom Engly Over det sidste år har der i pressen været omtale af mange sager om databrud. Se og Hør kom i vælten, da det blev afdækket, at de havde betalt en kilde med tilknytning til Nets for at lække oplysninger om kendte danskeres anvendelse af kreditkort. Flere politikere var i medierne og kritiserede it-sikkerheden, og mange andre meningsdannere fulgte trop. Anskuer man Se og Hør-sagen fra et it-sikkerhedsfagligt perspektiv, var problemet imidlertid ikke, hvad man rent fagligt forstår ved manglende it-sikkerhed. En række af de gængse og krævede sikkerhedsforanstaltninger var således på plads hos Nets. For eksempel var medarbejderen, der skaffede sig adgang til kreditkortoplysningerne, sikkerhedsgodkendt af PET og havde lovlige administrative rettigheder. Han udnyttede ikke tekniske sårbarheder, han misbrugte ikke andres rettigheder og han udførte heller ikke aktiviteter, som man med gængse it-sikkerhedsværktøjer ville kunne logge, spore og reagere på. Der var i stedet tale om en betroet medarbejders ulovlige udnyttelse af en i øvrigt lovlig adgang. Kunne Nets så have forhindret det? Medarbejderen benyttede et såkaldt batch job, som er en rutine, der opsættes og afvikles af systemadministratorer. Sådanne batch jobs skal efter persondataloven og sikkerhedsbekendtgørelsen ikke logges. Hverken interne ISO krav og procedurer hos Nets, kontrol ved Datatilsynet eller ekstern revision ville dermed have haft mulighed for at spore hændelsen. Hændelser, som det der foregik hos Nets, vil være yderst vanskelige for alle typer virksomheder at spore og så vidt vi kan vurdere, er misbrug af denne type noget, som forekommer yderst sjældent i it-branchen. Se og Hør-sagen må derfor ikke betragtes som en aktualisering af en generel problemstilling angående datasikkerhed. I stedet bør sagen give stof til eftertanke om, hvordan virksomheder bedst beskytter sig mod og forebygger det, Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor. man kan kalde for ondsindede medarbejdere. Det er nødvendigt at kunne stole på de medarbejdere, man sætter til at arbejde med virksomhedens data. Det vi kan lære af Se og Hør-sagen er, at det er i alles interesse fortsat at arbejde med sikkerhedsbehovet og at finde løsninger, som gør det muligt at kontrollere og begrænse adgange til data på måder, der er meningsfulde og transparente for medarbejderne. Vi kan aldrig opnå 100% sikkerhed for, at en medarbejder holder sig fra at begå kriminalitet, men vi kan gøre det nemmere at opdage det i tide. Sagen viser også tydeligt, at det er nødvendigt at skelne mellem den risiko, interne medarbejdere og samarbejdspartnere kan udgøre og den, der udspringer fra eksterne hackere. Derfor er det Rådets opfattelse, at det øgede fokus på sikkerhed skal omfatte en konkret risikovurdering af medarbejderes og samarbejdspartneres adgang til virksomhedernes og dermed også kundernes data. Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. Tom Engly er koncernsikkerhedschef i Tryg og medlem af bestyrelsen for RfDS. 10 DIGITAL SIKKERHED I DANMARK / 2014

13 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA Af Henning Mortensen Virksomhederne har i disse år stor opmærksomhed på, hvordan nye typer af it-løsninger kan være med til at ef fektivisere, skabe nye forretningsområder og dermed også sikre vækst og nye arbejdspladser. Det vil skabe værdi både for virksomhederne, borgerne og samfundet som helhed. Blandt nogle af de buzzwords vi hører igen og igen er big data, cloud computing, sociale netværk, mobility og Internet of Everything. En god del af de mennesker, hvis personlige data er in vol veret, vil imidlertid have en sund skepsis. For at flest muligt skal kunne se værdien af den teknologiske udvikling, er det derfor vigtigt at arbejde med at understøtte tilliden til digitaliseringen. Sagt på en anden måde: I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Opskriften på, hvordan det skal ske, findes allerede. Rådet for Digital Sikkerhed, Dansk Industri, Forbrugerrådet og flere andre aktører har gennem de senere år arbejdet med en tretrinsraket bestående af Privacy Impact Assessment, Privacy by Design og Privacy Enhancing Technologies. Disse tiltag er det frivilligt at bruge nu, men i udkastet til den kommende EU persondataforordning lægges der op til, at dele af disse tiltag bliver obligatoriske. Ved at bruge disse metoder, kan man øge tilliden til, at data behandles på en sikker måde. I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Privacy Impact Assessment (PIA) er en analyse af den risiko, der er forbundet med, at personoplysninger be handles set fra den registreredes perspektiv. Virksomheden laver dermed en risikovurdering og kortlægger blandt andet, om det faktisk er nødvendigt præcist at identificere den registrerede, i hvilke behandlingsprocesser det evt. er nødvendigt, om der er tilvejebragt et tilstrækkeligt sikkerhedsniveau, om data videregives og om gældende love efterleves. Når man har gennemført en PIA, er resultatet en liste med punkter, som viser, hvor det er muligt at forbedre beskyttelsen af de registreredes data. Nogle af disse kan man vælge at implementere, mens andre vil være uhensigtsmæssige. De tiltag, som implementeres, ændrer designet af it-løsningen eller de processer, hvorefter data behandles. Når løsningen er udformet på denne måde, kaldes det for Privacy by Design (PbD). Det indikerer, at privatlivsbeskyttelse er tænkt med ind i løsningen helt fra start. Nogle af de elementer, man kan designe ind i en it-løsning, har særligt fokus på beskytte behandlingen af personoplysninger, og de kaldes derfor Privacy Enhancing Technologies (PET). PET findes i mange former. Et eksempel er rollebaseret adgangskontrol, hvor en medarbejder kun kan få adgang til de personoplysninger, som vedkommende har brug for, for at kunne udføre sit daglige arbejde. Mere vidtgående eksempler er at opdele data således, at identitetsdata adskilles fra de øvrige data, der efterfølgende ikke eller kun vanskeligt kan identificere den registrerede. Det kendes for eksempel fra analyse af trafikmønstre, hvor det ikke er muligt at identificere den enkelte trafikant. Dette kaldes pseudonymisering eller anonymisering. Ved at gennemgå denne tretrinsraket med PIA, PbD og PET kan virksomhederne forbedre beskyttelsen af de personoplysninger, de indsamler og håndterer. Alt i alt vil der være tale om en bedre beskyttelse, som, hvis gøres rigtigt, vil reducere risikoen for tab af data. Dette kan kommunikeres til de registrerede og indgå i virksomhedens samlede profilering, og det vil dermed være med til at øge tilliden til virksomhedens behandling af personoplysninger og også den generelle tillid til den teknologiske udvikling. Henning Mortensen er chefkonsulent i DI ITEK om og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

