Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3.

Notat Privatlivsimplikationsanalyse (PIA) for GovCERT IDS v3. 15. februar 2011 Holsteinsgade 63 2100 København Ø Telefon 3545 0000 Telefax 3545 0010 E-post itst@itst.dk Netsted www.itst.dk CVR-nr. 26769388 Sagsbehandler Marc Andersen Telefon 3545 0164 Telefax 3545 0010 E-post maa@itst.dk Sagsnr. Dok nr. Side 1/3

1 Resumé Denne rapport dokumenterer resultatet af en privatlivsimplikationsanalyse (PIA) udført på GovCERTs Intrusion Detection System (GovCERT IDS). Analysen er udført af IT-sikkerhedskontoret i. Privatlivsimplikationsanalysen er udført i projektets etableringsfase med udgangspunkt i den udarbejdede tekniske dokumentation. GovCERT IDS analyserer information for at varsle om angreb på itinfrastrukturen. Informationen består af trafikdata og pakkedata. Der vil som udgangspunkt ikke etableres filtre forud for indsamlingen af data. Der er således mulighed for, at pakkedata kan indeholde personoplysninger. Ligeledes bearbejder GovCERT IDS personoplysninger i form af IP-adresser. Der er derfor udført en PIA på de processer og områder af GovCERT IDS systemet, hvor opsamling og behandling af data indeholdende personoplysninger kan forekomme. På baggrund af de sikkerhedsforanstaltninger, der er truffet for at beskytte data i forbindelse med behandling af informationerne, estimeres GovCERT IDS til at have en samlet risiko mod privatlivet på LAV. Side 2/25 Denne PIA vil i forbindelse med GovCERT IDS udviklingsforløb og ved større ændringer i opsætningen blive opdateret. Rapporten er senest opdateret den 15. februar 2011.

2 Indholdsfortegnelse 1 RESUMÉ... 2 2 INDHOLDSFORTEGNELSE... 3 3 DEFINITIONER... 4 4 INDLEDNING... 5 5 INTRODUKTION... 5 6 PERSONOPLYSNINGER I GOVCERT IDS... 7 7 IMPLIKATIONER FOR BESKYTTELSEN AF PRIVATLIVETS FRED... 18 8 APPENDIKS A... 24 Side 3/25

3 Definitioner GovCERT IDS IDS signatur Internet Protocol Suite Internettrafik IP-adresse KL Netflow v5 Netværkspakke Pakkedata Port Trafikdata UKL VPN tunnel Government Computer Emergency Response Team. Enhed der varsler om trusler mod den statslige del af internettet. Intrusion Detection System. Automatiseret system til alarmering ved ondsindet brug af netværk, som for eksempel virus- og hackerangreb. Regel benyttet af et IDS til at opdage mønstre i internettrafik. Sæt af kommunikationsprotokoller brugt på internettet og i andre lignende netværk. Pakkedata + trafikdata. Internet Protocol adresse. Adresse på en enhed tilsluttet internettet. Klassificeret. Informationsklassifikation i henhold til statsministeriets sikkerhedscirkulære CIR nr. 204 af 07/12/2001. Netværksprotokol udviklet af Cisco til at samle IP baseret trafikdata. En afgrænset del af en datastrøm på internettet. Indholdet af internetbaseret kommunikation. Kommunikationsendepunkt i dele af Internet Protocol Suiten Data, som behandles med henblik på overføring af pakkedata. Uklassificeret. Information uden klassifikation. Virtual Private Network tunnel. En krypteret tunnel mellem to enheder på netværket. Side 4/25

4 Indledning Denne rapport dokumenterer resultatet af en privatlivsimplikationsanalyse (PIA) udført på GovCERTs Intrusion Detection System (GovCERT IDS). Analysen er udført af It-sikkerhedskontoret, herunder GovCERT, i. Privatlivsimplikationsanalysen er udført i projektets etableringsfase med udgangspunkt i den udarbejdede tekniske dokumentation. Privatlivsimplikationsanalysen vil løbende blive opdateret i forbindelse med den egentlige implementering af GovCERT IDS og eventuel ny lovgivning på området. Rapporten beskriver i afsnit 5 funktion og basis for GovCERT IDS. Afsnit 6 beskriver analysen af de personoplysninger, der bliver bearbejdet af GovCERT IDS. Rapporten afsluttes i afsnit 7 med en risikoanalyse af GovCERT IDS i forhold til behandlingen af personoplysninger. 5 Introduktion Side 5/25 Regeringen besluttede i maj 2009 at etablere en statslig varslingstjeneste for internettrusler, en såkaldt GovCERT (Government Computer Emergency Response Team). Enheden skal sikre overblik over trusler og sårbarheder i produkter, tjenester, net og systemer i staten, samt løbende vurdere it-sikkerheden og varsle statslige myndigheder om it-sikkerhedsmæssige hændelser og trusler på internettet. Det er hensigten, at private virksomheder beskæftiget med kritisk infrastruktur, regioner og kommuner også skal kunne tilslutte sig GovCERT. GovCERT udfører følgende opgaver: Indhentning af information om it-sikkerhedshændelser og aktiviteter i net og systemer i staten Analyse og vurdering af internet-sikkerhedsniveauet i staten samt analyse af enkelthændelser. Varsling om internet-relaterede sikkerhedshændelser, rådgivning om modforholdsregler og i særlige tilfælde bistand til myndigheder ved omfattende hændelser Kontaktpunkt for tilsvarende varslingstjenester i andre lande og løbende udveksling af information med disse. 5.1 GovCERT IDS Opgaverne vedrørende varsling og informationsindsamling forudsætter et opdateret og indgående kendskab til situationen på internettet. Dette kendskab tilegnes gennem monitorering af internettrafikken på pakkeniveau for virus- og hackerangreb. Til dette formål etablerer GovCERT et Intrusion Detection System (IDS), som skitseret nedenfor i Figur 1.

