INF37000 Informasjonsteknologi og samfunn Informasjonssikkerhet del 2 Innebygd personvern og sikkerhet Audun Jøsang Institutt for Informatikk Universitetet i Oslo Vår 2018
Personvern i grunnloven 102: Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin kommunikasjon. Husransakelse må ikke finne sted, unntatt i kriminelle tilfeller. Statens myndigheter skal sikre et vern om den personlige integritet. INF3700-2018 Innebygd personvern og sikkerhet 2
Personopplysningsvern Beskytte spesifikke aspekter ved informasjon som kan relateres til fysiske personer (personinformasjon) Forhindre urettmessig innsamling og oppbevaring av personinformasjon Forhindre urettmessig bruk av innsamlet personinformasjon Sørge for at personinformasjon er korrekt Sørge for åpenhet og innsyn (spør facebook om opplysninger) Definere klar ansvarsfordeling Krav til adekvat informasjonssikkerhet rundt personinformasjon 10101 01101101 10110 INF3700-2018 Innebygd personvern og sikkerhet 3
INF3700-2018 Innebygd personvern og sikkerhet 4
Nedtelling til GDPR (PVF) INF3700-2018 Innebygd personvern og sikkerhet 5
Personvernforordningen (PVF) EUs lovtekst oversettes uendret Trer ikraft som nasjonal lov i hele EU/EFTA 25. mai 2018 99 paragrafer Paragraf 25 og 32 er særlig sikkerhetsrelevante Forbud mot å forvalte personinformasjon med IT-systemer som ikke følger prinsippene om innebygd personvern og sikkerhet Bøter opp til 20 000 000 eller 4% av omsetning Betydning for utdanning: Alle informatikere og IT-designere må tilegne seg kunnskap om innebygd personvern og sikkerhet. INF3700-2018 Innebygd personvern og sikkerhet 6
PVF 25: Innebygd personvern og personvern som standardinnsstilling 1. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å oppnå et effektivt vern av personopplysninger for å oppfylle kravene i denne forordning og verne de registrertes rettigheter. 2. Det skal gjennomføres egnede tekniske og organisatoriske tiltak for å sikre at det som standard bare behandles personopplysninger som er nødvendige for spesifikke formål. Dette gjelder mengden personopplysninger som samles inn, omfanget av behandlingen av opplysningene, hvor lenge de lagres og deres tilgjengelighet. INF3700-2018 Innebygd personvern og sikkerhet 7
PVF 32: Sikkerhet ved behandlingen (Innebygd informasjonssikkerhet) 1. Det skal gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen, herunder blant annet: a) pseudonymisering og kryptering av personopplysninger b) evne til å sikre vedvarende fortrolighet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene, c) evne til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger i rett tid ved tekniske hendelser d) regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er 2. Ved vurderingen av egnet sikkerhetsnivå skal det særlig tas hensyn til risikoene forbundet med behandlingen INF3700-2018 Innebygd personvern og sikkerhet 8
Innebygd informasjonssikkerhet Krav Forvaltning Design Opplæring Produksjonssetting Koding Test INF3700-2018 Innebygd personvern og sikkerhet 9
Opplæring Oplæring i personvern og sikkerhet Mål: Basiskunnskap og forståelse for personvern og informasjonssikkerhet, og risiko tilknyttet dette Hva skal det gis opplæring i: Når og hvorfor personvern og informasjonssikkerhet er viktig i de ansattes daglige arbeidsoppgaver. Suksesskriterier er at virksomheten sørger for ansatte har kompetanse om personvern og IT-sikkerhet retningslinjer for personvern og informasjonssikkerhet, intern opplæring i disse retningslinjene INF3700-2018 Innebygd personvern og sikkerhet 10
