DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data



Relaterede dokumenter
DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

Forsvarsudvalget L 192 endeligt svar på spørgsmål 3 Offentligt

Overvågningen og beskyttelsen af den amerikanske ambassade

Høringsnotat. Høringssvar over udkast til forslag til lov om Center for Cybersikkerhed. (Initiativer til styrkelse af cybersikkerheden).

Retsudvalget L 23 endeligt svar på spørgsmål 24 Offentligt

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

INTERNETOVERVÅGNING RETSUDVALGET

DI og DI ITEK's vejledning om bevissikring

IoT-sikkerhed. Trusler og løsninger i produktionsapparatet og intelligente produkter

NOTAT. definitionen af sikkerhedshændelse i lovforslaget om Center for Cybersikkerhed (L 192)

Retningslinjer for Forsvarets Efterretningstjenestes behandling af personoplysninger mv. om danske statsborgere og herboende udlændinge.

Bekendtgørelse af lov om Forsvarets Efterretningstjeneste (FE)

Ofte stillede spørgsmål om GovCERT s serviceydelser og sensornetværk

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

KOMMISSIONENS DELEGEREDE FORORDNING (EU)

HØJESTERETS KENDELSE afsagt torsdag den 10. maj 2012

Udvalget for Videnskab og Teknologi (2. samling) UVT alm. del - Bilag 191 Offentligt

Årlig redegørelse fra tilsynsudvalget vedrørende politiets og forsvarets efterretningstjenesters behandling af personoplysninger (Wamberg-udvalget)

Retsudvalget REU Alm.del Bilag 77 Offentligt

Retningslinjer for Politiets Efterretningstjenestes behandling af personoplysninger mv.

It-sikkerhedstekst ST2

Bekendtgørelse af lov om Politiets Efterretningstjeneste (PET)

JUSTITIA BRIEF: FES OVERVÅGNING AF DANSKERE I UDLANDET

IT-sikkerhedspanelets anbefalinger vedrørende privacy

FOLKETINGETS RETSUDVALG HØRING OM CFCS-LOVEN 8. MAJ 2014

Trusselsvurdering Cyberangreb mod leverandører

Rigspolitiet har imidlertid fundet anledning til at begrænse din adgang til aktindsigt i oplysningerne, som anført nedenfor.

JUSTITSMINISTERIETS INSTRUKS TIL CHEFEN FOR POLITIETS EFTERRETNINGSTJENESTE

H Ø R I N G O V E R U D K A S T T I L L O V O M Æ N D R I N G A F L O V O M F O R S V A R E T S E F T E R R E T N I N G S T J E N E S T E

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Samlet orientering om de sikkerhedsmæssige aspekter i forbindelse med overfaldsforsøget på tegneren Kurt Westergaard fredag den 1. januar 2010.

Risikovurdering vedr. Google Apps. Sammenfatning. Risikovurdering

Statens strategi for overgang til IPv6

It-sikkerhedstekst ST4

Baggrund. Udkast til svar:

Høringspartnere. Digitaliseringsstyrelsen uddyber nedenfor formål, indhold og konsekvenser af at indføre Persondataloven i Grønland.

Privacy fremmende teknologier - en introduktion til at beskytte privatlivets fred på din computer

Folketinget Udvalget for Videnskab og Teknologi Christiansborg 1240 København K

Logningsbekendtgørelsen. Teknisk gennemgang af. Folketingets Retsudvalg, den 21. november Justitsministeriet

Tilgængelig på: /udgivelser/status/ /databeskyttelse_delrapport_2016.pdf.

Bekendtgørelse af lov om Politiets Efterretningstjeneste (PET)

Europaudvalget 2011 Rådsmøde RIA Bilag 4 Offentligt

Lov om sikkerhed i net- og informationssystemer for operatører af væsentlige internetudvekslingspunkter m.v. 1)

Kommissorium for Udvalget vedrørende den danske terrorbekæmpelse

Jørn Vestergaard, professor i strafferet ved Københavns Universitet. Militær overvågning af danskere i udlandet udhuling af normale retsgarantier

Faktaark - 3. Privatlivets fred

HØRING OVER UDKAST TIL FORSLAG TIL LOV OM CENTER FOR CYBERSIKKERHED SAMT EVALUERING AF GOVCERT-LOVEN

Hovedpunkterne i lovforslaget om Politiets Efterretningstjeneste og lovforslaget om ændring af den parlamentariske kontrolordning

e êáåö=îéçêk=içî=çã=`éåíéê=ñçê=`óäéêëáââéêüéç=

til brug for besvarelsen af samrådsspørgsmål AA og AB (Alm. del) fra Folketingets Retsudvalg den 2. marts 2017

Ved aftaleindgåelse drøftes de konkrete behov for specificering af app en med afsæt i nedenstående.

