Persondataforordningen, Dansk Persondatalovgivning Hvad gør en leverandør som Microsoft en status Okt 17 Ole Kjeldsen Teknologi- & Sikkerhedsdirektør

Transkript

1 Persondataforordningen, Dansk Persondatalovgivning Hvad gør en leverandør som Microsoft en status Okt 17 Ole Kjeldsen Teknologi- & Sikkerhedsdirektør Microsoft Danmark Denne præsentation har til hensigt at give et overblik over GDPR & er ikke en definitive repræsentation af loven.

2

3 Wannacry incident

4 Som det udfoldede sig hos Microsoft.

5 Eet sammenhængende OC setup.. Industry Partners Antivirus Network INTELLIGENT SECURITY GRAPH CERTs Cyber Defense Operations Center Malware Protection Center Cyber Hunting Teams Security Response Center Digital Crimes Unit PaaS IaaS SaaS Identitet Apps & Data Infrastruktur Enhed

6 Exploit Mitigation 2. Immediately deploy critical OS security updates 2. Rapidly deploy all critical security updates 3. Isolate (or retire) computers that cannot be updated and patched 6. Stay current Business Continuity / Disaster Recovery (BC/DR) 1. Create malware-resistant backups of your critical systems and data 3. Validate your backups using standard restore procedures and tools Lateral Traversal / Securing Privileged Access 6. Implement unique local administrator passwords on all systems 1. Separate and protect privileged accounts Attack Surface Reduction 4. Implement advanced and browser protections 5. Host anti-malware gets real-time blocking from cloud 4. Disable unneeded legacy protocols 5. Discover and reduce broad permissions on file repositories

7 Photo credit: Wikimedia Cannon from Galera Forte Man kan ikke vinde kampen mod nutidens trusler med værktøjer fra fortiden!

8

9

10 Dansk proces & forslag pt. 24. Maj siders betænkning + oversigt over kommende vejledninger*. Juli August 2017 høring** om ny dansk Persondatalov (48 paragraffer fordelt på 13 kapitler) Frigivet DPO og ovf. Til 3.lande som de første frigivet i sep 17 Læs betænkningen fra Justistministeriet her: Læs Justitsministeriets første fortolkninger her: Materiale fra 3. stormøde afholdt 13/6/2017 her: ** Læs høringsmaterialet til lovforslaget her: MEST BEMÆRKELSESVÆRDIGT ER: DE FÆRRESTE private virksomheder skal have en DPO SIKKERHEDSBEKENDTGØRELSEN bortfalder helt! DET ER IKKE AFGJORT hvordan man sanktionerer offentlige som ikke lever op til GDPR/DPL 41-4 aka Krigsreglen bortfalder og erstattes af 3-9. Dermed er det alene undtagelsesvis at der kan stilles særlige geografiske krav til offentlig sektor data og alene data af relevans for National Sikkerhed

11 Næste skridt i Danmark 13 VEJLEDNINGER frigives mellem September 17 og Januar 18 - LOVFORSLAG fremsættes endeligt ved folketingets samling 10. oktober & forventes vedtaget EOY2017 HØRINGSSVAR forventes naturligvis indarbejdet i endeligt forslag IT Brancheforeningen, PROSA, DANSK INDUSTRI, Rådet for Digital Sikkerhed og en lang række andre organistioner har påpeget åbenlyse udfordringer*. Specielt manglende OffentligSanktionering og harmonisering, mulighed for OffentligAdHocHjemmel, forsinkede vejledninger og Geo som sikkerhedskontrol er blevet påpeget!

12

13 75% budgetforøgelse over 3 år Primære opgaver skifter til opsøgende tilsyn codex, akkreditering af certificeringer etc X-country tilsyn & klagebehandling Vejledning, fx i compliant brug af cloud

14 Vigtigt DET ER IKKE MULIGT, AT KØBE SIG TIL ET FÆRDIGT SYSTEM ELLER ET PRODUKT/EN TJENESTE, SOM GØR, AT MAN SOM DATAANSVARLIG KAN EFTERLEVE GDPR! DEN RETTE TEKNOLOGI KAN ASSISTERE MED COMPLIANCE & DEN RETTE PLATFORM KAN GØRE COMPLIANCE TIL EN MERE OVERKOMMELIG OPGAVE! FØRSTE SKRIDT BLIVER AT SKABE OVERBLIK OVER DATA & RISICI DEREFTER EN PLAN FOR MITIGERING & DATAGOVERNANCE

