Hvordan være lur Ståle Askerød Johansen - UiO-CERT Espen Grøndahl IT-sikkerhetssjef
To hoveddeler Jus og personvern IT-sikkerhet i det daglige
Hva er personopplysninger? Personopplysninger er alle former for data, informasjon og opplysninger som kan knyttes til og identifisere en person: Eksempelvis: Navn, fødselsnummer, telefonnummer, bilde, bankkontonummer, adferdsmønster Sensitive personopplysninger er: a)rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b)at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c)helseforhold, d)seksuelle forhold, e)medlemskap i fagforeninger. Opplysninger som krever ekstra beskyttelse NB! Fødselsnummer er ikke en sensitiv personopplysning skal likevel anvendes etter nøye vurdering regulert i egen bestemmelse i personopplysningsloven. 12/9/16 3
Behandling av personopplysninger Behandling av disse opplysningene er innsamling, registrering, sammenstilling, lagring og utlevering = enhver bruk Eksempler: Logger Brukernavn Innhold i nettskjema Personpresentasjonen om deg Informasjon lagret i applikasjoner 4
Grunnleggende personvernprinsipp Samtykke i størst mulig grad frivillig, uttrykkelig og informert Proporsjonalitet velge det minst inngripende alternativet Formålsbestemthet bare samles inn og brukes til bestemte og lovlige formål Relevans og minimalitet kun når det er nødvendig og ikke mer enn det som virkelig trengs Fullstendighet og kvalitet korrekte, oppdaterte og nøyaktige Informasjon og innsyn urokkelige rettigheter til de registrerte Informasjonssikkerhet - sikre opplysningene mot uautorisert tilgang, endring, ødeleggelse og spredning. Sensitive personopplysninger trenger særlig vern Anonymitet og sporfri ferdsel retten til å være anonym hvis det ikke er behov for å registrere identifiserende opplysninger 12/9/16 5
Prinsipper i konflikt Sterkt formidlingsønske ved UiO og det er åpenhet som ligger til grunn som prinsipp for arbeidet som blir gjort både forskning og undervisning Prinsippet om åpenhet kan ofte komme i konflikt med den økende risikoen for angrep utenfra som er ute etter våre data og opplysninger Vi som arbeider med IT-sikkerhet og jussens rammer har daglige utfordringer hvor disse prinsippene blir satt mot hverandre, samtidig som vi har grupper av ansatte og studenter, og forskning/undervisning som krever ekstra beskyttelse
Hva betyr dette for dere? Dere håndterer store mengder personopplysninger i flere ulike system Alle har et selvstendig ansvar Ha som mål å ha innebygd personvern i systemet/tjenesten/arbeidet deres Jobbe for at sikkerhet og brukervennlighet nærmer seg hverandre Fange opp problemer som må tas tak i
Innebygd personvern Innebygd personvern betyr at det tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. 1)Vær i forkant, forebygg fremfor å reparere 2)Gjør personvern til standardinnstilling 3)Bygg personvern inn i designet 4)Skap full funksjonalitet: Både-og, ikke enten-eller 5)Ivareta informasjonssikkerheten fra start til slutt 6)Vis åpenhet 7)Respekter brukerens personvern https://www.datatilsynet.no/teknologi/innebygd-personvern/ 12/9/16 8
Konflikt for utviklere og systemforvaltere Brukervennlighet vs. Personvern Forventning om Brukervennlighet Tilgjengelighet Personvern Bonusen vår dersom vi tenker i pose og sekk er: 12/9/16 Vi følger loven og får lov til å lansere tjenesten Konkurransefortrinn Trygghetsfølelse Omdømmefortrinn Kostnadsbesparende 9