Krav Krav til system og behandling Definer type personopplysninger som skal behandles Definer hvilke slutninger som kan trekkes om indidivider Hvem er brukere og eiere av personinformasjonen Definer behandlingsansvarlig og databehandler Hvem er 3.parts mottager av personinformasjon Definer hvilke opplysninger det er nødvendig å samle inn, omfang lagringstid og tilgjengelighet. Åpenhet, vis hvilken informasjon som lagres, så den registrerte kan ivareta sine rettigheter. Velg adekvate tiltak for informasjonssikkerhet INF3700-2018 Innebygd personvern og sikkerhet 11
Personvernrisiko Krav Sannsynlighet og konsekvens for: Personvernhendelser, f.eks.: Tyveri og publisering av personinfo Urettmessig diskriminering basert på personinfo og profilering Re-identifisering basert på data som skal være anonyme eller pseudonym Uønsket innsamling Sikkerhetshendelser, f.eks.: Brudd på KIT (konfidensialitet, integritet, tilgjengelighet) for personinfo. Toleransenivå for hendelser: Nulltoleranse Relativt toleransenivå = risiko som kan aksepteres Nivå på kritikalitet Kritisk Høy Middels Konsekvens av skade vedrørende personopplysninger Alvorlig langvarig personlig belastning, behov for ny identitet, Langvarig betydelig personlig belastning Forbigående eller moderat personlig belastning INF3700-2018 Innebygd personvern og sikkerhet 12 Lav Ingen særlig personlig belastning Eksempel på konsekvenskriterier (retningslinjer utarbeides i 2018)
Krav om konsultasjon Vurderes i tilfelle (svært) sensitive data eller antatt høy risiko Utifra de registrertes synsvinkel Hey risiko oppstår f.eks.: når behandlingen av personinformasjon kan medføre (betydelige) negative konsekvenser for den registrerte når det behandles personinformasjon av (svært) sensitive karakter Når det foregår (massiv) innsamling og behandling av personinformasjon fra offentlige områder Alltid konsultasjon ved svært sensitiv personinfo eller massiv innsamling Prosessen vil antageligvis medføre høy risiko Ja Vurder personvernkonsekvens og anbefal tiltak Er residuell risiko akseptabel Nei Krav Konsultasjon med Datatilsynet Nei Ja INF3700-2018 Innebygd personvern og sikkerhet 13
Design av innebygd personvern Design Dataorienterte designkrav: Minimer og begrens - «Select before you collect» «Gjem og skjul» Separer og aggreger Personvern som standardinstilling Prosessorienterte designkrav Informere brukere Håndheve policyer Logge og kontrollere bruk og tilgang Demonstrere og dokumentere INF3700-2018 Innebygd personvern og sikkerhet 14
Design av innebygd sikkerhet Design Analyser angrepsflaten på det designede systemet for å vite hvordan man kan redusere muligheter til å utnytte svake punkter og sårbarheter. Ved trusselmodellering analyserer man komponenter, tilgangspunkter, dataflyt og prosessflyt i programvaren (forklares i senere forelesning). hvordan noen kan misbruke programvaren ved ulike scenarioer. hvordan designet kan forbedres for å unngå trusler som er identifisert. Resultat er et mer herdet og robust sluttprodukt. INF3700-2018 Innebygd personvern og sikkerhet 15
Sikker koding Koding Beskriv bruksområde for koden Vurder trusselmodellen fra Design-fasen Beskriv og implementer funksjonell sikkerhet Beskriv og implementer ikke-funksjonell sikkerhet Vurder sårbarheter i støttekomponenter Vurder sårbarheter i verktøy INF3700-2018 Innebygd personvern og sikkerhet 16
Ugyldiggjør usikre funksjoner og moduler Koding Analyser funksjoner, API, tredjepartsbibliotek og moduler Forby de som er utrygge, oppdater de som er utdaterte eller som inneholder kjente sårbarheter Deaktiver unødig sporing, logging og innsamling av personopplysninger INF3700-2018 Innebygd personvern og sikkerhet 17