Retsudvalget REU Alm.del endeligt svar på spørgsmål 422 Offentligt

Vejledning til indberetning af sikkerhedshændelse efter NIS-direktivet

ITEK og Dansk Industris vejledning om betalingskortsikkerhed

ITEK og DIs vejledning om beskyttelse af data mod fremmede landes overvågning

RICHO PARTNER SIDEN 1980 OPLÆG VEDRØRENDE PERSONDATA, SIKKER DOKUMENTHÅNDTERING & IT SIKKERHED COPYTEC

Privatlivsfremmende teknologier (PETs)

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Whistleblower-politik

I det følgende vil de væsentligste ændringer, samt hvilke virksomheder loven omfatter, blive gennemgået.

It-sikkerhedstekst ST8

Persondataforordningen. Konsekvenser for virksomheder

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Sikkerhedsanbefaling. It-sikkerhed på rejsen

Security & Risk Management Summit

Instrukser for brug af it

Sikkerhed i cloud computing

Understøttelse af LSS til NemID i organisationen

OBS! Der kan være forskellige fremgangsmåder for de forskellige Androidmodeller.

FAKTAARK. Faktaark om udvalgte styrker og udfordringer fra Redegørelse om Danmarks digitale vækst 2019

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

Boks 1 Digital vækst i Danmark. Muligheder. Udfordringer

Kronik: Forsvarets Efterretningstjeneste - hvorfor og hvordan?

Beretning. udvalgets virksomhed

Undersøgelsesrapport: Forsøg på kompromittering af netværks- udstyr

Permanent toldkontrol i Danmark (styrket grænsekontrol) Nyt kapitel

Undersøgelse af uregelmæssigheder

Bekendtgørelse om rammerne for informationssikkerhed og beredskab 1)

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik)

Overholdelsen af hvidvaskreglerne skal være bedre. Finanstilsynet Den 8. maj 2019

Politik for It-brugeradfærd For Aalborg Kommune

Baggrunden for aftalen

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Symantec - Data Loss Prevention

DI og DI ITEK's vejledning om informationssikkerhed med fokus på produktionsapparatet - mellemlederens ansvar og rolle (II)

lov om Forsvarets Efterretningstjeneste

Produktspecifikationer Cloud Connect Version 1.1. Cloud Connect. Side 1 af 7

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation)

Privatlivspolitik (ekstern persondatapolitik)

Målrettet arbejde med persondataforordningen for

INITIATIVER TIL IMØDEGÅELSE AF RADIKALISERING I DANMARK

Guide til sikker it. Daglig brug Programmer Internet Databehandling

Skabelon: Regler for medarbejderes brug af it

Europaudvalget EUU Alm.del EU Note 10 Offentligt

1. Det vil være til gavn for især små og mellemstore danske virksomheder, hvis Danmark ikke bliver en del af den fælles patentdomstol.

SOPHIAGÅRD ELMEHØJEN

Overordnet organisering af personoplysninger

DK CERT COMPUTER EMERGENCY RESPONSE TEAM. Chefkonsulent Preben Andersen

Sessionslogning En analyse blandt IDAs logningseksperter og specialister

Transkript:

DI og DI ITEKs vejledning om overvågning og beskyttelsesmuligheder af danske virksomheders data