IDS tjenesten er et tilbud til myndigheder, som har indgået en skriftlig aftale med GovCERT om ydelsen. Side 6/25 Figur 1 GovCERT IDS netværk Etablering af GovCERT IDS gør det muligt løbende at monitorere internettrafikken mellem tilsluttede myndigheder og internettet, og derved danne sig et normalbillede af trafikken. Ved væsentlige ændringer i dette billede, som ikke kan begrundes med særlige aktiviteter hos myndigheden selv, kan GovCERT udføre tekniske analyser af internettrafikken, eksempelvis at spore hvorfra eventuel unormal trafik udgår og vurdere om hensigten formodes at være fjendtlig. GovCERT IDS består af dels af decentrale IDS enheder, der monitorerer internettrafikken for angrebsmønstre på internetforbindelsen hos tilsluttede myndigheder, og dels af centrale servere til analyser og datalagring. De decentrale IDS enheder er placeret udenfor myndighedernes ydre netværksperimeter og kan ikke opfange interne IP-adresser. Data behandles af GovCERT i to adskilte netværk: Et uklassificeret (UKL) og et klassificeret (KL) I UKL netværket vil IDS data forefindes temporært og benyttes til indledende analyser og monitorering. KL netværket er konfigureret til at kunne håndtere op til HEMMELIG information 1 og er godkendt af den nationale sikkerhedsmyndighed. Netværket har ikke forbindelse til internettet. Registrering af information i GovCERTs hændelsesre- 1 Se Statsministeriets sikkerhedscirkulære CIR nr. 204 af 07/12/2001.

gistreringssystem, dybdegående analyser og sammenkørsel af data foregår udelukkende på det klassificerede netværk. 5.2 Kvalificering af privatlivsimplikationsanalysen GovCERT IDS analyserer information for at varsle om angreb på infrastrukturen. Informationen består til dels af pakkedata fra decentrale IDS enheder. Der er som udgangspunkt ikke sat filtre på opsamling af data. Der er således mulighed for, at pakkedata indeholder personoplysninger. Ligeledes bearbejder GovCERT IDS personhenførbar data i form af IP-adresser. På basis heraf er det fundet nødvendigt at udføre en PIA på de processer og områder af GovCERT IDS systemet, hvor opsamling og behandling af data indeholdende personoplysninger kan forekomme. 5.3 Formål og anvendelse af privatlivsimplikationsanalysen PIA skal bidrage til varetagelsen af privatlivshensynet i GovCERT IDS. Analysen udføres tidligt i etableringsfasen, således at identificerede risici i forbindelse med privatlivshensyn kan minimeres. PIA vil gennem GovCERT IDS udviklingsforløb og ved større ændringer i opsætningen blive opdateret. Side 7/25 6 Personoplysninger i GovCERT IDS Privatlivsimplikationerne, der kan forekomme i GovCERT IDS, analyseres med udgangspunkt i informationens karakter, brugen af information, opbevaring, samtykke, samt adgang og sikkerhed. 6.1 Informationens karakter GovCERT bearbejder information, baseret på trafikken på den monitorerede internetlinje. Informationen kan opdeles i IDS alarmer, trafikdata og pakkedata. Disse er kort beskrevet i følgende tabel. Procestabel Beskrivelse af data med personoplysninger Indsamlet af. Formattype Formål Mulig indeholdte personoplysninger. Lagring IDS alarmer Centrale UKL servere. Beskrivelse af alarmer udløst på de decentrale IDS enheder inkl. den udløsende netværkspakke (pakkedata) og tilhørende trafikdata. Automatiseret alarmering ved angrebsmønstre på den monitorerede internetlinje. Følsomme og ikkefølsomme personoplysninger indeholdt i de enkelte pakker. Centrale UKL servere.

Trafikdata Decentrale IDS enheder og centrale KL servere. NetFlow v5 Monitorering til undersøgelser af hændelser. Personhenførbar information i form af IPadresser. Centrale KL servere. pakkedata Decentrale IDS enheder. Tabel 1 Procestabel Rå netværkspakker fra den monitorerede internetforbindelse. Til generering af alarmer ved angrebsmønstre og til analyser ved angreb. Følsomme og ikkefølsommepersonoplysninger. Decentrale IDS enheder. Centrale KL servere i forbindelse med sikkerhedshændelser. GovCERT IDS har ikke som funktion at opsamle personoplysninger, men som det fremgår af tabellen kan disse befinde sig i trafikstrømmen. Datatyperne er derfor uddybet i det følgende. 6.1.1 IDS alarmer Side 8/25 Alarmerne genereres af de decentrale IDS enheder ud fra bestemte trafikmønstre i trafikdata såvel som på mønstre i pakkedata. Mønstrene, der er baseret på kendt ondsindet internettrafik, bliver genkendt via IDS signaturer. Nedenstående er et eksempel på en IDS signatur: alert tcp any any -> $HOME_NET 443 (msg:"dos Attempt"; flow:to_server,established; content:" 16 03 00 "; offset:0; depth:3; content:" 01 "; within:1; distance:2; byte_jump:1,37,relative,align; byte_test:2,>,255,0,relative; reference:cve; classtype:attempted-dos; sid:2000016; rev:5;) Forklaringen på signaturen er: Alert: type af IDS event tcp: protokoltype any: source IP any: source port ->: retning af trafik, her er mod $HOME_NET $HOME_NET: definition på hjemmenetværket 443: destination port msg: Navn på IDS event De resterende informationer i signaturen beskriver mønstret og den del af trafikstrømmen, der ligger til grund for en alarm. I eksemplet genererer de decentrale IDS enheder alarm med navn DoS Attempt, når en vilkårlig IP-adresse fra internettet fra en vilkårlig port tilgår hjemmenetværket på port 443 og samtidig indeholder 16 03 00 og 01 specifikke steder i en netværkspakke.

