Tekniske sikkerhedsforanstaltninger

Tekniske sikkerhedsforanstaltninger

På baggrund af en risikovurdering set fra de registreredes skal de dataansvarlige i henhold til persondataforordningen iværksætte passende tekniske sikkerhedsforanstaltninger. I denne artikel vil vi berøre, hvad passende tekniske sikkerhedsforanstaltninger egentlig er.

Baggrund

I Der gives i persondataforordningen kun to eksempler på, hvad tekniske foranstaltninger er: pseudonymisering og kryptering. Det er derfor op til den dataansvarlige at identificere de øvrige tekniske foranstaltninger, som bør bringes i spil for at reducere risikoen for de registrerede, når der behandles personoplysninger.

Foranstaltningen giver kun mening i det omfang, den kan afhjælpe en risiko, og derfor er fokus nedenfor ikke foranstaltningen i sig selv, men den risiko som foranstaltningen kan reducere. Det kan anbefales at læse mere om, hvordan man modellerer trusselsbilledet og laver risikovurdering i Wired Relations artikel herom. Nogle af foranstaltningerne kan afhjælpe flere trusler, men er som hovedregel kun anført ét sted. Listen skal ikke anses for at være udtømmende og den skal ikke implementeres i hele sin længde – man skal være foranstaltninger på baggrund af konkrete risici.

Risiko 1: Malware / Ondsindet kode i form af orme, vira, spyware, trojanske heste m.v. kan stjæle personoplysninger eller gøre dem utilgængelige.

  • Antivirus
    Programmet kan genkende den skadelige kode enten på baggrund af historiske oplysninger (koden er set før) eller på baggrund af malwarens handlinger (koden gør noget, der tidligere er blevet vurderet at være ondt).
  • Endpoint-sercurity
    Denne betegnelse refererer til en bred kreds af foranstaltninger, som er centreret om at sikre brugernes terminaler. De kan omfatte antivirus, firewall, data discovery, DLP, DNS-blokering, harddisk kryptering, automatisk opdatering m.v.
  • Netværkssegmentering
    Hvis der opstår en trussel et sted på netværket kan det være nyttigt på forhånd at have delt netværket op i segmenter, således at truslen ikke spreder sig til forskellige andre dele af netværket. Dette gøres typisk ved at installere en firewall mellem segmenterne, hvor det er præciseret at kun afgrænset trafik mellem segmenterne må forekomme. Visse følsomme systemer kan helt isoleres på netværket.

Risiko 2: Angreb fra hackere på internettet, som gerne vil stjæle personoplysninger eller gøre dem utilgængelige.

  • Firewall
    En firewall tillader eller blokerer trafik til og fra en organisation baseret på regler. Hvis der findes en kendt skadelig server på nettet, hvorfra det er kendt at angreb kommer blokeres al trafik til og fra denne server i firewallen.
  • IDS/IPS
    Mønstre i angreb er ofte genkendelige og ved at kortlægges trafikkens mønster kan man nogen gange identificere den skadelige trafik og blokere denne.
  • DNS-blokering
    Kendte skadelige servere på nettet kan alternativt blokeres under DNS-opslaget, som oversætter www.domænenavn.dk til en IP-adresse, således at hjemmeside (eller en skadelig side på nettet, som et stykke malware forsøger at kontakte) aldrig hentes.
  • Opdatering
    Der er fejl i alle former for kildekode. En del af disse fejl udgør egentlige sårbarheder, som kan benyttes til angreb. Når producenten bliver opmærksom på disse fejl vil der blive lavet opdateringer, som retter fejlen og lukker af for sårbarheden. Hvis man ikke får lukket af for disse fejl, kan sårbarhederne udnyttes af ondsindede personer, til at foretage angreb.
  • Sårbarhedsskanning og penetrationstests
    Der bør skannes efter sårbarheder, så disse kan lukkes inden de udnyttes. Skanningen kan lede efter manglende opdateringer eller efter typiske programmeringsfejl.
  • Kryptering
    For at undgå at data som transmitteres over internettet, er lagret på organisationens servere eller på klientudstyr opsnappes af uvedkommende kan der implementeres forskellige former for kryptering.

Risiko 3: Lokke eller snyde brugere til at afgive informationer

  • Anti-spam og anti-phishing
    Ondsindede personer forsøger at få brugerne til at klikke på links og vedhæftede filer, som vil kompromittere deres udstyr. Der kan anskaffes filtre, som fjerner denne skadelige kommunikation inden den når frem til brugerne.
  • Fysisk sikkerhed
    Der kan iværksættes en række fysiske tiltag for at sikre at uvedkommende ikke får fysisk adgang – f.eks. ved at snyde sig til at ligne en gæst. Indhegning, låste døre og vinduer, alarmanlæg er blandt klassikerne. Desuden bør identifikationskort – og så til gæster – implementeres. Organisationen kan inddeles i zoner – f.eks. således at serverum eller forskningsområder ikke er tilgængelige.
  • Social engineering
    Social engineering sker når der spredes USB’er med skadelig kode på parkeringspladsen eller når en bruger via et opkald får et opkald fra en person, der giver sig ud for at være fra IT-afdelingen, Microsoft eller andre med en vis autoritet. Der findes ikke en teknisk foranstaltning mod dette, men medarbejderne skal være aware overfor denne type angreb.

