Digital sikkerhed i Danmark Årsrapport fra Rådet for Digital Sikkerhed

Størrelse: px
Starte visningen fra side:

Download "Digital sikkerhed i Danmark 2014. Årsrapport fra Rådet for Digital Sikkerhed"

Transkript

1 Digital sikkerhed i Danmark 2014 Årsrapport fra Rådet for Digital Sikkerhed

2

3 INDHOLD 2 FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST 4 RÅDETS ARBEJDE 7 TRUSSELSBILLEDET I SIKKERHEDSUDSIGTEN FOR BEHOV FOR NYE KRYPTERINGSSTANDARDER 10 INTERN SIKKERHED I VIRKSOMHEDER 11 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA 12 UDFASNING AF CPR-NUMMERET 13 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK 15 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED 16 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN 17 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATABESKYTTELSESMYNDIGHED 18 AKTIVITETER I TAL 19 RESUMEÉR FRA RÅDETS UDMELDINGER 22 ÅRSREGNSKAB 2012/13 23 MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHED

4 FORORD TILLID SOM FUNDAMENT FOR DIGITAL VÆKST Rådet for Digital Sikkerhed (RfDS) har i 2014 vedvarende italesat, at den hastigt fremskridende digitalisering kræver et tilsvarende øget fokus på informationssikkerhed, herunder privatlivsbeskyttelse. Rådet har løbende bidraget med kommentarer, analyser, vurderinger og rådgivning, og det har hen over året uden tvivl styrket sin rolle som en troværdig og seriøs aktør. Udgangspunktet for Rådets aktiviteter er en bred kreds af eksperter og praktikere. Rådets medlemmer omfatter såvel store som mellemstore og små virksomheder, universiteter og forskningsinstitutioner, branche- og interesseorganisationer samt repræsentanter fra kommuner, regioner og ministerier. Vi trækker på deres viden og indsigt i alle vores indsatser og arbejder i en konsensus-orienteret struk tur med bestyrelsens 19 medlemmer og et aktivt for mandskab som omdrejningspunkt. Vi står derfor på et solidt videns- erfaringsfundament, når vi indgår i dialog og samarbejde med andre aktører om tryg digitalisering i Danmark. Vores status som medlemsbaseret forening, der er uafhængig af politiske og kommercielle interesser, giver os en unik platform for at udvikle Rådets vurderinger og aktiviteter. Vi agerer gerne vagthund, når internationale standarder for informationssikkerhed og privatlivsbeskyttelse efter Rådets vurdering ikke iagttages eller gennemføres effektivt. Vi bidrager ligeså gerne med konstruktive bud på, hvordan danske virksomheder, myndigheder og forskere kan styrke den digitale vækst på en sikker måde. Vi fokuserer på at få alle relevante aktører til at aktivere og udnytte deres kompetencer inden for informationssikkerhed og privatlivsbeskyttelse for på den måde at være med til at udvikle nye metoder, redskaber og processer, der kan sikre borgernes tillid til den digitaliserede dagligdag. Rådets indsats fra juli 2013 til december 2014 har favnet mange emner. Fra kritik af den fortsatte misforståede brug af cpr-nummeret som identitetsbevis hos både offentlige og private aktører til anbefaling af nye krav til fremtidens danske eid-løsning. Fra behovet for systematisk implemen tering af ISO27000-serien af standarder i den offentlige og private sektor herunder som specifikt krav ved outsourcing til et bredere og mere principielt krav om integrering af privacy by design og privacy impact assessment i alle nye it-løsninger. Rådet har i samarbejde med Digitaliseringsstyrelsen og Undervisningsministeriet igangsat flere specifikke målrettede projekter til forbedring af sikkerheden i Danmark: I forlængelse af regeringens nye informations- og cyber sikkerhedsstrategi har Rådet taget initiativ til et åbent samarbejde om udvikling af undervisningsmateriale til folkeskolerne, hvilket vil kunne hjælpe elever, forældre og lærere til at opnå bedre forståelse for informationssikkerhed. Materialet udvikles, så det passer ind i folkeskolens læseplaner, og indsatsen sker i samarbejde med Undervisningsministeriet, Medierådet for Børn og Unge, Forbrugerrådet, Digitaliseringsstyrelsen og IT-Branchen. Aktualiseret af CSC-sagen og Se og Hør-sagen er der kommet øget fokus på danske virksomheders og myndigheders formåen i forhold til at beskytte danske borgers data. Rådet er i denne sammenhæng i dialog og arbejder sammen med blandt andre IT-Branchen, Digitaliseringsstyrelsen og Erhvervsstyrelsen på at øge informationssikkerheden. Målet er at udvikle red ska ber til virksomheder, så de kan etablere et sikkerhedsniveau, der passer til deres behov og den kontekst, de arbejder i, samtidig med at der tages hensyn til økonomi og sikres brugervenlighed. For dansk erhvervsliv er øget informationssikkerhed specielt relevant i forhold til virksomheders anvendelse og opbevaring af personfølsomme oplysninger og sikker opbevaring af immaterielle produkter som fx ophavsrettigheder. Mangel på informationssikkerhed kan føre til tab og kan skade danske virksomheders konkurrenceevne. Der arbejdes i dette regi også på at finde muligheder for tryg indberetning af sikkerhedshændelser i virksomhederne, så viden om omfang og typer af sådanne hændelser fremadrettet kan indgå i forebyggende sikkerhedsindsatser I den forløbne periode er masseovervågning kommet højt på dagsordenen, blandt andet på grund af Edward 2 DIGITAL SIKKERHED I DANMARK / 2014

5 Snowdens afsløringer. Den danske tele- og sessionslogning, lovgrundlaget for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste samt politiets ønske om at registrere nummerplader på alle bilister gav Rådet anledning til at understrege vigtigheden af at opretholde demokratiske principper og værdier om borgernes grund rettigheder, transparens, tilsyn og kontrol. Det sker i en tid, hvor Danmarks sikkerhed og virksomhedernes forretnings hemmeligheder udfordres af terrorister, kriminelle og andre fjendtlige aktører. Netop på grund af trusselsbilledet har vi også spillet aktivt ind i dialoger om, hvordan der opbygges mere viden og uddannelse i cybersikkerhed på universite terne, skoler, i statslige institutioner og i virksomheder. Disse emner vil fortsat være indsatsområder for Rådet. Vi forventer, at der fremover vil komme øget fokus på adgang til og brug af sundhedhedoplysninger, herunder beskyttelse af borgernes følsomme oplysninger. Adgang til sundhedsoplysninger spiller en afgørende rolle for tilrettelæggelse af behandlingsforløb for patienter og også for forskningen og udvikling af folkesundheden. Derudover rummer danske data på sundhedsområdet et stort potentiale i forhold til udvikling og kommercialisering i medici nalindustrien. Vi vil gerne bidrage til at finde nye veje til i højere grad både at udforske og udnytte sundhedsdata. Det vil være til gavn for såvel patienter som forskningen og industrien. Vi vil blandt andet fokusere på og sikre bedre oplysning om mulighederne for benytte privacy enhancing technologies til anonymisering og pseudonymisering af sundhedsdata. Formand Birgitte Kofod Olsen Næstformand Rasmus Theede DIGITAL SIKKERHED I DANMARK /

6 RÅDETS ARBEJDE Dette er den anden årsrapport fra Rådet fra Digital Sikkerhed (RfDS). Den omfatter perioden fra juli 2013 til december Rådet opretholder en hjemmeside, digitalsikkerhed.dk, hvor Rådets aktiviteter kan følges. Uforkortede versioner af dokumenter m.v., som omtales her i årsrapporten, kan findes på hjemmesiden. Rådet er stadig i en etableringsfase baseret på strategi for , som er vedtaget af bestyrelsen. Den lyder således: FORMÅL Rådet for Digital Sikkerhed har som formål at fremme tryg it-anvendelse i fremtidens digitale samfund. Det gør vi ved at: Fremme forståelsen for informationssikkerhed og persondatabeskyttelse. Deltage i den offentlige debat om digitalisering og it-anvendelse. Indgå i dialog med offentlige og private aktører om tillid, risici og muligheder i et digitaliseret samfund. Vurdere innovativ udnyttelse af teknologiens muligheder. Fremlægge anbefalinger. VÆRDIGRUNDLAG Rådet for Digital Sikkerhed baserer sine aktiviteter på følgende værdier og principper: UAFHÆNGIGHED Rådet for Digital Sikkerhed er en uafhængig medlemsorganisation. Vi opfylder vores formål uden instruktion fra offentlige eller private aktører, og Rådet er ikke bundet af kommercielle interesser. ROBUSTHED Rådet for Digital Sikkerhed besidder og inddrager højt specialiseret viden og erfaringer om informationssikkerhed og privatlivsbeskyttelse. Vi bringer denne viden i spil for at skabe en kvalificeret debat og en sund digital kultur. ÅBENHED Rådet for Digital Sikkerhed deltager aktivt i dialog og samarbejde med alle relevante interessenter. Vi sikrer åbenhed i forhold til vores analyser og resultater ved at stille dem til rådighed for vores medlemmer og offentligheden. MÅL Vi søger at opfylde vores formål ved i perioden at: Sætte borgernes behov for redskaber og anbefalinger til tryg it-anvendelse i fokus. Vi bidrager især til øget viden og forståelse for informationssikkerhed og privatlivsbeskyttelse hos unge, ældre og it-svage borgere. Bidrage med råd og anbefalinger, der er relevante for offentlig og privat sektor, i forhold til at minimere og håndtere deres risiko for angreb og tab af sikkerhed, fortrolighed, integritet autentifikation og tilgængelighed. Opfordre til at sikre effektiv informationssikkerhed og stille risikoanalyser til rådighed, der synliggør konsekvenserne af digitalisering og it-anvendelse for borgernes tillid, frihed og sikkerhed. 4 DIGITAL SIKKERHED I DANMARK / 2014