14 UDFASNING AF CPR-NUMMERET Af Ivan Damgaard og Anette Høyrup I slutningen af 2013 kom Rådet for Digital Sikkerhed med en anbefaling om at udfase cpr-nummeret i sin nuværende form, således at det fremover ikke indeholder informationer om borgernes alder og køn. Formålet er at tilpasse cpr-systemet i forhold til den digitale udvikling og derved mindske risikoen for identitetstyveri. Det fremgår også af anbefalingen, at man aldrig bør au ten tificere en persons identitet alene på baggrund af cpr-nummeret. Selv om en persons cpr-nummer ikke er blevet direkte kompromitteret, er der stadig en betydelig risiko for, at nummeret kan gættes, hvis angriberen kender offerets fødselsdato og køn. Rådets melding kommer på baggrund af en markant stigning af danskere, som udsættes for identitetstyverier og et stigende antal sager, hvor myndigheder og virksomheder uforvarende kommer til at offentliggøre eller får hacket borgernes personnumre. For eksempel lykkedes det i 2012 for hackere at skaffe sig adgang til alle personnumre i politiets kørekortregister. Rådet for Digital Sikkerhed foreslår ændringerne af cprsystemet indført i følgende trin over nogle år og at ændringerne ses som et første skridt i retning af et fremtidigt nyt dansk system for digital identifikation, som i højere grad sikrer borgerne en rimelig og tidssvarende privatlivsbeskyttelse: Trin 1: Tilbud om nyt personnummer til personer, der har været udsat for identitetstyveri, og hvor personnummeret er blevet kompromitteret på uoprettelig vis. Trin 2. Borgere, som ønsker det, skal for et rimeligt gebyr selv kunne anmode om at få et nyt personnummer, der ikke indeholder oplysning om alder og køn. Trin 4: På længere sigt skal cpr-systemet afløses af et nyt digitalt identifikationssystem (eid), hvor både it-sikkerhed og privatlivsbeskyttelse skal indbygges fra start. Rådet mener desuden, at en revision af cpr-systemet skal følges op med nye generelle retningslinjer for digitale identifikation og autentificering, og at disse retningslinjer skal være på plads, inden der igangsættes udbud af en afløser for den nuværende NemID-løsning. Anbefalingen blev fremlagt på Forbrugerrådet TÆNKs Miniseminar om identitetstyveri i januar 2014, og løsningsforslaget indgik i Forbrugerrådet katalog over forslag til løsningsmodeller på identitetstyveri, som er blevet præsenteret for Digitaliseringsstyrelsens interessentforum for identitetstyveri. Interessentforum for identitetstyveri har primært været et vidensudvekslingsmøde, hvor Rådets konkrete forslag om udfasning af cpr-nummeret ikke har været genstand for diskussion, men blot fremlæggelse. På Digitaliseringsstyrelsens 6. møde om identitetstyveri i december 2014 oplyste Digitaliseringsstyrelsen, at de er ved at forbedre informationen om it-sikkerhed herunder om identitetstyveri på websitet borger.dk, og også at Digitaliseringsstyrelsen ønsker at deltage i kampagnearbejde om it-sikkerhed sammen med Rådet for Digital Sikkerhed. Der er imidlertid ingen der for nuværende arbejder aktivt videre med at styrke cpr-systemet gennem udfasning af informationen om alder og køn i personnummeret, som foreslået af Rådet for Digital Sikkerhed. Trin 3: Øvrige borgere tildeles nye personnumre uden oplysninger om alder og køn i takt med, at der udstedes nye sygesikringsbeviser, kørekort og pas. Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. Anette Høyrup er jurist ved Forbrugerrådet Tænk og medlem af bestyrelsen for RfDS. 12 DIGITAL SIKKERHED I DANMARK / 2014

