LEVERANDØR TIL STAT, KOMMUNER, INTERNATIONALE ORGANISATIONER, SMÅ OG STORE VIRKSOMHEDER NATIONALT OG INTERNATIONALT

Transkript

1 C-CURE ETABLERET I 1993 DANSKE OG INTERNATIONALE SAMARBEJDSPARTNERE OG IT SIKKERHEDSPECIALISTER LEVERANDØR TIL STAT, KOMMUNER, INTERNATIONALE ORGANISATIONER, SMÅ OG STORE VIRKSOMHEDER NATIONALT OG INTERNATIONALT MEDLEM AF DANSK INDUSTRI (DI), DI S DIGITALE MENTORKORPS OG SIKKERHEDSUDVALGET DER RÅDGIVER VED HØRINGER TIL EU KOMMISIONEN OG DEN DANSKE REGERING I ADVISORY BOARDET HOS POLITIETS NC3 SKYT, DER FACILITERER ET STYRKET SAMARBEJDE MELLEM POLITIET OG ERHVERVSLIVET

2 KONSULENTYDELSER Projektledelse efter Scrum eller Prince2 principper Vikariater Incident Respons Risk Management Risk Assessment Security Assesment Support Konsulentbistand i netværk Udarbejdelse af IT Politikker Security Baseline Fysisk sikkerhedsafprøvning ISO eftersyn og certificering

3 LØSNINGSOMRÅDER Vulnerability management Penetrationstest Sårbarhedstest Load Balancing Fibertapping beskyttelse DDoS Prevention Log management Netværksovervågning Sikker DNS Privileged Access Control Antivirus Patching Kryptering MDM Back-up Mailfiltering Autentificering Firewall Intrusion Prevention System Webfiltering

4 TJENESTER Firewall overvågning Antivirus overvågning t Portscanninger Penetrations tests Patch management Webapplication security tests Netværksovervågning Sårbarheds skanninger

5 AWARENESS UNDERVISNING AWARENESS TEST AF MEDARBEJDERE OG ORGANISATIONER. UDARBEJDELSE AF IT SIKKERHEDSPOLITIKKER M.M. Kæden er ikke stærkere end det svageste led

6 Udvalgte Producenter

7 IT IS NOT ONLY FOR WHAT WE DO THAT WE ARE HELD RESPONSIBLE, BUT ALSO FOR WHAT WE DO NOT DO / Moliere

8 Hvem er klogest? Juristerne: En opgave for jurister Der står meget lidt i reglerne om, hvordan man skal beskytte data. Der skal fokus på compliance med loven. Sikkerhedsfolk kender ikke den komplicerede retspraksis. Sikkerhedsfolk kan ikke foretage en vurdering af hvilke problematikker, som er relevante. Sikkerhedsfolk: Grundlæggende handler det om at beskytte personoplysningers fortrolighed og til dels deres integritet. Der er fokus på risikovurderinger, privatlivsimplikationsanalyser, dataklassifikation, sikringstiltag, design af IT-arkitektur Det er en sikkerhedsbrist i sig selv at overlade netop det til en jurist. VÆLG RÅDGIVNING FRA BEGGE PARTER OG LAD IKKE RÅDGIVERE REVIDERE DERES EGNE TILTAG!

9 Personhenførbare data Definitionen på personhenførbare data er: Informationer med løbenummer eller lignende, f.eks. udlånsnummer, medlemsnummer eller journalnummer. Hvis navn og adresse er erstattet af en kode (Pseudonymisering),som kan føres tilbage til en person, er der stadigvæk tale om en personoplysning. Krypterede data hører derfor også ind under begrebet personoplysninger. Følsomme personoplysninger : Race eller etnisk oprindelse Politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold Helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Behandling af genetiske- og biometriske data, med det formål entydigt identificere en fysisk person. KUN OPLYSNINGER OM REGISTREREDE DER ER ANONYMISERET/IKKE IDENTIFICERBARE FALDER UDEN FOR PERSONDATALOVEN.

10 Hvorfor privacy Individsynspunkt Individets kontrol med egne personoplysninger, selvbestemmelse. Risiko for anvendelse imod individets interesser Stigmatisering ud fra historisk og geografisk info eller holdninger Ytringsfrihed, demokrati Virksomhedssynspunkt God kundepleje, så kunden forbliver kunde og taler positivt om virksomheden herunder skabe tryghed når kunder med forskellige præferencer f.eks. videregiver personoplysninger Det gode ry, Corporate Social responsibility Overholdelse af loven Minimering af omkostninger