7 AKTIVITETER I rapporteringsperioden har Rådet afviklet et betydeligt antal aktiviteter, som har understøttet de fastsatte mål. Der har været et jævnt stigende antal medieomtaler og medvirken i radio- og tv-udsendelser, i alt cirka 900 medieeksponeringer i 2014, når spredning via nyhedsbureauer medregnes. Medieomtalen har baggrund i pressemeddelelser og opfølgning på andre aktiviteter og i stigende omfang også opsøgende henvendelse fra medier, som ønsker RfDS vurdering og synspunkter på aktuelle emner. I 2014 er RfDS begyndt at offentliggøre skriftlige ud meldinger om aktuelle emner i to formater. Mere tilbundsgående udredninger med anbefalinger benævnes Information og Anbefalinger, mens Rådets politik og holdning til bestemte emne benævnes Positioner. Der er i perioden udsendt fire anbefalinger og to positioner. Rådet har afgivet en række høringsvar. Nogle af disse er afgivet uopfordret, men efterhånden er Rådet ved at være blevet medtaget på alle relevante høringslister. Rådet har været medarrangør på en række morgenmøder og gå-hjem-møder med emner som masseovervågning, cookie-regler, cloud og sikkerhed, cyberwar og Hvad laver forskerne? Rådets formand og næstformand har efter indbydelse i perioden bidraget med indlæg på i alt 27 konferencer, herunder Databeskyttelsesdagen i Landstingssalen, Dansk ITs digitaliseringskonference, Dansk ITs sundheds-it udvalg, DTU alumni-møde om big mother og kryptologi, Forbruger rådet TÆNKs miniseminar om identitetstyveri, konference på Københavns Universitet om digitalisering og borgerbeskyttelse, IDAs Driving IT konference, Dansk Internet Forum s Internetdagen og FSB konference om Samfundets kritiske infrastruktur. Rådets formand har indledt en dialog med repræsentanter for Folketingets partier om, hvorledes informationssikkerhed og privatlivsbeskyttelse generelt kan forbedres. Formandsskabet har løbende modtaget og besvaret henvendelser fra politikere, folketingsudvalg og embedsfolk, som har ønsket at høre Rådets vurderinger i aktuelle spørgsmål. Formandskabet har derudover deltaget i møder i Forsvarsministeriet, Center for Cybersikkerhed og Erhvervsministeriet samt været i tæt dialog med blandt andre Digitaliseringsstyrelsen, Erhvervsstyrelsen og Undervisningsministeriet om konkrete initiativer for fremadrettet samarbejde. Endvidere har Rådet været vært for og deltaget i en række dialogmøder, herunder om medicoudstyr, privacy impact assessment (PIA), cyberwar, sikkerhedsuddannelse på AAU og EU/FRA-ekspertmøde om informationssamfundet. Rådet har lagt 10 tips til din digitale sikkerhed og gode råd om, hvordan man kan undgå phishing på sin hjemmeside. Informationer af denne art vil blive udbygget i takt med behov og Rådets muligheder. RÅDETS UDMELDINGER Periodens i alt fire anbefalinger fra Rådet har omhandlet masseovervågning, unødig registrering af vælgeres politiske overbevisning, Heartbleed-sikkerhedsbristen og Digital vækst med tillid som fundament, der var et indspil til regeringens plan for digital vækst. Periodens to positioner har omhandlet Rådets vurdering af de informationssikkerhedsmæssige konsekvenser af politiets planlagte brug af automatisk nummerpladegenkendelse og finanssektorens udvidede adgang til borgeroplysninger i SKAT. Rådet har i forbindelse med disse udmeldinger og i andre sammenhænge udsendt et antal pressemeddelelser og har også skrevet debatindlæg i dagspressen. I forbindelse med anbefaling nr. 2 om digitalt system til vælgererklæringer havde Rådet med ekspertbistand fra Alexandra Instituttet foretræde for Folketingets Kommunaludvalg. Dette blev fulgt op med en henvendelse til daværende indenrigsminister Magrethe Vestager. I forlængelse af Retsudvalget og Kulturudvalgets vedtagelse af en fælles beretning i juni 2014 og nedsættelse af en parlamentarisk arbejdsgruppe om datasikkerhed har Rådet deltaget i møder og høringer i arbejdsgruppen med bidrag om informationssikkerhed og persondatabeskyttelse. Rådets præsentationer er tilgængeligt på Folketingets hjemmeside og på digitalsikkerhed.dk HØRINGSSVAR OG HENVENDELSER TIL MYNDIGHEDER Rådet har i perioden fremsendt følgende høringssvar til ministerier og henvendelser til Folketing og regering: 13. september. 2013: Udkast til Bekendtgørelse om medicin- og vaccinationsoplysninger. Der peges på behov for at gennemføre en privacy impact assessment (PIA). Videre fremhæves en række forhold, som peger på behov for større hensyntagen til privatlivsbeskyttelse, herunder tildeling af adgangsrettigheder. DIGITAL SIKKERHED I DANMARK /

8 10. oktober 2013: Ændring af lov om Det Centrale Personregister (tildeling af nyt personnummer i særlige tilfælde samt ophævelse af markeringer i CPR om forskerbeskyttelse). Rådet anbefaler, at muligheden for at tilvælge forskerbeskyttelse opretholdes. Mere generelt anbefaler RfDS, at det fremlagte lovforslag kombineres med en grundlæggende reform af cpr-systemet, der gør digitale ID-løsninger (eid) til omdrejningspunkt for sikker identifikation, og dermed afløser cpr-nummeret i sin nuværende form. Denne generelle anbefaling uddybes i en pressemeddelelse (8. oktober 2013), hvor det foreslås, at cpr-nummeret ændres, så det ikke indeholder personinformation om alder og køn, og at der følges op med nye generelle retningslinjer for digital identifikation og autentificering. Rådet noterer, at der i anbefalinger fra Vækstteam for IKT og digital vækst (januar 2014) er henvist til Rådets fremhævning af behovet for at se på sikkerheden ved cpr-nummeret. 4. marts 2014: I høringssvar vedrørende Lovforslag om Center for Cybersikkerhed peger Rådet på 11 konkrete problemer i lovforslaget. Et af punkterne vedrører placeringen af CFCE under Forsvarets Efterretningstjeneste og lovforslagets meget brede og udefinerede adgang til indsamling af data. RfDS finder ikke, at der med lovforslaget sikres tilstrækkelig beskyttelse af borger nes og virksomhedernes data og opfordrer derfor til, at CFCS i det hele adskilles fra Forsvarets Efterretningstjenestes funktionsområde og henlægges til en forvaltningsmyndighed, der er omfattet af persondataloven. Rådets formand har efterfølgende deltaget i møde i Forsvarsministeriet om høringssvaret. Endvi dere har formanden i mange forskellige sammenhænge deltaget i den debat, der har været om lovforslaget. 8. maj 2014: Rådet deltager i Folketingets Retsudvalgs høring om CFCS-loven. 14. maj 2014: Rådet sender sammen med IDA og Forbrugerrådet TÆNK et brev til Folketingets Europa-, Rets- og Kulturudvalg med opfordring til at støtte EU persondataforordningen. 23. maj 2014: Rådet sender sammen med 17 andre organisationer et brev til Folketingets retsudvalg med en opfordring til, at Folketinget tager initiativ til at beskytte danske borgere mod unødvendig og ubegrundet overvågning og registrering. Henvendelsen vedrører de danske logningsregler og den nylige dom fra EU-domstolen, som underkender EUs logningsdirektiv. De danske regler går på flere punkter videre, end det nu underkendte EU-direktiv. 27. juni 2014: I sit høringssvar om den næste generation af NemID, peger Rådet på seks forskellige områder, hvor en ny løsning bør opgraderes og forbedres ift. den nuværende. 26. august 2014: Rådet deltager i høring i Folketingets Retsudvalgs arbejdsgruppe med oplæg om Digital tryghed og it-sikkerhed. 22. oktober 2014: Rådet deltager i høring om myndigheders behandling af persondata i Folketingets Retsudvalgs arbejdsgruppe med oplæg om sikkerheden i outsourcet it-drift. 6 DIGITAL SIKKERHED I DANMARK / 2014

9 TRUSSELSBILLEDET I 2014 Af Shehzad Ahmad Det seneste års tid har én tendens præget diskussionen af informationssikkerhed i Danmark: Truslen mod borgernes data. Det begyndte, da Edward Snowden afslørede myndighedernes omfattende overvågning af borgernes kommunikation både i USA og internationalt. Emnet fik en dansk vinkel, da en tidligere Se og Hør-journalist afslørede, at ugebladet via en centralt placeret kilde havde udnyttet fortrolige data om kendte personers kreditkortransaktioner hentet fra it-systemerne hos Nets. Hvor Snowdens oplysninger handler om eksterne parter, der tilgår data i andres systemer, er Se og Hør-sagen et eksempel på insider-misbrug: En medarbejder misbruger den tillid, arbejdspladsen viser ham, til at udnytte fortrolige oplysninger. Dette er naturligvis under forudsætning af, at anklagerne mod den tidligere Nets- og IBMmedarbejder holder stik. Både eksterne og interne trusler mod informationssikkerheden kræver, at virksomheder, myndigheder og organisationer træffer forholdsregler, der minimerer risikoen. Kryptering er en mulighed, der især virker mod eksterne trusler: Selv om angriberne kan aflytte kommunikation, kan de ikke se indholdet af den, hvis den er krypteret. Mod interne trusler er kryptering mindre effektiv. Det kan beskytte mod misbrug fra medarbejdergrupper uden teknisk viden. Men en it-medarbejder vil ofte kunne omgå hindringer som kryptering. Her er det mere effektivt at indføre procedurer, der mindsker risikoen for misbrug for eksempel ved løbende sikkerhedstjek af nøglepersoner og krav om, at der skal to personer til at aktivere kritiske funktioner. UAFVIDENDE HJÆLPERE En særlig vinkel på insidertruslen er, at medarbejdere ofte uafvidende er med til at hjælpe eksterne angribere. I mange tilfælde, hvor angribere udefra har fået fat i fortrolige data, har de fået hjælp fra en medarbejder. Det kan ske via phishing eller malware. Phishing-truslen har været voksende. Den går ud på, at angriberne sender en mail til offeret med link til en webside. På websiden opfordres offeret til at indtaste fortrolige oplysninger. Svindleren kan fx skrive, at det er nødvendigt at genaktivere en konto efter et hackerangreb. Medarbejderen indtaster brugernavn og password, som derefter lander hos bagmændene. De senere år er phishing blevet mere målrettet via såkaldt spear phishing. Nu sender angriberne e mails rettet mod specifikke firmaer eller organisationer og med henvisninger til viden og personer, som modtageren kender. Det gør mailen mere troværdig. MALWARE GIVER ADGANG Mailen til en ansat i den virksomhed, angriberne har udset sig, kan også indeholde malware (skadelig software). Det kan være i form af et link til en farlig webside eller en ved hæftet fil. Hvis det skadelige program kører, kan det fungere som en bagdør ind i virksomhedens systemer. Herfra kan angriberne snuse rundt efter data. De it-kriminelle bruger altså malware og phishing til at få fat i fortrolige data. Malware bruges derudover også til afpresning, hvor det skadelige program lukker for adgangen til data på computeren. Endelig indgår malware i svindel med annonceklik på websider og andre lyssky metoder til at tjene penge. ENKLE FORHOLDSREGLER Samlet set er truslerne mod informationssikkerheden stigende både i Danmark og internationalt. Truslerne kommer både fra amatører, fra den organiserede kriminalitet og fra efterretningstjenester og andre statslige aktører. Mange analyser viser, at ganske simple midler kan mindske risikoen markant. Det er på den ene side godt, for det betyder, at det ikke er så vanskeligt at gøre noget ved problemet. På den anden side viser det, at de fleste organisationer bruger for få ressourcer på informationssikkerheden. Ofte fejler organisationer på de mest basale discipliner såsom at holde software opdateret og at styre rettighederne til, hvem der må tilgå hvilke data. Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

