Skytjenester regler, sårbarheter, tiltak i finanssektoren. v/ Atle Dingsør

Transkript

1 Skytjenester regler, sårbarheter, tiltak i finanssektoren v/ Atle Dingsør

2 Skytjenester regler, risiko, tiltak Skytjenester regler, risiko, tiltak Atle Dingsør, Tilsynsrådgiver, seksjon for tilsyn med IT og betalingstjenester, Finanstilsynet. Foredraget vil belyse regler som gjelder for lagring og tilgang til data i finanssektoren. Sårbarheter og trusler som kjennetegner skyen vil bli diskutert. Tiltak som Finanstilsynet vil forvente at foretakene har iverksatt vil bli omtalt.

3 Skytjenester - regler 12.Utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon.

4 Skytjenester - regler 2.Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling.

5 Skytjenester - regler 3.Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres.

6 Finanstilsynets vurdering av risiko knyttet til utflytting av IKT-virksomhet Finanstilsynet er av den oppfatning at utkontraktering av sentrale driftsrelaterte IKToppgaver til land med høy risiko innebærer en kritisk risiko for driftsstabiliteten i norske banker og i betalingssystemene. Ved IKT-leverandørers utflytting av IKTvirksomhet vil dette normalt berøre flere banker og dermed gi økt sårbarhet. Finanstilsynet anser at land med høy risiko er land som er politisk og/eller økonomisk ustabile. Det er blant annet relevant å ta hensyn til en vurdering av landrisiko og til Transparency Internationals liste over land med høy korrupsjonsgrad. Finanstilsynets vurdering er at risikoen ved at bankene flytter ut driftsrelatert IKTvirksomhet til slike land er for høy dersom dette gjelder funksjoner og operasjoner som er nødvendige elementer i, eller har betydning for daglig operasjon av følgende funksjonsområder: betalingssystemer (både områdene avregning og oppgjør og systemer for betalingstjenester) kjernesystemer som kan betegnes som daglig bank. Disse omfatter: kunde/reskontro, innlån, utlån, korttjenester, kundeopplysninger og produktadministrasjon inkludert distribusjonskanaler. Finanstilsynet er av den oppfatning at ovennevnte IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko.

7 Skytjenester - personopplysninger Datatilsynet forvalter regelverket Finanstilsynet er sektoransvarlig for finanssektoren Tilsyn med at Datatilsynets regler følges når det gjelder finanssektoren Personopplysninger kan overføres til en tredjestat dersom den berørte tredjestat sørger for et tilstrekkelig vernenivå. Personopplysningsforskriften 6.1.

8 Skytjenester risikoer 1. Flere oppkoblingspunkter 2. Drift av skyen 3. Flere meter med linje som kan gå ned 4. Flere abstraksjonslag (hypervisoren) 5. Mindre skreddersøm > «minste felles sikkerhet» 6. Mer data i bevegelse 7. Mer fremmed lovgiving 8. Innsyn og kontroll

9 Skytjenester risikoer «det er betenkelig dersom profesjonelle virksomheter, enten det er i privat eller offentlig sektor, ikke kan redegjøre for hvor personopplysninger befinner seg». Men dette dreier er jo aktive date - dataene brukes hver dag av banken og kunden. Og en forutsetning for å hente dataene er at man vet hvor de befinner seg. Riktignok skjer fremhentingen gjennom en rekke abstraksjonslag i form av henvisninger, dvs. databaseindekser, nettverksadresser, maskinadresser, porter osv. Men slik har det vært i mange år, og abstraksjonene, eller referansemetodene, har ikke noe med skyen å gjøre. Den eneste nye risikoen med adressering som skyen introduserer er hypervisoren, som knytter sammen ressursene på øverste nivå, og er et nytt abstraksjonslag. Men noe prinsipielt nytt innebærer heller ikke hypervisoren, jf. at vi er godt kjent med abstraksjoner fra før.

10 Skytjenester veiledninger Cloud Sweden Cloud Industry Forum Opinion 05/2012 on Cloud Computing

11 Skytjenester - fordeler 1. Profesjonalisering 2. Standardisering 3. Stordrift og lavere kostnad 4. Færre reserveløsninger 5. Mindre kompleksitet 6. Rimeligere inngangsbillett 7. Mer konkurranse 8. Hindrer innlåsingseffekter 9. Bedre redundans (?)