15 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK Af Jørn Guldberg og Birgitte Kofod Olsen Det er en vigtig del af den offentlige infrastruktur, at vi har en troværdig digital identitet. Det gør, at borgere og virksomheder kan være trygge ved anvendelsen af digitale løsninger i det offentlige. Samtidig sikrer det, at vi har en sikkerhedsmæssig robust løsning for digital kommunikation af fortrolig information. RfDS har ved flere lejligheder påpeget behovet for en op gradering af den eksisterende nationale eid-løsning (NemID), og Rådet afgav i juni 2014 på linje med en lang række øvrige aktører høringssvar til Digitaliseringsstyrelsen om, hvorledes afløseren for NemID bør udformes. Rådet mener, at den kommende løsning bør tage udgangspunkt i blandt andet følgende principper: Integritet: Borgerens digitale identitet bør tilhøre borgeren på samme måde som et pas til traditionel identifikation. Brugeren bør kunne autentificere sig over for tredjepart og etablere afledte identiteter, uden at dette registreres hos eid-udstederen. Fortrolighed: Der skal være fokus på, at borgere reelt kan sikre den fortrolige del af den digitale identitet, og infrastrukturen skal hindre identitetstyveri og misbrug. Privatlivsbeskyttelse: Identiteten i den nye eid bør generelt afløse brug af cpr-nummer i den offentlige sektor og private sektor. Målet skal være, at der i en given transaktion kun udveksles de faktisk nødvendige oplysninger (med cpr-nummeret udveksles altid køn, alder og sandsynlighedsindikator vedr. indvandringsstatus samt nøgle, der kan benyttes til samkøring med andre oplysninger). Åbenhed og kompatibilitet: Det må være et naturligt krav, at en borger kan få udstedt en digital identitet fra det offentlige på samme måde, som man kan få udstedt et pas. Denne identitet er naturligvis en unik identitet til at identificere borgeren ultimativt. Men den kan ikke stå alene, som det nuværende NemID gør. Der skal etableres alternative muligheder for afledte identiteter til anvendelse ved mindre kritiske behov, herunder identiteter som formidler en delmængde af attributter vedrørende en given borger. Dette vil åbne et marked for identitetsudstedelser baseret på borgerens enkelte attributter, og det vil desuden medvirke til at reducere risikoen for utilgængelighed ved nedbrud i et enkelt centralt system. I sit høringssvar pegede RfDS videre på blandt andet følgende mere specifikke forhold: IDENTIFIKATION PÅ FLERE NIVEAUER Kommunikationen mellem borger og det offentlige består af både stærkt fortrolige og mindre følsomme oplysninger. Den offentlige digitale identitet skal derfor både bestå af en identitet på almindeligt sikkerhedsniveau og en identitet, der har tilstrækkelig styrke til, at borger og virksomheder trygt kan kommunikere med det offentlige om selv de mest følsomme informationer. Den stærke identitet skal være forbeholdt den bindende og stærkt fortrolige kommunikation og til brugerens generering af nye afledte identiteter. Den offentlige digitale identitet bør sammen med andre digitale identiteter kunne benyttes valgfrit af brugeren i kontakten til virksomheder og handlende. SINGLE SIGN-ON Selv om der opereres med identifikation på flere forskellige niveauer og via forskellige udbydere, skal de forskellige løsninger kunne bindes sammen. Der skal derfor være mulighed for step-up autentifikation (med samme løsning) eller om nødvendigt henvisning til anden autentifikationsløsning. For eksempel vil bestilling af en lægetid ikke skulle kræve den højeste troværdighed af identiteten, men ved viderestilling til egen patientjournal skal brugeren autentificeres til det højere sikkerhedsniveau. FULDMAGTER Den nye løsning skal gøre det nemmere og mere gennemskueligt at benytte fuldmagter. Som borger skal man for eksempel kunne give fuldmagter på både læger, revisorer DIGITAL SIKKERHED I DANMARK /

16 og advokater med specifikke rettigheder, som svarer til, hvad disse fagpersoner har brug for at vide. En tilsvarende løsning skal kunne bruges borgere imellem i forhold til specifikke rettigheder, således at for eksempel it-svage personer ikke føler sig nødsaget til at give deres personlige nøgler til familiemedlemmer eller andre. BRUGERVENLIGHED OG TILGÆNGELIGHED Rådet peger på, at der skal sikres en god kombination af brugervenlighed, sikkerhed og tilgængelighed. Blandt andet følgende kan i den sammenhæng benyttes: Forskellige unikke tekniske identifikatorer til forskellige tjenester (i modsætning til nu, hvor der anvendes samme brugernavn eller cpr-nummer alle steder). Nøgler skal kunne håndteres på tværs af teknologiske platforme, styresystemer og hardwaretyper (PC, tablets, smartphones og andre gadgets). Den nye eid-løsning skal kunne bruges til kryptering af mails på en nem og ligetil måde, der kan være med til at fremme sikker mail-kommunikation. AFVIKLING AF CPR-NUMMER TIL IDENTIFIKATION OG ØGET BRUG AF PSEUDONYMISERING Brugen af cpr-nummer som gennemgående identifikation bør i en ny eid-løsning afvikles. En lang række sager har vist, at det er problematisk, at samme nøgle, der oven i købet indeholder personoplysninger (alder og køn og sandsynlighedsindikator vedrørende indvandring), bruges som nøgle på tværs af offentlige og private it-systemer. I stedet bør der bruges forskellige identitetsnøgler, og der skal også være muligheder for, at identiteten kun verificeres, men ikke meddeles andre parter, med mindre der faktisk er brug for det. Dette kan opnås ved øget brug af pseudonymisering. Brug af en tredje faktor til autentifikation, når der er tale om personfølsomme oplysninger, fx biometri. Kompatibilitet med andre tilgængelige ID-systemer, fx Facebook, hvor dette sikkerhedsniveau er tilstrækkeligt, og adgang til, at brugere kan benytte andre to-faktor ID-systemer, som benytter åbne standarder (fx Google og Microsoft). Jørn Guldberg er talsmand for it-sikkerhed i IDA Ingeniørforeningen i Danmark. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. 14 DIGITAL SIKKERHED I DANMARK / 2014

