Mellom IT-sikkerhet og personvernheim.ifi.uio.no/...PersonvernICybserspace/Foredrag/... · Personvern og sikkerhet i skyen • Dokumentasjon –få og kunne dele (revisjonsrapporter,

Mellom IT-sikkerhet og personvernJarle Langeland

Mellom IT-sikkerhet og personvern 2

Mellom IT-sikkerhet og personvern

• IT-sikkerhet en forutsetning for godt personvern



Mellom IT-sikkerhet og personvern

• IT-sikkerhet en forutsetning for godt personvern

• IT-sikkerhetstiltak kan likevel etter omstendighetene være en trussel mot

personvernet og ulovlige etter personopplysningsloven


Trender

• IT-sikkerhet

• Skjerpet trusselbilde (NSM, PST, E-tjenestens vurderinger)

• Kompetansemangel

• «Security as a service»

• Økende bevissthet

• Mer data, mer analyse, IoT?


Trender

• Personvern

• Ny forordning i 2018

• Mer oppdatert regelverk

• (Vesentlig) høyere bøter

• Europeisk regulering

• «Privacy by design»

• Mye fokus

• Snowden

• Lekkasjer

• Myndigheter / store selskaper


Personopplysningsloven

• Svært mange virksomhetsprosesser innebærer behandling av

personopplysninger, jf. personopplysingsloven

• Enhver bruk av opplysninger som kan knyttes til enkeltperson, jf. § 2,

også lagring og overføring

• Virksomheten selv vil alltid være behandlingsansvarlig for sine

opplysninger og ha ansvaret etter personopplysningsloven

• Behandling av personopplysninger krever et behandlingsgrunnlag.

• Sikkerhet ofte å oppfylle lovkrav eller interesseavveining, jf. § 8 f.


Mitt tema denne morgenen

• Hvordan gjennomføre IT-sikkerhetstiltak på en måte som ivaretar personvernet

• Forholdsmessighet og dataminimalisering

• Bruk av logger/sikkerhetsovervåking

• Overføring til andre?

• Informasjon til brukerne

• Noen utviklinger

• Sikkerheten i skyen

• Personvernforordningen

• Kryptering og personopplysninger


Dataminimalisering

• Ikke behandle mer personopplysninger over lenger tid enn nødvendig for å oppnå

formålet med behandlingen, jf. personopplysningsloven § 28.

• Logger vil svært ofte inneholde personopplysninger

• Hvilke logger trenger dere?

• Hvor lenge trenger dere dem?

• Særregel for sikkerhetsrelatert informasjon

• «Registrering av autorisert bruk av informasjonssystemet og av forsøk på

uautorisert bruk, skal lagres minst 3 måneder. Det samme gjelder registreringer

av alle andre hendelser med betydning for informasjonssikkerheten.» jf.

personopplysningsforskriften § 2-16


Dataminimalisering – hvorfor viktig?

• Når dataene først finnes, kan formålet med «behandlingen» lett endres:

• Kompromitteres

• I seg selv være mål for angrep

• Friste til å ta i bruk ny stordataanalyse / «BI»


Bruk av logger til andre formål

• Personopplysningsforskriften §§ 9-2 jf. 7-11: Arbeidsgiver har ikke rett til å overvåke

arbeidstakers» bruk av elektronisk utstyr, herunder bruk av Internett, ut over:

a) å administrere systemet, eller

b) å avdekke/oppklare brudd på sikkerheten i edb-systemet.

Personopplysninger som fremkommer som følge av slike behandlinger «kan ikke

senere behandles for å overvåke eller kontrollere den enkelte»

• Logger/informasjon fra sikkerhetsovervåkning kan som det klare utgangspunkt ikke

brukes til andre formål som f.eks.

• Personalsaker

• Måling av de ansattes effektivitet


Overføring til andre?

• Overføring av logger eller andre personopplysninger til andre krever

behandlingsgrunnlag eller databehandleravtale

• Sikkerhetskonsulenter

• «Managed Security» / Security as a service

• CERT

• Myndigheter?

• Overføring utenfor EU krever særlige forholdsregler

• No more Safe Harbor

• Standardavtaler


Informasjon til brukere/ansatte

• De ansatte skal vite

• at det foretas logging/sikkerhetsovervåkning

• hva loggene skal brukes til

• hva som utgjør uakseptabel bruk

• Nivå?

• ikke for teknisk språk

• kategorier data og bruk gjerne greit


Noen utviklinger

• Sikkerhet i skyen




Sikkerhet i skyen

• Sky vs. tradisjonell IT-drift

• Ulike risiki

• Tradisjonell IT-drift

• Fysisk sikkerhet (tilgang, brannsikring etc. etc)

• Operasjonell sikkerhet (vaskedame og reboot)

• Redundans

• Sky

• Nettilgang

• Datatilgang

• Internkompetanse

• Tilgangshåndtering


Personvern og sikkerhet i skyen

• Dokumentasjon – få og kunne dele (revisjonsrapporter, databehandleravtaler etc.).

• Hva logges – egentlig?

• AWS eksempel: We may monitor the external interfaces (e.g., ports) of Your

Content to verify your compliance with the Agreement. You will not block or

interfere with our monitoring, but you may use encryption technology or

firewalls to help keep Your Content confidential.


Ny personvernforordning

(49) The processing of personal data to the extent strictly necessary and proportionate

for the purposes of ensuring network and information security, i.e. the ability of a

network or an information system to resist, at a given level of confidence, accidental

events or unlawful or malicious actions that compromise the availability, authenticity,

integrity and confidentiality of stored or transmitted personal data, and the security of

the related services offered by, or accessible via, those networks and systems, by public

authorities, by computer emergency response teams (CERTs), computer security

incident response teams (CSIRTs), by providers of electronic communications networks

and services and by providers of security technologies and services, constitutes a

legitimate interest of the data controller concerned. This could, for example, include

preventing unauthorised access to electronic communications networks and malicious

code distribution and stopping ‘denial of service’ attacks and damage to computer and

electronic communication systems.


Kryptering og personvern

• Kryptering kan være et ypperlig tiltak for informasjonssikkerhet og personvern

• Opplysningene fortsatt personopplysninger, man kan ikke kryptere seg ut fra

personopplysningsloven


Advokatfullmektig Jarle Langeland

• Mobil: +47 932 35 365

• E-post: [email protected]

Documents

Mellom IT-sikkerhet og personvernheim.ifi.uio.no/...PersonvernICybserspace/Foredrag/... · Personvern og sikkerhet i skyen • Dokumentasjon –få og kunne dele (revisjonsrapporter,