Risiko 4: Data bliver utilgængelige gennem fejl eller angreb

  • Backup
    Backup er en kopi af data og systemer, som kan genindlæses, hvis man er ramt af utilgængelighed – f.eks. i form af fejl på systemer eller ransomware, som krypterer alle filer

Risiko 5: Insidere der med eller uden forsæt bruger data til andre formål end planlagt

  • Identity and access governance
    Alle brugere skal unikt kunne identificeres, således at deres handlinger specifikt kan knyttes til en fysisk person. Brugerne skal kun have rettigheder til systemer og data, som er relevant for deres arbejde – også når dette skifter over tid. Brugerne skal være unikke på alle systemer – også selv om tjenesten befinder sig i clouden. Insidere skal fortolkes bredt som brugere, der er oprettet i en organisations systemer – også selv om disse brugere måtte have et løst tilknytningsforhold til organisationen. Hvor der er særlig risiko bør der introduceres to-faktor autentifikation.
  • Shadow IT-discovery
    Ofte har afdelinger indkøbt IT-løsninger udenom IT-afdelingen – f.eks. tjenester på nettet. Tilsvarende anvender brugerne ofte tjenester på nettet i til arbejdsformål, fordi de har brug for en bestemt funktionalitet, som organisationen ikke stiller til rådigheder. De kan også være flittige og overføre data til private tjenester i skyen med det formål at arbejdere videre udenfor arbejdstid. Alle disse tjenester, som ikke er autoriseret af organisationen kan identificeres ved at anvende shadow IT-discovery, som identificerer alle kendte tjenester på nettet, som folk kobler op til.
  • Data Discovery
    Man kan identificere bestemte typer af oplysninger i større mængder af data og på den måde fastslå, om de befinder sig på steder, hvor de ikke burde befinde sig – f.eks. om der flyder CPR-numre rundt på steder, hvor det ikke er meningen at der skal flyde CPR-numre rundt.
  • Data Loss Prevention
    Man kan identificere bestemte typer af oplysninger i realtime og dermed forhindre at bestemte typer af oplysninger kommunikeres gennem en bestemt kanal – f.eks. undgå at CPR-nummer sendes via ukrypteret e-mail eller uploades i et CMS-system.
  • Klassifikation
    Man kan markere bestemte typer af information til at tilhøre bestemte typer af klasser og på den baggrund få systemet til at trække politikker for hvad der må ske med data tilhørende en given klassifikation.
  • Asset management / udstyr på netværket
    Man skal sikre sig at uvedkommende udstyr (eget udstyr, der er forældet eller befinder sig hos en forhenværende medarbejder, konsulenters udstyr, medarbejderes eget udstyr m.v.) ikke kan kobles op til virksomhedens systemer.
  • Logging
    Alt hvad der sker på alle systemer bør principielt set dokumenteres (logges). Logs fra de forskellige systemer kan normaliseres og samles i et SIEM logging system, som kan give et samlet overblik over aktiviteter på organisationens netværk – f.eks. brugeres login, opstart af programmer og sletning af filer. Dette kan suppleres med opsamling af flowdata, som er det reelle indhold af alle pakker. 
  • Mobile device management
    Der skal være styr på alle mobile terminaler, så man kan trække politikker ned over dem, spore dem, begrænse deres adgang til tjenester, opdatere dem og bekæmpe skadelig kode på dem.
  • Pseudonymisering/anonymisering
    Man skal overveje om alle, der kan tilgå data, har behov for at kunne identificere de registrerede, som data vedrører. Hvis man f.eks. videregiver data kan man ofte med fordel fjerne identificerende oplysninger. Når man ikke længere har brug for oplysningerne for at opfylde et givent formål, kan man enten slette alle data eller slette de identificerende oplysninger, således at de resterende oplysninger er anonyme.
  • Digital Rights Management
    Man skal sikre sig at man ikke krænker andres rettigheder til digitalinformation. Ligeledes skal man være opmærksom på, om der behov for at sikre digitale rettigheder til egne dokumenter.

Risiko 6: Manglende styring eller evne til at dokumentere compliance

  • Governance værktøj
    Det skal sikres, at man har et eller flere systemer, hvor man dokumentere sine GDPR-tiltag, sikkerhedstiltag, regler, politikker og procedurer, kontroller, kontrakter, databehandleraftaler m.v. Hvis det ikke er dokumenteret, er det ikke gjort.

Links

Andre relevante artikler fra Wired Relations er:

Henning Mortensens artikel om sikkerhedsforanstaltninger:
https://www.karnovgroup.dk/artikler/rr-05-2018-sikkerhedsforanstaltninger

Datatilsynets vejledning om sikkerhed:
https://www.datatilsynet.dk/media/6879/artikel25og32-vejledning.pdf

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin