Personvern-skandale på Universitetet i Oslo

22. januar, 2010 – 15:15

En student som har levd under politibeskyttelse på hemmelig adresse, fikk identiteten og kontaktinformasjonen sin lagt ut på nettet av Universitetet i Oslo. Ifølge studentavisa Universitas skjedde dette ved en dataglipp på universitetet.

I artikkelen sier universitetets informasjonssystemdirektør at årsaken er en menneskelig svikt. De vurderer hvorvidt dokumenter som er unntatt offentlighet skal publiseres elektronisk i det hele tatt. Det er likevel betimelig å spørre om hvilke rutiner Universitetet i Oslo praktiserer for internkontroll og personvern.

Det finnes gode løsninger for å håndtere også sensitive opplysninger elektronisk. Men det fordrer at man følger Personopplysningsforskriftens bestemmelser om internkontroll og kryptering.

Av Jussystemer | Postet i Datasikkerhet, Personvern | Tagged , , , , | Kommentarer (0)

Nesten 5.000 dataangrep i 2009

20. januar, 2010 – 10:40

I fjor oppdaget Nasjonal Sikkerhetsmyndighet (NSM) hele 4.795 dataangrep og virusinnbrudd mot norske datamaskiner, melder Aftenposten. Det er en vekst på hele 55 prosent i forhold til 2008.

Bak disse tallene skjuler det seg mye organisert datakriminalitet, melder NSM. Og den vanligste formen for dataspionasje dreier seg om e-post: Toppsjefen i selskapet mottar en tilforlatelig e-post. Men i denne e-posten ligger det programmer som tapper datamaskinen for sensitiv informasjon. Det kan være kundelister, strategier eller regnskapstall. Det kan ta flere måneder før du oppdager at du har vært utsatt for datainnbruddet, og da har uvedkommende gjerne benyttet seg av informasjonen din allerede.

Tallene fra NSM bekrefter at sensitiv bedriftsinformasjon er attraktiv for uvedkommende. Og det er mye man kan gjøre for å beskytte seg mot datainnbrudd. Men du bør også være forsiktig når du selv håndterer informasjon på e-post eller minnepinner. Kryptering kan være et enkelt grep. Det minste bedriftslederen kan gjøre, er å hindre at egne handlinger utsetter virksomheten for fare!

Av Jussystemer | Postet i Datasikkerhet, E-post | Tagged , , , , , , , , | Kommentarer (0)

G-mail blir sikrere – men ikke kryptert

14. januar, 2010 – 16:37

Googles Gmail har varslet at de skal bli sikrere. Det skal de gjøre ved å innføre automatisk HTTPS-bruk mellom brukeren og Google.

gmailHva betyr dette for deg som Gmail-bruker? At du er tryggere mot at uvedkommende skaffer seg innsyn i det som skjer mens du skriver e-post i G-mail. Kommunikasjonen mellom deg og serveren du er koblet til, blir tryggere.

Men den nye sikkerhetsforanstaltningen innebærer ikke at e-posten er kryptert når du sender den til mottakeren. Hva som skjer når mailen forlater Googles system, har du nemlig fortsatt ingen garanti for.

Dataene overføres altså ikke kryptert mellom senderen og mottakeren, bare mellom forfatteren og serveren du er innlogget på. Hvis du vil være helt sikker på hemmelig kommunikasjon, må du fortsatt kryptere e-posten din.

(Bilde: Skjermdump fra Gmail)
Av Jussystemer | Postet i Auduns sikkerhetsblogg, E-post | Tagged , , , , , | Kommentarer (0)

Norske bedrifter uten kontroll på sensitive data

15. desember, 2009 – 08:57

De fleste norske bedrifter slurver med å beskytte sensitiv informasjon eller personopplysninger på data. Det viser en fersk undersøkelse Perduco har gjort for Jussystemer.

overvåkingskameraerHalvparten av næringslivslederne kjenner ikke til lovene de er pålagt å følge i forbindelse med håndtering av personopplysninger. Norske bedrifter ligger dermed vid åpne for alle som ønsker å hente sensitiv informasjon eller personopplysninger. Undersøkelsen er en del av Perducos næringslivspanel, og respondentene er 1259 næringslivsledere fra hele landet. Dataene ble samlet inn i slutten av november.