17 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED Af Rasmus Theede Vi har allerede set mange eksempler på, hvor galt det kan gå, hvis vores evne til at beskytte informationer ikke følger med tiden. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. ISO27001-standarden er et stærkt fundament, på hvilket det er muligt bygge en tidssvarende beskyttelse, hvis den vel at mærke implementeres og benyttes med omhu. Derfor er det en god nyhed, at statslige myndigheder i 2013 overgik til den internationale ISO-standard, som nu forefindes i en opdateret 2013-version. Det kan være vanskeligt at gennemskue, præcist hvad vi forsøger at beskytte os imod, og hvordan det skal gøres. Blandt truslerne er for eksempel servernedbrud, hackerangreb, outsourcing, industrispionage og denial of service (DoS) angreb. Der er så mange trusler, at det kan blive svært at overskue, og konsekvensen er ofte, at myndigheder og virksomheder enten undervurderer de reelle trusler eller helt giver op. ISO27001 udmærker sig ved, at den med en struktureret og pragmatisk tilgang tager udgangspunkt i den enkelte myndighed og virksomheds behov for at beskytte sine vigtige informationer. Standarden hjælper med at få overblik. Når ISO27001 er implementeret succesfuldt, vil man være klar over, hvor de største risici er, og hvor man kan sætte mest effektivt ind. Når man implementerer ISO27001, er der i forenklede træk nogle krav, der skal opfyldes: Vi skal tage stilling til, hvad vi overhovedet vil med sikkerhed (scope). Vi skal have ledelsens fulde støtte, have styr på, hvad det præcist er, vi gerne vil beskytte, og hvordan vi har tænkt os at gøre det. Alt dette baseret på en grundig risikovurdering. Derud over skal vi kunne dokumentere, at vi har implementeret de nødvendige kontroller, og så skal vi løbende måle på, at kontrollerne fungerer, som de skal. Alt dette kræver grundig forberedelse og udarbejdelse af regler og politikker, som kan forstås af både ledelsen, forretningen og medarbejderne. Alt efter virksomhedens/ myndighedens størrelse eller kompleksitet kan dette kræve fra et par hundrede til flere tusinde timers arbejde. Vælger vi at investere den nødvendige tid, og gøre hvad der skal til, har vi til gængæld et uhyre stærkt fundament og ikke mindst et stærkt værktøj, som gør det muligt for ledelsen at træffe de rigtige sikkerhedsmæssige beslutninger. Man hører ofte både virksomheder og myndigheder udtale, at vi læner os op ad ISO Udfordringen er her, at læner vi os for meget, så risikerer vi at vælte. Følges principperne i standarden ikke i sin helhed, vil der opstå huller. ISO27001 er udfærdiget til at danne fundamentet for sikkerhed i virksomheden, og med de it-trusler, vi står over for nu og i fremtiden, har vi ikke råd til dybe sprækker i fundamentet. ISO27001 kan være en stor bid at sluge. Rådet for Digital Sikkerhed vil sammen med en række samarbejdspartnere i 2015 arbejde på at udgive en række værktøjer, skabeloner og hjælpepolitikker, der kan hjælpe en organisation med at blive klar til ISO Dette sker under Rådets arbejdsgruppe for cybersikkerhed. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS DIGITAL SIKKERHED I DANMARK /

18 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN Af Ole Kjeldsen og Birgitte Kofod Olsen Stadig flere it-løsninger afvikles i hostede applikationer, der tilgås via det åbne internet det som i branchen betegnes som public cloud. Denne udvikling betyder, at vi har brug for nye redskaber til at håndtere it-sikkerhed og privatlivsbeskyttelse. Det er derfor en rigtig god nyhed, at vi i 2014 fik den nye ISO27018-standard, som gør det nemmere at overskue og strukturere it-sikkerhed og privatliv omkring personfølsomme data i skyen. Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Det seneste års meget omtalte danske sager om læk, hac king og uberettiget adgang til personoplysninger har givet anledning til bekymringer i forhold til brug af public cloud løsninger. Sagerne omkring Se og Hør/Nets og CSC har eksponeret offentligt, at også andre typer løsninger er sårbare. Ofte har bekymringerne være fokuseret omkring lokationen, hvor databehandlingen finder sted, men det er nu tydeligt, at det ofte også er dårlig håndtering af de to andre elementer af god sikkerhed, processer og personale, der giver problemer. Brugen af public cloud vinder frem, fordi der er produktivitetsgevinster at hente. Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Den nye ISO27018 kan hjælpe dem, som efterspørger ydelser, med at stille strukturerede krav til leverandører, og den giver en fælles målestok for sammenligning af produkter og ydelser. Desuden tager den nye standard højde for de krav, som stilles til databehandlere i EU s gældende databeskyttelsesdirektiv. Ved at bruge ISO27018 kan man som dataansvarlig sikre, at: Man til enhver tid ved, hvor data befinder sig, og hvem der behandler dem. Data ikke bruges til aktiviteter ud over det, som er tiltænkt (fx marketing, forskning etc.) Man kender til processerne om sletning, transport og evt. tilbagetrækning af data, og at disse er reguleret og underlagt streng revision. EU s databeskyttelseskrav bliver overholdt, således at borgere kan tilgå, redigere og i nogle tilfælde også slette personhenførbare data. Man til enhver tid vil blive notificeret i tilfælde af en sikkerhedshændelse, som involverer cloud-løsningen eller egne data. ISO er et vigtigt tillæg til den overordnede standard ISO27001, som i sig selv er et godt rammeværktøj. Tilsammen er de to standarder højaktuelle i forhold til de digitaliseringsprocesser, som både danske offentlige myndigheder og private virksomheder står overfor. Det er oplagt fremover at indføje ISO som krav i kontrakter, da det er en nem måde at skabe sikkerhed for, at cloud-leverandører kun behandler personfølsomme data i mindst mulig omfang, at de gør det på en sikker og pålidelig måde, og at de kun anvender data til det, man som dataansvarlig på forhånd har godkendt. Ole Kjeldsen er teknologidirektør i Microsoft Denmark og medlem af bestyrelsen for RfDS. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. 16 DIGITAL SIKKERHED I DANMARK / 2014