11 Trusler eks. Fra DK SE&HØR-sagen Tys-tys-kilden, der var It-specialist hos IBM tilgik og anvendte personoplysninger fra Nets Modtog betaling fra SE&HØR (10k/md, i alt 310k) Konsulenten havde også adgang til Nem ID Dansk Forsvars Management- og Ressourcestyringssystem, der samler og behandler oplysninger om økonomi, personel, materiel, projektledelse, ledelsesinformation, kurser, indkøb, arbejdstid, tjenesterejser m.m. Og flere andre steder Ofre: kongehuset, politikere, sportsfolk og kunstnere 12 sigtede, deraf 8 tiltaler bl.a. hos SE&HØR m.v. INSIDERPROBLEMATIK OG MANGLENDE FUNKTIONSADSKILLELSE

12 Trusler eks. Fra DK CSC-sagen Hack mod CSC gav adgang til data til og fra CPR-registret, kørekortregistret og Schengens informationssystem med oplysninger om efterlyste europæere. Der blev udnyttet en Zero-day sårbarhed, samt lokale administratorrettigheder En åben webserver med inddatering af pensioner kørte på samme server Man efterlevede ikke rettidigt IT revisionens henstillinger om patching. Konsekvenser: Hackeren Per Gottfrid Svartholm Warg blev dømt og en lang række borgeres kompromitteret,- uvist hvad de endelige konsekvenser er. MANGLENDE PATCHING, SEGMENTERING, LOGNING + LOKALE ADMINISTRATORRETTIGHEDER

13 Trusler eks. Fra DK Statens serum Institut-sagen SSI sendte med anbefalet brev (elektronisk) CPR-nummer og sundhedsoplysninger om borgere til Danmarks Statistik. Brevet blev fejlleveret og åbnet af Chinese Visa Application Centre Oplysningerne omfattede CPR-nummer og diagnoser vedrørende diabetespatienter, cancerpatienter og psykisk syge Datatilsynet havde allerede i 2013 henstillet til at SSI ændrede procedure Konsekvenser: Hvem ved hvad kineserne vil bruge det til,- SSI procedure er nu ændret, men det er ikke første gang SSI laver fejl. MANGLENDE FILDELING, KRYPTERING OG GENEREL SECURITY AWARENESS

14 Trusler DK Fejl i Rejsekortet for registrerede brugere Fejlen har gjort det muligt for brugere, der er logget ind via selvbetjeningsløsningen, at tilgå fakturaer, kreditnotaer og rykkere for andre brugere. Det har kunnet lade sig gøre ved at ændre i den url, som optræder i browserens adressefelt. PROGRAMMERINGSFEJL, PRIVACY BY DESIGN FEJL OG MANGL. BRUGERSEGMENTERING

15 Behandling af følsomme personoplysninger BEHANDLING ER SOM UDGANGSPUNKT FORBUDT Undtagelser: Eksplicit samtykke, med mindre national lovgivning fastslår at borgeren ikke har ret til at give et sådant samtykke Overholde den dataansvarliges eller den registreredes arbejds-, sundheds- og socialretlige forpligtelser og specifikke rettigheder med hjemmel i EU-ret, national ret eller kollektive overenskomster Vitale interesser Stiftelser, foreninger m.v. som led i legitime aktiviteter Offentliggjort af den registrerede selv Retskrav Væsentlige samfundsinteresser på grundlag af lov På sundhedsområdet (til dels med tavshedspligt) Videnskabelig eller historisk forskning og statistik

16 Integritet og fortrolighed Databehandlingen må kun ske, hvis der er foretaget fornødne sikkerhedsforanstaltninger og Databeskyttelsen skal bl.a. sikre mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse. Det fremgår af forordningen (artikel 32) at tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, bl.a. kan være: pseudonymisering og kryptering af personoplysninger

17 Samtykke Bekræftende handling, der er viser en fri, specifik, informeret og utvetydig accept af at data behandles til et eller flere specifikke formål For følsomme personoplysninger skal samtykket være eksplicit (dog ikke for fagforeninger). Det er den dataansvarlige, som har ansvaret for at påvise at der er afgivet samtykke Hvis samtykket er skriftligt skal det gives i en let tilgængelig form og være let at forstå

18 Samtykke Anvender I pseudonymisering og/eller kryptering? Har I elektroniske processer for indhentning af samtykke, som kan bruges til dokumentation?

19 Datasubjektets rettigheder Mest bemærkelsesværdigt ER Retten til at få indsigt, muligheden for at trække samtykke tilbage, berigtige eller slette personoplysninger, begrænse behandling, gøre indsigelse mod behandling og retten til dataportabilitet. De registrerede har desuden ret til at få bekræftet behandling af personoplysninger f.eks.: Formål Kategorier af personoplysninger Modtagere Tidsrum for behandling Ret til berigtigelse, sletning, begrænsning og indsigelse Klage til tilsynsmyndighed Evt. kilde til personoplysninger Profilering Evt. overførsel til tredjeland Der skal udleveres kopi af personoplysninger (dog mod rimeligt gebyr)

20 Datasubjektets rettigheder De registrerede har ret til at få begrænset eller slettet data - retten til at blive glemt, (hvis det ikke er uforholdsmæssigt vanskeligt) når: Rigtigheden af personoplysningerne bestrides Behandlingen er ulovlig Data ikke længere er nødvendige for formålet Samtykke trækkes tilbage Der gøres Indsigelse og ikke findes legitime grunde til behandling Lovgivning tilsiger sletning Når det drejer sig om Informationssamfundstjenester rettet mod børn, kan der bedes om sletning.

