Har du kontroll med din databehandler? En utro elsker. Annikken Seip Seniorrådgiver IT-tilsyn

Transkript

1 Har du kontroll med din databehandler? En utro elsker Annikken Seip Seniorrådgiver IT-tilsyn DIFI

2 Det jeg skal snakke om Tilsyn etter 5, 3 og 12/ regelverk Vi har regelverk som påpeker kontroll Hva kan gå galt? På avveie uten å vite det, Ikke tilgjengelig, Endret Vet ikke hva som kan gå galt eller hvor, Vet ikke ansvar Vet ikke hvem man skal snakke med når noe går galt Hva vil det si å ha kontroll med databehandler? Eie, bestemme alt, samme interesser kjøpe tjenester, ulike interesser Andre land, andre regler 2

3 Databehandler? Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige, 3

4 Personopplysningsloven 13. Informasjonssikkerhet Den behandlingsansvarlige og databehandleren skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige og databehandleren dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda En behandlingsansvarlig som lar andre få tilgang til personopplysninger, f.eks. en databehandler eller andre som utfører oppdrag i tilknytning til informasjonssystemet, skal påse at disse oppfyller kravene i første og annet ledd. 4

5 eforvaltningsforskriften 13. Sikkerhetsmål og sikkerhetsstrategi (1) Forvaltningsorgan som benytter elektronisk kommunikasjon skal ha beskrevet mål og strategi for informasjonssikkerhet i virksomheten (sikkerhetsmål og sikkerhetsstrategi). Sikkerhetsstrategien skal danne grunnlaget for forvaltningsorganets beslutninger om innføring og bruk av sikkerhetstjenester og -produkter på en helhetlig, planlagt, systematisk og dokumentert måte. Sikkerhetsstrategien skal inkludere relevante krav som er fastsatt i annen lov, forskrift eller instruks. 5

6 6 IKT-forskriften 12. Utkontraktering Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKT-virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKT-leverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKT-leverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen.

7 IKT-forskriften 3. Risikoanalyse Foretaket skal fastsette kriterier for akseptabel risiko forbundet med bruk av IKT-systemene. Foretaket skal ha en dokumentert prosess for gjennomføring av risikoanalyser av IKT-virksomheten. Prosessen skal blant annet definere klare ansvarsforhold og omfatte oppfølging av tiltak som iverksettes som et resultat av den gjennomførte risikoanalysen. Foretaket skal minst en gang årlig, eller ved endringer som har betydning for IKT-sikkerheten, gjennomføre risikoanalyser for å påse at risiko styres innenfor akseptable grenser i forhold til foretakets virksomhet. Resultatet av risikoanalysen skal dokumenteres. 7

8 5. Sikkerhet Foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. 1, mot skader, misbruk, uautorisert adgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKTsystemene. Kravene til IKT-sikkerhet skal så langt det er praktisk mulig være målbare. Oppfyllelse av kravene til informasjonssikkerhet for personopplysninger etter forskrift av 15. desember 2000 nr til personopplysningsloven skal anses som oppfyllelse av kravene i paragrafen her. 8

9 Odense kommune i skyen Ønsket at lærerne skal bruke Google Apps til Planlegge undervisning, evaluere undervisning og elever, skriv til foreldre om barna deres. Datatilsynet mente at Risikovurderingen ikke er god nok Databehandleravtalen ikke lever opp til pol om Å sikre kontroll med data i tredjeland Kryptering, sletting, tilgang At Google utelukkende skal handle på instruks fra kommunen 9

10 10 Erfaringer Bankene var tidlig ute med å sette bort IToppgaver mye erfaring Uklare ansvarsforhold Hvor starter ulike databehandleres ansvar? Manglende dokumentasjon Mangelfulle avtaler Utfordringene blir større ved utkontraktering ut av landet Person- og foretaksopplysninger i skyen skaper enda flere utfordringer Vet ikke hvor data er Noen flagger inn igjen for å ha kontroll.

11 EnterCard Poenget med avtalen mellom EnterCard og Capgemini Norge er å konsolidere driften av sentrale systemer til én leverandør. Capgemini skal levere rådgivning, applikasjonsutvikling, applikasjonsforvaltning, forvaltning av forretningsinformasjon («business information management») og testtjenester. Leveransen til EnterCard bygger på Capgeminis globale leveransemodell Rightshore med sterkt innslag av kompetanse fra India. Driftsdirektør Tord Topsholm i EnterCard sier det er essensielt for dem å ha en smidig og fleksibel IT-partner som kan matche deres ambisjon om å være markedsleder i en bransje i kontinuerlig endring. Digi.no

12 Tilsyn Vi har noen få ganger hatt «problemer» med å få tilgang til det underleverandørene gjør. Hvordan data behandles, endringshåndtering Test, katastrofe, Sletting av data Styring og kontroll Hvordan vet man at ikke en av underleverandørene er i skyen? 12

13 Problemstillinger ved å sette bort Definere omfang og avgrensninger Regelverk Hva får man lov til? Vurdere risiko Hvem sin risiko? Hvem taper på at systemene ikke er gode nok? Inngå avtale Kan avtale avsluttes? Kan man bytte leverandør? Evaluere og teste at det virker også ved katastrofe Bestillerkompetanse ressurser 13

14 Kjennetegn ved databehandlere Skal tjene penger Kan gjøre ting effektivt for mange like oppdragsgivere Setter selv bort til underleverandører Har mye kompetanse om databehandling Men følger de med i utviklingen? Må lære seg oppdragsgiveres arbeidsområder Må lære oppdragsgivers regelverk + eget Må ha avtaler som sikrer dem selv Solide reserveløsninger Skal tjene penger 14

