Box: erfaringer med UNINETTs første internasjonale skytjeneste Jan Meijer, UNINETT
UNINETT Norges forskningsnett KDs verktøy for felles IKT infrastruktur i norsk UH 85 årsverk omsetning 180 millioner ca. 40 primærmedlem, 190 medlem totalt ecampus, UH-Sky, UH IT sikkerhetssekretariat 19. desember 2013 2
Skytjenester? 19. desember 2013 3
Fordeler med skytjenester for UH Standardisering fører til kostnadsredusering Gir bedre muligheter for felles tjenester Bedre valgmuligheter mellom store investeringer og operasjonelle utgifter Bredere tjenestespekter med samme antall mennesker Bort fra ehr, en del er gratis for studenter (Office 365, Google Apps EDU) 19. desember 2013 4
ryddig bruk av skytjenester mulig bør bli enklere 19. desember 2013 5
Box sync n share = consumer cloud-based file synchronization and sharing = Dropbox Amerikansk startup-selskap i fase 2: sterk vekst nordisk anbud = bedre rabatt + bedre betingelser UNINETT forvalter kontrakt til institusjoner Hver institusjon får sin egen Box instans 19. desember 2013 6
Risikovurdering Overordnet risiko: Narvik Kommune USA selskap Sikkerhet, personvern Felles RoS analyse: sektor representanter sektorens IT sikkerhetssekretariat 19. desember 2013 7
politikk 19. desember 2013 8
Risikovurdering Box Tradisjonelle risikoer OK USA = Patriot Act Konsekvenser av etterretning (visa nekt osv.) Brukere senker gradering av informasjon Opplasting av feil data, eller opplasting av riktig data til feil mappe med andre brukertilganger Applikasjoner og tilhørende plugins/apper i box.com blir benyttet pa en slik ma te at brukeren mister oversikt over dataflyt og tilganger. Bevisst og ubevisst kopiering av data. 19. desember 2013 9
personvern & databehandler stack 10
Databehandleravtale Box The data importer agrees and warrants to make avallable a written audit report not older than 18 months by o registered and independent external auditor demonstrating that the data importer s technical and organizational measures are sufficient (according to ISO 27001:2005, SSAE 16 Il SOC1 and 50C2, HIPAA). At least once per year, Data Processor shall make itseif available to discuss with Data Controller the security measures affecting the Customer s instance of the Box Service. Samtykke bruker for bruk av callsenter 19. desember 2013 11
Sluttbruker-erklæring Du fa r denne tjenesten fra din institusjon: Ditt lokale IT reglementet gjelder også denne tjenesten Du har ansvar for det du lagrer i tjenesten Privat bruk ma være i samsvar med lokalt IT-reglement Husk at data lagres i USA Ikke bruk tjenesten til sensitive personopplysninger, helsedata eller sikkerhetsgraderte data Tjenesten er regulert av norsk lov 12
Utfordringer Safe Harbour er langt fra tydelig Forskjellige tanker I USA og EU/EØS rund personvern: kontraktregulert vs. lovregulert Skytjenester har leverandører har underleverandører Callsenter i land med dårlig personvern Regelverk forutsetter stålkontroll på hele kjeden Som organisasjon kan du ikke bortregulere ditt ansvar (!) Lovverket krever aktiv holdning og oppfølging rund sikkerhet og personvern Frykt og usikkerhet er store utfordringer 19. desember 2013 13
Uten Box blir det Dropbox 19. desember 2013 14
Arbeid pågår: sertifiseringsprosess Nasjonalt (UH-sky) og internasjonalt (Geant (EU)) Pålogging og brukerprovisjonering (Feide) Våre data er og blir våre Skal følge vår nasjonale lovgivning Ekstern sikkerhetsrevisor Helst direkte kobling til forskningsnett-verden 19. desember 2013 15
Mulig arbeid Bedre mal Datatilsynet Automatisering RoS analyse og databehandleravtaler Nøkkelhulmerke kortreist tjeneste Kompetanseheving anvendelse personvern/ros/offentlige anskaffelser i tjenesteforvaltning Arbeidsgruppe jus i UH-sky, IT sikkerhetssekretariat Trengs en felles innsats for å realisere gevinst med skytjenester 19. desember 2013 16
Takk for oppmerksomheten! epost: jan.meijer@uninett.no tel: 90177711 skype: janmeijer.no Box tjenesten & Ros rapport: www.uninett.no/box Avtaleverk: www.uninett.no/ecampus-bestilling 19. desember 2013 17