10 SIKKERHEDSUDSIGTEN FOR 2015 Af Shehzad Ahmad og Rasmus Theede Informationssikkerheden i Danmark står over for hidtil usete udfordringer, og den byder også på store mulighe der. Digitaliseringen udvider mængden af følsomme digitale data, som er potentielt sårbare over for angreb. Presset på sikkerheden har derfor aldrig været større. For at imødegå dette, opbygges der i Danmark nu nye styrker og alliancer, som kan være med til at skabe et sikkert digitalt Danmark. RfDS deltager aktivt i dette arbejde. DE MENNESKELIGE FEJL FYLDER STADIG MEST I en tid med høj fokus på avancerede angreb og tek niske forsvarsmekanismer er det nemt at glemme, at langt den hyppigste årsag til brud på datasikkerheden ligger hos den enkelte medarbejder. Måske en medarbejder ved en fejl får sendt fortrolige informationer af sted eller med forsæt misbruger arbejdspladsens fortrolige data eller it-systemer. Alt for mange, der omgås personfølsomme data i deres dagligdag, har ikke kendskab til de regler, der gælder på området. Uddannelse af brugere og beskrivelse af sikkerhedsregler er billigt, nemt at gå til og kan give stor værdi, hvis udført fornuftigt vel og mærke. Hvis man ikke allerede har gjort det, er det et godt sted at starte i FUNDAMENTET SLÅR STADIG REVNER Næst efter menneskelige fejl er mangel på basale sikkerhedsprocesser den hyppigste årsag til sikkerhedsbrud. Det gælder både i forhold til borgernes følsomme data og virksomhedernes forretningshemmeligheder. Det drejer sig om simple ting som dokumentation af, hvor data faktisk opbevares, processer for opdatering af sårbarheder og adgangsstyring. Der skal være styr på disse basale ting, for hackere springer over, hvor gærdet er lavest. FLERE AVANCEREDE TRUSLER De avancerede angreb bliver mere sofistikerede og mere almindelige. Det tester grænserne for både effektiviteten og kapaciteten af vores eksisterende sikkerhedskontroller. Der er uden tvivl kræfter, der vil os det ondt og vil gå meget langt for at få fat i noget af det mest værdifulde, vi har i Danmark, nemlig vores knowhow. Regeringen har igangsat en række initiativer for at afhjælpe dette, men det må kun blive et supplement. Ansvaret for sikkerheden ligger fortsat hos myndigheden, leverandøren og virksomheden. Det er meget svært at yde effektiv beskyttelse mod avancerede angreb. RfDS er i færd med udarbejde nogle bud på effektiv beskyttelse baseret på RfDS s medlemmers egne erfaringer. BORGERNES SIKKERHED ER UNDER PRES De it-kriminelle er i dag så dygtige og har så stærke værktøjer, at de har let ved at narre deres ofre. For eksempel udsender de phishing-mails, der er en tro kopi af mails fra de organisationer, de efterligner. Konsekvensen er, at den almindelige borger let kan falde for svindlen og afgive fortrolige oplysninger på en forfalsket webside. Vi ser også nye og bedre gennemførte eksempler på social engineering. Svindlere ringer op til borgere og giver sig ud for at være fra Windows Support. De oplyser, at borgerens pc har sikkerhedsproblemer, og tilbyder at løse dem. Hvis borgeren tror på historien, kan de narre vedkommende til at installere skadelig software på pc en. Identitetstyveri er ligeledes et stigende problem. Her er årsagen ofte, at borgerne nok beskytter deres data, men ikke gør det effektivt. Der bruges for simple passwords eller samme passwords til flere forskellige tjenester. Der er stadig også for mange, som undlader at aktivere to-faktor autentifikation (fx indtastning af kode fra sms før en ny enhed kan benyttes). Der er også vækst i angreb med ransomware. Det er skadelig software, der spærrer for adgangen til programmer eller data. Bagmændene prøver at presse penge ud af offeret, som mod betaling kan få sine data tilbage. Her som i andre sammenhænge er manglen på backup et problem: Hvis borgeren har en sikkerhedskopi, kan vedkommende ignorere kravet om løsesum og blot indlæse kopien i stedet. Vores opfordring til borgerne i 2015 lyder derfor: Vær kritisk! Tag sikkerhedskopi også af din tablet og smartphone! Aktiver to-faktor-autentifikation! Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. 8 DIGITAL SIKKERHED I DANMARK / 2014

11 BEHOV FOR NYE KRYPTERINGSSTANDARDER Af Ivan Damgaard Fra juni 2013 og helt frem til i dag har Edwards Snowdens afsløringer af NSA s aktiviteter skabt ballade, debat og bekymring over hele verden. Vi fået tegnet et billede af en amerikansk efterretningstjeneste, der foretager masseovervågning af en væsentlig del af trafikken på internettet, vel at mærke uanset om de involverede brugere er under mistanke eller ej. Vi har hørt om hemmelige aftaler om udlevering af data, som firmaer tvinges til at indgå, og om aktiviteter, der har til formål at indbygge bagdøre i internet-standarder, så NSA er i stand til nemt at få fat i data, selv om der anvendes kryptering. Ikke overraskende har NSA og den amerikanske regering enten benægtet oplysningerne eller afvist at kommentere dem. Så der er masser af plads til spekulationer: Hvad er op og ned på alt det her? Er det efterhånden umuligt at skabe sikker kommunikation på nettet? Kan NSA bryde enhver kryptering? For det første skal man huske, at Snowden ikke er den eneste kilde til oplysninger om NSA, selv om materialet, han har lækket, er langt det mest omfattende. Selv taget med et gran salt er der næppe tvivl om, at både den amerikanske og engelske efterretningstjeneste har gang i meget omfattende overvågning af borgere over hele verden, og at man har forsøgt at svække de internationale standarder for sikker kommunikation på nettet. Dette sidste punkt er måske den bedst dokumenterede del af NSA s aktiviteter og faktisk også den mest alvorlige: Hvis standarderne for sikker kommunikation på nettet har fået indbygget svagheder, der gør det muligt at komme uden om den kryptering, der benyttes, så skal man være ualmindelig naiv for at tro, at der ikke er andre, der finder disse svagheder og begynder at udnytte dem. Mindst én af disse svagheder er allerede fundet i offentlig forskning. Så i et forsøg på at gøre livet nemmere for sig selv, har NSA gjort internettet mindre sikkert for os alle. Det må være indlysende for enhver, at det er en uholdbar situation, uanset hvilken politisk holdning man måtte have til overvågning, og til hvor meget af det, vi skal acceptere. Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Men kan problemet løses? Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA-programmer og -aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Omgåelsen sker enten ved at få de involverede parter til at udlevere data, eller ved at udnytte bagdøre i protokoller og andre svagheder i systemerne. I forhold til hvad vi ved fra forskningen, ville det ikke give mening, hvis NSA uden videre kunne bryde hvad som helst. Derfor må konklusionen være, at opdaterede standarder for kryptering med tilstrækkeligt store nøgler faktisk er et effektivt værn mod masseaflytning, hvis de bruges rigtigt. Det er her hunden ligger begravet: Måden vi bruger kryptering på, er bundet op på de protokoller, der i øjeblikket er standard på nettet. De trænger alvorligt til et eftersyn og sandsynligvis endda til at blive re-designet fra bunden, ikke kun fordi de har været under indflydelse af NSA, men også fordi flere af dem er resultatet af lappeløsninger lagt oven på hinanden. Det problem bør kunne løses, og det kan kun gå for langsomt! Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