15

16 IT Løsning seperation af ansvar Data Governance and Rights Management Client End-points Account and Access Management Identity and Directory Infrastructure Application MS SaaS PaaS IaaS ISV SaaS On-Prem Ansvar, support, dokumentation & vedligeholdelse fra Microsoft fra Partner fra Kunden selv Network Controls Operating System Physical Hosts Physical Network Whitepaper: Physical Datacenter Security Privacy and Control Compliance Transparency

17 En del af løningen! 18

18 Vores commitment til vore kunder For at simplificere vore kunders vej til compliance, vil Microsoft være GDPR compliant på tværs af vore cloud services, når GDPR træder i kraft 25. May, 2018 Microsoft er OGSÅ dataansvarlig! De erfaringer deler vi og leverer værktøjer til støtte. Sammen med vore partnere, vil vi hjælpe vore kunder i arbejdet med at nå mål omkring politikker, mennesker, processer, og teknologi på vejen frem mod GDPR compliance.

19 Konkret betyder det for vore kunder, at MICROSOFT CLOUD DATABEHANDLERAFTALE BLEV 1. SEPTEMBER 2017 OPDATERET IFHT GDPR, SÅLEDES AT MS COMMITTER SIG TIL AT V O R E C L O U D VÆ R K TØ J E R VIL FÅ F U N K T I O N E R TIL A S S I S T E R E K U N D E R M E D AT : R E A G E R E PÅ H E N V E N D E L S E R O M FX B E R I G T I G E L S E R O G R I G H T 2 B E F O R G OT T E N D E T E K T E R E O G R A P P O R T E R E O M R E L E VA N T E P I I S I K K E R H E D S H Æ N D E L S E R D E M O N S T R E R E G D P R C O M P L I A N C E MICROSOF T VIL KUNNE TILBYDE DEN NØDVENDIGE DOKUMENTATION, I DET OMFANG DET ER NØDVENDIGT FOR VORE CLOUD KUNDERS COMPLIANCE* MICROSOFT VIL FORTSAT TILSTRÆBE DET HØJESTE COMPLIANCE * Læs yderligere om separations of responsibilities her: ** Læs yderligere om Microsoft Cloud Compliance her: NIVEAU MED RELEVANTE INTERNATIONALE STANDARDER** & DERUDOVER VIDEREUDVI KLE COMPLIANCE VÆRKTØJER

20 REGIONALE INDUSTRI US GOV GLOBALE Har stadig den bredeste og mest gennemgribende compliance portefølje af alle ISO ISO ISO ISO ISO 9001 SOC 1 Type 2 SOC 2 Type 2 SOC 3 CSA STAR Self-Assessment CSA STAR Certification CSA STAR Attestation Moderate JAB P-ATO High JAB P-ATO DoD DISA SRG Level 2 DoD DISA SRG Level 4 DoD DISA SRG Level 5 SP FIPS Section 508 VPAT ITAR CJIS IRS 1075 PCI DSS Level 1 CDSA MPAA FACT UK Shared Assessments FISC Japan HIPAA / HITECH Act HITRUST GxP 21 CFR Part 11 MARS-E IG Toolkit UK FERPA GLBA FFIEC Argentina PDPA EU Model Clauses UK G-Cloud China DJCP China GB China TRUCS Singapore MTCS Australia IRAP/CCSL New Zealand GCIO Japan My Number Act ENISA IAF Japan CS Mark Gold Spain ENS Spain DPA India MeitY Canada Privacy Laws Privacy Shield Germany IT Grundschutz workbook

21 Microsoft Cloud Platform adskiller sig overordnet gennem... Fuldt indblik i data lokation & adgang, med lagring i fx. EU + overholdelse af lokal lovgivning + Data Trustee model Second to none & State of the art sikkerheds og privacy setup vi har gjort det her længe! 3. Parts certificeringer & lang række af partner løsninger ovenpå platformen Principfast tilgang til databeskyttelse og myndigheders forespørgsler Vi har taget og tager fortsat slagsmålene

22 det vi endnu er på vej med Kobling af eksisterende produkter, features og funktioner med GPDR proces/elementer Specifikke GDPR dokumentationspakker Frigive funktion til at understøtte GDPR rettigheds- og proceshåndtering.. Og helt sikkert mere Det stopper ikke 25. maj, 2018!