Der benyttes udelukkende signaturer relevante for GovCERTs virke. Alarmerne bliver via en VPN tunnel overført fra de decentrale IDS enheder til centrale servere i GovCERT, hvor disse løbende bliver monitoreret. En alarm vil foruden dens navn og beskrivelse bestå af trafikdata, samt af den netværkspakke, der eventuelt ligger til grund for alarmen. Det pakkedata, der forårsager alarmerne, består således af enkelte datapakker til manuel verifikation og vil normalt være ude af kontekst i forhold til den samlede monitorerede datastrøm. 6.1.2 Trafikdata Trafikdata er baseret på Netflow v5 protokollen og vil, ud over tidsindikator, trafikmængde og specifikke sessionsinformationer af dataforbindelser, bestå af følgende informationer: Source IP address Source Port number Destination IP address Destination Port number Protocol Side 9/25 Trafikdata overføres løbende til de centrale servere i GovCERT med henblik på vurdering af sikkerhedstilstanden på den statslige del af internettet og muligheden for at kunne finde tidligere og uopdagede angreb. På de centrale UKL servere vil trafikdata kun findes i forbindelse med initial monitorering og indledende analyser. Informationerne anonymiseres ikke, da original data er nødvendig til vurderingen af sikkerhedsniveauet på den monitorerede del af internettet. Trafikdata, som ikke er relateret til en konkret sikkerhedshændelse, må maksimalt opbevares i 12 måneder. Hvis trafikdata er knyttet til en konkret sikkerhedshændelse forlænges fristen til maksimalt tre år. 6.1.3 Pakkedata Pakkedata gemmes på de decentrale IDS enheder og består af rå data fra den monitorerede eksterne internetlinje, dvs. netværkspakkerne. Som udgangspunkt vil pakkedata dog blive slettet efter seks dage. Der kan dog være behov for at opbevare pakkedata i mere end seks kalenderdage, hvis der er begrundet mistanke om en sikkerhedshændelse, dog maksimalt 14 dage. Den nødvendige mængde pakkedata, der er relateret til en konkret eller formodet sikkerhedshændelse, vil overføres til de centrale UKL servere i forbindelse med IDS alarmer, verifikation af IDS alarmer, herunder indledende analyser. Analyseret pakkedata, større mængder pakkedata i forbindelse med dybdegående analyser og registreret pakkedata relateret til alarmer i GovCERTs hændelsesregistrerings-

system, vil blive lagret på de centrale KL servere i op til tre år i de tilfælde, hvor data er relateret til en konkret sikkerhedshændelse. Figur 2 viser et eksempel på pakkedata vist i et trafikanalyseværktøj. Side 10/25 Figur 2 Eksempel på pakkedata fra decentral IDS enhed De øverste to vinduer viser trafikdata udledt af det rekvirerede pakkedata og det nederste vindue i analyseværktøjet viser indholdet af en specifik netværkspakke. I det her tilfælde er der tale om et netbios datagram broadcast fra IP-adressen 10.0.0.55. Da der som udgangspunkt ikke er etableret filtre under indsamlingen af pakkedata, er det muligt, at personoplysninger kan forefindes her. Krypteret pakkedata indgår ikke i GovCERTs datagrundlag på ukrypteret form. Krypteret information kan eksempelvis være https trafik eller e-mail krypteret med en digital signatur. 6.1.4 Systemets kilder til information Kilden til information er tilsluttede myndigheders internetlinjer, hvor indsamling til systemet alene sker via decentrale IDS enheder. 6.1.5 Informations korrekthed GovCERT IDS systemet benyttes alene til monitorering og er ikke konfigureret til at modificere data. GovCERT bibeholder således eksakte kopier af de informationer, der er indsamlet på de monitorerede internetlinjer.