12 INTERN SIKKERHED I VIRKSOMHEDER Af Rasmus Theede og Tom Engly Over det sidste år har der i pressen været omtale af mange sager om databrud. Se og Hør kom i vælten, da det blev afdækket, at de havde betalt en kilde med tilknytning til Nets for at lække oplysninger om kendte danskeres anvendelse af kreditkort. Flere politikere var i medierne og kritiserede it-sikkerheden, og mange andre meningsdannere fulgte trop. Anskuer man Se og Hør-sagen fra et it-sikkerhedsfagligt perspektiv, var problemet imidlertid ikke, hvad man rent fagligt forstår ved manglende it-sikkerhed. En række af de gængse og krævede sikkerhedsforanstaltninger var således på plads hos Nets. For eksempel var medarbejderen, der skaffede sig adgang til kreditkortoplysningerne, sikkerhedsgodkendt af PET og havde lovlige administrative rettigheder. Han udnyttede ikke tekniske sårbarheder, han misbrugte ikke andres rettigheder og han udførte heller ikke aktiviteter, som man med gængse it-sikkerhedsværktøjer ville kunne logge, spore og reagere på. Der var i stedet tale om en betroet medarbejders ulovlige udnyttelse af en i øvrigt lovlig adgang. Kunne Nets så have forhindret det? Medarbejderen benyttede et såkaldt batch job, som er en rutine, der opsættes og afvikles af systemadministratorer. Sådanne batch jobs skal efter persondataloven og sikkerhedsbekendtgørelsen ikke logges. Hverken interne ISO krav og procedurer hos Nets, kontrol ved Datatilsynet eller ekstern revision ville dermed have haft mulighed for at spore hændelsen. Hændelser, som det der foregik hos Nets, vil være yderst vanskelige for alle typer virksomheder at spore og så vidt vi kan vurdere, er misbrug af denne type noget, som forekommer yderst sjældent i it-branchen. Se og Hør-sagen må derfor ikke betragtes som en aktualisering af en generel problemstilling angående datasikkerhed. I stedet bør sagen give stof til eftertanke om, hvordan virksomheder bedst beskytter sig mod og forebygger det, Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor. man kan kalde for ondsindede medarbejdere. Det er nødvendigt at kunne stole på de medarbejdere, man sætter til at arbejde med virksomhedens data. Det vi kan lære af Se og Hør-sagen er, at det er i alles interesse fortsat at arbejde med sikkerhedsbehovet og at finde løsninger, som gør det muligt at kontrollere og begrænse adgange til data på måder, der er meningsfulde og transparente for medarbejderne. Vi kan aldrig opnå 100% sikkerhed for, at en medarbejder holder sig fra at begå kriminalitet, men vi kan gøre det nemmere at opdage det i tide. Sagen viser også tydeligt, at det er nødvendigt at skelne mellem den risiko, interne medarbejdere og samarbejdspartnere kan udgøre og den, der udspringer fra eksterne hackere. Derfor er det Rådets opfattelse, at det øgede fokus på sikkerhed skal omfatte en konkret risikovurdering af medarbejderes og samarbejdspartneres adgang til virksomhedernes og dermed også kundernes data. Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS. Tom Engly er koncernsikkerhedschef i Tryg og medlem af bestyrelsen for RfDS. 10 DIGITAL SIKKERHED I DANMARK / 2014

13 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA Af Henning Mortensen Virksomhederne har i disse år stor opmærksomhed på, hvordan nye typer af it-løsninger kan være med til at ef fektivisere, skabe nye forretningsområder og dermed også sikre vækst og nye arbejdspladser. Det vil skabe værdi både for virksomhederne, borgerne og samfundet som helhed. Blandt nogle af de buzzwords vi hører igen og igen er big data, cloud computing, sociale netværk, mobility og Internet of Everything. En god del af de mennesker, hvis personlige data er in vol veret, vil imidlertid have en sund skepsis. For at flest muligt skal kunne se værdien af den teknologiske udvikling, er det derfor vigtigt at arbejde med at understøtte tilliden til digitaliseringen. Sagt på en anden måde: I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Opskriften på, hvordan det skal ske, findes allerede. Rådet for Digital Sikkerhed, Dansk Industri, Forbrugerrådet og flere andre aktører har gennem de senere år arbejdet med en tretrinsraket bestående af Privacy Impact Assessment, Privacy by Design og Privacy Enhancing Technologies. Disse tiltag er det frivilligt at bruge nu, men i udkastet til den kommende EU persondataforordning lægges der op til, at dele af disse tiltag bliver obligatoriske. Ved at bruge disse metoder, kan man øge tilliden til, at data behandles på en sikker måde. I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data. Privacy Impact Assessment (PIA) er en analyse af den risiko, der er forbundet med, at personoplysninger be handles set fra den registreredes perspektiv. Virksomheden laver dermed en risikovurdering og kortlægger blandt andet, om det faktisk er nødvendigt præcist at identificere den registrerede, i hvilke behandlingsprocesser det evt. er nødvendigt, om der er tilvejebragt et tilstrækkeligt sikkerhedsniveau, om data videregives og om gældende love efterleves. Når man har gennemført en PIA, er resultatet en liste med punkter, som viser, hvor det er muligt at forbedre beskyttelsen af de registreredes data. Nogle af disse kan man vælge at implementere, mens andre vil være uhensigtsmæssige. De tiltag, som implementeres, ændrer designet af it-løsningen eller de processer, hvorefter data behandles. Når løsningen er udformet på denne måde, kaldes det for Privacy by Design (PbD). Det indikerer, at privatlivsbeskyttelse er tænkt med ind i løsningen helt fra start. Nogle af de elementer, man kan designe ind i en it-løsning, har særligt fokus på beskytte behandlingen af personoplysninger, og de kaldes derfor Privacy Enhancing Technologies (PET). PET findes i mange former. Et eksempel er rollebaseret adgangskontrol, hvor en medarbejder kun kan få adgang til de personoplysninger, som vedkommende har brug for, for at kunne udføre sit daglige arbejde. Mere vidtgående eksempler er at opdele data således, at identitetsdata adskilles fra de øvrige data, der efterfølgende ikke eller kun vanskeligt kan identificere den registrerede. Det kendes for eksempel fra analyse af trafikmønstre, hvor det ikke er muligt at identificere den enkelte trafikant. Dette kaldes pseudonymisering eller anonymisering. Ved at gennemgå denne tretrinsraket med PIA, PbD og PET kan virksomhederne forbedre beskyttelsen af de personoplysninger, de indsamler og håndterer. Alt i alt vil der være tale om en bedre beskyttelse, som, hvis gøres rigtigt, vil reducere risikoen for tab af data. Dette kan kommunikeres til de registrerede og indgå i virksomhedens samlede profilering, og det vil dermed være med til at øge tilliden til virksomhedens behandling af personoplysninger og også den generelle tillid til den teknologiske udvikling. Henning Mortensen er chefkonsulent i DI ITEK om og medlem af bestyrelsen for RfDS. DIGITAL SIKKERHED I DANMARK /

14 UDFASNING AF CPR-NUMMERET Af Ivan Damgaard og Anette Høyrup I slutningen af 2013 kom Rådet for Digital Sikkerhed med en anbefaling om at udfase cpr-nummeret i sin nuværende form, således at det fremover ikke indeholder informationer om borgernes alder og køn. Formålet er at tilpasse cpr-systemet i forhold til den digitale udvikling og derved mindske risikoen for identitetstyveri. Det fremgår også af anbefalingen, at man aldrig bør au ten tificere en persons identitet alene på baggrund af cpr-nummeret. Selv om en persons cpr-nummer ikke er blevet direkte kompromitteret, er der stadig en betydelig risiko for, at nummeret kan gættes, hvis angriberen kender offerets fødselsdato og køn. Rådets melding kommer på baggrund af en markant stigning af danskere, som udsættes for identitetstyverier og et stigende antal sager, hvor myndigheder og virksomheder uforvarende kommer til at offentliggøre eller får hacket borgernes personnumre. For eksempel lykkedes det i 2012 for hackere at skaffe sig adgang til alle personnumre i politiets kørekortregister. Rådet for Digital Sikkerhed foreslår ændringerne af cprsystemet indført i følgende trin over nogle år og at ændringerne ses som et første skridt i retning af et fremtidigt nyt dansk system for digital identifikation, som i højere grad sikrer borgerne en rimelig og tidssvarende privatlivsbeskyttelse: Trin 1: Tilbud om nyt personnummer til personer, der har været udsat for identitetstyveri, og hvor personnummeret er blevet kompromitteret på uoprettelig vis. Trin 2. Borgere, som ønsker det, skal for et rimeligt gebyr selv kunne anmode om at få et nyt personnummer, der ikke indeholder oplysning om alder og køn. Trin 4: På længere sigt skal cpr-systemet afløses af et nyt digitalt identifikationssystem (eid), hvor både it-sikkerhed og privatlivsbeskyttelse skal indbygges fra start. Rådet mener desuden, at en revision af cpr-systemet skal følges op med nye generelle retningslinjer for digitale identifikation og autentificering, og at disse retningslinjer skal være på plads, inden der igangsættes udbud af en afløser for den nuværende NemID-løsning. Anbefalingen blev fremlagt på Forbrugerrådet TÆNKs Miniseminar om identitetstyveri i januar 2014, og løsningsforslaget indgik i Forbrugerrådet katalog over forslag til løsningsmodeller på identitetstyveri, som er blevet præsenteret for Digitaliseringsstyrelsens interessentforum for identitetstyveri. Interessentforum for identitetstyveri har primært været et vidensudvekslingsmøde, hvor Rådets konkrete forslag om udfasning af cpr-nummeret ikke har været genstand for diskussion, men blot fremlæggelse. På Digitaliseringsstyrelsens 6. møde om identitetstyveri i december 2014 oplyste Digitaliseringsstyrelsen, at de er ved at forbedre informationen om it-sikkerhed herunder om identitetstyveri på websitet borger.dk, og også at Digitaliseringsstyrelsen ønsker at deltage i kampagnearbejde om it-sikkerhed sammen med Rådet for Digital Sikkerhed. Der er imidlertid ingen der for nuværende arbejder aktivt videre med at styrke cpr-systemet gennem udfasning af informationen om alder og køn i personnummeret, som foreslået af Rådet for Digital Sikkerhed. Trin 3: Øvrige borgere tildeles nye personnumre uden oplysninger om alder og køn i takt med, at der udstedes nye sygesikringsbeviser, kørekort og pas. Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. Anette Høyrup er jurist ved Forbrugerrådet Tænk og medlem af bestyrelsen for RfDS. 12 DIGITAL SIKKERHED I DANMARK / 2014

