It-sikkerhedstekst ST4

Transkript

1 It-sikkerhedstekst ST4 Datatransmission af personoplysninger på åbne net Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST4 Version 1 Oktober 2014

2 Datatransmission af personoplysninger på åbne net Af persondatalovens 41, stk. 3, fremgår, at der skal træffes de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette indebærer, at når personoplysninger transmitteres på et net, skal blandt andet følgende sikres: 1. Personoplysningers fortrolighed skal beskyttes ved, at der sikres mod uvedkommendes adgang. 2. Personoplysningers integritet skal sikres ved at forhindre, at data ændres undervejs. Alternativt skal modtageren kontrollere, om data er blevet ændret undervejs. 3. Det skal sikres, at modtager og afsender er dem, de giver sig ud for (autenticitet). Fortrolighed, integritet og autenticitet skal sikres i alle situationer, hvor der sker en datatransmission, som er omfattet af persondataloven, ligesom persondatalovens krav generelt skal efterleves. Dette er uafhængigt af, hvordan man vælger at klassificere det net, som transmissionen foregår på (fx at det er klassificeret som et "lokalnet"). Spørgsmålet er, hvilke muligheder den dataansvarlige har for at sikre blandt andet fortrolighed, integritet og autenticitet, når datatransmissionen sker på et åbent net. Internettet er et åbent net, men der findes også mange andre åbne net af forskellige typer og størrelser. Selv om et net er åbent, er det muligt at sikre fortrolighed, integritet og autenticitet. Her følger et eksempel på, hvilke risici der kan være er forbundet med at transmittere data over internettet. Hvis man transmitterer et dokument ukrypteret over internettet, har man ikke sikret fortrolighed, integritet og autenticitet, primært fordi mange ukendte parter har adgang til internettet og benytter nogle af de samme elementer i nettet til datatransmission og anden databehandling. Der er desuden mulighed for, at andre parter end den korrekte afsender og modtager kan læse og ændre dokumentet undervejs (fx leverandørerne af de forskellige elementer, som indgår i netværket). Her følger et eksempel på, hvordan man kan sikre fortrolighed, integritet og autenticitet, når man transmitterer et dokument over internettet. Det er muligt at benytte tekniske sikkerhedsforanstaltninger, der sikrer, at dokumentet krypteres og digitalt signeres, inden transmissionen påbegyndes. Det vil normalt også være nødvendigt at supplere med organisatoriske foranstaltninger for at opnå den ønskede sikkerhed. Situationen kan beskrives således: Krypteringen kan beskytte indholdet mod uvedkommendes adgang. Forudsat at krypteringen er tidssvarende, og krypteringsnøglerne håndteres korrekt, har man herved truffet foranstaltninger, som sikrer dokumentets fortrolighed. Hvis dokumentet kun kan dekrypteres af den rette modtager, indebærer det, at selv om ukendte parter har adgang til datatransmissionen, er det kun den rette 1