21 Opbevaringsbegrænsning Data må kun lagres i en form, hvor den registrerede ikke kan identificeres i længere tid end nødvendigt Der er undtagelser for arkivering samt videnskabelige, historiske og statistiske formål Ukorrekte data skal slettes eller berigtiges

22 Opbevaringsbegrænsning Har I styr på back-up processer og datalagring,- kan data, i alle systemled slettes, rettes eller verificeres?

23 Dataansvarlig pligter Overordnet ansvarsplacering: PbDx2 Den dataansvarlige er OGSÅ ansvarlig for data placeret hos databehandlere. Den dataansvarlige skal designe og dokumentere passende tekniske og organisatoriske sikkerhedsforanstaltninger som understøtter principperne for behandling under hensyn til: Teknologiens udviklingsstadie Omkostningerne Behandlingens karakter, omfang, sammenhæng og formål Risici, sandsynlighed og alvor (konsekvens) for de registrerede Pseudonymisering og dataminimering Kun nødvendige personoplysninger behandles, som udgangspunkt (slået til som standard) Producenter opfordres til at indbygge disse tiltag, således at den dataansvarlige og databehandleren gøres i stand til at blive compliant.

24 Databehandlers pligter Databehandlere skal kun benyttes, når de kan garantere og dokumentere at der er implementeret de rette tekniske og organisatoriske foranstaltninger (f.eks. Separation of duties). Databehandlere må kun bruge underdatabehandlere efter samtykke fra den dataansvarlige. Igen skal dette dokumenteres Databehandler har pligt til at underrette dataansvarlig, hvis en instruktion vurderes at være ulovlig. Der kan anvendes Standard Contractual Clauses (SCC) ved overførsel til udlandet Der skal være en kontrakt/databehandleraftale baseret på EU eller national lov, som specificerer: Der må kun behandles personoplysninger efter instruktion fra den dataansvarlige Kun autoriseret personale Iværksættelse af nødvendige sikkerhedsforanstaltninger Opfylder betingelserne for anvendelse af underdatabehandlere Hjælpe den dataansvarlige med at opfylde sine pligter i forhold til de registreredes rettigheder Slette eller levere alle data til den dataansvarlige ved kontrakts ophør Tilvejebringe dokumentation til den dataansvarlige til compliance/revision, herunder hjælp med sikkerhed/sikkerhedsbrud, risikovurdering og evt. anmeldelse til tilsynsmyndighed

25 Dokumentation for behandling Den dataansvarlige har ansvar for at dokumentere efterlevelse af forordningen. Der kan til dette anvendes databeskyttelsespolitikker (og kontroller) og Code of Conducts samt certificeringsmekanismer. Fortegnelse over behandlingsaktiviteter Virksomheder med mindre end 250 ansatte er undtaget med mindre behandlingen udgør en særlig risiko for de registrerede Dataansvarlig og databehandler Navn og kontaktinformation på dataansvarlig Overførsler til tredjeland, hvor det er relevant Tekniske og organisatoriske sikkerhedsforanstaltninger Der skal samarbejdes med tilsynsmyndigheden Dataansvarlig Formål med behandling Kategorier af registrerede og personoplysninger Kategorier af modtagere Tidsperioder Databehandler Kategorier af behandlinger på vegne af de dataansvarlige

26 NIS direktivet Krav fra EU der bl.a. forpligter medlemsstater til at udpege en eller flere nationale tilsynsmyndigheder, ét nationalt kontaktpunkt Indføre sikkerhedskrav og underretningspligt for operatører af væsentlige tjenester og udbydere af digitale tjenester Udarbejde national strategi for sikkerheden i net- og informations systemer Samarbejde og udveksle informationer med myndigheder i andre medlems stater Hver medlemsstat skal senest 9. november 2018 have udarbejdet en liste over operatører der er omfattet. Brancher indbefatter: Energi, transport, bankvæsen, finansielle markedsinfrastrukturer, sundhed, drikkevandsforsyning og distribution samt digital infrastruktur væsentlige tjenester er i øvrigt såfremt tjenesten er kritisk for samfundet eller økonomiske aktiviteter Udbydere af digitale tjenester: online markedspladser, søgemaskiner, cloud tjenester Operatører der er indbefattet skal træffe passende forholdsmæssige tekniske og organisitoriske foranstaltninger for at styre risici i informations systemerne Forebygge og minimere konsekvenser af hændelser ned henblik på at sikre kontinuiteten n