15 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK Af Jørn Guldberg og Birgitte Kofod Olsen Det er en vigtig del af den offentlige infrastruktur, at vi har en troværdig digital identitet. Det gør, at borgere og virksomheder kan være trygge ved anvendelsen af digitale løsninger i det offentlige. Samtidig sikrer det, at vi har en sikkerhedsmæssig robust løsning for digital kommunikation af fortrolig information. RfDS har ved flere lejligheder påpeget behovet for en op gradering af den eksisterende nationale eid-løsning (NemID), og Rådet afgav i juni 2014 på linje med en lang række øvrige aktører høringssvar til Digitaliseringsstyrelsen om, hvorledes afløseren for NemID bør udformes. Rådet mener, at den kommende løsning bør tage udgangspunkt i blandt andet følgende principper: Integritet: Borgerens digitale identitet bør tilhøre borgeren på samme måde som et pas til traditionel identifikation. Brugeren bør kunne autentificere sig over for tredjepart og etablere afledte identiteter, uden at dette registreres hos eid-udstederen. Fortrolighed: Der skal være fokus på, at borgere reelt kan sikre den fortrolige del af den digitale identitet, og infrastrukturen skal hindre identitetstyveri og misbrug. Privatlivsbeskyttelse: Identiteten i den nye eid bør generelt afløse brug af cpr-nummer i den offentlige sektor og private sektor. Målet skal være, at der i en given transaktion kun udveksles de faktisk nødvendige oplysninger (med cpr-nummeret udveksles altid køn, alder og sandsynlighedsindikator vedr. indvandringsstatus samt nøgle, der kan benyttes til samkøring med andre oplysninger). Åbenhed og kompatibilitet: Det må være et naturligt krav, at en borger kan få udstedt en digital identitet fra det offentlige på samme måde, som man kan få udstedt et pas. Denne identitet er naturligvis en unik identitet til at identificere borgeren ultimativt. Men den kan ikke stå alene, som det nuværende NemID gør. Der skal etableres alternative muligheder for afledte identiteter til anvendelse ved mindre kritiske behov, herunder identiteter som formidler en delmængde af attributter vedrørende en given borger. Dette vil åbne et marked for identitetsudstedelser baseret på borgerens enkelte attributter, og det vil desuden medvirke til at reducere risikoen for utilgængelighed ved nedbrud i et enkelt centralt system. I sit høringssvar pegede RfDS videre på blandt andet følgende mere specifikke forhold: IDENTIFIKATION PÅ FLERE NIVEAUER Kommunikationen mellem borger og det offentlige består af både stærkt fortrolige og mindre følsomme oplysninger. Den offentlige digitale identitet skal derfor både bestå af en identitet på almindeligt sikkerhedsniveau og en identitet, der har tilstrækkelig styrke til, at borger og virksomheder trygt kan kommunikere med det offentlige om selv de mest følsomme informationer. Den stærke identitet skal være forbeholdt den bindende og stærkt fortrolige kommunikation og til brugerens generering af nye afledte identiteter. Den offentlige digitale identitet bør sammen med andre digitale identiteter kunne benyttes valgfrit af brugeren i kontakten til virksomheder og handlende. SINGLE SIGN-ON Selv om der opereres med identifikation på flere forskellige niveauer og via forskellige udbydere, skal de forskellige løsninger kunne bindes sammen. Der skal derfor være mulighed for step-up autentifikation (med samme løsning) eller om nødvendigt henvisning til anden autentifikationsløsning. For eksempel vil bestilling af en lægetid ikke skulle kræve den højeste troværdighed af identiteten, men ved viderestilling til egen patientjournal skal brugeren autentificeres til det højere sikkerhedsniveau. FULDMAGTER Den nye løsning skal gøre det nemmere og mere gennemskueligt at benytte fuldmagter. Som borger skal man for eksempel kunne give fuldmagter på både læger, revisorer DIGITAL SIKKERHED I DANMARK /

16 og advokater med specifikke rettigheder, som svarer til, hvad disse fagpersoner har brug for at vide. En tilsvarende løsning skal kunne bruges borgere imellem i forhold til specifikke rettigheder, således at for eksempel it-svage personer ikke føler sig nødsaget til at give deres personlige nøgler til familiemedlemmer eller andre. BRUGERVENLIGHED OG TILGÆNGELIGHED Rådet peger på, at der skal sikres en god kombination af brugervenlighed, sikkerhed og tilgængelighed. Blandt andet følgende kan i den sammenhæng benyttes: Forskellige unikke tekniske identifikatorer til forskellige tjenester (i modsætning til nu, hvor der anvendes samme brugernavn eller cpr-nummer alle steder). Nøgler skal kunne håndteres på tværs af teknologiske platforme, styresystemer og hardwaretyper (PC, tablets, smartphones og andre gadgets). Den nye eid-løsning skal kunne bruges til kryptering af mails på en nem og ligetil måde, der kan være med til at fremme sikker mail-kommunikation. AFVIKLING AF CPR-NUMMER TIL IDENTIFIKATION OG ØGET BRUG AF PSEUDONYMISERING Brugen af cpr-nummer som gennemgående identifikation bør i en ny eid-løsning afvikles. En lang række sager har vist, at det er problematisk, at samme nøgle, der oven i købet indeholder personoplysninger (alder og køn og sandsynlighedsindikator vedrørende indvandring), bruges som nøgle på tværs af offentlige og private it-systemer. I stedet bør der bruges forskellige identitetsnøgler, og der skal også være muligheder for, at identiteten kun verificeres, men ikke meddeles andre parter, med mindre der faktisk er brug for det. Dette kan opnås ved øget brug af pseudonymisering. Brug af en tredje faktor til autentifikation, når der er tale om personfølsomme oplysninger, fx biometri. Kompatibilitet med andre tilgængelige ID-systemer, fx Facebook, hvor dette sikkerhedsniveau er tilstrækkeligt, og adgang til, at brugere kan benytte andre to-faktor ID-systemer, som benytter åbne standarder (fx Google og Microsoft). Jørn Guldberg er talsmand for it-sikkerhed i IDA Ingeniørforeningen i Danmark. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. 14 DIGITAL SIKKERHED I DANMARK / 2014

17 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED Af Rasmus Theede Vi har allerede set mange eksempler på, hvor galt det kan gå, hvis vores evne til at beskytte informationer ikke følger med tiden. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. ISO27001-standarden er et stærkt fundament, på hvilket det er muligt bygge en tidssvarende beskyttelse, hvis den vel at mærke implementeres og benyttes med omhu. Derfor er det en god nyhed, at statslige myndigheder i 2013 overgik til den internationale ISO-standard, som nu forefindes i en opdateret 2013-version. Det kan være vanskeligt at gennemskue, præcist hvad vi forsøger at beskytte os imod, og hvordan det skal gøres. Blandt truslerne er for eksempel servernedbrud, hackerangreb, outsourcing, industrispionage og denial of service (DoS) angreb. Der er så mange trusler, at det kan blive svært at overskue, og konsekvensen er ofte, at myndigheder og virksomheder enten undervurderer de reelle trusler eller helt giver op. ISO27001 udmærker sig ved, at den med en struktureret og pragmatisk tilgang tager udgangspunkt i den enkelte myndighed og virksomheds behov for at beskytte sine vigtige informationer. Standarden hjælper med at få overblik. Når ISO27001 er implementeret succesfuldt, vil man være klar over, hvor de største risici er, og hvor man kan sætte mest effektivt ind. Når man implementerer ISO27001, er der i forenklede træk nogle krav, der skal opfyldes: Vi skal tage stilling til, hvad vi overhovedet vil med sikkerhed (scope). Vi skal have ledelsens fulde støtte, have styr på, hvad det præcist er, vi gerne vil beskytte, og hvordan vi har tænkt os at gøre det. Alt dette baseret på en grundig risikovurdering. Derud over skal vi kunne dokumentere, at vi har implementeret de nødvendige kontroller, og så skal vi løbende måle på, at kontrollerne fungerer, som de skal. Alt dette kræver grundig forberedelse og udarbejdelse af regler og politikker, som kan forstås af både ledelsen, forretningen og medarbejderne. Alt efter virksomhedens/ myndighedens størrelse eller kompleksitet kan dette kræve fra et par hundrede til flere tusinde timers arbejde. Vælger vi at investere den nødvendige tid, og gøre hvad der skal til, har vi til gængæld et uhyre stærkt fundament og ikke mindst et stærkt værktøj, som gør det muligt for ledelsen at træffe de rigtige sikkerhedsmæssige beslutninger. Man hører ofte både virksomheder og myndigheder udtale, at vi læner os op ad ISO Udfordringen er her, at læner vi os for meget, så risikerer vi at vælte. Følges principperne i standarden ikke i sin helhed, vil der opstå huller. ISO27001 er udfærdiget til at danne fundamentet for sikkerhed i virksomheden, og med de it-trusler, vi står over for nu og i fremtiden, har vi ikke råd til dybe sprækker i fundamentet. ISO27001 kan være en stor bid at sluge. Rådet for Digital Sikkerhed vil sammen med en række samarbejdspartnere i 2015 arbejde på at udgive en række værktøjer, skabeloner og hjælpepolitikker, der kan hjælpe en organisation med at blive klar til ISO Dette sker under Rådets arbejdsgruppe for cybersikkerhed. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS DIGITAL SIKKERHED I DANMARK /

18 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN Af Ole Kjeldsen og Birgitte Kofod Olsen Stadig flere it-løsninger afvikles i hostede applikationer, der tilgås via det åbne internet det som i branchen betegnes som public cloud. Denne udvikling betyder, at vi har brug for nye redskaber til at håndtere it-sikkerhed og privatlivsbeskyttelse. Det er derfor en rigtig god nyhed, at vi i 2014 fik den nye ISO27018-standard, som gør det nemmere at overskue og strukturere it-sikkerhed og privatliv omkring personfølsomme data i skyen. Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Det seneste års meget omtalte danske sager om læk, hac king og uberettiget adgang til personoplysninger har givet anledning til bekymringer i forhold til brug af public cloud løsninger. Sagerne omkring Se og Hør/Nets og CSC har eksponeret offentligt, at også andre typer løsninger er sårbare. Ofte har bekymringerne være fokuseret omkring lokationen, hvor databehandlingen finder sted, men det er nu tydeligt, at det ofte også er dårlig håndtering af de to andre elementer af god sikkerhed, processer og personale, der giver problemer. Brugen af public cloud vinder frem, fordi der er produktivitetsgevinster at hente. Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Den nye ISO27018 kan hjælpe dem, som efterspørger ydelser, med at stille strukturerede krav til leverandører, og den giver en fælles målestok for sammenligning af produkter og ydelser. Desuden tager den nye standard højde for de krav, som stilles til databehandlere i EU s gældende databeskyttelsesdirektiv. Ved at bruge ISO27018 kan man som dataansvarlig sikre, at: Man til enhver tid ved, hvor data befinder sig, og hvem der behandler dem. Data ikke bruges til aktiviteter ud over det, som er tiltænkt (fx marketing, forskning etc.) Man kender til processerne om sletning, transport og evt. tilbagetrækning af data, og at disse er reguleret og underlagt streng revision. EU s databeskyttelseskrav bliver overholdt, således at borgere kan tilgå, redigere og i nogle tilfælde også slette personhenførbare data. Man til enhver tid vil blive notificeret i tilfælde af en sikkerhedshændelse, som involverer cloud-løsningen eller egne data. ISO er et vigtigt tillæg til den overordnede standard ISO27001, som i sig selv er et godt rammeværktøj. Tilsammen er de to standarder højaktuelle i forhold til de digitaliseringsprocesser, som både danske offentlige myndigheder og private virksomheder står overfor. Det er oplagt fremover at indføje ISO som krav i kontrakter, da det er en nem måde at skabe sikkerhed for, at cloud-leverandører kun behandler personfølsomme data i mindst mulig omfang, at de gør det på en sikker og pålidelig måde, og at de kun anvender data til det, man som dataansvarlig på forhånd har godkendt. Ole Kjeldsen er teknologidirektør i Microsoft Denmark og medlem af bestyrelsen for RfDS. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. 16 DIGITAL SIKKERHED I DANMARK / 2014

