Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5. maj 2015
Den nuværende persondatalov Fra år 2000, løbende smårevisioner Bunder hovedsaglig i et EU-direktiv Tre niveauer af personoplysninger Følsomme oplysninger (lovovertrædelser, helbred, seksualitet, religion mm.) Oplysninger om rent private forhold Ikke-følsomme oplysninger Som udgangspunkt anmeldelsespligt for registre Lang række undtagelser Bliver i stort omfang ikke fulgt, sanktioner stærkt begrænsede...
Sanktioner?
Dataansvarlig / Databehandler Skelnen er vigtig mht. ansvar! Den dataansvarlige er den, der afgør til hvilket formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger den der ejer data. En databehandler behandler personoplysninger på vegne af (efter instruks fra) en dataansvarlig tredjeperson/firma der processerer og/eller opbevarer data. Det er den dataansvarlige, der er ansvarlig for overholdelsen af persondataloven.
Geografi - overførsel Som udgangspunkt ingen overførsel af oplysninger til ikke EU-lande Dog en liste af godkendte lande (f.eks Schweiz, Australien, New Zealand m.fl.) Ikke USA dog undtagelse gennem Safe Harbour (Model Clause) Ikke-standardkontrakter kræver Datatilsynets tilladelse Kun visse typer af personoplysninger må overføres
Transport af data Reglerne er klare kryptering! Datatilsynet fortolker Persondataloven som krav om kryptering ved transport af peronfølsomme oplysninger over internettet. stærk kryptering, baseret på en anerkendt algoritme Endvidere krav om autenticitet (sikkerhed for afsenders og modtagers identitet) og integritet (sikkerhed for de transmitterede oplysningers ægthed) VPN, sikker email, stærk SSL, digital signatur.
Netværket i gamle dage Internt netværk Servere Firewall Internet
Det moderne netværk i 2015 Fagsystemer Internt netværk Servere Leverandør Clientless VPN (SSL browser) Servere Firewall IPSec-compliant VPN gateway Remote Users Bærbar PC med VPN Klient Web Server Pool 3G/LTE Tablet med VPN Klient Mødelokale Internet VPN klient Broadband BYOD - Private enheder Mobiltelefoner og tablets Firewall Hjemmearbejdspladser Cloud Services Fjernkontorer Borgerservice
Autenticitet - stigende antal identiteter Antal digitale identiteter pr. bruger Internt Leverandører Mobility Borgere Cloud Fagsystemer Internet Client/server Mainframe 1980 1990 2000 2010 2020 Tid
Løsningen? IAM-systemer Value Efficient solution with large amount of automation and system integration Large set of connected systems Fully developed Request platform. Role Based Access Control (and ABAC) Extensive Compliance and Policies IAM System with basic Life-cycle management Formal processes defined. Business policies in place and followed Processes are largely manual Some audit reports defined Some connected systems Permissions assigned through organization structures, basic roles Automated Processes & Self-Service Ownership Some compliance Mostly Manual Processes Uncontrolled & coincidental No Processes established Audits are manual tasks Mix of manual processes and scripts Some processes in place No formal description Audits are still largely manual tasks IAM is a journey not a destination Gartner Maturity
Løsninger Kryptering, integritet og beskyttelse Kontrol og overblik Flere forskellige redundante og uafhængige sikkerhedsmekanismer Sikkert design proaktiv/generisk sikkerhed Anvend forebyggende teknologier Indbyg sikkerhed i systemerne Aktiv beskyttelse reaktiv sikkerhed Suppler den indbyggede sikkerhed Overvåg intern trafik for afvigende mønstre Overvågning Overvågning af handlinger på systemer og netværk Konsolidering, sammenstilling og intelligent analyse af logfiler Politikker og procedurer Management Overvågning & korrelation Perimeter Netværk Host Applikation Data Brugere Murphy's Law: Anything that can go wrong will go wrong.
Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Fundamentals Endpoint-beskyttelse Websikkerhed
Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting
Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting Lean forward DLP Sandboning
Sikkerhed i dybden hvad betyder det i praksis? Fundamentals Endpoint-beskyttelse Netværkssegmentering Data & systemer Overvågning SIEM Threat Intelligence Advanced Technology Whitelisting/Blacklisting Next Generation Firewall Lean forward Sandboxing DLP Fundamentals Endpoint-beskyttelse Websikkerhed Advanced Technology Mobile Device Security Whitelisting/Blacklisting Lean forward DLP Sandboxing
Men systemer er meget godt
Tak!