“Norske bedrifter uten kontroll på sensitive data” er overskrift for seansen. Halvparten av norske næringslivsledere kjenner ikke regelverket for behandling av personopplysninger og sensitive data. I tillegg slurver mange med sikkerheten knyttet til kryptering av e-post og datafiler. Dette kan få konsekvenser både for forholdet til Børsen og Datatilsynet.

På frokostmøtet redegjør Jussystemers sikkerhetsekspert Audun Høisæther om funnene i Perduco-undersøkelsen om datasikkerhet i bedriftene. I tillegg kommer avdelingsdirektør Leif T. Aanensen fra Datatilsynet for å snakke om tilsyn i virksomheter.

Frokostmøtet er gratis og åpent for alle. Påmelding skjer her på hjemmesidene til Cision. Påmeldingsfristen er utvidet til torsdag 18. mars.

Har du noen gang oppdaget opplysninger om deg selv på internett som du vil ha fjernet?

Det kan for eksempel være bilder som er publisert uten samtykke, personlige opplysninger, uriktig informasjon eller sjikane. Noen ganger ønsker man også å slette info man selv har lagt ut. Nå lanserer Datatilsynet slettmeg.no, siden som skal hjelpe deg med råd om hvordan du får slettet opplysninger.

I tillegg finner du også en oversikt over hvilke lover og regler som må følges ved publisering på nett.

- Vi er veldig spente på hvor mange som faktisk vil kontakte slettmeg.no. Ut fra de henvendelsene som allerede kommer til Datatilsynet i dag og den utviklingen vi ser på nettet har vi grunn til å tro at dette er en tjeneste som vil bli nyttig for mange, sier Ole Morten Knudsen, en av to rådgivere i slettmeg.no til NTB, gjengitt i VG.

To medarbeidere vil betjene slettmeg.no på heltid, og vil være tilgjengelig for publikum mellom 10 og 18 på hverdager.

Tjenesten er et toårig prøveprosjekt som blir drevet av Datatilsynet og finansiert av Fornyings-, administrasjons- og kirkedepartementet. Den nye tjenesten ble lansert mandag av Datatilsynets direktør Georg Apenes og Fornyings- og administrasjonsminister Rigmor Aasrud (Ap).

(Kilde: NTB, VG Bilde: M i x y / CC 2.0)

- Dersom det blir stående ser vi det som ett brudd på informasjonstryggheten, seier seniorrådgiver Christine Ask Ottesen.

Nå har Datatilsynet vært i dialog med Skattedirektoratet, og de klargjør at lønsslipper må inneholde fødselsnummer for å være i samsvar med regelverket deres.

Dette betyr altså at dersom lønnsslipper skal sendes pr e-post, så må de sendest kryptert for å oppfylle kravene i personopplysningsloven.

For å lese brevet fra Skattedirektoratet og innlegget hos Datatilsynet, klikk her.

(Bilde: Esparta / CC 2.0)

Tipsene i videoen gis av Stein Fotland, styreleder i KINS og Tore A. Høye, forfatter og konsulent innen datasikkerhet.

(Bilde: wili hybrid / CC 2.0)

Denne sikkerhetssvikten sammenfaller i tid med et større serverkrasj hos datagiganten, ifølge Digi.no. Microsoft skriver på bloggen sin at serverproblemet raskt ble løst, men de gir ingen kommentar til at brukere skal ha fått tilgang til andres e-post.

Tenk over hvordan du deler informasjon – og med hvem. Dessverre har over 200.000 nordmenn blitt utsatt for en eller annen form for ID-tyveri.

(Bilde: Johan Larsson / CC. 2.0)

På en epost sendt fra Nav til brukerens g-mailkonto i januar i år står det: “Vedlagt finner du en lønnsslipp for den siste utbetalingen fra Nav. Pengene er sendt til din konto. Dersom du ikke har oppgitt denne til Nav, er utbetalingskort på vei til deg i posten.” Nav har sendt eposten via den svenske serveren posten.se. Eposten er sendt ukryptert, hvilket betyr at både selve eposten og vedlegget, med blant annet brukers kontonummer og stønadsopplysninger, kan åpnes av hvem som helst uten krav om kode”, skriver Dagens Næringsliv.

Dette stiller Jussystemers datasikkerhetsekspert Audun Høisæther seg svært kritisk til. Han mener at Nav ikke bare er uforsiktige når de sprer utbetalingsslipper, men at de sprer informasjon som personnummer og kontonummer i flere ledd.

