IN1030 Systemer, krav og konsekvenser. Innebygd informasjonssikkerhet. Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21.

Transkript

1 IN1030 Systemer, krav og konsekvenser Innebygd informasjonssikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo 21. februar 2019

2 Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. IN Innebygd informasjonssikkerhet 2

3 IN Innebygd informasjonssikkerhet 3

4 Person(opplysnings)vern Hva er det personopplysningsloven skal beskytte? Er det kun sikkerheten rundt selve informasjonen? Nei ikke bare det En krenkelse av personvernet kan skje selv om du beskytter personinformasjonen aldri så godt hvis informasjonen du har er feil hvis personen selv skal bestemme om det er lov å innhente og behandle informasjonen, men du har ikke fått samtykke Person(opplysnings)vern er mer enn bare informasjonssikkerhet IN Innebygd informasjonssikkerhet 4

5 Hva er en personopplysning? Identitet: Navn, fødselsnummer, sivilstatus, høyde, vekt, passfoto, fingeravtrykk Kontaktinfo: Hjemmeadresse, jobbadresse, mobilnummer, epostadresse, brukernavn, etc. Finans: Inntekt, skatt, gjeld, bankkonto, kontoutskrift, utgifter, kredittvurdering etc. Aktivitet: Adferdsmønstre, interesser hobbyer, studier, yrkesliv, lokasjon posisjon, kjøpemønster, søkehistorikk, etc. Pseudonymiserte opplysninger: Kvinne, 43 år, Oslo, liker å strikke, har sibirkatt, jobber i offentlig etat, to barn. Kommunikasjon: MAC-adresse, IP-adresse, SMS, MMS, fotografier, videoer, sosialt nettverk, kontakter, cookies etc. Særlige kategorier: Helseopplysninger, fagforeningsmedlemskap, politisk oppfatning, religion, seksuelle forhold/orientering, etnisitet/rase IN Innebygd informasjonssikkerhet 5

6 Person(opplysnings)vern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn Sørge for adekvat informasjonssikkerhet (KIT) rundt personinformasjon Definere klar ansvarsfordeling IN Innebygd informasjonssikkerhet 6

7 General Data Protection Regulation Personvernforordningen (PVF) Tredde ikraft som lov i EU , i Norge (Personopplysningsloven) Brudd kan medføre bøter opp til 20 mill. eller 4% av omsetning Håndheves av Datatilsynet EUs lovtekst (GDPR) oversatt uten endring, 99 artikler Art. 5: Prinsipper for behandling av personopplysninger Art. 25: Innebygd personvern Art. 32: Innebygd informasjonssikkerhet Krever at den behandlingsansvarlige har personvernombud ved betydelig behandling av personopplysninger IN Innebygd informasjonssikkerhet 7

8 Roller i GDPR (Data Protection Authority) Personopplysninger (Personal Data) Tilsyn (Audit) Den registrerte (Data Subject) Den behandlingsansvarlige (Data Controller) Databehandleravtale (Data Processing Agreement) Databehandleren (Data Processor) IN Innebygd informasjonssikkerhet 8

9 Art. 5: Prinsipper for behandling av personopplysninger 1. Personopplysninger skal behandles med: a) Lovlighet, rettferdighet og åpenhet b) Formålsbegrensning c) Dataminimering d) Riktighet e) Lagringsbegrensning f) Integritet og konfidensialitet 2. Den behandlingsansvarlige har ansvar for pkt. 1 ovenfor. IN Innebygd informasjonssikkerhet 9

10 Art. 25: Innebygd personvern og personvern som standardinnsstilling Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. IN Innebygd informasjonssikkerhet 10

11 Art. 32: Sikkerhet ved behandlingen Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er IN Innebygd informasjonssikkerhet 11

12 Innebygd personvern og informasjonssikkerhet Veileder fra Datatilsynet Rutiner for metode Regler for koding Verktøyvalg Gjennomtenkt testing Gjør nødvendige sikkerhetstiltak Oppsummering: Programmer seriøst! IN Innebygd informasjonssikkerhet 12