27 Code of Conduct og Certificering CoC og Certificering Begge disse tiltag tillægges større vægt end i de nuværende regler Det er især foreninger der kan lave CoC EU's institutioner får til opgave at fremme certificeringsmekanismer og mærkningsordninger

28 Privacy Shield (ikke en del af forordningen) På papiret ser den nye Privacy Shield aftale flot ud. Hvis det amerikanske justitsministerium sætter Danmark på listen over lande, hvis borgere har ret til at sagsøge for privatlivskrænkelser, kan du sagsøge den amerikanske stat, hvis eksempelvis NSA eller CIA krænker dine private data. Senatorerne har dog tilføjet en bestemmelse om, at loven ikke kan stå i vejen for USA's nationale sikkerhedsinteresser. Det store spørgsmål er om vi i Europa kan stole på, at USA faktisk overholder aftalen og ikke lader NSA boltre sig i vores private data. Sådan som Edward Snowden afslørede, at det tidligere er foregået. Alle amerikanske virksomheder,- også de der hoster og tilbyder Privacy Shield i europæiske lande, er omfattet af amerikansk lovgivning,- således kan man som europæisk virksomhed ikke vide sig sikker for hvorvidt NSA får indsigt i virksomhedens data. Problematisk i forhold til konfidentialitet, følsomme personoplysninger, patenter m.m.

29 Dokumentation for behandling Har I dokumentationen på plads, har jeres databehandlere og deres eventuelle underbehandlere deres dokumentation på plads? Har I for nyligt efter forordningens perspektiv efterprøvet om jeres krav til databehandler kan efterleves og har I gennemlæst eller forhandlet jeres databehandleraftaler?

30 Sikkerhedsforanstaltninger Tiltag skal baseres på en vurdering af risici hændelig eller ulovlig; tilintetgørelse, tab, ændring, uautoriseret videregivelse eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. Passende tekniske og organisatoriske sikkerhedstiltag: Pseudonymisering - overvej kryptering Sørg for fortrolighed, integritet, tilgængelighed og robusthed Tilgængelighed og adgang skal kunne genoprettes rettidigt i tilfælde af hændelse Regelmæssig afprøvning, vurdering og evaluering Den dataansvarlige må gerne behandle data med det formål at sikre sine netværks stabilitet og styrke til at modstå angreb Det er den dataansvarlige som bestemmer, hvilke data der må behandles hvordan Kort sagt: Følg ISO27001 og ISO27002

31 Data Protection Impact Assessment DPIA =Konsekvensanalyse DPIA skal indeholde: Beskrivelse af behandlinger, formål, Legitim interesse hos dataansvarlig, Vurdering af nødvendighed og proportionalitet af behandling i forhold til formål Vurdering af risici Beskrivelse af sikkerhedsforanstaltninger DPO'en skal inddrages Tilsynsmyndigheden skal inddrages ved højrisiko (se næste slide) og kan lave liste over behandlinger, hvor DPIA skal foretages (godkendes af European Data Protection Board- EDPB) og en liste hvor der ikke skal laves DPIA. Eventuel compliance med Code of Conduct De registrerede kan eventuelt inddrages i evaluering, om end det er tidskrævende

32 Data Protection Impact Assessment Den dataansvarlige skal gennemføre en DPIA - under hensyn til: Anvendelse af nye teknologier Behandlingens karakter, omfang, sammenhæng og formål Høje risici for de registrerede - især systematisk og bred evaluering af personer med henblik på profilering, store mængder (som er minimum større end enkelte praktiserede læger eller en advokat, minimum en region) følsomme og semifølsomme oplysninger og systematisk overvågning af offentlige områder.

33 Sikkerhedsforanstaltninger Har I lavet recovery plan og tilhørende øvelser også selvom det måske involverer hosting eller servicepartnere? Har I lavet en DPIA også selvom det måske involverer hosting eller servicepartnere?