Danske virksomheders data udsættes i takt med den til stadighed mere omfattende digitalisering over for væsentlige risici. Blandt de nye trusler, virksomhederne skal beskytte sig imod, er risikoen for, at virksomhedernes data overvåges af fremmede landes efterretningstjenester via internettet. Denne vejledning viser, at mange lande har lovgivning, som - når en række betingelser er opfyldt - muliggør overvågning af datatrafik, som krydser de nationale grænser. Virksomhederne skal være opmærksom på de nye risici, der opstår, når man behandler og udveksler data på nettet. Virksomhederne skal derfor lave en løbende og opdateret risikovurdering, som fastslår, hvilke trusler virksomhederne står overfor. Der anbefales en periodisk opdatering hvert år. Desuden anbefales løbende opdatering i takt med, at nye trusler afsløres. Det anbefales desuden, at virksomhederne laver en dataklassifikation, hvor man som minimum klassificerer de data, der betyder mest for virksomheden. Det drejer sig bl.a. om de data, som er vigtigst for virksomhedens overlevelse og vækst. Det skal vurderes, hvilke risici virksomhedens står overfor, hvis disse data overvåges og deres fortrolighed kompromitteres. Hvis de pågældende data er af afgørende vigtighed for virksomheden, skal det sikres, at de gældende data ikke behandles via digitale services på internettet eller med adgang til internettet. Det skal ligeledes sikres, at det udstyr, som behandler data, ikke kan kommunikere trådløst på anden måde end internettet. Alternativt kan virksomheden anvende stærk og sikker kryptering i en implementering, som virksomheden stoler på. Baggrund Denne vejledning har til formål at bidrage til en vurdering af risici for overvågning af virksomhedernes data fra fremmede landes efterretningstjenester via internettet. For hvert enkelt land gennemgås kortfattet lovgrundlaget for overvågning af tele- og datatrafik. Særligt i det omfang, hvor overvågningen ikke er målrettet en mistænkt, men tager form af at være masseovervågning, er der risiko for, at virksomhedernes data falder i fremmede hænder. Herefter gennemgås i en vis udstrækning lovgivningens implikationer for cloud computing. Lovgivning Lovgivningen i en række lande lægger op til, at data indenfor og udenfor landets grænser kan overvåges af landets forskellige myndigheder. I praksis har de fleste lande i verden en eller flere efterretningstjenester, hvis formål er at indhente efterretninger, som har til formål at beskytte landets interesser mod bl.a. terrorisme. Desuden er der mulighed for, at politiet og andre myndigheder kan få adgang til data. Denne vejledning giver nogle udvalgte eksempler på lovgivning i lande, som Danmark har væsentlig samhandel med og/eller som det er sandsynligt, at dansk internettrafik krydser. Danmark Danmark har to efterretningstjenester: Politiets Efterretningstjeneste (PET) og Forsvarets Efterretningstjeneste (FE). Lovgrundlaget er henholdsvis Lov om Politiets Efterretningstjeneste 1 og Lov om Forsvarets Efterretningstjeneste 2. I Lov om Politiets Efterretningstjeneste hedder det i 1: "Politiets Efterretningstjeneste har til opgave at... forebygge, efterforske og modvirke forbrydelser mod statens selvstændighed og sikkerhed samt forbrydelser mod statsforfatningen og de øverste statsmyndigheder m.v., jf. straffelovens kapitel 12 og 13". 1 https://www.retsinformation.dk/forms/r0710.aspx?id=152182 2 https://www.retsinformation.dk/forms/r0710.aspx?id=152195