12 Skytjenester 2012 lanserte Europakommisjonen sin strategi: "Unleashing the Potential of Cloud Computing in Europe" Digital Agenda for Europe - European Commission The strategy is designed to speed up and increase the use of cloud computing across all economic sectors.

13 Skytjenester Det fokuseres spesielt på tre nøkkelområder: Forenkle standarder Identifisere sikre og rettferdige kontraktbetingelser Etablere et europeisk partnerskap for å fremme innovasjon og vekst fra den offentlige sektor.

14 Spørsmål om foretakenes bruk av skytjenester JA NEI N/A Kommentar 1. Har foretaket tatt i bruk eller vurderer å ta i bruk skytjenester? 10 3 Åpne anonyme data som publiseres ekstern(video/bilder) og for intern samhandling, samt nøytrale personopplysninger for kundebehandling; ikke for bankdrift; Under vurdering; kun for ikke-virksomhetskritiske applikasjoner og ikke-sensitiv informasjon; Banken bruker pt. ingen skytjenester 2. Har foretaket i sin strategi besluttet å ta i bruk skytjenester? 7 6 Brukes på ufarlige områder uten kundedata; utarbeider ny it-strategi og vil omhandle dette der; 3. Før bruken av skytjenester ble tatt inn i strategien, ble det gjennomført risikoanalyser? 8 3 Har vurdert risikoen og pr. i dag er bare hybridløsning aktuell; internrevisjonen har sentral rolle; Realisering av alle tjenester krever risikoanalyse, uavhengig av skytjenester eller on 2 premise tjeneste; Gjennomføres alltid, viktig å vite hvor dataene er lagret, bare hybrid løsning aktuell; Risikoanalyseres 4. Omfattet risikoanalysene hensynet til overholdelse av lover og regler? iht lover og regler, særlig peronopplysningslov; Åpne anonyme data som publiseres ekstern(video/bilder) og for intern samhandling, samt nøytrale personopplysninger for kundebehandling; de fleste tjenester er egnet for skytjeneste men dataene må vi ha kontroll på; Er i 5. Er det områder i foretakets portefølje som er særlig egnet for bruk av analysefasen; Comodity-løsninger som kontorstøtte skytjenester? Om ja venligst skriv kommentar eller infrastrukturen. 6. Vennligst ranger utifra foretakets vurdering for valg av skytjeneste de fem temaene under, hvor 1 er viktigst og 5 er minst viktig. Tilgjengelighet 4;1;1;2;1;2;2;3;4;5;5; Kostnads årsaker 2; 3;2;2;4;3;2;5;5;2;1;1; Sikkerhet 1;1;4;3;1;1;1;1;1;2;1;4;4; Enkelhet 5;2;3;4;4;3;3;2;2; Stabilitet 3;5;1;3;2;2;3;4;3;3;3;3; Tilgang på ressurser/kompetanse 6;2;4;5;1;3;6;1;6;6;6; Bruken av nøytrale personopplysninger er sikret og risikovurdert speiselt;dette er vurdert og derfor er standard skytjeneste ikke aktuell pr. dato. Må ha full kontroll over egne kundedata.; Prinsipp om at 7. Har foretaket vurdert hvordan etterlevelse av konfidensialitet, integritet og konfidensiell informasjon skal ikke lagres i tilgjengelighet skal sikres ved bruk av skytjenester? 10 3 skytjenester;

15 Skytjenester Risiko knyttet til data på "avveie" ved operasjoner i utlandet. Har stor fokus på å sikre det med data sikrings avtaler Data Managment Dataklassifisering Viktig <----> Lite viktig Hva skal beskyttes Hvor er data Tap av data Tiltak Hindre

16 Skytjenester Ensuring proper access control to data, structured authorisation models and procedures (ensuring that access is only possible with the necessary authorisations), system controls that prevent extracting customer data in bulks, technology that enable automated scanning of customer data traversing the network, strengthening network security (IDS/IPS, firewalls etc).

17 Spørsmål?