- Ved at Nav bruker en e-postserver som er svensk, sørger de for å legge igjen informasjonen også i Sverige. og hver gang de sender informasjon til en gmail-konto, er de via servere i USA. I tillegg skriver Nav i eposten at dersom mottaker ikke har oppgitt kontonummer, vil et utbetalingskort snart havne i mottakers postkasse. Da er det jo bare å stille seg opp og vente på postmannen, sier Høisæther til DN.

Datatilsynet mener Navs praksis kan åpne for ID-tyveri for økonomisk vinning. Nav avviser imidlertid overfor DN at praksisen skal være problematisk, de holder seg innenfor loven ved at alle som får tilsendt slike utbetalingsvarsel på e-post har samtykket til at e-post skal brukes.

Artikkelen i Dagens Næringsliv er ikke lagt ut på nettutgaven, men kan leses på side 24. og 25 i Dagens Næringsliv 4. februar.

Minnepinner er en utbredt forretningsgave, og i en fersk rapport fra den britiske etterretningstjenesten MI5, kommer det frem at minnepinner mottatt fra kinesiske handelsforbindelser kan inneholde virusprogrammer som gjør at spioner får tilgang på innholdet i PC-en til mottakeren.

-Du bør skru av funksjonen på datamaskinen din som gjør det mulig å la programvare starte automatisk når minnepinnen stikkes inn i maskinen, såkalte “autorun” eller “autoplay” funksjoner, sier Avdelingsdirektør i Nasjonal sikkerhetsmyndighet, Christophe Birkeland til NRK.

Kryptering av informasjon er den enkleste og sikreste måten å sikre seg mot dataspionasje på. En del virksomheter har etablert rutiner for kryptering av e-post. Nå kan du også på en enkel måte kryptere informasjonen på USB-minnepinner. En “kill pill”-funksjon gjør det mulig for administrator eller brukeren å lese eller slette informasjonen på en stjålet minnepinne via av Internett.

Hvordan bør ansatte sikre data? Her er fire punkter som hvis de gjennomføres vil bedre sikkerheten i organisasjonen betraktelig.

Sikkerhetsråd fra Jussystemers sikkerhetsekspert Audun Høisæther:

1. Retningslinjer/policy for informasjonshåndtering

   Lage overordnede retningslinjer/policy for behandling av informasjon, både personopplysning og kritisk/sensistiv bedriftsinformasjon. Dette ville jeg hatt styrebeslutning på.

2. Instrukser/rutiner for å understøtte pkt 1 over

   Instruks for bruk av internett, e-post, USB, CD osv

3. Etiske retningslinjer

   Jeg ville hatt etiske retningslinjer som omfatter behandling av informasjon, herunder hvilke regler som gjelder for taushet og konfidensialitet.

4. Opplæring

   Dette er kritisk. Jeg ville hatt skikkelig innføring/opplæring i følgende:

• kritiske paragrafer i Personopplysningsloven og forskriften
• bedriftens retningslinjer, policy og instrukser
• rutiner for informasjonshåndtering i videste forstand
• gjennomgang av bedriftens kritiske punkter, hva angår fare for å bli eksponert for uautorisert innsyn

Endelig så ville informasjonssikkerhet stått på agendaen i alle internmøter. Temaet må være varmt hele tiden.

(Bilde: ohadweb / CC 2.0)

NorSIS og Datatilsynet lanserte i 2009 en test på norsk, der du selv kan teste hvor bevisst du er på faren for at noen stjeler identiteten din. Over 32 000 nordmenn har tatt testen sålangt, og i går ble testen i anledning personverndagen, lansert på engelsk.

Testen er delt opp i 11 temaer, og innenfor hvert tema skal du krysse av for hvorvidt ulike påstander gjelder for deg. Etter at du har fullført de 11 stegene vil du få et kort resultat med prosentoppnåelse og evaluering.

Ta den norske ID-tyveritesten her.

Ta den engelske ID-tyveritesten her.

Etterspørselen internasjonalt har vært stor, og informasjonsdirektør hos Datatilsynet, Ove Skåra, sier at de som ønsker å bruke testen kan få den slik den er, eller videreutvikle den og få den oversatt til sitt lokale språk.

Kilde: Datatilsynet.no
Bilde: Don Hankins / CC BY 2.0

Direktivet berører nettselskaper, teleoperatører og nettsamfunn som Facebook og Nettby, ifølge teknologiadvokat Jarle Roar Sæbø i advokatselskapet Grette.

Siden offentliggjorte sikkerhetsbrudd kan medføre en betydelig omdømmesvikt for selskapene, vil innføringen av det nye EU-direktivet gi aktørene all grunn til å bedre datasikkerheten sin for å hindre at personopplysninger kommer på avveie.