3 modtager, som kan læse dokumentet. Herved har man indirekte truffet foranstaltninger, som sikrer ægtheden af den korrekte modtagers identitet, altså modtagerens autenticitet. Signeringen gør det muligt for modtageren at kontrollere ægtheden af afsenderens identitet. Forudsat at denne kontrol har fundet sted, og signeringen er pålidelig 1, har man herved truffet foranstaltninger, som sikrer afsenderens autenticitet. Signeringen gør det muligt for modtageren at kontrollere, om der er blevet ændret, tilføjet eller fjernet indhold undervejs mellem afsender og modtager. Forudsat at denne kontrol har fundet sted, og signeringen er pålidelig, har man herved truffet foranstaltninger til kontrol af dokumentets integritet. Problemet med upræcise netværksbegreber Den teknologiske udvikling og sprogets udvikling bevirker, at tekniske begreber og ikke mindst netværksbegreber har en tilbøjelighed til at ændre betydning over tid. Det drejer sig fx om begreber som "net", "lokalnet", "intranet", "eksternt net", "VPN" (Virtuel Private Network) og "privat netværk". Disse begreber har ikke nogen alment anerkendt definition/betydning, eller deres betydning har ændret sig f.eks. ved, at begreberne i tidens løb er blevet brugt mere bredt og nu omfatter flere typer af net, end de gjorde oprindeligt. Et eksempel er "Lokalnet", som var den danske oversættelse af LAN (Local Area Network). Begrebet blev brugt om netværk, der var fysisk begrænset til et geografisk område, typisk en bygning, eller en samling bygninger (matrikel), som blev brugt af ét og samme firma. "Lokalnet" var typisk fysisk isolerede og uden forbindelse til andre net og uden trådløse opkoblingspunkter, hvilket er mere usædvanligt i dag. I dag har "Lokalnet" ofte adgang til og fra andre net, f.eks. internettet, underleverandørers, kunders og samarbejdspartneres net samt trådløse net, og det er ikke nødvendigvis begrænset til en matrikel. I dag er de fleste net, der betegnes som "lokalnet", i praksis mere eller mindre åbne. Et andet eksempel er "VPN", som traditionelt var en forbindelse over et offentligt net, hvor datatransmissionen blev gjort "privat" ved at bruge end-to-end-kryptering. I dag bruges begrebet "VPN" også om andre typer netværk, der etablerer en større eller mindre grad af "privathed" uden brug af kryptering. Dertil skal bemærkes, at denne "privathed" ikke nødvendigvis vil tilfredsstille persondatalovens krav til fortrolighed, integritet og autenticitet. Eksemplerne viser, at klassificering af et net ved brug af upræcise netværksbegreber, ikke kan bruges til at vurdere, hvor åbent eller sikkert nettet er. Den teknologiske udvikling Når man taler om åbne net, er det ikke noget, som kan beskrives endegyldigt, bl.a. fordi der er ubegrænsede tekniske måder, hvorpå man kan opbygge et net, og fordi det også afhænger af, hvordan nettet og brugerne administreres. Samtidig betyder den teknologiske udvikling, at der opstår nye måder, hvorpå man kan sammenkoble og tilgå net. Dermed opstår der nye måder at gøre nettene mere åbne på. 1 Pålidelighed ved en signering afhænger blandt andet af sikkerheden i etablering, opbevaring og distribution af signaturen, og om udstederen af signaturen er troværdig. 2

4 Den teknologiske udvikling betyder sammen med de upræcise netværksbegreber, at klassificering af et net ikke er brugbart til vurdering af graden af åbenhed i netværket. I praksis er man i stedet henvist til ud fra de konkrete forhold og omstændigheder at undersøge, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger den dataansvarlige har mulighed for at implementere for derigennem at sikre fortrolighed, integritet og autenticitet i datatransmissionen. Indikatorer for åbne net Ved nogle net er der ingen tvivl om, at det er åbent, f.eks. internettet og SMS-infrastrukturen. På disse net er det ikke muligt for den dataansvarlige at vide, hvilke parter der kommer til at indgå i transmissionen, og dermed er det umuligt på forhånd at udelukke uvedkommendes adgang til de personoplysninger, som indgår i transmissionen. Det er ligeledes umuligt at sikre, at alle parter med adgang til personoplysninger følger et bestemt regelsæt. I andre tilfælde kan der være mere tvivl, og i disse situationer kan man med fordel kigge på indikatorer for åbne net. Internettet og SMS-infrastrukturen indeholder flere indikatorer på, at det er åbne net. Andre net har måske kun én indikator, men det kan være nok til at konkludere, at der er tale om et åbent net. At bruge disse indikatorer til at vurdere nettets "åbenhed" kan kræve et dybdegående kendskab til det specifikke net, de fysiske rammer, administration af nettet og de regler, som brugerne instrueres i at følge. Det er den dataansvarlige, som skal foretage en sådan vurdering, og ofte kræver det hjælp fra samarbejdspartnere med teknisk indsigt. Der kan ikke laves en udtømmende liste over indikatorer, idet der er utallige kombinationsmuligheder for netværksopbygninger, administration af net, administration af brugere samt fysiske rammer. Samtidig kan det ikke forudses, hvilke muligheder der ligger i fremtidig teknologi. Her følger nogle eksempler på indikatorer. Hvis én eller flere af følgende forhold gør sig gældende, indikerer det et åbent net: Den dataansvarlige styrer ikke suverænt alle adgange til nettet. o Eksempel på årsag: Én eller flere adgange styres af andre. Den dataansvarlige styrer ikke suverænt, hvem der får (fysisk eller logisk) adgang til nettet. o Eksempler på årsager: Opkobling til nettet, fx ved tilslutning til netværksstik eller trådløst adgangspunkt, styres af andre, eller tilslutningen er ikke tilstrækkeligt beskyttet mod, at uvedkommende kan koble sig på nettet. Den dataansvarlige sikrer sig ikke, at alle, der får adgang nettet, er underlagt den dataansvarliges instruks om, hvordan personoplysninger skal behandles på nettet. o Eksempel på årsag: Nogle af de personer, som har adgang, kan ikke underlægges interne regler, ansættelseskontrakter, tavshedserklæringer eller databehandlingsaftaler. Den dataansvarlige styrer ikke suverænt datatransmissionen til og fra nettet. o Eksempel på årsag: Én eller flere mulige metoder til at transmittere personoplysninger ud af nettet styres ikke af den dataansvarlige. Det kan f.eks. 3

