Ulsrud, Lian, Moen, Clausen, Bjørgo

På tirsdagens frokostseminar om informasjonssikkerhet og personvern var salen nesten full, og interessen for temaet forteller oss at flere gjerne skulle ha deltatt. Her er en kortfattet oppsummering av programpostene.

 

Personvern – dagens regler og forordningen i 2018

frokostseminar-8471
Helene Bjørgo og Christopher Clausen som leder Thommessens faggruppe for Teknologi og Personvern

De fleste virksomheter sitter på personopplysninger som kommer inn under lovgivningen. Imidlertid er det fortsatt mange virksomheter som ikke har full oversikt over hvilke personopplysninger de behandler, og hvilke krav som må oppfylles for å tilfredsstille personopplysningslovens krav.

Strengere sanksjoner

Fra mai 2018 øker bøtenivået kraftig, men adgangen til å gi bøter på inntil 10 G (omtrent 850 000 kroner) ved brudd på Personopplysningsloven ligger der allerede. Det er Datatilsynet som har ansvaret for å håndheve lovverket på området.
– Vi er ikke kjent med veldig mange eksempler på at Datatilsynet har ilagt store bøter, sier Bjørgo.

– Ved flere anledninger har vi sett at Datatilsynet tar for seg en bransje eller et sakskompleks på mer generelt grunnlag, heller enn å gå etter enkeltaktører, sier Christopher Clausen.

frokostseminar-8465

Personvernombud?

Det er en rekke spørsmål virksomheten må bringe klarhet i:

  • Hvilke personopplysninger blir behandlet i virksomheten?
  • Hvordan behandles disse, og hva brukes de til?
  • Hvilke krav til rapportering gjelder for virksomheten?
  • Har vi rutiner og dokumentasjon på plass?
  • Må vi, eller bør vi, ha personvernombud?

Personvern som ledelsesansvar

Ved å trekke en parallell til konkurranselovgivningen og effekten man har av fallhøyden som ligger i overtramp der, venter Clausen at det endelige ansvaret for korrekt håndtering av personopplysninger vil flytte seg oppover i organisasjonene:
– Med et større risikobilde kommer temaet høyere på agendaen. Det betyr at bevisstheten rundt temaet vil øke i styrene og i ledelsen, og mye av ansvaret som i dag ofte ligger hos IT og HR vil bli flyttet til virksomhetens ledelse.

 

Svindel og informasjonssikkerhet

Ole Anders Ulsrud, NorSIS

Ole Anders Ulsrud, rådgiver i NorSIS. Norsk senter for informasjonssikring jobber daglig med å spre kunnskap om informasjonssikkerhet, primært blant norske virksomheter i privat og offentlig sektor.

Svindel, ID-tyveri og datakriminalitet for øvrig er et økende problem, spesielt ettersom flere og flere enheter har sensitive data og er tilkoblet nettet døgnet rundt.

Tilliten i samfunnet er under press

Nordmenn har stor tillit til samfunnet og folk rundt seg, antageligvis er det mange som benytter mer eller mindre trygge nettverk, både i dagliglivet og på reise. Dette gir gunstige arbeidsforhold for det økende antallet kriminelle som vet å dra nytte av tilgangen til opplysninger om personer og virksomheter. I Norge har vi den siste tiden sett en rekke eksempler på forsøk på å få betalt fiktive fakturaer ved hjelp av en epost tilsynelatende sendt fra en i direktøren til økonomisjefen eller en medarbeider.
– Organisasjonene må skape gode rutiner rundt utbetaling av penger, og de må naturligvis følges. Også interne regler knyttet til avhending av IT-utstyr og lagringsmedier er avgjørende for datasikkerheten, sier Ole Anders Ulsrud.

Hvordan tette sikkerhetshullene?

I sin presentasjon kom han inn på metodene svindlerne bruker, og hvordan man gjør det vanskeligere for disse å lykkes. Det vil utvilsomt være nyttig med mer bevissthet rundt hvilke opplysninger som deles om bedriften. For inngangsbilletten får svindlerne oftest direkte fra brukerne selv.