6.1.6 Implikationer for beskyttelsen af privatlivets fred GovCERT IDS har til formål at monitorere internetlinjen hos tilsluttede myndigheder for mønstre i internettrafikken, der indikerer angreb på den statslige del af internettet. Systemet genererer alarmer på baggrund af mønstre i trafikdata og pakkedata. Trafikdata, der benyttes i GovCERT IDS, indeholder personhenførbare data i form af IP-adresser. Alarmerne i GovCERT IDS genereres på de decentrale IDS enheder ud fra signaturer, der identificerer kendt ondsindet trafik såsom virus- eller hackerangreb. Alarmerne overføres til de centrale IDS systemer, herunder et antal netværkspakker der svarer til det pakkedata henholdsvis trafikdata, der ligger til grund for alarmen. Der er sandsynlighed for, at personoplysninger kan blive overført til de centrale servere i forbindelse med en alarm og dertilhørende analyse, f.eks. enkelte netværkspakker af en e-mail i forbindelse med en virus. I de tilfælde hvor pakkedata tilknyttet en alarm ikke er tilstrækkeligt til en analyse, kan GovCERT rekvirere yderligere pakkedata til de centrale servere. Der vil ligeledes her være mulighed for, at personoplysninger kan være til stede i pakkedata, der medtages i analysen. Side 11/25 Pakkedata vil løbende kunne forefindes på de decentrale IDS enheder. Der er således mulighed for, at der på ethvert tidspunkt kan befinde sig følsomme og ikkefølsomme personoplysninger på de decentrale IDS enheder. For at sikre disse data mest muligt er der fra GovCERT foran de decentrale IDS enheder installeret en firewall, der etablerer en VPN tunnel til GovCERTs centrale firewall. Adgang til informationerne i GovCERT IDS vil udelukkende blive givet Gov- CERT personale, der er instrueret i privatlivsproblematikker og GovCERTs politikker og retningslinjer. 6.2 Brug af information Data indsamlet og behandlet af GovCERT IDS benyttes til at genkende og analysere angreb på den statslige del af internettet og giver dermed mulighed for at danne et generelt trusselsbillede for staten.

Figur 3 - Datastrømsdiagram Side 12/25 Procesdiagrammet i Figur 3 illustrerer, hvordan datatyperne inklusive personoplysninger (PO) behandles i GovCERT IDS. Procesdiagrammet kan ligeledes findes i Appendiks A. I Tabel 2 er de forskellige stadier af databehandlingen listet. Behandling Monitorering Verifikation af alarm og indledende analyse. Uddybende analyse Datatyper i brug IDS alarmer, trafikdata IDS alarmer, pakkedata, trafikdata Pakkedata, trafikdata Beskrivelse IDS alarmer indsendt fra de decentrale IDS enheder vil blive monitoreret centralt. Trafikdata i realtid benyttes som indikator på angreb. Begrænset pakkedata i et fastlagt interval omkring alarmtidspunktet kan indhentes fra decentral IDS enheder for at verificere og analysere en alarm. Relevant information omkring et angreb hentes fra decentral IDS enhed med henblik på at fastslå omfanget og effekten af det verificerede an- Personoplysninger Under monitoreringen vil personhenførbar data i form af IP-adresser behandles. Ydermere kan der være personoplysninger til stede i de netværkspakker, der er indeholdt i alarmerne. Alarmerne og begrænset pakkedata kan indeholde følsomme og ikkefølsomme personoplysninger. Der tages under den indledende analyse stilling til om eventuelle personoplysninger kan fjernes. Alarmer og pakkedata kan indeholde følsomme og ikke-følsomme personoplysninger. Der tages under den uddybende analyse stilling til, om eventuelle personoplysninger kan fjernes.

Tabel 2 greb. oversigt over databehandling I det følgende vil de tre behandlingsniveauer blive gennemgået i detaljer. 6.2.1 Monitorering Alarmerne fra de decentrale IDS enheder og trafikdata bliver løbende monitoreret på UKL netværket. I forbindelse med alarmerne vil der medfølge de netværkspakker henholdsvis trafikdata, der har udløst alarmen og som IDS signaturen har reageret på. Herved kan det manuelt verificeres om alarmen er korrekt og relevant, eller om der er tale om en falsk positiv. Der etableres regelsæt til alarmering på mistænkelige og udsædvanlige trafikmønstre. GovCERT vil operere med et fælles sæt af grundsignaturer for alle myndigheder med mulighed for yderligere individuelle regelsæt for den enkelte servicerede myndighed etableret efter aftale med myndighedens kontaktperson. I tilfælde af en gyldig alarm vil data blive overført til KL netværket til viderebehandling og hændelsen vil blive dokumenteret i GovCERTs hændelsesregistreringssystem. Side 13/25 6.2.2 Indledende analyse Under den indledende analyse, hvor pakkedata tilknyttet alarmen ikke er tilstrækkelig til at verificere alarmen, vil der blive rekvireret en mængde pakkedata baseret på et fastlagt interval omkring alarmtidspunktet. Intervallet til brug for den indledende analyse forventes at være på maksimalt fem minutter før og efter alarmtidspunktet. Behandling af pakkedata vil foregå på KL netværket og indhentning af data til den indledende analyse vil blive registreret i GovCERTs hændelsesregistreringssystem. Skulle GovCERTs personale blive bekendt med personoplysninger i det rekvirerede pakkedata under den indledende analyse vil disse blive forsøgt slettet eller omgået på anden måde. 6.2.3 Uddybende analyse Ved gyldige alarmer og angreb kan yderligere mængder pakkedata rekvireres fra de decentrale IDS enheder. Indhentning af pakkedata til en dybdegående analyse vil blive registeret i GovCERTs hændelsesregistreringssystem. Analyse af dette pakkedata vil udelukkende foregå på KL netværket. Skulle GovCERTs personale blive bekendt med personoplysninger i det rekvirerede pakkedata under den uddybende analyse vil disse blive forsøgt slettet eller omgået på anden måde. 6.2.4 Opdatering af information

