Guide til forbedring af IT sikkerheden

Forbedring af IT-sikkerheden

Vi har i Danmark oplevet mange brud på sikkerheden i forbindelse med håndtering af personoplysninger i bl.a. den finansielle sektor og sundhedssektoren. Der har endda været medarbejdere og ansatte hos en række aktører, som har været direkte eller indirekte ansvarlige, for at lække data til uvedkommende.Der arbejdes på en fælles EU lov omkring beskyttelse af personhenførbare data og den er tiltrængt, for den lov vi arbejder efter herhjemme er senest blevet tilrettet i 2003, men på trods af lovgivning, er der fortsat brede områder, hvor virksomheder af hensyn til beskyttelse mod tab af profil eller værdier er overladt til egen sikring.

Forbedret IT sikkerhed,fordrer at alle led i processerne opretholder så højt et vidensniveau og forståelse af vigtigheden af IT politikker, som muligt. Således at virksomhedens værdier, medarbejdernes integritet, klassificerede data, herunder også personoplysninger, beskyttes optimalt.

Risikovurdering og sikkerhedstiltag 

Der findes en række værktøjer, som man kan bruge for at forbedre sin sikkerhed i forhold til de tre relevante elementer:

• mennesker
• processer
• teknik.

Som udgangspunkt bør man foretage en risikovurdering, således at man får kortlagt hvilke trusler, der kan være relevant at beskytte sig imod, afhængigt af virksomhedstype, datakategori, infrastruktur, etc. Én af disse trusler kan være ansattes misbrug af klassificerede data, herunder personoplysninger. På baggrund af risikovurderingen kan man iværksætte mere konkrete tiltag, for at adressere de identificerede relevante trusler. Den dataansvarlige og databehandleren bør i samarbejde aftale hvilke tiltag, der skal iværksættes.

Personaletiltag

Man kan på forskellig vis forsøge at afdække sandsynligheden for, at ansatte foretager sig noget kriminelt med egen vinding eller overbevisning for øje. Det kan ske ved at man f.eks.;

• foretager forskellige tests af ansatte for at kortlægge deres personlige egenskaber,
• undersøger de ansattes baggrund og sikrer sig, at de f.eks. ikke har været involveret i datakriminalitet,
• sikring af at de ansatte til enhver tid har et godt kendskab til reglerne og truslerne på området,
• tydeliggørelse af konsekvenser ved at fravige reglerne,
• indhentning af straffeattest hos Politiet eller ansøgning om en decideret sikkerhedsgodkendelse af de medarbejdere, som har adgang til klassificerede oplysninger. (PET står for sikkerhedsgodkendelse af alle civile og Forsvaret står for godkendelse  af militær)

Dataklassifikation

Virksomheden bør klassificere sine data og skabe sig klarhed over, hvilke data i der er følsomme. De følsomme data bør beskyttes særligt godt, jf. nogle af de øvrige muligheder.

Brugeradministration og rollebaseret adgangskontrol

Ud fra ”separation of duties” princippet, bør man sikre, at kun de personer, der ud fra deres rolle i virksomheden har behov for adgang til applikationer og klassificerede oplysninger, rent faktisk har adgang på ethvert tidspunkt. Adgang skal ledelsesgodkendes. Roller og adgange skal kontrolleres periodisk og tilknyttes HR-systemet hvis muligt. Så få medarbejdere som overhovedet muligt bør have administrator-rettigheder.

Kryptering

Følsomme data kan, både når de lagres, og når de er i transit, krypteres med sikker stærk kryptering i overensstemmelse med deres klassifikation. Der findes løsninger som endda kan kategorisere data ud fra nogle grundregler, således at man lettere kan komme i gang med klassificering. Disse teknologiske værktøjer kan også sikre, at visse data kun kan sendes mellem klassificerede parter. Der kan desuden anvendes digitale signaturer for at sikre, at afsender og modtager er korrekte.

Logning

Når klassificerede oplysninger tilgås, bør det logges, hvem der tilgår dem. Generelt bør der fastlægges procedurer for gennemgang af loggen, herunder hvad der skal logges, hvor længe logs skal gemmes, hvor logs skal gemmes, og hvor tit de skal kontrolleres. Loggen kan opsættes således, at hvis en medarbejder systematisk tilgår bestemte personers data, vil dette blive afsløret af loganalyseværktøjer. En medarbejder, der tilgår disse oplysninger, vil derfor blive afsløret inden for kort tid. Logs bør samles i et centralt system. Det er muligt at få sikkerhedsløsninger der ikke kun logger men også hindrer adgang når adfærd, profil eller tilgangsmetode virker mistænkelig.

Funktionsadskillelse

Ud fra ”separation of duties” princippet, bør der sikres funktionsadskillelse blandt de it-ansatte således, at de, der har adgang til loggen, ikke er de samme, som dem, der har adgang til data. De, der har adgang til at administrere data, behøver ikke nødvendigvis at have læserettigheder. Dette skal sikre, at der ikke kan manipuleres med data og logs, men kan også være med til at man lettere i samspil med kryptering kan outsource data lagring, databehandling, IT services m.m..

To-bruger adgang med 2-faktor autentificering

Man kan overveje, at adgang til klassificerede data kun må ske, når to medarbejdere med de rette roller samtidig tilgår data, og kun når der anvendes 2-faktor autentificering. På den måde skal der mere end én person til at få adgang til klassificerede data og altså to medarbejdere til at gennemføre en kriminel handling.

Pseudonymisering

Man kan i nogle tilfælde pseudonymisere data således, at en medarbejder ikke umiddelbart kan se alle data om en bestemt person, et produkt, funktion etc. Ultimativt vil der altid være en administrator, som skal kunne genskabe forbindelse mellem pseudonymet og identiteten/det komplette projekt, funktin etc.. Det kan løses gennem enten funktionsadskillelse eller to-bruger-adgang. Pseudonymisering kan også afhjælpe andre sikkerhedsproblemer og understøtte effektivisering.

Sikkerhedsstandarder

For at adressere informationssikkerhed i en bredere forstand end beskyttelse af personoplysninger, kan det anbefales at arbejde systematisk efter en sikkerhedsstandard som f.eks. ISO27000. Herunder forudsættes det, at 3. parts revision gennemføres, og at henstillinger og anbefalinger fra disse revisioner prioriteres højt og indarbejdes i virksomheden hurtigst muligt.