Tilsvarende i Lov om Forsvarets Efterretningstjeneste, 1: "Forsvarets Efterretningstjeneste... har til opgave at... tilvejebringe det efterretningsmæssige grundlag for dansk udenrigs-, sikkerheds- og forsvarspolitik [og]... medvirke til at forebygge og modvirke trusler mod Danmark og danske interesser og... i den forbindelse indsamle, indhente, bearbejde, analysere og formidle oplysninger om forhold i udlandet af betydning for Danmark og danske interesser, herunder for danske enheder m.v. i udlandet". Omfanget af FE's virksomhed uddybes i bemærkningerne til lovforslaget: "FE løser sin opgave ved at indsamle, indhente, bearbejde og analysere alle former for kilder. Oplysningerne indhentes således fra en bred vifte af informationskilder, der strækker sig fra åbne kilder, f.eks. massemedier, tidsskrifter, bøger, offentlige databaser m.v., til anvendelse af lukkede kilder, f.eks. personkilder (fysisk indhentning), elektronisk indhentning af f.eks. militante netværks og andre staters kommunikation. Dette sker fra tjenestens installationer i ind- og udlandet og via samarbejde med andre landes sikkerheds- og efterretningstjenester" 3. Tilsvarende udveksler FE også efterretninger med kolleger i udlandet: "FE s udveksling af oplysninger med udenlandske myndigheder søges altid gennemført inden for rammerne af et etableret, gensidigt samarbejde, således at den modtagende myndighed i udlandet som led i dette samarbejde på tilsvarende måde vil stille oplysninger til rådighed for FE, når sådanne oplysninger kan have særlig betydning for f.eks. vurderingen af truslen mod Danmark og danske interesser" 4. Det er altså en grundliggende betingelse for efterretningstjenesternes virke, at de skal beskytte den danske stat. Foruden efterretningstjenesterne har politiet i medfør af retsplejelovens regler visse muligheder for at få adgang til data. For det første kan politiet 5 ved mistanke om kriminelle forhold iværksætte aflytning med dommerkendelse, og for det andet kan politiet med dommerkendelse få adgang til de trafikdata om kommunikation, som udbydere af elektroniske kommunikationsnet og -tjenester har pligt til at indsamle og opbevare. Såfremt der er adgang til data fra Danmark, kan politiet med dommerkendelse få adgang til data, som behandles af en cloududbyder desuagtet, at serveren befinder sig i udlandet. Hvis der ikke kan opnås adgang til data via nettet, afhænger mulighederne for adgang til data af det juridiske samarbejde som landene har 6. Sverige I Sverige er der mere vidtgående lovgivning, som muliggør overvågning i højere grad, end vi kender det i Danmark. Den svenske efterretningstjeneste, Försvarets Radioanstalt (FRA), har mulighed for at bruge datamining software til at søge i al tele og internetkommunikation, som krydser Sveriges grænser. Søgningen må iværksættes, hvis der er emner som "military threats, terrorism, IT security, supply problems, ecological imbalances, ethnic and religious conflicts, and migration to economic challenges in the form of currency and interest speculation" 7 involveret. Lovgivningen har været genstand for betydelig debat i Sverige, og er på den baggrund blevet ændret. I dag kræves der dommerkendelse, førend FRA kan 3 http://www.ft.dk/ripdf/samling/20121/lovforslag/l163/20121_l163_som_fremsat.pdf, p. 11. 4 Ibid, p. 17. 5 jvf., retsplejelovens kapitel 71, https://www.retsinformation.dk/forms/r0710.aspx?id=157953 6 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, pp. 7-8 7 https://www.privacyinternational.org/reports/sweden/ii-surveillance-policies

iværksætte søgninger, og det er præciseret, at kommunikationen ikke må involvere en modtager eller afsender i Sverige, men altså kun Sveriges omverden 8. Denne ændring er af særlig interesse for Danmark, fordi en ikke ubetydelig del af dansk tele- og internet trafik krydser den svenske grænse. Trafikken søger den hurtigste og billigste vej gennem netværkene - og det er i praksis ofte over Sverige. Der er dermed en potentiel risiko for, at kommunikationen overvåges i Sverige af den svenske efterretningstjeneste, såfremt betingelserne for søgningen er til stede. Storbritannien I Storbritannien er der i henhold til RIPA-lovene (Regulation of Investigatory Powers Act) vidtgående mulighed for, at myndighederne under indenrigsministeriet kan få adgang til trafikdata for tele- og internettrafik uden dommerkendelse. Desuden er det en administrativ beslutning, når der skal iværksættes overvågning af indhold af trafikken. Tilsvarende er der krav om, at internetudbyderne skal logge trafikdata 9. Storbritannien kan ydermere kræve, at personer, som er under mistanke for kriminelle handlinger, skal dekryptere information og udlevere krypteringsnøgler. Endelig er al trafik, som krydser Storbritanniens grænser, omfattet af masseovervågning i henhold til RIPA-lovene 10. Overvågning af trafik kan ske, hvis det "is 'necessary' in the interest of national security; for the prevention or detection of a serious crime; to safeguard the economic well-being of the UK; or in response to a request under an international mutual legal assistance agreement" 11. Myndighederne kan også kræve at få adgang til en række data hos cloududbydere. Såfremt det vurderes, at det kan skade efterforskningen at bede cloududbyderen om at give adgang til data, kan der gives mulighed for, at myndighederne selv henter data gennem aflytning, hacking eller razzia. Det er ikke nogen forhindring, at serveren eventuelt står i udlandet, såfremt der skal skaffes adgang til data fra Storbritannien. Aflytning kan ske uden en dommerkendelse, men der skal gives en kendelse fra en såkaldt statssekretær 12. Frankrig I henhold til LOPPSI 2 (loi d orientation et de programmation pour la performance de la sécurité intérieure) kan politiet med en dommerkendelse få adgang til optage, indsamle og kopiere informationer fra forskellige IT-systemer via spyware. Herudover skal ISP'er logge trafikdata, og politiet og efterretningstjenesterne kan få adgang til disse logs uden dommerkendelse. Konkret har myndighederne gennem flere år haft systemer, hvor de kan søge direkte i disse logs og kortlægge, hvem der har kommunikeret med hvem. I Frankrig er det en skærpende omstændighed at bruge kryptering, og franske myndigheder kan kræve at informationer dekrypteres, ligesom de kan kræve nøgler udleveret 13. 8 http://data.riksdagen.se/dokument/gx01f%c3%b6u3 9 https://www.privacyinternational.org/reports/united-kingdom/ii-surveillance-policies 10 Omtalt overordnet: http://en.wikipedia.org/wiki/mass_surveillance_in_the_united_kingdom og uddybet yderligere i selve loven: http://www.legislation.gov.uk/ukpga/2000/23/section/1 11 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, p. 11 12 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, pp.11-12 13 https://www.privacyinternational.org/reports/france/ii-surveillance-policies