19 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATA- BESKYTTELSESMYNDIGHED Af Birgitte Kofod Olsen For at sikre grundlaget for sund digital vækst er det nødvendigt, at Danmark har en stærk og robust databeskyttelsesmyndighed. I takt med at de digitale teknologier udvikles, er der behov for at styrke beføjelser og kompetencer hos det nationale tilsyn. Danmark bør efter Rådet for Digital Sikkerheds op fattelse i fremtiden have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databeskyttelse. På nogle punkter lever den nuværende danske databeskyttelsesmyndighed, Datatilsynet, op til, hvad der kan betegnes som gældende bedste praksis inden for EU. På andre punkter er der muligheder for forbedringer, og på et afgørende punkt kravet om at databeskyttelsesmyndigheden skal være uafhængig lever Danmark ikke op til gældende bedste praksis og dermed heller ikke til artikel 8 i EU s charter om grundlæggende rettigheder. Det skyldes, at Datatilsynet er placeret under det danske justitsministerium. Danmarks fremtidige databeskyttelsesmyndighed bør ikke være begrænset til at udføre tilsyn, men også bidrage til at vurdere, hvilke teknologier, designs og metoder, som kan anbefales til at understøtte god informationssikkerhed. Databeskyttelsesmyndigheden bør således både have et juridisk fokus, et betydeligt teknisk fokus, og det bør være en myndighed, som kan agere selvstændigt og have en aktiv rolle i forhold til at sikre en sund digital vækst og udvikling i Danmark inden for både den offentlige og private sektor. Gældende bedste praksis for nationale databeskyttelsesmyndigheder findes allerede kortlagt inden for EU og kan tjene som inspiration for en opgradering af den danske indsats på området. Derudover vil Rådet pege på, at der kan indhentes værdifulde erfaringer og viden fra det norske Datatilsynet og fra Canadas Office of the Privacy Commissioner to myndighe der som internationalt set er blandt de førende på området. Rådet for Digital Sikkerhed mener, at Danmark snarest muligt bør have en opgraderet national databeskyttelsesmyndighed, og at den bør etableres efter gældende bedste praksis, således at den kan blive en af EU s bedst fungerende. Den skal være selvstændig og placeres under Folketinget, således at den uden tvivl lever op til EU s nationale charter for grundlæggende rettigheder. En sådan stærk og robust databeskyttelsesmyndighed skal være del af det samlede eksempel til efterfølgelse på, hvorledes en nation kan skabe gode rammebetingelser for sund digital vækst. Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed. DIGITAL SIKKERHED I DANMARK /

20 AKTIVITETER I TAL JULI 2013 DECEMBER 2014 Høringssvar 5 Høringer i Folketinget 4 Information og anbefalinger 4 Positioner 2 Dialogmøder 28 Oplæg på konferencer DIGITAL SIKKERHED I DANMARK / 2014

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015 Hvem er vi? It-revisor Claus. B. Jensen, CISA, CIA Lang erfaring med it-revision i bl.a. pengeinstitutter og forsvaret Ansat

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Sikkerhed i cloud computing

Sikkerhed i cloud computing Sikkerhed i cloud computing Databeskyttelsesdagen 2012 Morten Jørsum Center for Digitalisering Digitaliseringsstyrelsen mjrsm@digst.dk Hvad er cloud computing It som en service: Leveres og betales efter

Læs mere

Faxe Kommune. informationssikkerhedspolitik

Faxe Kommune. informationssikkerhedspolitik Faxe Kommune informationssikkerhedspolitik 10-10-2013 1 Overordnet informationssikkerhedspolitik Dette dokument beskriver Faxe Kommunes overordnede informationssikkerhedspolitik og skaber, sammen med en

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 2 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 3 4 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center

Læs mere

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen Sikkerhedsanbefaling It-sikkerhed på rejsen Juni 2015 It-sikkerhed på rejsen En sikkerhedsanbefaling fra Center for Cybersikkerhed 2 Om sikkerhedsanbefalingen Denne sikkerhedsanbefaling fra Center for

Læs mere

Regionernes politiske linje for informationssikkerhed

Regionernes politiske linje for informationssikkerhed Regionernes politiske linje for informationssikkerhed 1 / SUNDHEDSDATA I TRYGGE HÆNDER / Danske Regioner 2015 Regionernes politiske linje for informationssikkerhed Danske Regioner 2015 Layout: UHI, Danske

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Informationssikkerhed i det offentlige

Informationssikkerhed i det offentlige Informationssikkerhed i det offentlige KMD Analyse Briefing April 2015 HALVDELEN AF DE OFFENTLIGT ANSATTE KENDER TIL BRUD PÅ INFORMATIONSSIKKERHEDEN PÅ DERES ARBEJDSPLADS DANSKERNE USIKRE PÅ AT UDLEVERE

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN Forsvarsministeriet fmn@fmn.dk pah@fmn.dk hvs@govcert.dk WILDERS PLADS 8K 1403 KØBENHAVN K TELEFON 3269 8888 DIREKTE 3269 8805 RFJ@HUMANRIGHTS.DK MENNESKERET.DK J. NR. 540.10/30403/RFJ/MAF HØRING OVER

Læs mere

hackere guide Sådan beskytter du dig mod sider Så galt kan det gå Kendt dj: Ikke megen hjælp at hente

hackere guide Sådan beskytter du dig mod sider Så galt kan det gå Kendt dj: Ikke megen hjælp at hente Foto: Iris guide Juni 2013 - Se flere guider på bt.dk/plus og b.dk/plus 8 sider Sådan beskytter du dig mod hackere Så galt kan det gå Kendt dj: Ikke megen hjælp at hente CPR-tyveri INDHOLD I DETTE HÆFTE:

Læs mere

It-sikkerhedstekst ST6

It-sikkerhedstekst ST6 It-sikkerhedstekst ST6 Registrering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST6 Version

Læs mere

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014

Center for Cybersikkerheds beretning 2014. Center for Cybersikkerheds beretning 2014 Center for Cybersikkerheds beretning 2014 1 Center for Cybersikkerheds beretning 2014 2 Center for Cybersikkerheds beretning 2014 Center for Cybersikkerhed Kastellet 30 2100 København Ø Tlf.: 3332 5580

Læs mere

Borgernes informationssikkerhed 2014

Borgernes informationssikkerhed 2014 Borgernes informationssikkerhed 2014 Januar 2015 1. Indledning Formålet med denne rapport er at afdække to sider af danskernes forhold til informationssikkerhed. Den ene side handler om, hvilke sikkerhedshændelser

Læs mere

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg.

Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. R E T S P O L I T I S K F O R E N I N G Retspolitisk Forenings kommentar til udkast til beretning nr. 3 fra Folketingets Retsudvalg og Kulturudvalg. Indledende bemærkninger og problemstilling. Retspolitisk

Læs mere

It-sikkerhedstekst ST5

It-sikkerhedstekst ST5 It-sikkerhedstekst ST5 Identificering af en fysisk person med henblik på udstedelse af faktorer til et personligt login Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST5 Version

Læs mere

Sådan beskytter du din computer mod angreb

Sådan beskytter du din computer mod angreb Sådan beskytter du din computer mod angreb It-kriminelle har fundet et hul i sikkerheden, så de lige nu kan stjæle din net-identitet. Her bliver du klogere på, hvordan du garderer dig. Af Kenan Seeberg

Læs mere

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,

Læs mere

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014 Hvorfor vælger vi Cloud? No cloud (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service)

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

> hvidbog. Beskytter du dine kunders og dine egne data godt nok?

> hvidbog. Beskytter du dine kunders og dine egne data godt nok? > hvidbog Beskytter du dine kunders og dine egne data godt nok? HVAD BETYDER DET? DU ER ALDRIG FOR STOR TIL AT BLIVE HACKET ELLER FOR LILLE Går man ti år tilbage var teknologi knyttet tæt sammen med vores

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR VIRKSOMHEDER 1 KEND DE REGLER, DER GÆLDER PÅ NETTET 2 KOG SALGS- OG LEVERINGSBETINGELSER NED 3 FÅ EN SYNLIG COOKIEPOLITIK

Læs mere

Digital Signatur OCES en fælles offentlig certifikat-standard

Digital Signatur OCES en fælles offentlig certifikat-standard Digital Signatur OCES en fælles offentlig certifikat-standard IT- og Telestyrelsen December 2002 Resumé Ministeriet for Videnskab, Teknologi og Udvikling har udarbejdet en ny fælles offentlig standard

Læs mere

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) Forsvarsudvalget 2013-14 L 192 Bilag 6 Offentligt NOTAT 30. maj 2014 om definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192) 1. Begrebet sikkerhedshændelse er et centralt

Læs mere

Mini-guide: Sådan sikrer du din computer mod virus

Mini-guide: Sådan sikrer du din computer mod virus Mini-guide: Sådan sikrer du din computer mod virus Efter Java-hullet: Væn dig til det din computer bliver aldrig 100 % sikker. Men derfor kan vi jo godt prøve at beskytte den så vidt mulig alligevel. Vi

Læs mere

Lever din myndighed op til persondatalovens krav?