23 Hvordan kan jeg starte? 1 Discover Identificere PII som indsamles i virksomheden & hvor PII lagres/behandles i hvilke dataflows 2 Manage Håndtere hvordan og af hvem PII tilgåes, behandles og slettes 3 Protect Etablere sikkerhedskontroller som forebygger, opdager og håndterer sårbarheder & data breaches/sikkerhedshændelser 4 Report Skab og hold den nødvendige dokumentation, håndtér dataforespørgsler & breach notifikation

24 Hvordan kan jeg starte? 0 Jura Identificere hvilke love & reguleringer organisationen og de data man behandler er underlagt 1 Discover Identificere PII som indsamles i virksomheden & hvor PII lagres/behandles i hvilke dataflows 2 Manage Håndtere hvordan og af hvem PII tilgåes, behandles og slettes 3 Protect Etablere sikkerhedskontroller som forebygger, opdager og håndterer sårbarheder & data breaches/sikkerhedshændelser 4 Report Skab og hold den nødvendige dokumentation, håndtér dataforespørgsler & breach notifikation

25 1 Discover: Identificere PII som indsamles i virksomheden & hvor PII lagres/behandles i hvilke dataflows Eksempler på løsninger Microsoft Azure Microsoft Azure Data Catalog In-scope: Inventory: Enterprise Mobility + Security (EMS) Microsoft Cloud App Security Dynamics 365 Audit Data & User Activity Reporting & Analytics Office & Office 365 Data Loss Prevention Advanced Data Governance Office 365 ediscovery SQL Server and Azure SQL Database SQL Query Language Windows & Windows Server Windows Search

26 2 Manage: Eksempler på løsninger Data governance: Data klassifikation: Microsoft Azure Azure Active Directory Azure Role-Based Access Control (RBAC) Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Security Concepts Office & Office 365 Advanced Data Governance Journaling (Exchange Online) Windows & Windows Server Microsoft Data Classification Toolkit

27 3 Protect: Eksempler på løsninger Microsoft Azure Azure Key Vault Forebyggelse af data angreb: Opdage og & håndtere breaches: Enterprise Mobility + Security (EMS) Azure Active Directory Premium Microsoft Intune Office & Office 365 Advanced Threat Protection Threat Intelligence SQL Server and Azure SQL Database Transparent data encryption Always Encrypted Windows & Windows Server Windows Defender Advanced Threat Protection Windows Hello Device Guard

28 4 Report: Eksempler på løsninger Microsoft Trust Center Service Trust Portal Logging: Rapporteringsværktøjer: Microsoft Azure Azure Auditing & Logging Microsoft Azure Monitor Enterprise Mobility + Security (EMS) Azure Information Protection Dynamics 365 Reporting & Analytics Office & Office 365 Service Assurance Office 365 Audit Logs Customer Lockbox Windows & Windows Server Windows Defender Advanced Threat Protection

29 Annoncering af Compliance manager PREVIEW Eet sted at håndtere MS Cloud Compliance Real-tids riskovurdering En intelligent score som viser organisationens compliance stadie overfor regulationen Indblik som kan føre til actions Anbefalinger af actions som kan forbedre organisationens databeskyttelsesevne Simplificeret compliance Definerede workflow og rapporting klar til audits bl.a. med oversight over Microsoft sikkerhedskontroller på dine cloud løsninger detaljer om 3. part audits

30 GDPR Compliance Simplificere rejsen frem imod privacy by design Skab overblik over risci & tag aktion Udnyt guidance fra eksperter

31

32 26

33 Datatyper & Flow Processer & Politikker Systemer Analyse Risici Behandling Internt/Eksternt Miljø Adgangskontrol Enheder Monitorering Automatisering Håndtering Dokumentation Proces & politik beskrivelser Certificeringer Bevidsthed/Kultur o.lign. FOKUS ER KONSEKVENS FOR DATASUBJEKT DATABEHANDLER KAN LEVERE STANDARD DOKUMENTATION MATCHING TIL EKSISTERENDE FUNKTIONALITET & ETABLERING AF GAP

34

35 Opsummering & Q&A Gode råd Forordningen kræver handling idag Brug datatilsynets gode spørgsmål, MS webinar & benchmark Overvej hvor I kan begynde at udnytte Cloud fordele & værktøjer I måske allerede har adgang til En moderne principbaseret Cloud Platform kan sandsynligvis være en del af løsningen Compliance kræver andet end IT Dokumentation Politikker & Processer Awareness Datagovernance & Ledelse Mm.