Franske myndigheder kan med en dommerkendelse kræve at få adgang til cloudservere i hjemlandet såvel som i udlandet 14. Tyskland I Tyskland giver G-10-loven adgang til automatisk overvågning af national og international kommunikation foretaget af efterretningstjenesterne uden dommerkendelse. ISP'erne skal sikre, at det er muligt for efterretningstjenesterne at foretage denne overvågning. Dele af lovgrundlaget for denne overvågning er siden udvidet således, at dele af politiet også har mulighed for at foretage overvågning og installere overvågningssoftware (Bundestrojaner) på it-udstyr. Med en domstolskendelse må visse tyske myndigheder få adgang til data lagret i clouden. Ligeledes må tysk politi få adgang til metadata uden en domstolskendelse. Adgangen er i begge tilfælde begrænset til servere, der befinder sig i Tyskland. Såfremt der ønskes adgang til data, der befinder sig på servere i udlandet, må politiet forlade sig på bilaterale aftaler med myndigheder i andre lande 15. USA I USA er der et omfattende regelsæt, som sætter vide grænser for overvågning. Den megen omtalte USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act) bygger på en række eksisterende love. Politiets adgang til at overvåge i USA er bl.a. reguleret i Electronic Communications Privacy Act (ECPA). Politiet skal have en dommerkendelse for at kunne foretage aflytning. Overvågning uden for USA s grænser er reguleret i Foreign Intelligence Surveillance Act (FISA). Kravet er her, at der skal være mistanke om, at en kommunikerende part er relateret til terrorisme. Den såkaldte FISA-domstol kan så give tilladelse til overvågning. Domstolen skal ikke vurdere nogen form for dokumentation for mistanke om relation til terror. Amerikanere kan også overvåges under FISA-loven, idet det alene er en forudsætning, at den ene kommunikerende part skal befinde sig i udlandet. ISP'er har pligt til at indrette deres udstyr således, at overvågning kan finde sted. En af de ændringer, som PATRIOT Act førte med sig, var, at FBI selv kunne udstede National Security Letters, som giver ret til at få adgang til kundedata hos banker, ISP'er, m.v. 16. Den væsentligste lov, som sikrer, at amerikanske myndigheder kan få adgang til cloudservices, er ECPA. I henhold til denne lov kan myndighederne få adgang til data, som hostes hos online service udbydere. Dette kan være et alternativ til at få adgang til data ved at henvende sig til ejeren af data. Adgangen til data er uafhængig af, hvor serveren, som data befinder sig på, er placeret geografisk. Amerikanske myndigheder kan kræve adgang til data, uanset om data kan tilgås fra USA. Der kan således også kræves adgang til data lagret i f.eks. Europa. Faktisk kræves det kun, at en virksomhed har en tilstedeværelse i eller kontakt med USA 17. 14 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, p. 8 15 http://m.hoganlovells.com/files/news/c6edc1e2-d57b-402e-9cab- 5888433b292d/Revised%20Government%20Access%20to%20Cloud%20Data%20Paper%20(18%20July%2012).pdf, pp. 8-9 16 https://www.privacyinternational.org/reports/united-states-of-america/ii-surveillance-policies og https://ssd.eff.org/foreign/fisa 17 Covington & Burling LLP: "The USA PATRIOT Act and the Use of Cloud Services: Q&A", http://www.insideprivacy.com/patriotactqa.pdf