Lever din myndighed op til persondatalovens krav? Lever din myndighed op til persondatalovens krav? COMPLIANCE-TJEK Persondataloven har gennem de seneste år fået større betydning, og antallet af sager ved Datatilsynet stiger. Alene fra 2012 til 2013 steg

Læs mere

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet. Cloud og persondataloven Forskningsnetkonferencen 2011 Klarskovgaard Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Sten Hansen IT-chef

Læs mere

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Databeskyttelse: Afrunding Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015 Der er to typer virksomheder Der er to typer virksomheder: Dem, der ved at de er blevet hacket og dem der ikke ved at

Læs mere

It-sikkerhedstekst ST4

It-sikkerhedstekst ST4 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014 Datatransmission af personoplysninger

Læs mere

Cloud Computing De juridiske aspekter

Cloud Computing De juridiske aspekter Cloud Computing De juridiske aspekter Forskningsnet Konference 2010 Middelfart Advokat Nis Peter Dall Hvad er Cloud? IaaS (Infrastructure as a Service) - Computerkraft, lagerplads mv. stilles til rådighed

Læs mere

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes.

Datatilsynets udtalelse af 15. oktober 2009 vedhæftes. Region Syddanmark Damhaven 12 7100 Vejle Sendt til kontakt@regionsyddanmark.dk 4. februar 2013 Vedrørende sikkerhedsbrist i Region Syddanmark Datatilsynet Borgergade 28, 5. 1300 København K CVR-nr. 11-88-37-29

Læs mere

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk 9. april 2013 Dokumentnr.: CKG Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk Indhold: 1. Organisation...2 2. Serviceydelser...3 3. Teknik...6 4. Gældende regler...9 1/9 1. Organisation

Læs mere

It-sikkerhedspolitik for Københavns Kommune

It-sikkerhedspolitik for Københavns Kommune Københavns Kommune Koncernservice It-sikkerhedspolitik for Københavns Kommune 2015-02-05 It-sikkerhedshåndbog for Københavns Kommune It-sikkerhedspolitik for Københavns Kommune Publiceret: 2014-07-03 Mål

Læs mere

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer

Sikkerhedsanbefaling. Styrkelse af informationssikkerheden i mainframeinstallationer Sikkerhedsanbefaling Styrkelse af informationssikkerheden i mainframeinstallationer Januar 2015 Indledning Inden for de seneste år har flere mainframeinstallationer været udsat for hackerangreb. I Sverige

Læs mere

It-sikkerhed i Dansk Supermarked

It-sikkerhed i Dansk Supermarked It-sikkerhed i Dansk en kort introduktion It-sikkerhed i Dansk 1 Velkommen som it-bruger i Dansk Kære medarbejder Brug af it er for mange i Dansk en naturlig del af arbejdsdagen. Hvis vi skal sikre vores

Læs mere

Sikker på nettet. Tryg selvbetjening. Din kontakt med det offentlige starter på nettet

Sikker på nettet. Tryg selvbetjening. Din kontakt med det offentlige starter på nettet Sikker på nettet Tryg selvbetjening Din kontakt med det offentlige starter på nettet Det offentlige bliver mere digitalt Oplysninger om folkepension og andre offentlige ydelser, ændringer af selvangivelsen,

Læs mere

It-sikkerhedstekst ST2

It-sikkerhedstekst ST2 It-sikkerhedstekst ST2 Overvejelser om sikring mod, at personoplysninger kommer til uvedkommendes kendskab i forbindelse med Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST2 Version

Læs mere

Professionel it-drift af din forretningsplatform

Professionel it-drift af din forretningsplatform Professionel it-drift af din forretningsplatform Din billet til it-afdelingens rejse fra costcenter til kraftcenter INVITATION TIL GRATIS KONFERENCE København, 2. juni Aarhus, 3. juni Tag kollegerne med

Læs mere

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift

Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt. Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift Retsudvalget 2013-14 REU Alm.del Bilag 353 Offentligt Anbefalinger til styrkelse af sikkerheden i statens outsourcede it-drift August 2014 Anbefalinger til styrkelse af sikkerheden i statens outsourcede

Læs mere

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Sikkerhedsanbefaling Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded Juli 2014 Indledning Microsoft har annonceret, at selskabet den 31. december 2016 frigiver den sidste serviceopdatering

Læs mere

FULD DIGITAL KOMMUNIKATION I 2015

FULD DIGITAL KOMMUNIKATION I 2015 FULD DIGITAL KOMMUNIKATION I 2015 Regeringen, kommunerne og regionerne arbejder sammen om at skabe et digitalt Danmark, som frigør resurser til bedre kernevelfærd samtidig med at servicen moderniseres

Læs mere

Statens strategi for overgang til IPv6

Statens strategi for overgang til IPv6 Notat Statens strategi for overgang til IPv6 Overgangen til en ny version af internetprotokollen skal koordineres såvel internationalt som nationalt. For at sikre en smidig overgang har OECD og EU anbefalet,

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

(Fremtidens) Regulering af cloud computing

(Fremtidens) Regulering af cloud computing (Fremtidens) Regulering af cloud computing Dansk Automationsselskab 2012 Jacob Voetmann Kont. for it-arkitektur og standardisering Digitaliseringsstyrelsen javoe@digst.dk Digitaliseringsstyrelsen og cloud

Læs mere

Social-, Børne- og Integrationsministeriet. Kommunikationsstrategi

Social-, Børne- og Integrationsministeriet. Kommunikationsstrategi Social-, Børne- og Integrationsministeriet Kommunikationsstrategi 2 KOMMUNIKATIONSSTRATEGI Social-, Børne- og Integrationsministeriet arbejder for at skabe reelle fremskridt for den enkelte borger. Det

Læs mere

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden

Læs mere

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling

Guide til sikker it. Daglig brug Programmer E-mail Internet Databehandling Guide til sikker it Daglig brug Programmer E-mail Internet Databehandling Hvilke retningslinjer skal du følge som it-bruger i Hillerød Kommune? Indhold Daglig brug af din computer 4 Computere, programmer

Læs mere

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik Ringkøbing-Skjern Kommune Informationssikkerhedspolitik Indholdsfortegnelse Indholdsfortegnelse... 1 1. Indledning... 2 2. Formål... 2 3. Holdninger og principper... 3 4. Omfang... 3 5. Sikkerhedsniveau...

Læs mere

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester Sag 61828-mho Udkast 06.05.2015 Cookiepolitik 1. Politik for brug af HC Containers onlinetjenester På denne side oplyses om de nærmere vilkår for brugen af www.hccontainer.dk og eventuelle andre hjemmesider,

Læs mere

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og Dansk Industris vejledning om betalingskortsikkerhed ITEK og Dansk Industris vejledning om betalingskortsikkerhed Udgivet af: ITEK og Dansk Industri Redaktion: Henning Mortensen ISBN: 87-7353-674-1 0.11.07 2 Beskyttelse af betalingskortoplysninger Summary

Læs mere

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser

IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser IT driftsaftale Bilag 7: IT-sikkerhedsbestemmelser INDHOLDSFORTEGNELSE 1. Baggrund og formål... 2 2. Ansvarsfordeling... 2 2.1 Jobcenterchefens ansvar... 2 2.2 Gensidig informationspligt... 3 3. Krav til

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen

NemHandel i cloud - sikkerhedsmæssige overvejelser. Helle Schade-Sørensen IT og Telestyrelsen NemHandel i cloud - sikkerhedsmæssige overvejelser Helle Schade-Sørensen IT og Telestyrelsen Agenda Lidt om NemHandel Rationalet for valg af cloud Overvejelser vedr. sikkerhed Løsning og erfaringer indtil

Læs mere

Digital sikkerhed i Danmark 2013. Årsrapport fra Rådet for Digital Sikkerhed

Digital sikkerhed i Danmark 2013. Årsrapport fra Rådet for Digital Sikkerhed Digital sikkerhed i Danmark 2013 Årsrapport fra Rådet for Digital Sikkerhed Kolofon DIGITAL SIKKERHED I DANMARK / 2013 Udgivet juni 2013 af Rådet for Digital Sikkerhed som pdf-fil. Redaktion: Birgitte

Læs mere

Offentlige virksomheder i forandring. It og kommunikation til fremtidens udfordringer i staten

Offentlige virksomheder i forandring. It og kommunikation til fremtidens udfordringer i staten Offentlige virksomheder i forandring It og kommunikation til fremtidens udfordringer i staten Skab fremtidens offentlige sektor med it Den offentlige sektor møder benhårde krav. Medarbejdere kræver fleksibilitet,

Læs mere

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven).

lov nr. 429 af 31/05/2000 med senere ændringer om behandling af personoplysninger (Persondataloven). Bilag 6 Databehandleraftale og databehandlerinstruks 1. Leverandøren overholder de til enhver tid gældende regler og forskrifter for behandling af personoplysninger under Kontrakten, herunder: lov nr.