Statisk kodeanalyse og kodegjennomgang Koding Anvend automatiske verktøy for kodeanalyse og deteksjon av usikre metoder Foreta manuell gjennomgang for å fange opp svakheter som kan medføre feil bruk eller lekkasje av personopplysninger Regelmessig gjennomgang, d.v.s for hver sprint INF3700-2018 Innebygd personvern og sikkerhet 18
Test om kravene er implementert Test Er personvern- og sikkerhetskrav ivaretatt gjennom design og koding? Er kravene riktig implementert? Er alle komponenter med? INF3700-2018 Innebygd personvern og sikkerhet 19
Sikkerhetstesting Test Dynamisk testing Test funksjonalitet i kjørende kode (verktøy eller manuelt) Undersøk ulike brukerrettigheter, også ved simulerte sikkerhetsfeil Fuzz testing Fremprovoser feil i programvaren Bruk verktøy som sender tilfeldig og misformet data inn i programvaren Test alle grensesnitt Penetrasjonstesting / sårbarhetsanalyse Kjøres før produksjonssetting og jevnlig Lovlig og autorisert forsøk på å finne, utnytte og avdekke sårbarheter INF3700-2018 Innebygd personvern og sikkerhet 20
Gjennomgang av trusselmodell og angrepsflate Test Verifisere at angrepsvektorer som ble avdekket i designfasen er håndtert Verifisere at nye angrepsvektorer introdusert under koding er identifisert og håndtert Ny gjennomgang av Trusselmodell Ny vurdering av personvernkonsekvenser INF3700-2018 Innebygd personvern og sikkerhet 21
Produksjonssetting Produksjonssetting Utarbeid plan for hendelseshåndtering for effektivt håndtere oppgaver og hendelser som kan oppstå etter produksjonssetting. Hva en hendelse er og hvilken livssyklus den har (omfatter å detektere, analysere, rapportere, håndtere og normalisere) Ressurser, kontaktpunkt/responssenter, kontaktinformasjon, responstid, kanaler, logger, rutiner, patching, evaluering mm. Plan for varsling av ledelse, den registrerte, Datatilsynet, og presse INF3700-2018 Innebygd personvern og sikkerhet 22
Produksjonssetting Produksjonssetting Full sikkerhetsgjennomgang av programvaren skal baseres på tidligere gjennomganger i utviklingsløpet og inngå i de kontrollpunkter (control gates) som må gjøres før produksjonssetting. Godkjenning av produksjonssetting Sikkerhetsrådgiver og personvernombud skal verifisere at alle definerte sikkerhets- og personvernkrav er implementert og fungerer etter hensikten. Virksomheten må definere hvem som har godkjenningsmyndighet. Arkivering bør gjøres av all relevant data og dokumentasjon fra hele utviklingsløpet. INF3700-2018 Innebygd personvern og sikkerhet 23
Forvaltning Forvaltning Håndtere hendelser og avvik etter planen Når akutte hendelser opptrer, er det viktig å bevare roen og å bruke tid på å analysere hendelsen. Responsteamet skal kunne håndtere situasjonen, og vite hvem som er i stand til å bygge, teste og installere oppdateringer. Responsteamet må vite hvilke prioriteringer som gjelder, samt vite nøyaktig hva de kan og skal gjøre, og hvem de skal kontakte når det virkelig er krise. Øv!!! INF3700-2018 Innebygd personvern og sikkerhet 24
Forvaltning Forvaltning Forvaltning, drift og vedlikehold av programvaren skal følge etablerte rutiner for hvordan personvern og sikkerhet skal ivaretas over tid. Ha ledelsessystem for personvern og informasjonssikkerhet (internkontroll) som omfatter anskaffelse, forvaltning, drift og vedlikehold. Rutiner for regelmessige testing og revidering, sikkerhetsovervåkning, målinger, forbedring mm. INF3700-2018 Innebygd personvern og sikkerhet 25
Referanser Veiledere fra Datatilsynet: Hva betyr de nye personvernreglene for din virksomhet? https://www.datatilsynet.no/regelverk-og-skjema/veiledere/hva-betyr/ Programvareutvikling med innebygd personvern https://www.datatilsynet.no/regelverk-og-skjema/veiledere/programvareutvikling-med-innebygd-personvern/ INF3700-2018 Innebygd personvern og sikkerhet 26