Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

Transkript

1 Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015

2 Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...

3 Sanktioner?

4 Dataansvarlig / Databehandler Skelnen er vigtig mht. ansvar! Den dataansvarlige er den, der afgør til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger den der ejer data. En databehandler behandler personoplysninger på vegne af (efter instruks fra) en dataansvarlig tredjeperson/firma der processerer og/eller opbevarer data. Det er den dataansvarlige, der er ansvarlig for overholdelsen af persondataloven.

5 Geografi - overførsel Som udgangspunkt ingen overførsel af oplysninger til ikke EU-lande Dog en liste af godkendte lande (f.eks Schweiz, Australien, New Zealand m.fl.) Ikke USA dog undtagelse gennem Safe Harbour (Model Clause) Ikke-standardkontrakter kræver Datatilsynets tilladelse Kun visse typer af personoplysninger må overføres

6 Transport af data Reglerne er klare kryptering! Datatilsynet fortolker Persondataloven som krav om kryptering ved transport af peronfølsomme oplysninger over internettet. stærk kryptering, baseret på en anerkendt algoritme Endvidere krav om autenticitet (sikkerhed for afsenders og modtagers identitet) og integritet (sikkerhed for de transmitterede oplysningers ægthed) VPN, sikker , stærk SSL, digital signatur.

7 Netværket i gamle dage Internt netværk Servere Firewall Internet

8 Det moderne netværk i 2015 Fagsystemer Internt netværk Servere Leverandør Clientless VPN (SSL browser) Servere Firewall IPSec-compliant VPN gateway Remote Users Bærbar PC med VPN Klient Web Server Pool 3G/LTE Tablet med VPN Klient Mødelokale Internet VPN klient Broadband BYOD - Private enheder Mobiltelefoner og tablets Firewall Hjemmearbejdspladser Cloud Services Fjernkontorer Borgerservice

9 Autenticitet - stigende antal identiteter Antal digitale identiteter pr. bruger Internt Leverandører Mobility Borgere Cloud Fagsystemer Internet Client/server Mainframe Tid

10 Løsningen? IAM-systemer Value Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity

11 Løsninger Kryptering, integritet og beskyttelse Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Suppler den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.

12 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Fundamentals Endpoint-beskyttelse Websikkerhed

13 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting

14 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting Lean forward DLP Sandboning

15 Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Overvågning SIEM Threat Intelligence Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting Lean forward DLP Sandboxing

16 Men systemer er meget godt

17 Tak!