34 Databeskyttelsesrådgiver, udpegning Der skal udpeges en DPO når: Behandling gennemføres af en offentlig myndighed Den dataansvarliges kerneaktiviteter består af behandlinger der gennem deres karakter, omfang eller formål kræver en regelmæssig og systematisk overvågning af de registrerede Den dataansvarliges kerneaktiviteter er baseret på større behandlinger af følsomme eller semifølsomme data DPO'en kan være intern eller ekstern og udføre sin opgave for en eller flere virksomheder herunder en koncern. Men samtidigt gælder at DPO'en ikke må udføre opgaver, som kan skabe en interessekonflikt DPO'en er underlagt fortrolighed Data Protection Officer

35 Data Protection Officer Databeskyttelsesrådgiver, opgaver Informere og rådgive dataansvarlig, databehandler og ansatte Overvåge compliance med lovgivningen og politikker hos den dataansvarlige og databehandleren. Rådgive om DPIA Samarbejde med tilsynsmyndighed Kontaktpunkt for tilsynsmyndighed Være særlig opmærksom på risici ved behandling, herunder behandlingens karakter, omfang, sammenhæng og formål

36 Overførsel til tredje lande Privacy Shield, SCC, BCR Kommissionen kan godkende lande, områder og sektorer (EDPB European Data protection Board kan udstede opinion, tilsyn kan underkende) Kommissionen skal især lægge vægt på: Forskellige former for lovgivning, menneskerettigheder, databeskyttelse, sikkerhedstiltag, videre overførsel, håndhævelse af regler, muligheder for domstolsprøvelse. Eksistens af tilsynsmyndighed med de rette beføjelser Internationale aftaler Løbende overvåge Dataansvarlig og databehandler kan overføre data i medfør af Retligt bindende instrument BCR (Binding Corporate rules) CC/SCC lavet af Kommissionen eller tilsynsmyndighed og godkendt af Kommissionen CoC eller Certificering Der må kun overføres data til et tredjelands domstol, hvis der foreligger en bilateral national aftale.

37 Overførsel til tredje lande BCR (binding corporate rules) Skal godkendes af national tilsynsmyndighed Skal indeholde: Struktur og kontaktinfo i koncern Kategorier af oplysninger, typer af behandling, formål, type af registrerede, tredjeland De juridisk bindende forhold (hjemmel) Overholdelse af principperne, PbDx2, retsgrundlag, foranstaltninger, overførsel Overholdelse af de registreredes rettigheder, samt domstolsprøvelse Ansvar for databrud Information til de registrerede DPO'ens opgaver Klageprocedurer Procedurer for verifikation af BCRs compliance (kontroller) Procedurer for ændringer, samarbejde og indberetning til tilsynsmyndighed Uddannelse af personale

38 Overførsel til tredje lande Andre måder at overføre data på (undtagelser) Samtykke Nødvendigt for overholdelse af en kontrakt, hvor den registrerede er den ene part Kontrakt i den registreredes interesse, uden den registrerede er part Vigtige samfundsinteresser Retskrav (lidt selvmodsigende, idet der skal være en bilateral aftale) Vital interesse Hvis der er særlig lovhjemmel Hvis overførslen er enkeltstående tilfælde, der ikke gentages og berører få registrerede

39 One-stop-shop Den dataansvarliges main establishment/ primære etableringsadresse er det sted, hvor der træffes beslutninger vedr. databehandling (evt. hovedkvarter og ikke nødvendigvis det sted hvor data faktisk behandles) Hvis ikke der er et decideret hovedkvarter eller hvis der ikke er et hovedkvarter indenfor EU så main establishment, det sted hvor behandlingen foregår i EU. Tilsynsmyndigheden har kompetencerne på sit eget territorie. Hvor den offentlige sektor er dataansvarlig, foretager den nationale tilsynsmyndighed alle afgørelser. Hvor den dataansvarlige befinder sig i den private sektor træder onestop-shop i kraft. I det land hvor main establishment ligger er tilsynsmyndigheden lead supervisory authority. De øvrige tilsynsmyndigheder kan være concerned supervisory authority (fordi virksomheden også er etableret i dette land, fordi landets borgere er væsentligt berørt eller sag er rejst i det land). Virksomhedens lead supervisory authority, skal behandle sager der rejses overfor virksomheden, også selv om sagen rejses i et andet EU-land overfor et anden concerned supervisory authority. Hvis concerned ikke er enig og ønsker ændringer og disse ikke efterkommes af lead, træder sammenhængsmekanismen i kraft og en afgørelse træffes herefter. Hvis tilsynsmyndighederne er enige meddeles afgørelsen fra lead til main establishment og fra concerned til klager.

40 Data breach notification Brud på datasikkerheden DA til Myndighed: 72 timer, ellers begrundelse DB til DA: straks Indhold i meddelelse: Type af databrud, kategorier af data, antal registrerede, antal registreringer, kontaktinfo (på DPO), konsekvenser, korrigerende foranstaltninger. Dokumentation/bevissikring af databruddet DA til registreret: ved høj risiko gives meddelelse uden unødig forsinkelse i klart sprog Indhold: kontaktinfo (på DPO), konsekvenser, korrigerende foranstaltninger Undtagelser: ulæselige data, ingen risiko, vanskeligt at give information Pligt til at have procedurer for at håndtere DBN