GovCERTs IDS er udelukkende konfigureret til at opsamle data og ikke modificere data. 6.2.5 Indsamling af statistik Personhenførbar data i form af IP-adresser indgår til statistiske formål og sporing af anomalier i trafikstrømmen. 6.2.6 Deling og offentliggørelse Trafikdata kan videregives til andre danske og udenlandske CERT er, danske myndigheder og private tilsluttede virksomheder i forbindelse med analyser, respons og koordination i tilfælde af konkrete sikkerhedshændelser. Pakkedata vil kun kunne videregives til politiet, såfremt data knytter sig til en konkret sikkerhedshændelse. Formålet hermed er at sikre, at politiet kan modtage oplysninger til brug for efterforskning og forfølgelse af strafbare forhold, der kan være begået i forbindelse med en konkret sikkerhedshændelse, som f.eks. et virusangreb. Side 14/25 6.2.7 Adgang, godtgørelse og korrektion Det er en del af GovCERTs myndighedsopgave at stille trusselbilleder og relevante data til rådighed for myndigheder, herunder varslingsdata. Dette inkluderer også de oplysninger, som ligger til grund for varslingen, herunder oplysninger om trafikdata. 6.2.8 Implikationer for beskyttelsen af privatlivets fred GovCERT IDS har til formål - ud fra signaturer - at alarmere ved mønstre i trafikken, der identificeres som kendt ondsindet trafik. For at kunne verificere og reagere på alarmer behandles data i GovCERT IDS på forskellige niveauer. Behandlingen af pakkedata kan medføre, at personoplysninger vil være indeholdt i datagrundlaget for analyser. Pakkedata af åbenlys privat karakter, som GovCERTs personale under verificering og behandling af alarmer og angreb eventuelt støder på, vil så vidt muligt blive udelukket fra arkivering på de centrale systemer og dermed undtages fra en videre behandling af hændelsen. Såfremt personoplysninger under analysen ikke kan fjernes, vil oplysningerne forblive på GovCERTs systemer. Der er kun adgang til informationer til udvalgt GovCERT personale. 6.3 Opbevaring af information

Trafikdata vil blive lagret på det centrale KL netværk til analyser og statistiske formål og vil temporært forefindes på UKL netværket i forbindelse med indledende analyser. De decentrale IDS enheder lagrer pakkedata fra den monitorerede linje. Pakkedata i relation til alarmer (enkelte netværkspakker) vil blive lagret på de centrale UKL servere. Pakkedata i relation til sikkerhedshændelser vil forefindes på de centrale KL servere. 6.3.1 Sletning Pakke- og trafikdata, der knytter sig til en konkret sikkerhedshændelse, kan maksimalt opbevares i tre år. Pakkedata, der ikke knytter sig til en konkret sikkerhedshændelse, kan maksimalt opbevares i 14 dage. Trafikdata, der ikke knytter sig til en konkret sikkerhedshændelse, kan maksimalt opbevares i 12 måneder. Side 15/25 6.3.2 Implikationer for beskyttelsen af privatlivets fred Indholds- og trafikdata overført til de centrale servere, der knytter sig til konkrete sikkerhedshændelser vil blive gemt i tre år. Pakkedata kan indeholde personoplysninger. Trafikdata indeholdende personhenførbare oplysninger i form af IP-adresser vil blive lagret i 12 måneder på de centrale KL servere til analyse, statistik og historik i forbindelse med opdagelse af uregelmæssigheder i trafikken bagud i tiden. Da indeksering og lagring ikke foretages på baggrund af personoplysninger, vil der ikke være tale om systematisk sletning af de personoplysninger, der eventuelt måtte befinde sig på GovCERT IDS systemer, medmindre disse er blevet opdaget under analyser af GovCERTs personale og kunne fjernes. Sletningen af personoplysninger vil således generelt ske i takt med, at GovCERT IDS øvrige data, der måtte rumme personoplysninger, vil blive slettet. GovCERT IDS systemet benytter sig af enkeltstående databaser, der udelukkende benyttes og serviceres af GovCERT personale. Der er ikke tilgang eller samkøringsmulighed med eksterne databaser, såsom CPR registret eller teleoperatørernes databaser. 6.4 Samtykke

Der er krav om, at myndigheden, der har indgået en aftale med GovCERT, underretter de ansatte om monitoreringen af trafikken til og fra internettet. 6.4.1 Implikationer for beskyttelsen af privatlivets fred Det er et krav fra GovCERT, at medarbejderne i de myndigheder, der har indgået aftale med GovCERT om monitorering af internettrafik, er underrettet om markering af private e-mails og generel kryptering af privat kommunikation. Personer udenfor myndighederne, der kommunikerer elektronisk med disse, vil ikke blive orienteret. I tilfælde af, at personer sender personoplysninger ukrypteret vil dette blive opsamlet af GovCERT IDS. 6.5 Teknisk adgang og sikkerhed Ud over sikkerhedsforanstaltningerne beskrevet i bekendtgørelse nr. 528 af 15. juni 2000 kapitel 1, 2 og 3, arbejder GovCERT med data klassificeret til HEM- MELIG. Sikringsforanstaltningerne i denne databehandling er godkendt af den nationale sikkerhedsmyndighed og underlagt inspektion. Side 16/25 Trafikken mellem de decentrale IDS enheder og GovCERTs netværk varetages via VPN tunneller oprettet mellem decentrale firewalls placeret hos de servicerede myndigheders internetlinje og den centrale GovCERT firewall. Firewall logs samles centralt og gennemgås løbende for tegn på angreb og adgangsforsøg. GovCERT IDS omfatter ligeledes GovCERTs eget netværk og vil blive monitoreret for angreb og generel ondsindet trafik. UKL og KL netværkene adskilles via en envejsenhed. Det er således ikke muligt at sende data fra KL netværket til UKL netværket. GovCERT etablerer dokumenterede standardprocedurer i overensstemmelse med ISO 27001 der skal sikre, at databehandlingen sker ensartet og systematisk, samt at egenkontroller overholdes. Et uafhængigt tilsyn, nedsat af Ministeren for Videnskab, Teknologi og Udvikling, vil følge GovCERTs virksomhed. GovCERTs sikkerhedsanalytikere er sikkerhedsgodkendte til niveau HEMME- LIGT, og der vil ikke blive givet adgang til data for andre end udvalgt personale i GovCERT. 6.5.1 Autentifikation og autorisation GovCERT er en del af og er dermed underlagt sikkerhedsprocedurer for ansættelse af personale i styrelsen, herunder retningslinjer vedrørende sikkerhedsorganisering og databeskyttelse angivet i DS484.