19 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATA- BESKYTTELSESMYNDIGHED Af Birgitte Kofod Olsen For at sikre grundlaget for sund digital vækst er det nødvendigt, at Danmark har en stærk og robust databeskyttelsesmyndighed. I takt med at de digitale teknologier udvikles, er der behov for at styrke beføjelser og kompetencer hos det nationale tilsyn. Danmark bør efter Rådet for Digital Sikkerheds op fattelse i fremtiden have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databeskyttelse. På nogle punkter lever den nuværende danske databeskyttelsesmyndighed, Datatilsynet, op til, hvad der kan betegnes som gældende bedste praksis inden for EU. På andre punkter er der muligheder for forbedringer, og på et afgørende punkt kravet om at databeskyttelsesmyndigheden skal være uafhængig lever Danmark ikke op til gældende bedste praksis og dermed heller ikke til artikel 8 i EU s charter om grundlæggende rettigheder. Det skyldes, at Datatilsynet er placeret under det danske justitsministerium. Danmarks fremtidige databeskyttelsesmyndighed bør ikke være begrænset til at udføre tilsyn, men også bidrage til at vurdere, hvilke teknologier, designs og metoder, som kan anbefales til at understøtte god informationssikkerhed. Databeskyttelsesmyndigheden bør således både have et juridisk fokus, et betydeligt teknisk fokus, og det bør være en myndighed, som kan agere selvstændigt og have en aktiv rolle i forhold til at sikre en sund digital vækst og udvikling i Danmark inden for både den offentlige og private sektor. Gældende bedste praksis for nationale databeskyttelsesmyndigheder findes allerede kortlagt inden for EU og kan tjene som inspiration for en opgradering af den danske indsats på området. Derudover vil Rådet pege på, at der kan indhentes værdifulde erfaringer og viden fra det norske Datatilsynet og fra Canadas Office of the Privacy Commissioner to myndighe der som internationalt set er blandt de førende på området. Rådet for Digital Sikkerhed mener, at Danmark snarest muligt bør have en opgraderet national databeskyttelsesmyndighed, og at den bør etableres efter gældende bedste praksis, således at den kan blive en af EU s bedst fungerende. Den skal være selvstændig og placeres under Folketinget, således at den uden tvivl lever op til EU s nationale charter for grundlæggende rettigheder. En sådan stærk og robust databeskyttelsesmyndighed skal være del af det samlede eksempel til efterfølgelse på, hvorledes en nation kan skabe gode rammebetingelser for sund digital vækst. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. DIGITAL SIKKERHED I DANMARK /

20 AKTIVITETER I TAL JULI 2013 DECEMBER 2014 Høringssvar 5 Høringer i Folketinget 4 Information og anbefalinger 4 Positioner 2 Dialogmøder 28 Oplæg på konferencer DIGITAL SIKKERHED I DANMARK / 2014

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

IT-sikkerhedspanelets anbefalinger vedrørende privacy

IT-sikkerhedspanelets anbefalinger vedrørende privacy Anbefalinger vedr. privacy IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy

Læs mere

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer

Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer 5. februar 2014 Trusselsvurdering: APT-angreb mod danske myndigheder, virksomheder og organisationer Formålet med denne trusselsvurdering er at informere om omfanget af særligt avancerede hackerangreb,

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER NOTAT OM INFORMATIONSSIKKERHED OG DIGITALISERING 2014 2008 2014 Notatet er udarbejdet for: Oktober 2014 INDLEDNING Digitaliseringen i

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt

Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Retsudvalget 2013-14 REU Alm.del Bilag 364 Offentligt Folketinget Udvalgssekretariatet Christiansborg 1240 København K Sendt til: Birgitte.Toft-Petersen@ft.dk 29. august 2014 Vedrørende høring over beretning

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED

REGIONERNES POLITISKE LINJE FOR INFORMATIONSSIKKERHED 11101010100010 10101001011011 10101001101010 10101010001010 10100101101110 10100110101010 10101000101010 10010110111010 10011010101010 10100010101010 01011011101010 01101010101001 10001010101001 REGIONERNES

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Forslag til folketingsbeslutning om styrket beskyttelse af personnummeret

Forslag til folketingsbeslutning om styrket beskyttelse af personnummeret 2012/1 BSF 100 (Gældende) Udskriftsdato: 30. juni 2016 Ministerium: Folketinget Journalnummer: Fremsat den 4. april 2013 af Peter Skaarup (DF), Pia Adelsteen (DF), Kim Christiansen (DF), Kristian Thulesen

Læs mere

spørgsmål vedrørende privatlivets fred

spørgsmål vedrørende privatlivets fred Problemidentificerende spørgsmål vedrørende privatlivets fred Appendiks 4 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Brug af problemidentificerende spørgsmål... 3

Læs mere

Assens Kommune Sikkerhedspolitik for it, data og information

Assens Kommune Sikkerhedspolitik for it, data og information Assens Kommune Sikkerhedspolitik for it, data og information Indholdsfortegnelse Indholdsfortegnelse... 2 1. Indledning... 3 2. Formål... 3 3. Holdninger og principper... 4 4. Omfang... 4 5. Sikkerhedsbevidsthed,

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

Tid og sted: Fredag den 28. juni

Tid og sted: Fredag den 28. juni Kommunaludvalget 2012-13 KOU Alm.del endeligt svar på spørgsmål 141 Offentligt Økonomi- og indenrigsminister Margrethe Vestagers talepapir Det talte ord gælder Anledning: Samråd Y Tid og sted: Fredag den

Læs mere

Sikker forretning i en digitaliseret tid!

Sikker forretning i en digitaliseret tid! Sikker forretning i en digitaliseret tid! St ar t Justin Det kan være svært at følge med udviklingen, der sker inden for sikkerhedsområdet, hvis man er en mindre virksomhed. Ikke mindst nu, hvor digitaliseringens

Læs mere

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.:

Databehandleraftale vedrørende brug af. WinPLC og relaterede services. Version 1.0 d. 1. november Parterne. Kundenr.: Databehandleraftale vedrørende brug af WinPLC og relaterede services Version 1.0 d. 1. november 2015 Parterne Kundenr.: Klinikkens navn og adresse (evt. stempel) (herefter den Dataansvarlige) og (herefter

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb

Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 1 Beretninger om behandling af fortrolige oplysninger og forebyggelse af hackerangreb 2 Introduktion til de 2 beretninger

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Persondataforordningen. Henrik Aslund Pedersen Partner

Persondataforordningen. Henrik Aslund Pedersen Partner www.pwc.dk Persondataforordningen Morgenmøde Henrik Aslund Pedersen Partner Revision. Skat. Rådgivning. Hvorfor en ny Persondataforordning? EU persondataforordning - Morgenmøde Hillerød 2 Hvorfor en ny