13 Opplæring i personvern og informasjonssikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten har etablert retningslinjer for personvern og informasjonssikkerhet, og at det gis opplæring i disse retningslinjene IN Innebygd informasjonssikkerhet 13

14 Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen? Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet IN Innebygd informasjonssikkerhet 14

15 To typer personvernrisiko Tilfelle og konsekvens av personvernhendelser (Personvernkonsekvens) f.eks.: Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Lagring lenger enn nødvendig (se neste side) Vurderes med DPIA (Data Protection Impact Assessment) Personvernkonsekvensanalyse, Art.29 Sannsynlighet og konsekvens av sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Tyveri og publisering av personinfo Vurderes med sikkerhetsrisikoanalyse. IN Innebygd informasjonssikkerhet 15

16 Hvordan vurdere personvernkonsekvens? Det som skal vurderes er om, og konsekvensen av at (ikke uttømmende liste!): personopplysninger behandles uten rettslig grunnlag personopplysninger behandles på en ikke rettferdig måte det mangler åpenhet rundt behandlingen av personopplysninger det samles inn mer personopplysninger enn nødvendig for formålet personopplysninger som behandles ikke er korrekte personopplysninger lagres lengre enn nødvendig for formålet den registrerte mangler informasjon til å gjøre et informert valg den registrerte ikke får innsyn i lagrede personopplysninger den registrerte ikke får korrigert eller slettet sine personopplysninger det ikke er lagt til rette for dataportabilitet de registrertes rettigheter ikke ivaretas ved profilering behandlingen kan resultere i diskriminering behandlingen begrenser ytringsfrihet og religionsfrihet IN Innebygd informasjonssikkerhet 16

17 Design av innebygd personvern Dataorienterte designkrav: Minimer innhenting - «Select before you collect» Minimer prosessering og overføring - «gjem og skjul» Separer behandlinger Personvern som standardinnstilling Prosessorienterte designkrav Styre Håndheve Informere Demonstrere IN Innebygd informasjonssikkerhet 17

18 Design av innebygd sikkerhet Analyser angrepsflaten på det planlagte systemet og vurdere hvordan man kan redusere muligheter til å utnytte eventuelle svake punkter og sårbarheter. Trusselmodellering for å se om det fins mulighet for misbruk av tilgangspunkter, funksjoner, og dataflyt i systemet avdekke relevante trusselscenarier for misbruk av programvaren hvordan designet kan forbedres for å stoppe trusselscenarier (dvs. å fjerne sårbarheter) Resultatet er et mer herdet og robust sluttprodukt. IN Innebygd informasjonssikkerhet 18

19 Sikker koding Beskriv bruksområde for koden Vurder trusselmodeller fra design-fasen Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy Sørg for at sårbarheter er fjernet eller tilstrekkelig redusert IN Innebygd informasjonssikkerhet 19

20 Ugyldiggjør usikre funksjoner og moduler Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger IN Innebygd informasjonssikkerhet 20

21 Statisk kodeanalyse og kodegjennomgang Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s. for hver sprint i smidig koding IN Innebygd informasjonssikkerhet 21

22 Test om kravene er implementert Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? IN Innebygd informasjonssikkerhet 22

23 Sikkerhetstesting Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne og utnytte sårbarheter IN Innebygd informasjonssikkerhet 23

24 Gjennomgang av angrepsflate og trusselmodeller Verifisere at trusselscenarier som ble avdekket i designfasen er håndtert Verifisere at nye trusselscenarier introdusert under koding er identifisert og håndtert Gjenta vurdering av personvernkonsekvenser IN Innebygd informasjonssikkerhet 24

25 Produksjonssetting Utarbeid plan for hendelseshåndtering for effektiv håndtering av hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse IN Innebygd informasjonssikkerhet 25

26 Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. IN Innebygd informasjonssikkerhet 26

27 Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! IN Innebygd informasjonssikkerhet 27

28 Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha styringssystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. IN Innebygd informasjonssikkerhet 28

29 Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? Programvareutvikling med innebygd personvern IN Innebygd informasjonssikkerhet 29