IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28.

Transkript

1 IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 28. februar 2018

2 Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. IN Innebygd informasjonssikkerhet 2

3 Personopplysningsvern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn (spør facebook om opplysninger) Definere klar ansvarsfordeling Krav til adekvat informasjonssikkerhet rundt personinformasjon IN Innebygd informasjonssikkerhet 3

4 IN Innebygd informasjonssikkerhet 4

5 Nedtelling til GDPR (PVF) IN Innebygd informasjonssikkerhet 5

6 Personvernforordningen (PVF) EUs lovtekst oversettes uendret Trer ikraft som nasjonal lov i hele EU/EFTA 25. mai paragrafer Paragraf 25 og 32 er særlig sikkerhetsrelevante Bøter opp til eller 4% av omsetning Foretak får nye plikter og innbyggere får nye rettigheter Betydelig behandling av persopl. krever eget personvernombud Plikt til *god* informasjon om behandling av personopplysn. Innebygd personvern ( 25) Sikkerhet ved behandlingen (innebygd info-sikkehet) ( 32) IN Innebygd informasjonssikkerhet 6

7 PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. IN Innebygd informasjonssikkerhet 7

8 PVF 32: Sikkerhet ved behandlingen (Innebygd informasjonssikkerhet) 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen IN Innebygd informasjonssikkerhet 8

9 Innebygd informasjonssikkerhet Krav Forvaltning Design Opplæring Produksjonssetting Koding Test IN Innebygd informasjonssikkerhet 9

10 Opplæring Oplæring i personvern og sikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at intern opplæring i disse retningslinjene er adressert IN Innebygd informasjonssikkerhet 10

11 Obligatorisk Kunnskapsområder Opplæring Intern Interne krav, policyer, mål, rutiner og metodikk Lover og regelverk Marked, kunder brukere Industristandarder og bransjenormer Valgfritt Ekstern IN Innebygd informasjonssikkerhet 11

12 Krav Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet IN Innebygd informasjonssikkerhet 12

13 Personvernrisiko Krav Sannsynlighet og konsekvens for: Personvernhendelser, f.eks.: Tyveri og publisering av personinfo Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Toleransenivå for hendelser: Nulltoleranse Relativt toleransenivå = risiko som kan aksepteres Nivå på kritikalitet Kritisk Høy Middels Konsekvens av skade vedrørende personopplysninger Alvorlig langvarig personlig belastning, behov for ny identitet, Langvarig betydelig personlig belastning Forbigående eller moderat personlig belastning IN Innebygd informasjonssikkerhet 13 Lav Ingen særlig personlig belastning Eksempel på konsekvenskriterier (retningslinjer utarbeides i 2018)

14 Krav om konsultasjon Vurderes i tilfelle (svært) sensitive data eller antatt høy risiko Utifra de registrertes synsvinkel Hey risiko oppstår f.eks.: når behandlingen av personinformasjon kan medføre (betydelige) negative konsekvenser for den registrerte når det behandles personinformasjon av (svært) sensitive karakter Når det foregår (massiv) innsamling og behandling av personinformasjon fra offentlige områder Alltid konsultasjon ved svært sensitiv personinfo eller massiv innsamling Prosessen vil antageligvis medføre høy risiko Ja Vurder personvernkonsekvens og anbefal tiltak Er residuell risiko akseptabel Nei Krav Konsultasjon med Datatilsynet Nei Ja IN Innebygd informasjonssikkerhet 14

15 Design av innebygd personvern Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer og aggreger Personvern som standardinstilling Prosessorienterte designkrav Informer Kontroller Håndheve Demonstrer IN Innebygd informasjonssikkerhet 15

16 Design av innebygd sikkerhet Design Analyser angrepsflaten på det designede systemet for å vite hvordan man kan redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren (forklares i senere forelesning). hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. IN Innebygd informasjonssikkerhet 16

17 Sikker koding Koding Beskriv bruksområde for koden Vurder trusselmodellen fra Design-fasen Beskriv og implementer funksjonell sikkerhet Beskriv og implementer ikke-funksjonell sikkerhet Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy IN Innebygd informasjonssikkerhet 17

18 Ugyldiggjør usikre funksjoner og moduler Koding Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger IN Innebygd informasjonssikkerhet 18

19 Statisk kodeanalyse og kodegjennomgang Koding Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s for hver sprint IN Innebygd informasjonssikkerhet 19

20 Test om kravene er implementert Test Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? IN Innebygd informasjonssikkerhet 20

21 Sikkerhetstesting Test Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter IN Innebygd informasjonssikkerhet 21

22 Gjennomgang av trusselmodell og angrepsflate Test Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av Trusselmodell Ny vurdering av personvernkonsekvenser IN Innebygd informasjonssikkerhet 22

23 Produksjonssetting Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse IN Innebygd informasjonssikkerhet 23

24 Produksjonssetting Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. IN Innebygd informasjonssikkerhet 24

25 Forvaltning Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! IN Innebygd informasjonssikkerhet 25

26 Forvaltning Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha ledelsessystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. IN Innebygd informasjonssikkerhet 26

27 Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? Programvareutvikling med innebygd personvern IN Innebygd informasjonssikkerhet 27