36 TAK! Ole Kjeldsen

37 Dansk Webinar On-Demand: aka.ms/cloudjuraoverblik Opdateres hvert kvartal Datatilsynets gode spørgsmål: aka.ms/datatilsyngdpr Justitsministeriets lovforslag: aka.ms/dkdojdpl Microsoft.com/GDPR og GDPR WhitePapers: Office365 Sikkerheds WhitePaper: GDPR ebog: Microsoft Online GDPR assessment: Compliance Manager signup:

38

39 Microsoft Privacy Principper Microsoft Privacy Politik: Personligt Privacy Dashboard:

40 12 top reasons to trust Microsoft Cloud Platform End-to-end security, privacy control, transparency and compliance practices Strong contractual commitments to safeguard customer data and protect privacy On top of all technical safeguards, customers can add encryption and manage their own keys Data is NOT shared with our advertised-supported services or mined it for marketing Ongoing third party compliance audits shared with customers Industry-leading best practices in the design and management of online services Leader in Gartner s IaaS, PaaS and Public Cloud Storage magic quadrants Create and control your own encryption keys with cloud-based, HSM-level security Customer knows where data is stored, how is and used and how we help secure it; you own your data Industry-leading Identity Management service in the cloud (AAD) Meets broad set of international, regional and industry-specific compliance and regulatory standards First major cloud provider to adopt ISO/IEC

41 Cybersikkerhed & overvågning Microsoft. giver ikke blanco adgang til hverken egne eller kunders data udleverer ikke krypteringsnøgler og assisterer ikke myndigheder med at bryde krypteringer udleverer ikke data på baggrund af bulk forespørgsler bruger ikke & tillader ikke bagdøre i vores software eller software vi anvender er ikke en del af nogen form for overvågnings- eller efterretningsnetværk i USA eller andre lande Øger konstant kryptering af data både i transport og i lagring & driver derudover alle vores Datacentre med bl.a. ISO27001 certificering og tjenester i overensstemmelse med ISO27018 Fortsætter juridisk arbejde. Udfordrer bl.a.lovligheden i forespørgsler med såkaldte gag orders og brud på data suverænitet Fortsætter lovligt & reguleret efterforskningssamarbejde rettet mod pirateri, pædofili, ID tyveri etc. Øger gennemsigtigheden ved at involvere ejeren af data som efterspørges af myndigheden oprette flere code Review Centers udgive Law Enforcement Request Reports dele guidance baseret på sikker drift og udviklingserfaringer Tager initiativ til industrisamarbejde på området for at sikre bedst muligt fundament for Cloud Trust

42 Compliance framework Compliance certifications Continual evaluation, benchmarking, adoption, test & audit Independent verification Access to audit reports Best practices Microsoft maintains a team of experts focused on ensuring that Azure meets its own compliance obligations, which helps customers meet their own compliance requirements. Compliance strategy helps customers address business objectives and industry standards & regulations, including ongoing evaluation and adoption of emerging standards and practices. Ongoing verification by third party audit firms. Microsoft shares audit report findings and compliance packages with customers. Prescriptive guidance on securing data, apps, and infrastructure in Azure makes it easier for customers to achieve compliance. 43

43 Gartner has named Microsoft a leader x86 Server virtualization Cloud IaaS Cloud PaaS In eighteen Gartner Magic Quadrants, here are the most notable for cloudsolutions. Gartner Magic Quadrant for x86 Server Virtualization Infrastructure, by Thomas J. Bittman, Philip Dawson, Michael Warrilow August 3, 2016 Gartner Magic Quadrant for Cloud Infrastructure as a Service, by Lydia Leong, Bob Gill, Gregor Petri, Mike Dorosh, August, 3, 2016 Gartner Magic Quadrant for Enterprise Application Platform as a Service, by Paul Vincent, Yefim V. Natis, Kimihiko Iijima, Anne Thomas, Rob Dunie, Mark Driver, March 24, 2016 Public Cloud Storage Services BI and analytics platforms Disaster Recovery Identity and Access Management Gartner Magic Quadrant for Public Cloud Storage Services, by Raj Bala, Arun Chandrasekaran, July 26, 2016 Gartner Magic Quadrant for Data Warehouse and Data Management Solutions for Analytics, by Roxane Edjlali, Mark A. Beyer, February 25, 2016 Gartner Magic Quadrant for Disaster Recovery as a Service, by John P Morency, Christine Tenneson, Ron Blair, June 16, 2016 Gartner Magic Quadrant for Identity and Access Management as a Service, by Gregg Kreizman, Neil Wynne, June 16, 2016 These graphics were published by Gartner, Inc. as part of larger research documents and should be evaluated in the context of each entire document. The Gartner documents are available upon request from Microsoft. Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