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Digital vækst med tillid som fundament

Digital vækst med tillid som fundament Information og anbefalinger nr. 4 Digital vækst med tillid som fundament 12. november 2014 Resumé Regeringen planlægger i efteråret 2014 at lancere en vækstplan med en række konkrete initiativer, som skal

Læs mere

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2 Status for ændringer Version Dato Navn Bemærkning 1.0 24-04-2007 Vedtaget i Regionsrådet 1.1 13-02-2012 IMT-Informationssikkerhed Tilpasning af terminologi 1.2 15-10-2012 IMT-Informationssikkerhed Rettelse

Læs mere

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt

Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Europaudvalget 2011 KOM (2011) 0163 Bilag 1 Offentligt Grundnotat til Folketingets Europaudvalg og Folketingets Udvalg for Videnskab og Teknologi Kommissionens meddelelse til Europa-Parlamentet, Rådet,

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang Oktober 2015 Denne

Læs mere

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata

Persondata og IT-sikkerhed. Vejledning i sikker anvendelse og opbevaring af persondata Persondata og IT-sikkerhed Vejledning i sikker anvendelse og opbevaring af persondata December 2015 Indledning Denne vejledning har til formål, at hjælpe ansatte på IT-Center Fyns partnerskoler med at

Læs mere

Informationssikkerhedspolitik. Frederiksberg Kommune

Informationssikkerhedspolitik. Frederiksberg Kommune Informationssikkerhedspolitik Frederiksberg Kommune Indledning Informationssikkerhedspolitikken er den overordnede ramme for beskyttelse af information i Frederiksberg Kommune. Kommunen behandler oplysninger

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

It-revision af Sundhedsdatanettet 2015 15. januar 2016

It-revision af Sundhedsdatanettet 2015 15. januar 2016 MedCom Forskerparken 10 5230 Odense M Landgreven 4 1301 København K Tlf. 33 92 84 00 rr@rigsrevisionen.dk www.rigsrevisionen.dk It-revision af Sundhedsdatanettet 2015 15. januar 2016 1. Rigsrevisionen

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

hos statslige myndigheder

hos statslige myndigheder IT-Universitetet i København Rued Langgaards Vej 7 2300 København S Sendt til: itu@itu.dk 25. juni 2015 Udtalelse til anmeldelsen Videnskabelige og statistiske undersøgelser hos statslige myndigheder Datatilsynet

Læs mere

Sådan beskytter du din computer mod angreb

Sådan beskytter du din computer mod angreb Sådan beskytter du din computer mod angreb It-kriminelle har fundet et hul i sikkerheden, så de lige nu kan stjæle din net-identitet. Her bliver du klogere på, hvordan du garderer dig. Af Kenan Seeberg

Læs mere

DI og DI ITEK's vejledning om bevissikring

DI og DI ITEK's vejledning om bevissikring DI og DI ITEK's vejledning om bevissikring Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN 978-87-7353-974-3 0.05.12 2 Indledning Denne vejledning er lavet med det formål at ruste danske virksomheder

Læs mere

Er I klar til den nye persondataforordning?

Er I klar til den nye persondataforordning? Er I klar til den nye persondataforordning? Nye regler om persondata på vej I december 2015 blev der opnået enighed om en ny persondataforordning. Forordningen indeholder en række nye og ændrede regler

Læs mere

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden Vejledningen og tilhørende bilag skal betragtes som inspiration og støtte til den overordnede vejledning Departementets

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Informationssikkerhed i det offentlige

Informationssikkerhed i det offentlige Informationssikkerhed i det offentlige KMD Analyse Briefing April 2015 HALVDELEN AF DE OFFENTLIGT ANSATTE KENDER TIL BRUD PÅ INFORMATIONSSIKKERHEDEN PÅ DERES ARBEJDSPLADS DANSKERNE USIKRE PÅ AT UDLEVERE

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ)

Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Regionshuset Viborg Regionssekretariatet Datatilsynets udtalelse vedrørende Region Midtjyllands fælles elektronisk patientjournal (MidtEPJ) Skottenborg 26 Postboks 21 DK-8800 Viborg Tel. +45 7841 0000

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

Social-, Børne- og Integrationsministeriet. Kommunikationsstrategi

Social-, Børne- og Integrationsministeriet. Kommunikationsstrategi Social-, Børne- og Integrationsministeriet Kommunikationsstrategi 2 KOMMUNIKATIONSSTRATEGI Social-, Børne- og Integrationsministeriet arbejder for at skabe reelle fremskridt for den enkelte borger. Det

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

CYBERFORSIKRING OFFENTLIG KONFERENCE

CYBERFORSIKRING OFFENTLIG KONFERENCE CYBERFORSIKRING OFFENTLIG KONFERENCE Den 23 September 2015 Introduktion Kan en forsikring afdække det økonomiske tab, hvis den risiko organisationen er eksponeret for bliver en realitet? Agenda: Eksponering

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

Privatliv på internettet - sikkerhed, privacy og digital tillid

Privatliv på internettet - sikkerhed, privacy og digital tillid Kulturudvalget 2013-14 (Omtryk - 20-03-2014 - Manglende power point-præsentation) KUU Alm.del Bilag 103 Offentligt Privatliv på internettet Henning Mortensen 12. mar 14 Privatliv på internettet - sikkerhed,

Læs mere

ANALYSE Informationssikkerhed blandt DI s medlemmer

ANALYSE Informationssikkerhed blandt DI s medlemmer ANALYSE Informationssikkerhed blandt DI s medlemmer DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele, elektronik

Læs mere

Privatlivspolitik for Hellers Massage

Privatlivspolitik for Hellers Massage Privatlivspolitik for Hellers Massage Overblik Jeg respekterer dit privatliv og gør mig umage for at beskytte dine data. Jeg indsamler derfor ikke data om dig uden dit samtykke og vil aldrig misbruge dine

Læs mere

Rollen som DPO. September 2016

Rollen som DPO. September 2016 Rollen som September 2016 2 Udpegning af Hvilke organisationer (både dataansvarlige og databehandlere) skal have en (artikel 37)? Offentlige myndigheder (undtagen domstole) Private virksomheder, hvis kerneaktivitet

Læs mere

Lidt om mig selv. Konsulentstillinger hos hhv. KMD og WM-data. Uddannelse: Data Protection Officer, IT & digitaliseringsledelse, Cand. Merc.

