Nettskyen utfordringer og muligheter Hello..Hello? I want my data back. Is there anybody out there? Hello.? 01.06.2011 Side 2 Datatilsynet 1
Personvern med korte ord Informasjon om håndtering Rettslig grunnlag for behandling normalt samtykke eller etter avtale i deres tilfelle. Kun bruk av relevante data Sikring av data Sletting av data 01.06.2011 Side 3 Ansvaret Påhviler egen virksomhet Man kan ikke flytte ansvaret ut i skyen Må forvisse seg om tilstrekkelig sikkerhet i produktet som kjøpes Kan du det? Hovedutfordring: Unilaterale avtaler 01.06.2011 Side 4 Datatilsynet 2
Før vi starter: BASIC informasjonssikkerhet Oversikt over og kategorisering av data man håndterer Vurdere hvordan de ulike data skal sikres Avstemme mot system for håndtering av data Hva er egnet for og hva er ikke egnet for cloud? Etablere, iverksette og håndheve et sikkerhetsregime Herunder håndtere mobilitet for data Føre rimelig kontroll med regimet 01.06.2011 Side 5 Hva er egentlig Cloud Computing? Skalerbart kjøp av prosessorkraft, lagrings- og databearbeidingskapasitet hos ekstern part med leveranse over eksterne nettverk. NITS sin definisjon: Cloud computing er en modell for praktisk, on-demand nettverkstilgang til en felles pool av konfigurerbare dataressurser (f.eks, nettverk, servere, lagring, applikasjoner og tjenester) som raskt kan klargjøres og utgitt med minimal forvaltningen eller tjenesteleverandøren interaksjon. (The National Institute of Standards and Technology) 01.06.2011 Side 6 Datatilsynet 3
Sentrale problemstillinger Risikohåndtering, herunder konsentrasjonsrisiko Ansvar Nasjonale lover og forskrifter Infrastruktur Unilaterale avtaler - WYSIWYG Hvem står som garantist for levert sikkerhet? Hvem er egentlig leverandøren? Hvor er egentlig våre data lagret? Verneting hvor og ovenfor hvem håndheves avtale rettslig? 01.06.2011 Side 7 Sideaspekt - konsentrasjonsrisiko Mikroperspektiv: Leverandører tar oppdrag for mange Krever tilnærmet standardiserte løsninger Singel point og failure? Makroperspektiv: Store konsekvenser ved sikkerhetsbrudd 01.06.2011 Side 8 Datatilsynet 4
Applikasjon Plattform Infrastruktur 01.06.2011 Side 9 Struktur innen cloudsegmentet Cloud er kommet for å bli men vi blir nok stadig mer bevisst på hva den er egnet til. Noen leverandører vil trolig betjene nesten hele den vertikale verdikjeden, mens andre vil satse på nisjer innen applikasjonslaget. Vi får sannsynligvis noen få store infrastruktureiere, men mange mindre aktører innen applikasjonslaget. 01.06.2011 Side 10 Datatilsynet 5
Leverandøren hva må vi tenke på? 01.06.2011 Side 11 Mobilitet Data som flyttes ut av trygge omgivelser mister minst en sikkerhetsbarriere (- fysisk sikring). Data som gjøres mobil må sikres forsvarlig, normalt med kryptering (+krytering). Under kommunikasjon til mobil enhet, og På mobil enhet Det må være gode mekanismer for å sikre at uvedkommende holdes borte fra data (+autentisering) Det tas alt, alt for lett på dette i dag! 01.06.2011 Side 12 Datatilsynet 6
Noen grunnleggende kjørereglene 1. Virksomheten må kjenne til og kontrollere produktet 2. Virksomheten må ha en tilstrekkelig avtale 3. Virksomheten må vite hvor data bearbeides og lagres 4. Virksomheten må med rimelighet vite hvordan egne data håndteres i forhold andre virksomheters 5. Virksomheten må med rimelighet vite hvordan data sikres 6. Virksomheten må vite om hvilken økt risiko bruk av produktet representerer for ulike data 7. Risikovurdering må gjennomføres kompenserende tiltak vurderes 8. Levert produkt, sett i sammenheng med risikovurdering, avgjør hva produktet kan brukes til 01.06.2011 Side 13 Kan skyen brukes? Selvsagt mange av oss gjøre det allerede. Egnet for visse typer data, mindre egnet for andre! Virksomheten må ha en prosess hvor det gjøres grundige vurderinger av hva det er forsvarlig å håndtere i ulike nettsky-produkter. Man bør ha i mente at selv i store driftssentre kan det gå galt, da bør du ha orden i egne kort. Når man planlegger beredskap, inkluder også eventuelle nettsky-produkter som benyttes. 01.06.2011 Side 14 Datatilsynet 7
Les mer på www.datatilsynet.no Datatilsynet 8