44 Hvilke elementer ændres ikke med GDPR?! Stakeholders Datatyper Dataoverførsel COMPLIANCE Datasubjekt Dataansvarlig Databehandler Personhenførbare data Navn Adresse kto IP adresse etc. Særligt følsomme personoplysninger Religion Sundhed Seksualitet Politisk overbevisning Biometriske data etc. Databehandling kan ske overalt indenfor EU/EØS OG med de rette juridiske rammeværktøjer + tilstrækkelige sikkerhedskontroller OGSÅ uden for EU/EØS Er man compliant idag, så er det en del nemmere at sikre GDPR compliance.

45 Hvilke ændringer introduceres med GDPR? Data privacy Individer har retten til at: Få adgang til deres personlige data Korrigere unøjagtigheder Anmode om sletning af deres personlige data Opt-in (default) eller ud af data indsamling Flytte deres information Kontroller og notifikationer Strenge sikkerhedskrav Forpligtelse til notifikation ved data tab eller lignende hændelse 3.parter som databehandler data skal leve op til samme krav og assistere den dataansvarlige med dokumentation Accountability og Data suverænitet Dataansvarlig skal til enhver tid kunne påvise compliance Opdaterede krav til compliance for indsamling, tracking, og kontrol af data Databeskyttelsesregulering gælder uanset hvor data behandles Gennemsigtighed i politikker Krav om gennemsigtighed og let tilgængelige politikker om: Sikkerhedspraksis Data flows Midler til dataprocessering Underleverandørkontrol Data bevarelse & sletning

46

47 39 Cloud regioner worldwide North Central US United Kingdom South West US 2 West Central US West US US Gov Arizona 3 US Gov Texas 3 Central US US Gov Iowa US DoD West South Central US Canada Central US Gov Virginia Canada East US DoD East United Kingdom West East US East US 2 North Europe France 3 France 3 West Europe Germany Northeast 2 Germany Central 2 West India Central India China West 1 China East 1 South India Korea Central 3 East Asia Korea South 3 Japan East Japan West 130+ datacentre Eet af de 3 største netværk i verden Southeast Asia 1 Kinesiske datacentre driftes af 21 Vianet 2 Tysk data trustee services håndteres af T-systems 3 Frankrig, Sydkorea og US Gov datacenter regioner er annonceret med endnu ikke i drift Brazil South South Africa Australia Southeast Australia East Globale datacentre Sovereign datacentre

48

49 Fysisk Sikkerhed Netværk Host Applikation Admin Fysisk Sikkerhed: 24-timers monitorering, multifaktor authentication Netværk: Red Teaming Host: Begrænset menneskelig interaktion Applikationer: Security Development Lifecycle Admin: Baggrundstjek, træning Data: Kontinuerte investeringer i kryptering Data

50 Kunders kontrol med deres data Når en kunde benytter Microsoft Cloud, opretholdes deres eksklusive dataejerskab. Kontrol over data lokation Kunder vælger data location (region) og replikeringscenter Rolle baseret adgangskontrol Værktøjer understøtter autorisation baseret på en brugers rolle, hvilket gøre adgangskontrol simplere på tværs af definerede grupper af brugere. INGEN stående MS Admin adgang! Håndtering af krypteringsnøgler Kunder har mulighed for at generere og håndtere deres egne krypteringsnøgler. Kontrol over data destruktion Sletning af data sker efter behov for kunden og ved afslutning af kontrakten. Hardware håndtering følger NIST standard. 51

51 Data adgang og sikkerhed Kunden kontroller selv hvem der har adgang til Data Kunden ved hvem der kan tilgå data og under hvilke betingelser Microsoft sikrer at Azure infrastruktur er modstandsdygtig overfor angreb Microsoft er fuldt ud ansvarlige for evt. underleverandører i datacenter driften Microsoft sikrer kundernes data gennem kryptering af al Kommunikation, Datatransport og Lagring Leverandør og underleverandører kan ikke bruge kundedata for andre opgaver end pr instruction. 52