Læs mere

Instrukser for brug af dataudstyr ved OUH

Instrukser for brug af dataudstyr ved OUH Skal Kan Må ikke Instrukser for brug af dataudstyr ved OUH Afdelingen for Driftsoptimering og IT Vi er til for borgerne, og bruger dataudstyr for at sikre effektivitet og kvalitet. Vi skal have en høj

Læs mere

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Oluf Engell Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget) Partner Tlf 33 34 50 00 oe@bruunhjejle.dk

Læs mere

- for forretningens skyld

- for forretningens skyld Produkt og produktionssikkerhed - for forretningens skyld DI og DI ITEK sikkerhedsaktiviteter Bidrage til bedre tryghed i erhvervslivet og det øvrige samfund Informationssikkerhed Virksomhederne Borgerne

Læs mere

I et moderne IT-samfund som Danmark bliver borgerne registreret utallige steder hver dag og hele tiden. I det virkelige liv og i cyberspace

I et moderne IT-samfund som Danmark bliver borgerne registreret utallige steder hver dag og hele tiden. I det virkelige liv og i cyberspace Persondataloven Den danske lov om behandling af persondataoplysninger kaldes PERSONDATALOVEN og det er Datatilsynet, som fører tilsyn ang. loven!! Desværre voldsomt underbemandet men de gør jo, hvad de

Læs mere

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE SLIDE 1 DATABESKYTTELSESDAGEN IT-SIKKERHED SET FRA LEVERANDØRENS SIDE v/ Koncernsikkerhedschef Rasmus Theede Offentlig AGENDA FRIDAY, 31 JANUARY 2014 SLIDE 2 Sikkerhed set fra kundens side, og leverandørens

Læs mere

OFFENTLIG DIGITALISERING NYE DIGITALE SIKKERHEDSMODELLER DANSK IT - ÅRHUS 23. MAJ 2012

OFFENTLIG DIGITALISERING NYE DIGITALE SIKKERHEDSMODELLER DANSK IT - ÅRHUS 23. MAJ 2012 OFFENTLIG DIGITALISERING NYE DIGITALE SIKKERHEDSMODELLER DANSK IT - ÅRHUS 23. MAJ 2012 Birgitte Kofod Olsen Formand Rådet for Digital Sikkerhed, CSR chef Tryg Forsikring Rådet for Digital Sikkerhed Rådet

Læs mere

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores It Revision & Rådgivning Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores kunder med. 2 Revision og rådgivning

Læs mere

Vejledning om avanceret afhentning. i Digital Post på Virk.dk.

Vejledning om avanceret afhentning. i Digital Post på Virk.dk. Vejledning om avanceret afhentning og sortering i Digital Post på Virk.dk. Denne vejledning beskriver, hvordan virksomheder, foreninger m.v. med et CVR-nummer kan modtage Digital Post, herunder hvordan

Læs mere

Høringssvar vedr. bestemmelser om obligatorisk digital kommunikation mellem virksomheder og det offentlige

Høringssvar vedr. bestemmelser om obligatorisk digital kommunikation mellem virksomheder og det offentlige Notat Høringssvar vedr. bestemmelser om obligatorisk digital kommunikation mellem virksomheder og det offentlige Til: Michael Søsted og Grethe Krogh Jensen, Erhvervs- og Selskabsstyrelsen Fra: Dansk Erhverv

Læs mere

Sikkerhed i trådløse netværk

Sikkerhed i trådløse netværk Beskyt dit trådløse netværk IT- og Telestyrelsen Holsteinsgade 63 2100 Kbh. Ø Telefon 3545 0000 Telefax 3545 0010 E-post: itst@itst.dk www.itst.dk Rådet for it-sikkerhed www.raadetforitsikkerhed.dk Der

Læs mere

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI

Indstilling Master i IT-sikkerhed. Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Indstilling Master i IT-sikkerhed Jette Lundin it-vest leder på Handelshøjskolen Lektor på IFI Baggrund Med it i alting, Supply Change Management, netværksorganisationer og med systemer sammensat af kommunikerende

Læs mere

It-sikkerhedstekst ST7

It-sikkerhedstekst ST7 It-sikkerhedstekst ST7 Overdragelse af faktorer ved udstedelse af et personligt login til en identificeret fysisk Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST7 Version 1 Februar

Læs mere

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa

Persondataretlig compliance i praksis. Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa Persondataretlig compliance i praksis Uddannelsesdagen 28. maj 2015 v/ partner Thomas Munk Rasmussen og partner Mikkel Friis Rossa Compliance hvorfor er det vigtigt nu? Øget fokus på persondata Den teknologisk

Læs mere

GovCERT og DK CERT. Forskningsnettet 17. november 2010

GovCERT og DK CERT. Forskningsnettet 17. november 2010 GovCERT og DK CERT Forskningsnettet 17. november 2010 Hvad er GovCERT? GovCERT står for Government Computer Emergency Response Team, og er en statslig internet varslingstjeneste plaseret i IT- og Telestyrelsen

Læs mere

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S Customer Managed Hvorfor vælger man som kunde Cloud? Customer Customer No cloud (On-Premise)

Læs mere

SIKKER PÅ NETTET - TRYG SELVBETJENING

SIKKER PÅ NETTET - TRYG SELVBETJENING SIKKER PÅ NETTET - TRYG SELVBETJENING Din kontakt med det offentlige starter på nettet www.borger.dk DET OFFENTLIGE BLIVER MERE DIGITALT Oplysninger om folkepension og andre offentlige ydelser, ændringer

Læs mere

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II) 1 Udgivet af: DI ITEK Redaktion: Henning Mortensen ISBN: 978-87-7353-951-4 0.05.12

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk

Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S. Sendt til: mt@etikportalen.dk Michael Teschl Etik Portalerne ApS Lotusvej 58 2300 København S Sendt til: mt@etikportalen.dk 14. marts 2013 Vedrørende behandling af personoplysninger hos Etik Portalerne ApS Datatilsynet Borgergade 28,

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

IT-SIKKERHEDSPOLITIK UDKAST

IT-SIKKERHEDSPOLITIK UDKAST IT-SIKKERHEDSPOLITIK UDKAST It-sikkerhedspolitikken tilstræber at understøtte Odsherred Kommunes overordnede vision. It- og øvrig teknologianvendelse, er et af direktionens redskaber til at realisere kommunens

Læs mere

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed Forslag til Vordingborg Kommunes Overordnede bestemmelser om IT- informationssikkerhed Rev. 12. januar 2015 Hvad der er markeret med rød skrift er tilføjelser til den vedtagne politik af 24. februar 2011.

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

KLs forslag til forbedring af EUs persondataforordning

KLs forslag til forbedring af EUs persondataforordning Holdningspapir KLs forslag til forbedring af EUs persondataforordning Baggrund Europa-Kommissionen har foreslået, at det nuværende persondatadirektiv 1 skal opdateres som en forordning. Persondatadirektivet

Læs mere

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET

RÅDET FOR DIGITAL SIKKERHED GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET GUIDE TIL SIKRING AF FORBRUGER- ELEKTRONIK PÅ INTERNETTET TING PÅ INTERNETTET Internet of things er et moderne begreb, som dækker over, at det ikke længere kun er computere, der er på internettet. Rigtig

Læs mere

Røde Kors i Danmarks holdning til korruption

Røde Kors i Danmarks holdning til korruption GODKENDT AF HOVEDBESTYRELSEN 31. JANUAR 2013 Røde Kors i Danmarks holdning til korruption RødeKors.dk INDHOLD 1 Indledning... 3 2 Hvad er korruption?... 3 3 Standpunkt angående korruption... 4 4 Tilgang

Læs mere

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed.

Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. 4. marts 2014 Forsvarsministeriet Att.: Peter Heiberg Holmens Kanal 42 1060 København K Mail: pah@fmn.dk Vedr.: Høring over udkast til forslag til lov om Center for Cybersikkerhed. Rådet for Digital Sikkerhed

Læs mere

Retningslinjer om brugeransvar

Retningslinjer om brugeransvar Retningslinjer om brugeransvar April 2015 Movia Design/Mette Malling 04.15. Fotos: Movia Indhold Pas på vores Movia 5 Movias målsætninger 6 Hvem har ansvaret? 8 Fortrolighed 9 Movias omdømme 11 Pas på

Læs mere

Beskyttelse af personlige oplysninger

Beskyttelse af personlige oplysninger Beskyttelse af personlige oplysninger Kelly Services, Inc. og dens datterselskaber (herefter kaldet "Kelly Services" eller Kelly ) respekterer dit privatliv, og vi anerkender, at du har rettigheder i forbindelse

Læs mere

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted).

Hvad du søgte efter Identiteten på det websted, du besøgte umiddelbart før vores websted (henvisende websted). Brugervilkår og andre gode ting, som du bør vide for at være sikker online. Sikkerhed er alles ansvar En del af IKEA ånden er "jeg gør min del, du gør din del, og sammen gør vi en masse." Dette gælder

Læs mere

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 ISO 27001 som ledelsesværktøj til risikostyring i den digitaliserede virksomhed Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015 Udfordringer mht. persondata eksempler For mange brugere har adgang til

Læs mere

Guide til awareness om informationssikkerhed. Marts 2013

Guide til awareness om informationssikkerhed. Marts 2013 Guide til awareness om informationssikkerhed Marts 2013 Udgivet marts 2013 Udgivet af Digitaliseringsstyrelsen Publikationen er kun udgivet elektronisk Henvendelse om publikationen kan i øvrigt ske til:

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

Informationssikkerhedspolitik for Vejen Kommune

Informationssikkerhedspolitik for Vejen Kommune Informationssikkerhedspolitik for Vejen Kommune Denne politik er godkendt af byrådet d. xx. Og træder i kraft d. xx. Seneste version er tilgængelig på intranettet. Indledning Vejen Byråd fastlægger med

Læs mere

Databehandleraftale. Der er indgået denne Databehandlingsaftale ("Aftale") mellem

Databehandleraftale. Der er indgået denne Databehandlingsaftale (Aftale) mellem Oktober 2014 Sagsnr. 013928-0190 cen/dla Databehandleraftale Der er indgået denne Databehandlingsaftale ("Aftale") mellem Fredericia Kommune Gothersgade 20 7000 Frdericia CVR-nr.: 69116418 ("Kommunen")

Læs mere

Gode råd til brugerne: Bekæmp PHISHING!

Gode råd til brugerne: Bekæmp PHISHING! Baggrund Senest i perioden juli og august 2009 har UC Lillebælt været udsat for forskellige forsøg på at udnytte vores it-systemer til at indsamle personlige data og kommunikere ulovligt reklamemateriale.

Læs mere

Digitale ambassadører

Digitale ambassadører Digitale ambassadører 01-01-2013 31-12-2014 Politisk udvalg: Økonomiudvalg I juni 2012 vedtog Folketinget lov om digital post og lov om obligatorisk selvbetjening, som gør det obligatorisk for erhvervsliv

Læs mere

Høringssvar vedr. forslag til Lov om Danmarks Grønne Investeringsfond

Høringssvar vedr. forslag til Lov om Danmarks Grønne Investeringsfond Erhvervs- og Vækstministeriet Slotsholmsgade 10-12 DK - 1216 København K NAH@evm.dk København, den 29. september 2014 Høringssvar vedr. forslag til Lov om Danmarks Grønne Investeringsfond Hermed følger

Læs mere