Sjekkliste Hva slags data skal du behandle? Alminnelige personopplysninger, sensitive personopplysninger? Skal noen andre behandle data for UiO? Utforme formål- og hjemmelsgrunnlag før utviklings-/innkjøpsprosess starter Opprette rutiner for håndtering av data og tilgangsstyring Lage vilkår for bruk - brukerne skal informeres om rettigheter og plikter Varsling om bruk av informasjonskapsler /cookies Gå gjennom sjekkliste for innebygd personvern Sørge for at risikovurderinger/-revisjoner gjennomføres
Bruk av reelle data i testing Lovens krav gjelder også på testdata Konsekvensen er større ved lekkasjer og avvik ved bruk av reelle data i test Hovedregel ved UiO: Testing skjer på testdata! 12/9/16 11
Risikovurdering Det rettslige kravet i personopplysningsloven: tjenesten kan først lovlig tas i bruk dersom informasjonssikkerheten i tjenesten er tilfredsstillende det vil si at risikoen for brudd på informasjonssikkerheten (uautorisert tilgang, eksponering, endring, skade eller tap av personopplysninger og andre informasjonsverdier) vurderes å være akseptabel. UiO må selv definere hvor stor risiko for brudd på informasjonssikkerheten vi kan akseptere. Dersom vurderingen viser at risikoen for sikkerhetsbrudd er uakseptabel høy, kan ikke tjenesten tas i bruk. UiO er ansvarlig for å gjennomføre risikoanalyse 12
Hva er avvik? Avvikende behandling personopplysninger på avveie Mapper/dokument med feil tilgang i Vortex Personopplysninger blir lagt ut på åpent nett ved en feil Epost sendt med sensitiv informasjon eller fødselsnummer / feilsendt epost Programmerings-/kodefeil At noen får tilgang til noe de ikke har rett til å få tilgang til... At UiO sine ressurser blir brukt til lovbrudd En student bruker UiOs utstyr til å laste ned ulovlig innhold
Hva gjør du når du oppdager/mistenker avvik? Følg rutinene som gjelder for dere Melde fra når nødvendig Linja nærmeste leder UiO-Cert UiOs IT-sikkerhetsgruppe Kopi av varsling til CERT skal til behandlingsansvarlig ( behandlingsansvarlig@uio.no) Informere ansatte/kolleger når nødvendig Du skal ikke selv undersøke avviket og dets omfang.
Hva gjør vi når vi oppdager/mistenker avvik? Kartlegging av situasjonen og vurderer /iverksetter tekniske tiltak Eks. fjerner tilganger og kartlegger hvem som har aksessert informasjonen Behandlingsansvarlig vurderer henvendelsen og hvem som skal kontaktes Informasjon til de registrerte (særlig de som er rammet av avviket) Rapport sendes til personvernombudet som vurderer om Datatilsynet skal varsles
12/9/16 Hentet fra www.universitas.no 16
Nett og sporing Hva skjer når man surfer?
DNS-server Din maskin web-server www.google.com
Sensorer i nettet Din maskin DNS-server web-server www.google.com
web-server www.google.com
web-server www.google.com
web-server www.google.com
Din maskin web-server www.google.com
cert@uio.no
Før Driftede klienter
Nå Egne klienter Driftede klienter
Dere må patche (!) Automatisk patching av OS-et Firefox Chrome Java Adobe-produkter Flash
Passord
Password managers Keepass Keychain-greier Mac Linux Online-varianter? Not so much.
Oppsummering - passord Send aldri passordet i e-post Ulike passord Lange passord Tema Ikke gjenbruke To-faktor Beskytte toppen Tenk før du fødererer Passord manager (keepass++)
Spam Malware Phishing Ransomware Virus Kjipe ting
Personlige greier Personlige data Bilder Musikk Filmer
Personlige greier Personlige data Bilder Musikk Filmer
UiO-relaterte data Oppgaver Obliger Labrapporter
UiO-relaterte data Oppgaver Obliger Labrapporter Små datasett om steintyper Store datasett om romerske sandaler Små datasett om tannstilling Store datasett om dialekter øst for vannskillet
UiO-relaterte data Oppgaver Obliger Labrapporter Små datasett om steintyper Store datasett om romerske sandaler Små datasett om tannstilling Store datasett om dialekter øst for vannskillet
cert@uio.no (228) 40911