15 Databehandlere Standarder er ikke tilpasset utviklingen Standarder og automasjon Gå i takt for å få til inntjening Holde ulike kunder adskilt Effektivisere plattform, programmer, nøkler, kompetanse Mer bruk av nett Samhandling med andres servere Kompleksiteten øker 15

16 Databehandlere 2 Administrere test, kriser og endringer med mange deltakere grensesnitt, logikk i applikasjoner Flytte kunde og data til annen tilbyder Uautorisert tilgang til data eller eksternt angrep Uautorisert ressursallokering, DoS, Etterlevelse av regelverk Ansvar Det er ikke deres system eller data som går i stykker, så hva taper de på at det ikke er bra nok? Sikkerhet legges bare på ved eksplisitte krav(?) 16

17 Hva kan gå galt? Manglende styring og kontroll Dokumentasjon av systemer, roller og ansvar. Hvor er dataene? Koordinering og test utføres ufullstendig før endring Ikke etterleve regelverk Ubrukelig risikoanalyse og ukjente sårbarheter Sikkerhet og tap av omdømme Spionasje Utvannet bestillerkompetanse over tid Egen forståelse for IT-utvikling mangler Vanskelig å endre eller avvikle avtaler Overføre oppgaver til annen leverandør Hvem betaler hvis noe går galt? Beredskap og katastrofeløsninger testes ikke. 17

18 Utfordringer for dataeier Endringer i regelverk, krever raske endringer i systemer. Noen forstår ikke hva endringene krever teknologisk. Det settes ikke av nok penger til endringer Nye teknologiske muligheter Minnepinner, mobiltelefoner, tilgang fra «alle steder» Tingenes internett store datamengder om andre, sporing Data i skyen hvor som helst i verden Cloud Computing Kompleksiteten i datasystemene vokser eksponentielt Samhandling mellom systemer Samhandling mellom aktører ansvar for data Beredskap og katastrofeløsninger 18

19 Hva er det man slipper? Kravspesifi kasjon Akseptansetest Design Test Implement asjon Test Drift Teste endringer Teste krise og katastrofe 19

20 Utfordringer for dataeier 2 Ledelsen må ta ansvar! Kan ikke fraskrive seg ansvar Da lønner det seg å forstå hva det dreier seg om Risikovurderinger Bestillerkompetanse krever egen, oppdatert Teknologiforståelse Avtaleforståelse Ta stilling til skybruk Ressurser Penger, tid, kompetanse 20

21 Dataeier 3 Vet ikke hvordan det oppfører seg det som er nedenfor tjenesten de kjøper. Kjøper tjenester fra flere tilbydere Kompleksiteten øker Må tilpasse program og systemer Skille ut sensitive data 21

22 Dataeier 4 Ikke transparente opplegg, ofte proprietære implementeringer hos databehandler Får ikke tilgang til informasjon, Vanskelig å lage god risikoanalyse Har ikke kontroll og må samarbeide med databehandler om sikkerhet Vanskelig å ha krypterte data i skyen som databehandler ikke skal kunne lese. ENISA Dele hemmeligheter ettersom man ikke har kontroll Organisere arbeidet internt og eksternt 22

23 Forsvare landet De fleste virksomheter er avhengig av internett Avhengig av at andre lands nett fungerer. Offentlig sektors avhengighet av private tilbydere i skyen Spionasje via skyene Industrispionasje, Forsvarshemmeligheter Få sikkerhetskrav til skybruk Grensekryssende regler kan skape uklarheter om suverenitet. Flere og større angrep fra utlandet Lettere, Vanskelig å spore, Vanskelig å håndheve manglende regelverk Tilsyn Vanskelig å få tilgang til å reparere i utlandet 23

24 Juridiske problemstillinger Manglende grenseoverskridende regelverk og avtaler Problemer med suverenitet Nettnøytralitet Tilbydere kan komme i konflikt mellom egen inntjening og kundenes interesser Sperre for eller gi dårligere betingelse til konkurrenter Håndheve avtaler Ansvar over landegrenser Politiet i annet land stopper maskin 24

25 Hjelpemiddelsentralen ISO Risikovurdering ISO og 2 Styringssystem for sikkerhet 27003: Implementasjonsguide 27004: Målinger av sikkerhet Kommunikasjon på tvers av organisasjoner og sektorer Veiledning for e-gov 27014: Rammeverk for styring Sikkerhet og økonomi Kontinuitetsstandarder Nettsikkerhet, applikasjonssikkerhet, hendelser, utkontraktering (36), sanke bevis Standarder er veiledende. Virksomheter kan kreve at de brukes. 25

26 Andre ting man kan gjøre Opprettholde og øke egen kompetanse. Stadig forklare ledelsen hva problemene er. Teknologiforståelse, Kreve dokumentasjon av systemer og tester Kreve melding om tester. Det er ikke alltid at databehandler vet konsekvenser av endringer for andre kunder. Snakke med og samhandle med andre kunder Avtaler med samarbeidsparter om ansvar og om tester. 26

27 Utro elsker? Kan ha motstridende interesser Industrispionasje Mer opptatt av andre kunder, Lekke informasjon til konkurrenter Starter med å hjelpe deg, men tjener ikke nok Utkontrakterer til skyen Skiller ikke godt nok mellom ulike kunders data Lager systemer for like kunder Evaluer resultatet mot det dere hadde før! 27

28 28 Djevelen er i detaljene! FINANSTILSYNET Revierstredet 3 Postboks 1187 Sentrum 0107 Oslo