Traktater mv. Foruden den nationale lovgivning findes en række internationale aftaler og reguleringer. Et eksempel er EU s direktiv om logning, Data Retention Directive 18, som har til formål at harmonisere reglerne for logning af trafikdata for tele- og internetkommunikation. Direktivet er indført i en række EUlande og fastsætter dels, hvilke data ISP'erne skal logge, og hvilke myndigheder, der skal have adgang til data hvordan. Direktivet har bl.a. den konsekvens, at alle virksomheders trafikdata logges, og med en dommerkendelse kan man derfor se, hvem der har kommunikeret med hvem hvornår og hvordan. Der findes herudover en række aftaler om gensidig juridiske bistand mellem lande (Mutual Legal Assistance Treaties og court-to-court samarbejde). Disse aftaler giver mulighed for, at myndighederne i to eller flere lande kan samarbejde om at tilvejebringe relevante data for en sag, der undersøges i et andet land. Mangel på anvendelse af ny teknologi er en trussel Risikoen for virksomhedens data opstår i forbindelse med deres anvendelse af moderne digitale teknologier og services. Det er på den anden side også en trussel for virksomhedernes økonomiske udvikling, hvis de ikke bruger moderne teknologier mv. Således vil manglende anvendelse af moderne tiltag som cloud computing, mobile tjenester, sociale tjenester, big data analyse og internet of everything udsætte den enkelte virksomhed for potentielt tab af konkurrencekraft. Dette dilemma skal risikovurderingen tage højde for, og der må laves en afvejning mellem beskyttelsestiltag for at forhindre, at de vigtigste datas fortrolighed kompromitteres og gevinsterne, som de moderne teknologier giver. Sikringstiltag På baggrund af ovenstående kan det konkluderes, at der i en række lande findes hjemmel til at foretage overvågning af datatrafik - særligt datatrafik, der krydser nationale grænser. En illustration kan findes i bilag 1. Virksomhederne bør gennemføre en risikovurdering, hvor de kortlægger, hvilke trusler virksomhederne står overfor. Truslen om aflytning og tab af datas fortrolighed er kun en del af det samlede trusselsbillede. Virksomhedens risici udvikler sig løbende, og den konkrete risikovurdering skal derfor løbende opdateres i takt med, at vigtigere nye trusler afsløres. Desuden bør virksomhederne lave en dataklassifikation, hvor man som minimum klassificerer de data, der betyder mest for virksomheden. Til dette formål kan man søge inspiration i statsministeriets sikkerhedscirkulære 19. De data, som er vigtigst for virksomhedens overlevelse og vækst, kan klassificeres som "top hemmelige". Det skal vurderes, hvilke risici virksomhedens står overfor, hvis disse data overvåges og deres fortrolighed kompromitteres. Hvis de pågældende data er af afgørende vigtighed for virksomheden, har virksomheden to muligheder: 1. Enten skal det sikres, at de gældende data ikke behandles via digitale services på internettet eller med adgang til internettet, ligesom det skal sikres, at det udstyr, som behandler data, ikke kan kommunikere trådløst på anden måde end internettet. De pågældende data kan der evt. være krav om kun behandles på papir, bæres med kurer, etc. 2. Eller også skal virksomhederne bruge en kryptering, som er tilstrækkelig stærk (nøglelængde) og som de selv stoler på (uden bagdøre) og evt. selv implementerer. 18 http://eur-lex.europa.eu/lexuriserv/lexuriserv.do?uri=oj:l:2006:105:0054:0063:en:pdf 19 http://www.stm.dk/_p_5431.html

De øvrige data, som virksomheden vurderer, er af mindre betydning for virksomhedens overlevelse og vækst, kan, hvis det er i overensstemmelse med risikovurderingen, måske med fordel behandles hos outsourcing- eller cloudleverandører. Bilag 1 I figuren fremgår det, hvordan data transporteres rundt på nettet og hvor truslerne findes. 1. Når kommunikationen går fra en dansk virksomhed til en dansk outsourcingpartner, er det ganske sandsynligt, at trafikken går over Sverige, hvor den vil blive opsamlet. 2. Det samme sker, hvis virksomhedens bruger en outsourcingpartner eller en cloududbyder et sted i Europa. Her vil trafikken dog krydse flere lande og kan dermed blive opsamlet af flere efterretningstjenester. 3. Yderligere vil man opnå samme risikobillede ved at bruge en cloududbyder placeret i USA, som ved at benytte en cloududbyder eller outsourcingpartner i Europa. 4. Både outsourcingpartnere og cloududbydere i USA og Europa kan benytte sig af underleverandører i Asien. I fald dette sker, kan der åbnes op for, at endnu flere landes efterretningstjenester kan få adgang til data.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback