Sosiale nettsamfunn: Datasikkerhet og personvern Informasjonsdirektør Ove Skåra Vårsymposium Drammen 21. april 2010
You have zero privacy anyway -Get over it Scott McNealy, Sun Microsystems, 1999 19.04.2010 Side 2
19.04.2010 Side 9
19.04.2010 Side 10
Advarer Datatilsynet mot bruk av Facebook? 19.04.2010 Side 11
19.04.2010 Side 12
Sosiale medier/nettsamfunn en enkel definisjon En paraplybetegnelse for en rekke tjenester og aktiviteter på nett som har det til felles at de legger til rette for interaksjon mellom brukerne. Det vil si at innholdet er generert av brukerne, mens selve tjenesten kun er en tilrettelegger for interaksjonen mellom medlemmene og tilfeldige brukere (TNS Gallup) 19.04.2010 Side 13
Nettsamfunn den umulige oversikten Norske nettsamfunn Nettby Blink Origo Biip Gaysir internasjonale nettsamfunn Facebook Linkedin MySpace YouTube Flickr Twitter Delicius Slideshare.net Second Life 19.04.2010 Side 15
19.04.2010 Side 16
Facebook: Som å kaste seg ut på en sterkt trafikert gate Hvorfor lese brukervilkårene? - Jeg er trygg alle mine venner er jo der allerede - Jeg benytter meg av standardinnstillingene. Det er jo de som er anbefalt fra Facebook sin side - Jeg legger ikke ut noe som ikke tåler dagens lys 19.04.2010 Side 17
Vilkår: uopsigelig, evig, ikke-eksklusiv, overførbar, fullt betalt, global lisens (=adgang) til å bruke kopiere, oppføre offentlig, vise offentlig, omformatere, oversette, lage utdrag (helt eller delvis) og distribuere dette brukerinnhold til ethvert formål, kommersielt, reklamemessig eller øvrig, på eller i forbindelse med websiden eller promotering herav, til å utarbeide avledede verker av dette brukerinnhold, eller innarbeide det i andre verker, og til å tillate og bemyndige underlisenser av ovenstående. 19.04.2010 Side 18
Hvem vil du gi slike opplysninger til? Navn Fødselsnummer Fødested Bosted Yrke Yrkeserfaring Bilder av seg selv/andre Utdanning Politisk ståsted Sivilstatus Mulige seksuelle preferanser Religion Fremtidsplaner Arbeidsgiver Geografisk posisjon Stilling Ansvar Arbeidsoppgaver Fritidsinteresser Familiens identitet Venners identitet Kollegaers identitet Reisevirksomhet Indirekte beskrivelse av egen helse Organisasjonsvirksomhet Mobiltelefonnummer E-post adresse Ønsker/drømmer Indirekte beskrivelse av økonomi Din sosiale tidslinje 19.04.2010 Side 19
Noen råd til brukere av Facebook mv Les brukervilkårene (eller omtale) Bruk eget passord til Facebook og bytt med jevne mellomrom Bruk ikke din ordinære e-post og oppgi aldri passord til epostkontoen til Facebook Still inn profilen så stramt som mulig så kan du heller senere åpne opp Anonymitet er ikke reell Husk at Facebook lever av å få vite mest mulig om deg og dine venner Vær kritisk til applikasjonene Skill jobb og privatliv Tåler innholdet å bli sett av sjef og svigermor eller media? Legg ikke ut bilder av andre uten at de uttrykkelig har gitt tillatelse Slett jevnlig bilder og personopplysninger som ikke lenger er aktuelle Husk geotagging på mobilen Bidra til å gjøre Facebooks vilkår bedre meld deg inn i egen gruppe på Facebook for dette Klag til Facebook, hvis du er utilfreds med vilkårene Skriv til: privacy@facebook.com. Slett Facebookprofilen når du ikke lenger er aktiv Ta kontakt med slettmeg.no om du får behov for hjelp. Husk at ansvaret er ditt eget! 19.04.2010 Side 20
Informasjonssamfunnet har gjort det lettere enn noen gang å samle inn informasjon som kan ha verdi for en trusselaktør. Aktørene trenger ikke lenger nødvendigvis å ha store ressurser for å innhente verdifull informasjon. Informasjon som tidligere kun var tilgjengelig for en trusselaktør ved bruk av store ressurser og ulovlige innhentingsmetoder, kan nå eksempelvis søkes opp på internett, uten at aktøren fysisk trenger å befinne seg innenfor Norges grenser. 19.04.2010 Side 24
19.04.2010 Side 25
Hva foreslår NSM? 1. Ta lederansvar 2. Foreta en verdivurdering, dvs kartlegg hva slags informasjon bør beskyttes 3. Kartlegg hvilke trusselaktører som vil kunne vise uønsket interesse for informasjonen 4. Hva er publisert på ulike nettsamfunn i dag? 5. Iverksett tiltak 6. Utarbeide en policy for de ansatte 7. Skap en sikkerhetskultur gjenta-gjenta- og gjenta! 19.04.2010 Side 26
NSM anbefaler info til ansatte om: Informasjon om hva som er beskyttelsesverdig i organisasjonen. Informasjon og kunnskap om konsekvensene dersom informasjonen skulle kompromitteres eller misbrukes. Informasjon om trusselaktørene. Hvordan de kan tenkes å arbeide og hvorfor de kan være interessert i organisasjonens beskyttelsesverdige informasjon. Informasjon og kunnskap om hvordan nettsamfunn kan utgjøre en sikkerhetsrisiko mot informasjonen som skal beskyttes. Informasjon og kunnskap om hvordan informasjon av liten verdi kan benyttes til å fremskaffe informasjon av høy verdi (social engineering). 19.04.2010 Side 27
Aftenposten 09.11.2009
7. Bruk av offentleg informasjon Informasjon som det er gitt tilgang til etter lova her eller anna lovgiving som gir ålmenta rett til innsyn i offentleg verksemd, kan brukast til eitkvart formål dersom ikkje anna lovgiving eller retten til ein tredjeperson er til hinder for det. 9. Rett til å krevje innsyn i ei samanstilling frå databasar Alle kan krevje innsyn i ei samanstilling av opplysningar som er elektronisk lagra i databasane til organet dersom samanstillinga kan gjerast med enkle framgangsmåtar.