5 være datatransmission i forbindelse med kopiering, backup, , synkronisering/overførsel til bærbare enheder, mv. Den dataansvarlige kan ikke på forhånd vide, hvilke parter der kommer til at indgå i en forestående datatransmission. o Eksempel på årsag: Data sendes via ét eller flere net, men hvilke net der kommer til at indgå, styres ikke af den dataansvarlige, eller det er ukendt for den dataansvarlige. Den dataansvarlige har ikke den fulde kontrol med datatransmissionen på nettet indtil det punkt, hvor dataansvaret overgår til en anden part. o Eksempel på årsag: Det er ikke klart defineret, hvor dataansvaret overgår til en anden part, og dermed er der "punkter" eller strækninger undervejs på transmissionsvejen, hvor det er uklart, hvem der har dataansvaret. Den dataansvarlige har ikke det fulde kendskab til nettets opbygning eller involverede parter (driftsleverandører og underleverandører) og ved dermed ikke, hvem der har adgang til datatransmissionen på nettet. o Eksempel på årsag: Nettets opbygning/administration eller ændringer i opbygningen/administrationen kontrolleres ikke af den dataansvarlige. Er én eller flere af indikatorerne til stede, indikerer det et åbent net, og dette forhold skal indgå i vurderingen af, hvordan man kan sikre fortrolighed, integritet og autenticitet ved datatransmissioner på nettet. End-to-End-kryptering er pt. en anerkendt metode, hvormed man i tilstrækkelig grad kan sikre fortrolighed i en datatransmission under de forhold, som er beskrevet i indikatorerne og dermed på et åbent net. For også at sikre integritet og autenticitet kan krypteringen f.eks. suppleres med en pålidelig digital signering og instruktion til brugerne i, hvorledes signeringen skal kontrolleres. Tilbagevendende vurdering Den dataansvarliges muligheder for at styre forskellige aspekter af nettet og implementere de nødvendige sikkerhedsforanstaltninger kan ændre sig. Det kan fx. ske i forbindelse med ændringer i nettets opbygning/administration eller i trusselsbilledet. Eksempelvis kan en sikkerhedsbrist i form af en udnyttet sårbarhed i en firewall, eller en bruger, der bringer problematisk software ind på nettet, med ét slag ændre på den dataansvarliges muligheder for at styre adgangen til nettet eller muligheder for at styre datatransmissioner ud af nettet. Derfor er det en løbende proces at "efterse", om de sikkerhedsforanstaltninger, man aktuelt benytter, er gode nok til at beskytte personoplysninger. Ligeledes skal krypteringsmekanismerne efterses. Disse har en begrænset levetid, forstået på den måde, at ingen kryptering beskytter data for evigt. dt@datatilsynet.dk (+45)