41 Administrative bøder Tilsynsmyndighed kan udstede advarsler og reprimander Tilsynsmyndighed kan udstede administrative bøder, som skal være effektive, proportionale og afskrækkende Der skal lægges vægt på: Karakteren, alvorligheden og varigheden Med vilje eller manglende fokus Korrigerende tiltag Graden af ansvar Tidligere forteelser Villigheden til at samarbejde med tilsynsmyndighed Kategorierne af personoplysninger Om der har været gevinster ved ikke at være lovmedholdende Der kan ikke udstedes administrative bøder i Danmark. Det afventes hvordan modellen bliver: ombudsmandsmodel eller bødeforlæg via anklagemyndighed. Vi forventer sidstnævnte, hvilket betyder at tilsynet med bødeanbefaling og angivelse af beløb, anmelder til politiet der forelægger det for anklagemyndigheden, som idømmer bøden.

42 Nationale Betragtninger Fortsat mangler national harmonisering på over 50 områder og justitsministeriet arbejder på nationale tilrettelser, som skal være færdig Q Derefter skal det behandles og fremsættes som lovforslag i oktober 2017, for vedtagelse januar EU forordningen træder i kraft d. 25. maj 2018, Virksomhederne får derved ca. 5 mdr. til at efterleve de danske bestemmelser i loven.

43 Bødeniveauer 2% af omsætningen eller EUR Manglende efterlevelse af dataansvarlig eller databehandlers pligter 4% af omsætningen eller EUR Brud på principperne Brud på de registreredes rettigheder Overførsel til tredje lande uden hjemmel Manglede efterlevelse af ordre fra tilsynsmyndighed Der kan nationalt fastsættes regler om hvorvidt og i hvilket omfang der kan udstedes administrative bøder til offentlige myndigheder

44 Vær i kontrol! Compliant kan du være ved et tilfælde!

45 Topledelsen Ledelsen skal gå forrest- Vær rollemodeller for at skabe en sikkerhedskultur (Hvis det ikke betyder noget for chefen, betyder det heller ikke noget for medarbejderen) Ledelsen har ansvar for: Bøder, image og konsekvenser for de registrerede Udpeg CISO og DPO Lyt til deres råd Få korte kvartalsvise statusopdateringer Organisatoriske anbefalinger Minimum årlig godkendelse af politikker og procedurer, risikovurderinger og system/dataklassifikation. Virksomheder vil markedsføringsmæssigt fremover kunne differentiere sig stærkt på privacy i kommunikation (Privacy per default)og Privacy By Design i løsninger

46 Organisatoriske anbefalinger CISO / DPO Lyt til organisationen Lav praktisk anvendelige skabeloner med spørgsmål Evt. Spørgsmålene/kontrollerne fra DI s vejledning Evt. DI s PIA skabelon Anvend f.eks. ISO Lav risikovurderinger, konsekvensanalyser og recoveryplaner Lav politikker og procedurer og få dem godkendt af topledelsen Dokumentér, kontrollér og vedligehold Lav ikke for lange beskrivelser Samarbejd med hinanden Få databehandlingsaftaler på plads, med råd fra IT sikkerhedsrådgivere og jurister

47 Organisatoriske anbefalinger System og dataansvarlige Følg vejledninger, politikker og procedurer Bøj ikke reglerne Hvis I har spørgsmål, så gå til CISO/DPO og tag altid dem med i et IT-projektforløb (allerede når det er på idé niveau) Det handler ikke bare om compliance eller teknik, men om forretningens overlevelse og positionering i markedet

48 Anbefalinger Overordnede værktøjer og fremgangsmåde Brug ISO27002 som kontroller for at se om virksomhedens egne mål og forordningen efterleves og følg evt. vores vejledninger og checklister. PIA- Privacy Impact Assessment Sørg for at datasubjektet er beskyttet og vurder påvirkning og mulig risiko for behandling af dennes data hos virksomheden. En PIA er en vurdering af påvirkning og mulig risiko, set fra datasubjektet individuelle synspunkt, ved behandling eller opbevaring hos en instans. Besvar overordnede spørgsmål Er informationerne, som virksomheden ønsker at behandle, omfattet af forordningen; er informationerne at betragte som personoplysninger? Hvilke behandlinger og hvilke kategorier af personoplysninger ønsker virksomheden at behandle? Spiller virksomheden en rolle som dataansvarlig eller databehandler i forhold til de konkrete behandlinger? Har virksomheden et retligt grundlag til at behandle de ønskede kategorier af personoplysninger? Opfylder virksomheden principperne for behandling af oplysningerne? Er behandlingen nødvendig (proportional)? Kan virksomheden behandle oplysningerne på en mindre indgribende måde og stadig opnå formålet? Opfylder virksomheden de registreredes rettigheder ved behandling af oplysningerne? Opfylder virksomheden sine forpligtelser (herunder vedrørende overførsel og sikkerhed) ved at behandle personoplysninger?