 

Norske ledere er ikke bevisst verdiene i virksomhetens datasystemer

Eirik Knutssen, NTT Security
Sikkerhetsspesialist Eirik Knutssen Moen jobber i et av verdens mest anerkjente sikkerhetsselskap, NTT Security.

Norske virksomheter er kunnskaps- og informasjonstunge. Immaterielle rettigheter utgjør ofte de største verdiene – mengdene med informasjon som er lagret på servere og datamaskiner. Virksomheter generer hver dag data som er konkurransesensitive og viktig for fremtidig inntjening. Om noen skulle stjele forskningsresultater, plantegninger eller annen intellektuell eiendom kan konkurrenter på kort tid ta igjen forspranget som er opparbeidet over mange år. Dette er kriminalitet som foregår hver eneste dag i Norge, og ledere blinkes ut i målrettede angrep.

Mangler mål og strategi for sikkerhet

Moen og NTT Security (tidligere Secode) leverer den mest avanserte sikkerheten tilgjengelig på markedet. Kundene er de som har nettjenester som ikke kan gå ned, og gjerne de som har ansvar for samfunnskritisk infrastruktur. Han viste til en undersøkelse gjennomført mot 100 norske ledere i fjor, der konklusjonen er at seks av ti har ikke mål og strategi for informasjonssikkerhetsarbeidet. Det er grunnlag for å mistenke at dette skyldes mangel på kunnskap om hvilke verdier man har. Ledere er opptatt av å beskytte kundedata og informasjon om resultater og ansatte. Det er vel og bra, og helt riktig. Intellektuell eiendom kommer derimot langt ned på listen over data som skal beskyttes, og mangel på erkjennelse at forskning og utvikling som regel er avgjørende for bedriftens fremtid.

På tide med bedre sikkerhetskultur?

NTT Securitys innsikt og mange andre undersøkelser viser at mange forventer sikkerhetsbrudd, og at færre tar alvoret inn over seg. God sikkerhetshåndtering starter med å identifisere dataene dine, rangere hva som er viktigst å beskytte, og deretter implementere riktig sikkerhet for de ulike delene. Dette handler om sikkerhetskultur. Det er ledelsen som sitter med nøkkelen til riktig og god sikkerhetshåndtering. Dersom det signaliseres fra toppen at dette har avgjørende betydning drysser sikkerhetskultur nedover i virksomheten. God sikkerhet handler om alt fra IT-systemer til forståelse hos den enkelte ansatte. Ledelsens ansvar er å formulere mål og strategi for sikkerhetsarbeidet. Finn så ut hvilke verdier dere har, og sett inn målrettede tiltak der risikoen er størst.

 

Avhending av IT-utstyr med minne og sikker sletting

Geir Erik Lian, AD
Geir Erik Lian er adm.dir. i AD, som jobber med sikker sletting og sikker retur av IT-utstyr med lagringsminne.

Flere og flere enheter vi omgir oss med utstyres med minne, hva betyr det for ledelsen? Mange virksomheter har etablert en eller annen form for rutine for informasjonssikkerhet.
– Hvem kan med hånden på hjertet si at rutinene følges til punkt og prikke for alle enheter, og at rutinene samtidig dekker alle aspekter av informasjonssikkerheten? Ikke minst når utstyret skal avhendes…

Når har informasjonen gått i graven?

De færreste virksomheter har verktøyene som kreves for sikker sletting. Så når enhetene ikke brukes lenger oppstår den kritiske fasen som medvirker til at mange slurver.

– For å garantere sikkerheten fra vugge til grav, står vi i AD for sikker retur. Det kan bety flere ting, men handler om at vi for eksempel kommer inn hos kunden med våre trente medarbeidere, som pakker med seg utstyret i sikre returbokser. De er med transporten helt til ADs lokaler, hvor enhetene registreres og oppbevares i sikrede lokaler fram til vi gjennomfører sikker sletting. Mens dokumentasjonen på sikker sletting går til kunden, går enheten til gjenbruk eller miljømessig forsvarlig gjenvinning, sa Lian.

Geir Erik Lian, AD

– I den forbindelse ønsker vi å utfordre myndighetene, for i dag mangler vi en industristandard som klart definerer kriteriene hva en «Sikker sletting» er, sa han.