Alle GovCERTs systemer bliver overvåget i forbindelse med adgangsforsøg. GovCERT IDS omfatter GovCERTs eget netværk og vil blive monitoreret for angreb og forsøg på ulovlig adgang. 6.5.2 Leverandør adgang Der er ikke elektronisk adgang til GovCERT IDS til eksterne leverandører. I tilfælde af, at udstyr eller andet skal serviceres, vil dette ske på GovCERTs lokation under overvågning af GovCERT personale. 6.5.3 Brud I tilfælde af brud på sikkerheden i GovCERT IDS, er der procedurer i GovCERT til at afdække omfanget af bruddet og kommunikere dette til de berørte parter, samt notifikation af Datatilsynet. 6.5.4 Implikationer for beskyttelsen af privatlivets fred Sikkerheden i GovCERT sikres gennem opfyldelsen af sikkerhedsforanstaltningerne beskrevet i bekendtgørelse nr. 528 af 15. juni 2000 kapitel 1, 2 og 3, opfyldelse af retningslinjerne i ISO 27001, persondataloven og opfyldelsen af kravene til at kunne behandle data med klassifikationen HEMMELIGT. Side 17/25 Tildeling af adgang til systemerne i GovCERT IDS bliver etableret via procedurer og er baseret på et need-to-know grundlag. GovCERTs personale er trænet i de for GovCERTs etablerede retningslinjer og politikker vedrørende behandling af personhenførbar data og er gennem uddannelse sikret den nødvendige viden omkring problemstillingerne vedrørende privatliv. Lagring af personoplysninger i GovCERT IDS er utilsigtet i forhold til funktionen om monitoreringen af den statslige del af internettet og angreb på denne.

7 Implikationer for beskyttelsen af privatlivets fred På basis af foregående analyse af IDS-tjenestens omfang og implikationer i relation til privatlivets fred, estimeres de samlede risici ved systemet, herunder sandsynligheds- og konsekvensvurdering for de enkelte risici. 7.1 Metode for risikovurdering Denne risikovurdering er en kvalitativ risikoanalyse, der kategoriserer risikoen for en given hændelse med udgangspunkt i følgende aspekter: Sandsynligheden for, at hændelser på et identificeret risikoområde for beskyttelsen af privatlivets fred indtræffer Konsekvensen af, at en hændelse optræder Motivationen for at forårsage hændelsen. Motivation er typisk personligt eller økonomisk drevet. For økonomisk vinding vil der typisk være en større gruppe af individer, der har motivation til at udføre hændelsen Konsekvensbeskrivelse i henhold til Vejledning om risikovurdering på en firetrins skala 2 : Side 18/25 Konsekvens (betegnelse) Beskrivelse K1: Ubetydelig Ingen særlig påvirkning. K2: Mindre alvorlig Der er formelle mangler i oplysninger til og om den enkelte, men ikke i graverende grad. K3: Meget alvorlig (kritisk) Den enkelte fratages råderet og valgmulighed med hensyn til egne data. Ikkefølsomme data videregives uretmæssigt. K4: Graverende / uacceptabel Den enkelte udsættes for uacceptable (ødelæggende) krænkelser af privatlivet. Der træffes bebyrdende afgørelser mod den enkelte på et forkert grundlag. Følsomme data videregives uretmæssigt. Sandsynlighed betegner muligheden på en 5-punkts skala for, at der indtræffer en hændelse, der krænker beskyttelsen af privatlivet på et identificeret risikoområde. Sandsynlighed (betegnelse) Beskrivelse S1: Ingen Sikkerhedsværn og privatlivsbeskyttelse er etableret og fungerer efter hensigten. Tiltag kan kun omgås af egne medarbejde med gode ressourcer og fuldt kendskab. Eksternt personel kan ikke omgås foranstaltninger. S2: Lav Sikkerhedsværn og privatlivsbeskyttelse 2 Vejledning om risikovurdering for offentlige institutioner,, oktober 2007.