49 Konkrete tekniske anbefalinger Privacy by design og Privacy by default Allerede i opstartsfasen af et projekt eller ved tiltag, tag da udgangspunkt i at personfølsomdata beskyttes med teknologiske tiltag, softwaredesign og forretningsstrategier fra projekternes start. Fremadrettet skal Privacy by Design og Privacy by Default være indarbejdet som standard.

50 Konkrete anbefalinger Arbejd med virksomhedens sikkerhedskultur Arbejd med Security awareness; Test viden om IT sikkerhed, politikker og processer på alle niveauer i virksomheden Foretag stikprøver f.eks. : Simulerede phishingforsøg Tailgating Planting af f.eks. USB nøgler eller Raspberry Pi s Social Engineering - chokolade eller vin mod oplysninger

51 Tekniske anbefalinger Udvælg og etabler kontakt til Forensic specialister, før I får brug for dem I computer forensics og efterforskning af hændelser i et IT miljø, er det vigtigt at bevissikre, på den rigtige måde, bl.a. ved at følge Chain of custody. Politiet og særlige IT sikkerhedsfirmaer vil kunne være behjælpelige med at bevissikre på en ubestridelig måde, der kan bruges i en retssag. Opsæt fysiske og logiske adgangskontroller - sættes i værk for at sikre autoriseret adgang Digital signatur. Til samtykkeerklæringer og bindende aftaler, for digital underskrift. (Kan også benyttes af f.eks. websteder til at verificere webstedets identitet og / eller til at kryptere data )

52 Tekniske anbefalinger Password politikker - sørg for efterlevelse. Endpointsikkerhed (også mobile enheder): Antimalware Personlig firewall (IDS og IPS) Browsersikkerhed Applikationssikkerhed Authentificering Patching Lokale administratorrettigheder Registrering af systemændringer Password management Kryptering- filer, diske og devices (uddybes)

53 Tekniske anbefalinger Backup teknologi Kan nuværende løsning leve op til slettefrister og registreredes ret til indsigt? (Nogle backup er fungerer kun hvis de installeres og man kan ikke søge i specifikke data på backup en). Sørg for at der forefindes en backup til genskabelse af data inden for estimeret tidsramme. Data kan i nogle løsninger krypteres. I tilfælde af opbevaring hos ekstern tredjepart, skal det tilsikres at den del af backupppen der rummer personhenførbare data eller personfølsomme data, kun vil være tilgængelig for den data ansvarlige. Nogle backupløsninger til Cloud eller on-premise kan effektivisere og automatisere og det vil være muligt at definere adgange og praktisere separation of duties. Nogle backup løsninger giver kun mulighed for en fuld genskabelse af data, ikke en delvis genskabelse. En udfordring hvis et datasubjekt beder om at data slettes, og det ikke teknisk er muligt at slette eller identificere enkelte data inde i backuppen.

54 Tekniske anbefalinger Patch Management på netværksniveau Next generation firewalls - Med Intrusion Prevention System og Advanced Persistent Threat. Således har man har taget et nødvendigt skridt for at sikre mod ulovlig indtrængen. Webfiltrering Sikker DNS opslag Data Leakage Prevention til hindring af at følsomme data forlader virksomheden. Der findes adskillige løsninger på markedet, såsom contentfiltre, firewalls, kryptering osv. der kan hjælpe virksomheden med at kontrollere hvilke data der forlader virksomheden forsætligt eller ved en fejl. (I filtrene kan der opsættes politikker, som forhindrer medarbejdere i f.eks. at inkluderer CPR-numre, årsregnskaber, databaser m.m. i udgående mails).

55 Tekniske anbefalinger Multi faktor autentificering, for at sikre at den korrekte person får adgang - også via VPN Privileged Access Management og Identity Management, til styring af rettigheder, tilgange og identiteter på systemniveau Sikker fildeling- hvem holder nøglerne? Application whitelisting kan sikre, at kun de ønskede applikationer og versionsnumreafvikles i virksomheden. Shadow IT Discovery- til afdækning af tilsluttede enheder Log og netværks monitorering (både til overvågning og til bevisførelse) Threat og security assessment i sikkerhedsproducenternes løsninger, såvel som I jeres egne

56 Tekniske anbefalinger Anonymizers Der findes open source tools der bruger statistiske og matematiske modeler og principper til at anonymisere datasæt, incl. risiko analyser for muligheden for at genskabe data / identificere det oprindelige data subjekt. F.eks. Navn fjernes, og alder sættes i et interval, samtidigt med at det kan bruges til statistiske formål. Der findes kommercielle løsninger til data masking, baseret på standarder indenfor PCI og HIPAA. De tilbyder bl.a. en learning proxy, der baserer masking ud fra specifikke søgninger foretaget i databasen med datasæt. Understøtter alle enterprise databaser og en række yderligere (MySQL, Hadoop m.fl.) Feature i visse databaser, bl.a. Oracle, der har indbyggede værktøjer til data masking. Formatet og hvad der skal skjules skal dog defineres af brugerne, gøres via scripting