Lidt om mig selv. Konsulentstillinger hos hhv. KMD og WM-data. Uddannelse: Data Protection Officer, IT & digitaliseringsledelse, Cand. Merc. Lidt om mig selv 2015 nu Konsulent/DPO med fokus på informationssikkerhed og persondatasikkerhed 2007 2015 IT-chef og sikkerhedsansvarlig i Haderslev Kommune 2003 2007 Chef for fælles Udviklings og Driftscenter

Læs mere

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Bilag til brev til Europaudvalget af 19. november 2008 19. november 2008 Martin Salamon Dok. 66500/ps Telekom-pakken Rådet har indledt

Læs mere

MYTER OG TESER OM evalg

MYTER OG TESER OM evalg Kommunaludvalget 2012-13 KOU Alm.del Bilag 70 Offentligt MYTER OG TESER OM evalg Christian Wernberg-Tougaard, Medlem af bestyrelsen, Rådet for Digital Sikkerhed Formand, IT-Branchens IT-sikkerhedsudvalg

Læs mere

Datatilsynets inspektionsrapport

Datatilsynets inspektionsrapport Side 1 af 28 Datatilsynets inspektionsrapport Version 1.0 af Datatilsynets inspektionsskema i SurveyXact Dette skema anvendes på Datatilsynets inspektioner hos myndigheder. Tilsynet udfylder skemaet med

Læs mere

Mini-guide: Sådan sikrer du din computer mod virus

Mini-guide: Sådan sikrer du din computer mod virus Mini-guide: Sådan sikrer du din computer mod virus Efter Java-hullet: Væn dig til det din computer bliver aldrig 100 % sikker. Men derfor kan vi jo godt prøve at beskytte den så vidt mulig alligevel. Vi

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014 Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580

Læs mere

It-sikkerhedstekst ST8

It-sikkerhedstekst ST8 It-sikkerhedstekst ST8 Logning til brug ved efterforskning af autoriserede brugeres anvendelser af data Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST8 Version 1 Maj 2015 Logning

Læs mere

Sikker på nettet. Tryg selvbetjening. Din kontakt med det offentlige starter på nettet

Sikker på nettet. Tryg selvbetjening. Din kontakt med det offentlige starter på nettet Sikker på nettet Tryg selvbetjening Din kontakt med det offentlige starter på nettet Det offentlige bliver mere digitalt Oplysninger om folkepension og andre offentlige ydelser, ændringer af selvangivelsen,

Læs mere

INFORMATIONSSIKKERHED I

INFORMATIONSSIKKERHED I INFORMATIONSSIKKERHED I DET OFFENTLIGE TRUSLER, SIKKERHEDSHÆNDELSER & FORSVAR ANALYSE: OFFENTLIGT ANSATTE SLÅR FORTROLIGE OPLYSNINGER OP AF NYSGERRIGHED KMD Analyse Briefing Juni 2016 OFFENTLIGT ANSATTE

Læs mere

Informationssikkerhed regler og råd

Informationssikkerhed regler og råd Informationssikkerhed regler og råd TAP-området Kære kollegaer Formålet med denne folder er at oplyse dig om RMCs regler og råd inden for informationssikkerhed. Folderen skal være med til at sikre, at

Læs mere

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala

Screeningsspørgsmål til udarbejdelse af PIA i fuld skala Screeningsspørgsmål til udarbejdelse af PIA i fuld skala Appendiks 1 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Screeningsspørgsmål til PIA i fuld skala... 3 Teknologi...

Læs mere

Tilladelsen gives på følgende vilkår:

Tilladelsen gives på følgende vilkår: Amgros I/S Dampfærgevej 22 2100 København Ø Sendt til: amgros@amgros.dk og cch@amgros.dk 6. april 2016 Vedrørende anmeldelse af behandlingen "Behandling af ESPD dokumentation" Datatilsynet Borgergade 28,

Læs mere

FULD DIGITAL KOMMUNIKATION I 2015

FULD DIGITAL KOMMUNIKATION I 2015 FULD DIGITAL KOMMUNIKATION I 2015 Regeringen, kommunerne og regionerne arbejder sammen om at skabe et digitalt Danmark, som frigør resurser til bedre kernevelfærd samtidig med at servicen moderniseres

Læs mere

DANSK IT S ANBEFALINGER TIL STYRKELSE AF DANSKERNES DIGITALE KOMPETENCER. Udarbejdet af DANSK IT s udvalg for Digitale kompetencer

DANSK IT S ANBEFALINGER TIL STYRKELSE AF DANSKERNES DIGITALE KOMPETENCER. Udarbejdet af DANSK IT s udvalg for Digitale kompetencer DANSK IT S ANBEFALINGER TIL STYRKELSE AF DANSKERNES DIGITALE KOMPETENCER Udarbejdet af DANSK IT s udvalg for Digitale kompetencer Udarbejdet af DANSK IT s udvalg for Digitale kompetencer Udvalget består

Læs mere

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN

CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN CLOUD COMPUTING VEJLEDNING I STORT OG SMÅT NÅR DU OVERVEJER AT GÅ I SKYEN WWW.JCD.DK HVAD ER CLOUD COMPUTING? Cloud er en fælles betegnelse for en række netbaserede løsninger løsninger du tidligere har

Læs mere

STRATEGIPLAN

STRATEGIPLAN STRATEGIPLAN 2014 2018 DI ITEKs strategiplan 2014 2018 3 Ny retning for DI ITEK Vision og mission DI ITEK er et branchefællesskab, der repræsenterer virksomheder inden for it, tele, elektronik og kommunikation.