er etableret og fungerer efter hensigten. Tiltag kan brydes af egne medarbejdere med normale ressourcer og kendskab. Eksterne personer kan med gode ressourcer og kendskab omgå foranstaltninger. S3: Middel Sikkerhedstiltag og privatlivsbeskyttelse er ikke fuldt etableret eller fungerer ikke efter hensigten. Egne medarbejdere kan omgå tiltag med små ressourcer, eksternt personel kan omgå tiltag med kendskab til rutiner og små ressourcer. S4: Høj Sikkerhedstiltag og privatlivsbeskyttelse er ikke systematisk etableret og kan omgås af egne medarbejdere og eksterne personer må få eller ingen ressourcer. S5: Sikker Der er ikke truffet forebyggende foranstaltninger af nogen art. Side 19/25 Motivation er en medvirkende faktor i vurderingen af det samlede risikoniveau for mulige hændelser indenfor et givent område. Motivation, eller incitamentsfaktoren, kvalificeres ud fra følgende 5-punkts skala for, om hændelsen kan ske på baggrund af overlæg, forsæt eller uagtsomhed, samt de krævede ressourcer i forbindelse hermed. Motivation (betegnelse) Beskrivelse M1: Meget høj Hændelse til krænkelse af privatlivets fred kan ske på basis af overlæg med store ressourcer og kræver således høj motivation for udførelse. M2: Høj Hændelse til krænkelse af privatlivets fred kan ske på basis af forsæt med store ressourcer for interne medarbejdere, men kræver høj kompetence og overlæg for eksterne personer. M3: Middel Hændelse til krænkelse af privatlivets fred kan ske på basis af forsæt med små ressourcer for interne medarbejdere, men kræver dog høj kompetence og forsæt for eksterne personer. M4: Lav Hændelse til krænkelse af privatlivets fred kan ske på basis af uagtsomhed for interne medarbejdere, men kræver dog nogen kompetence og forsæt for eksterne personer. M5: Ingen Hændelse til krænkelse af privatlivets fred kan ske på basis af uagtsomhed, og kræver ingen speciel motivation eller ressourcer til udførelse.

Konsekvens, sandsynlighed og motivation danner de samlede risiko for, at en given hændelse indenfor et identificeret risikoområde forekommer. Risikoen kategoriseres efter en skala i fem trin: Risiko (betegnelse) Beskrivelse R1: Ingen Et højt niveau af beskyttelse af privatlivets fred, som væsentlig overvurderer informationens vigtighed. R2: Lav Et stærkt niveau af beskyttelse af privatlivets fred, som vurderer informationens vigtighed højt. R3: Middel Et passende niveau af beskyttelse af privatlivets fred, som afspejler informationens vigtighed. R4: Høj Et ringe niveau af beskyttelse af privatlivets fred, som vurderer informationens vigtighed lavt. R5: Meget høj Et kritisabelt lavt niveau af beskyttelse af privatlivets fred, som væsentligt undervurderer informationens vigtighed. Side 20/25 Det påpeges, at en risikovurdering er et øjebliksbillede. Det er en del af anbefalingerne til udførelse af en PIA, at vurderingen opdateres og vedligeholdes løbende. Dette ansvar påhviler GovCERT. 7.2 Risikovurdering I det følgende beskrives de identificerede risikoområder.

7.2.1 Brug af pakkedata Pakkedata kan indeholde følsomme personoplysninger som f.eks. sundheds- eller økonomioplysninger. Disse oplysninger kan eksempelvis stamme fra en ukrypteret mail fra en borger som utilsigtet lagres som en del af GovCERT IDS pakkedata. Uberettiget adgang til sådanne oplysninger ved brud på GovCERTs perimeter kan krænke den kommunikerende parts privatliv. Lagringen af pakkedata er en kritisk del af GovCERT IDS. Den midlertidige lagring af pakkedata muliggør valideringer og uddybende analyser af udløste alarmer. Alarmer vil derfor være uden værdi, hvis alarmerne ikke indeholder pakkedata, da deres korrekthed og eventuelle implikationer ikke kan bekræftes. Opsamlet pakkedata lagres på decentrale IDS enheder, der fysisk befinder sig hos de myndigheder, der er tilknyttet GovCERT IDS. Personoplysninger kan kun lagres i denne sammenhæng, såfremt oplysningerne er sendt ukrypteret over internettet. Personoplysningerne vil derfor allerede være tilgængelige for uberettiget adgang fra ondsindede personer med adgang til et netværk som pakkedata gennemrejser. Side 21/25 Pakkedata, der ikke udløser en alarm, vil blive opbevaret på de decentrale IDS enheder i maksimalt 14 dage dog som udgangspunkt kun i seks dage -, hvorefter alle data slettes permanent. Hvis pakkedata udløser en alarm, vil det indgå i en indledende analyse for at bestemme, om alarmen er gyldig. Vurderes alarmen som gyldig, vil yderligere pakkedata blive analyseret. Støder GovCERTs personale på personoplysninger under analysen, forsøges disse fjernet og permanent slettet forud for videre analyse og registrering af data. Pakkedata som er knyttet til en bekræftet sikkerhedshændelse kan opbevares i op til tre år. Både indledende og uddybende analyser forestås af personale i GovCERT, der benytter sig af faste procedurer for hvordan personoplysninger skal frasorteres. Pakkedata indsamlet af GovCERT IDS vil under hele levetiden i systemet være beskyttet under iagttagelse af sikkerhedsbekendtgørelsen og procedurer i ISO 27001 til sikring af oplysninger. GovCERT er derudover underlagt tilsyn af Rigsrevisionen, Datatilsynet, samt et uafhængigt tilsyn. Konsekvens: Da uberettiget adgang til pakkedata lagret af GovCERT kan medføre at evt. følsomme personoplysninger bliver tilgængelige for andre, vurderes konsekvensen af sådan en hændelse at være alvorlig. K3 Sandsynlighed: Brud på adgangskontrollerne til pakkedataet vil være mulig for GovCERT medarbejdere med fuldt kendskab, men vil kræve både kendskab og mange ressourcer for eksterne personer at gennemføre. S2 Motivation: Der kræves en høj grad af forsæt og nødvendige kompetencer for at forårsage en hændelse, der krænker privatlivet ved at skaffe sig uberettiget adgang til eventuelle personoplysninger i lagret pakkedata. M2