57 Tekniske anbefalinger Hindring af tredieparts indsigt -Enhver server eller workstation kan få bypasset login hvis der er fysisk adgang til maskinen (boot og reset af SAM databasen i Windows = fuld administrator rettigheder) Enhver virtuel gæst kan tilgås af dem der har adgang til den virtuelle host, da den virtuelle server blot er en fil på hosten. (Boot og bypass, eller kopi af serveren og derefter boot). Man bør derfor overveje at sikre hindring i at 3. part (f.eks. hosting provider med fysisk eller logisk adgang) kan få indsigt i selve data. Det kan løses med: Kryptering af data Obfuscering af data pseudonymisering Anonymisering

58 Konkrete tekniske anbefalinger Kryptering (For Separation of duties og confidentiality) Harddiske- fuldisk virker til fysiske hosts, ikke virtuelle Filer -(vigtigt at nøglen ikke opbevares på selve serveren). Der findes løsninger både med private nøgler der indtastes pr. gang eller løsninger der integrerer med AD (single sign on) det kan anvendes for automatisering Kommunikation- SMS, mail og internet kommunikation Adgange; F.eks. VPN til medarbejder der arbejder fra usikre netværk, kryptering af kunde eller leverandøradgange (også datasuppliers adgange) Datalagring, HDD/USBdisk eller backup instanser Fildeling i skyen eller on premise VOIP Databaser- er en standarddel af de gængse enterprise databaser, MS SQL, DB2, Oracle m.fl.). Enkelte databaser kan have deres egen nøgle, foruden en master key. Både synkron og asynkron kryptering kan bruges i database krypteringer

59 Konkrete tekniske anbefalinger Separation of duties og confidentiality Kryptering af filer efter typer (f.eks. alle word filer) kan ske transparent for brugeren, med mulighed for at dele dokumenter med alle på samme domæne, eller med specifikke brugere, defineret i AD (F.eks. alle HR medarbejdere og ledelsen, men ellers ingen!), eller med en nøgle defineret af brugeren, så dokumenter kan gemmes og deles eksternt. Kan også anvendes i Cloud og hostede løsninger hvor cloududbyder ikke kan tilgå data. Det kan kombineres med anti malware løsninger, så kompromitterede systemer får fjernet nøgleadgangen indtil systemet er rent igen.

60 Konkrete tekniske anbefalinger Data destruktion og Data redaction Logisk Værktøjer kan anvendes i forbindelse med data destruktion, hvor man fremadrettet ønsker at anvende hardwaren i andre henseender. Teknologier kan slette og overskrive data sikkert, så tidligere data sættes i en ubrugelig stand, der ikke kan genskabes også kaldet value recovery. Fysisk For endegyldig sikring mod at data kan genskabes, kan det være nødvendigt at destruere harddisk og hardware. Det er derfor ikke nok at anvende en hammer, - komponenterne skal også være i den dårligste forfatning muligt. Redaction Sletning af specifikke dele af data f.eks CPR numre findes bl.a. mail gatewayløsninger, baseret på mønster genkendelse i datasæt sendt på mail

61 Konkrete tekniske anbefalinger Datastyring Kontrol af virksomhedens data samtidig med en funktionel bevægelig arbejdsstyrke. Ved flytning, opbevaring og deling af data mellem medarbejdere, f.eks. på mobilen, fildeling og flytbare-enheder, findes der centralt administrerede løsninger, der kan begrænse virksomhedens arbejdsbelastning, ved at implementere politikker om slettefrister, kryptering, adgange, deling m.m. Fysisk adgangsbegrænsning. Dæm op for fysisk adgang for uvedkommende til virksomhedens data og IT udstyr. Har virksomheden implementeret fysisk perimeter sikkerhed, som brug af adgangskort, medarbejder awareness, definerede fysiske arbejdsområder, aflåst server & kommunikations område, lås på vinduer og døre ved pauser osv. Få eksterne konsulentvirksomheder til implementering og vurdering af jeres fysiske sikkerhed.

62 Find løsninger og ydelser på og inspiration på i

63 Vejledning om persondata forordningen med bilag Tjekliste til persondata forordningen Persondataforordningen formuleret som kontroller Nationale bestemmelser der skal forhandles Privatlivs fremmende teknologier Metoder til beskyttelse af personoplysninger og ordforklaring i

64 Kontakt info Mette Nikander Support: Tlf Tlf