Læs mere

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi

Tjekliste til arbejde med persondata. Branchefælleskab for Intelligent Energi Tjekliste til arbejde med persondata Branchefælleskab for Intelligent Energi Dataanvendelse i energisektoren Smart Grid, Smart Energi, Smart City og Smart Home er bare nogle af de begreber, som relaterer

Læs mere

Struktur på privatlivsimplikationsrapporten

Struktur på privatlivsimplikationsrapporten Struktur på privatlivsimplikationsrapporten Appendiks 6 Håndbog i: Privatlivsimplikationsanalyse IT og Telestyrelsen INDHOLDSFORTEGNELSE Struktur på rapport over privatlivsimplikationsanalysen... 3 Introduktion...

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Retsudvalget REU Alm.del endeligt svar på spørgsmål 1240 Offentligt

Retsudvalget REU Alm.del endeligt svar på spørgsmål 1240 Offentligt Retsudvalget 2013-14 REU Alm.del endeligt svar på spørgsmål 1240 Offentligt Folketinget Retsudvalget Christiansborg 1240 København K Lovafdelingen Dato: 22. oktober 2014 Kontor: Forvaltningsretskontoret

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER 1 KEND DE REGLER, DER GÆLDER PÅ NETTET 2 KOG SALGS- OG LEVERINGSBETINGELSER NED 3 FÅ EN SYNLIG COOKIEPOLITIK

Læs mere

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS.

Om denne hjemmeside. Om denne hjemmeside og persondatapolitik. Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS. Om denne hjemmeside Om denne hjemmeside og persondatapolitik Denne hjemmeside www.rygestop-udfordringen.dk er ejet af: Pfizer ApS Lautrupvang 8 2750 Ballerup Danmark CVR. nr.: 66 35 19 12 Telefonnummer:

Læs mere

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation)

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation) Erhvervs- og Vækstministeriet Slotsholmsgade 10-12 1216 København K Sendt til: om2@evm.dk Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg.

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. R E T S P O L I T I S K F O R E N I N G Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. Indledende bemærkninger og problemstilling. Retspolitisk

Læs mere

ATP s digitaliseringsstrategi 2014-2018

ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi samler hele ATP Koncernen om en række initiativer og pejlemærker for digitalisering i ATP. Den støtter op om ATP Koncernens målsætning

Læs mere

Instrukser for brug af it

Instrukser for brug af it it IT-Afdelingen sikkerhed Instrukser i brug af IT Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Indhold Forord.............................. 3...................... 3 Resumé

Læs mere

Borgernes informationssikkerhed 2014

Borgernes informationssikkerhed 2014 Borgernes informationssikkerhed 2014 Januar 2015 1. Indledning Formålet med denne rapport er at afdække to sider af danskernes forhold til informationssikkerhed. Den ene side handler om, hvilke sikkerhedshændelser

Læs mere

hackere guide Sådan beskytter du dig mod sider Så galt kan det gå Kendt dj: Ikke megen hjælp at hente

hackere guide Sådan beskytter du dig mod sider Så galt kan det gå Kendt dj: Ikke megen hjælp at hente Foto: Iris guide Juni 2013 - Se flere guider på bt.dk/plus og b.dk/plus 8 sider Sådan beskytter du dig mod hackere Så galt kan det gå Kendt dj: Ikke megen hjælp at hente CPR-tyveri INDHOLD I DETTE HÆFTE:

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

Politik for It-brugeradfærd For Aalborg Kommune

Politik for It-brugeradfærd For Aalborg Kommune Click here to enter text. Politi k for It- bruger adfærd 2011 «ed ocaddressci vilcode» Politik for It-brugeradfærd For Aalborg Kommune Kolofon: It-sikkerhedsgruppen / IT- og Personalekontoret Godkendt

Læs mere

Vejledning til brug af dybe link i Digital Post

Vejledning til brug af dybe link i Digital Post Vejledning til brug af dybe link i Digital Post Denne vejledning beskriver hvordan man kan linke til forskellige dele af Digital Post fra eksterne hjemmesider Version: 2 Udarbejdet: juli 2015 Udarbejdet

Læs mere

Offentlig Digitalisering Per Andersen, direktør, DANSK IT

Offentlig Digitalisering Per Andersen, direktør, DANSK IT Offentlig Digitalisering Per Andersen, direktør, DANSK IT Agenda DANSK IT Danmark 3.0 IT i Praksis Offentlig digitaliseringsstrategi Hvad arbejder DIT for? Forening for IT professionelle med 7.400 medlemmer

Læs mere

Erhvervs-, Vækst- og Eksportudvalget 2011-12 ERU alm. del Bilag 182 Offentligt

Erhvervs-, Vækst- og Eksportudvalget 2011-12 ERU alm. del Bilag 182 Offentligt Erhvervs-, Vækst- og Eksportudvalget 2011-12 ERU alm. del Bilag 182 Offentligt Europaudvalget og Erhvervs- og Vækst-, og Eksportudvalget ERU. Udvalgssekretæren EU-note Til: Dato: Udvalgets medlemmer 22.

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse

Automatisk og obligatorisk tilslutning. Hvis du blev tilmeldt Digital Post inden 1. november 2014. Mulighed for fritagelse Automatisk og obligatorisk tilslutning 1. november 2014 blev det lovpligtig at være tilsluttet Digital Post fra det offentlige. Denne dato skete der derfor en automatisk og obligatorisk tilslutning for

Læs mere

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

TEENAGERE. deres private og offentlige liv på sociale medier Online-survey februar 2013

TEENAGERE. deres private og offentlige liv på sociale medier Online-survey februar 2013 TEENAGERE deres private og offentlige liv på sociale medier Online-survey februar 2013 De sociale medier medfører store forandringer i vores sociale liv - og dermed også vores fællesskab, kultur og omgangsformer.

Læs mere