Risiko: De personoplysninger der kan eksistere i GovCERT IDS indgår i data som vurderes at have høj følsomhed og som bliver sikret derefter. R2 7.2.2 Brug af trafikdata Trafikdata indeholder personhenførbar data i form af IP-adresser. IP-adresser kan i yderste konsekvens benyttes til at spore en persons adfærd på den statslige del af internettet. Lagring af trafikdata i en længere periode giver GovCERT mulighed for sporing af anomalier i trafikstrømmen og korrelation af historisk data. Den samlede analyse af statens trafikdata sætter GovCERT IDS i stand til at levere overbliksbilleder over konkrete trusler på tværs af tilsluttede myndigheder, hvilket er et væsentligt element i de samlede analyser af alarmer. Truslen i relation til beskyttelse af privatlivet består i mulig overvågning og profilering ved, at det eksempelvis med en målrettet søgning vil kunne udledes, hvis en person har besøgt en myndigheds hjemmeside og derefter afsendt en række mails til en anden myndighed. Hvilket indhold brugeren har set på hjemmesiden og indholdet af de afsendte mails vil ikke kunne udledes af trafikdata. Ligeledes vil personens færden andetsteds på internettet heller ikke fremgå, da det kun er trafik, der passerer forbi de decentrale IDS enheder, der indgår i trafikdata. Det er ikke muligt ud fra trafikdata lagret i GovCERT IDS, direkte at udlede personen tilknyttet en IP-adresse. Knytningen af en IP-adresse til personen kræver således kendskab til yderligere data, såsom data fra teleoperatører. Side 22/25 Trafikdata, der lagres af GovCERT IDS, genereres på de decentrale IDS enheder og overføres til KL netværket. Her opbevares trafikdata i 12 måneder, hvorefter data slettes permanent. I denne periode vil informationen kun kunne tilgås af GovCERT personale, og vil kun blive benyttet med henblik på analyser af alarmer, dannelse af overordnede situationsrapporter og risikovurderinger. Hvis trafikdata er relateret til en bekræftet sikkerhedshændelse kan data dog gemmes i op til tre år. Konsekvens: Da uberettiget adgang til trafikdata lagret af GovCERT kun kan medføre, at personoplysninger af begrænset følsomhed bliver tilgængelige for andre, vurderes konsekvensen af sådan en hændelse at være mindre alvorlig. K2 Sandsynlighed: Brud på adgangskontrollerne til trafikdata vil være mulig for GovCERT medarbejdere med fuldt kendskab, men vil kræve både kendskab og mange ressourcer for eksterne personer at gennemføre. S2 Motivation: Der kræves en høj grad af forsæt og nødvendige kompetencer for at forårsage en hændelse der krænker privatlivet ved at skaffe sig uberettiget adgang til eventuelle personoplysninger i lagret trafikdata. M2 Risiko: De personoplysninger der kan eksistere i GovCERT IDS indgår i data som vurderes at have høj følsomhed og som bliver sikret derefter. R2

7.3 Sammenfatning af implikationer for beskyttelsen af privatlivets fred GovCERT IDS er en kritisk komponent i GovCERTs samlede strategi for varslingsvirksomhed. GovCERT IDS skal bidrage til overblik over trusler og sårbarheder i produkter, tjenester, net og systemer i staten, samt løbende medvirke til vurdering af it-sikkerheden og varsling af statslige myndigheder om itsikkerhedsmæssige hændelser og trusler på internettet. Funktionaliteten i GovCERT IDS er baseret på analyse af indsamlet internettrafik. Denne trafik kan utilsigtet indeholde personoplysninger, hvorfor beskyttelse af privatlivet er en komponent af projektet allerede i denne indledende fase. Samlet vurderes GovCERT IDS at udgøre en LAV RISIKO for kompromittering af privatlivets fred. Dette skyldes, at GovCERT IDS ikke har til formål at opsamle, anvende eller lagre personhenførbar information. Tillige er sikkerhedskrav og foranstaltninger i og omkring GovCERT systemerne meget vidtrækkende, hvilket yderligere medvirker til at nedbringe risikoen for brud på sikkerheden og adgang til personfølsomme data. Side 23/25 To risikoområder er identificeret i denne PIA: Brug af pakkedata og brug af trafikdata. For begge områder gælder, at processer til at undgå utilsigtet indsamling og anvendelse af personoplysninger er etableret, og ligeledes er tiltag taget til systematisk eliminering af personoplysninger ved indledende analyser i Gov- CERT regi. Endelig vurderes risikoen ved brug af GovCERTs systemer som minimal grundet GovCERTs generelle sikkerhedsforanstaltninger. Risikoniveau udgørende en lav risiko vurderes passende til formålet med oprettelse af GovCERT IDS. I et fremadrettet perspektiv kan dog iværksættes yderligere tiltag til uddannelse og oplysning af medarbejdere og berørt personel hos tilsluttede myndigheder, således at filtrering af personoplysninger kan forfines yderligere. Endelig vil GovCERT inddrage beskyttelse af privatlivets fred, ved blandt andet at holde denne PIA løbende opdateret som GovCERT udvikles, samt ved at inddrage beskyttelsen af personoplysninger som et aspekt af årlige gennemgang af interne procedurer.

8 Appendiks A Side 24/25 Figur 4 - Datastrømsdiagram