Hele undersøkelsen finner du som PDF her, men her er noen hovedfunn:

  • To tredeler sender e-post ukryptert
  • 40 prosent av norske bedrifter har ikke regler for håndtering av sensitiv bedriftinformasjon
  • Kun 4 prosent i industrinæringen sender kryptert e-post
  • Kun halvparten av de spurte kjenner de juridiske og rettslige konsekvensene av av brudd på personopplysningsloven med forskrift
  • 14 prosent sier de har mottatt feilsendte e-poster med sensitiv informasjon og/eller personalopplysninger, 4 prosent sier de har sendt slik e-post selv

- Hvis du sender en epost utenfor brannmuren der du jobber, vil den på sin ferd mot mottageren foreta flere stopp i det åpne internettrommet på servere rundt i verden. Her kan mailen din leses, informasjon sorteres og lagres. Om og når det eventuelt brukes vet du ikke, sier Audun Høisæther, sikkerhetsekspert hos Jussystemer AS.

Sensitiv bedriftsinformasjon blir stadig lettere å få tak i. Næringslivsledere, finansfolk og kommunikatører sender åpne e-poster, går rundt med usikrede PCer i sekker og vesker, legger igjen usikrede datamaskiner på flyplasser og i taxier og legger igjen usikrede minnepinner med viktig informasjon overalt. Dette er meget betenkelig, da det ofte handler om børssensitiv informasjon, strategier, nye produkter eller personopplysninger.

Sist uke måtte lederen i et britisk institutt for klimaforskning gå av etter en internasjonal skandale: Uvedkommende fikk tak i flere tusen e-mail mellom fremtredende forskere på feltet. Dette viser at e-poster og viktig informasjon er tilgjengelig hele tiden. Norske næringslivsledere ser ifølge undersøkelsen likevel ikke ut til å bekymre seg.

Det er mye du kan gjøre for å beskytte bedriften din og opplysningene du er satt til å ivareta. Audun Høisæther har laget gode råd til bedriftslederen, samt en oversikt over hva ansatte bør vite om informasjonssikkerhet.

(Foto:http://www.flickr.com/photos/23912576@N05/ / CC BY 2.0)

Av Jussystemer | Postet i Auduns sikkerhetsblogg, Datasikkerhet, E-post, Personvern | Tagged , , , , , , , , , , , , | Kommentarer (1)

Hva ansatte må vite om informasjonshåndtering og sikkerhet

11. desember, 2009 – 10:20

Sikkerhetsråd fra Jussystemers sikkerhetsekspert Audun Høisæther:

  1. Retningslinjer/policy for informasjonshåndtering

    Lage overordnede retningslinjer/policy for behandling av informasjon, både personopplysning og kritisk/sensistiv bedriftsinformasjon. Dette ville jeg hatt styrebeslutning på.

  2. Instrukser/rutiner for å understøtte pkt 1 over

    Instruks for bruk av internett, e-post, USB, CD osv

  3. Etiske retningslinjer

    Jeg ville hatt etiske retningslinjer som omfatter behandling av informasjon, herunder hvilke regler som gjelder for taushet og konfidensialitet.

  4. Opplæring

    Dette er kritisk. Jeg ville hatt skikkelig innføring/opplæring i følgende:

  • kritiske paragrafer i Personopplysningsloven og forskriften
  • bedriftens retningslinjer, policy og instrukser
  • rutiner for informasjonshåndtering i videste forstand
  • gjennomgang av bedriftens kritiske punkter, hva angår fare for å bli eksponert for uautorisert innsyn

Endelig så ville informasjonssikkerhet stått på agendaen i alle internmøter. Temaet må være varmt hele tiden.

Av Jussystemer | Postet i Uncategorized | Kommentarer (1)

Dette bør daglig leder gjøre for å sikre bedriftens data

11. desember, 2009 – 10:20

Sikkerhetsråd fra Audun Høisæther

For å sikre et minimum av sikkerhet ville jeg som daglig leder ha gjort følgende:

  1. Kartlegging

    Jeg ville ha gjennomført en kartlegging over hvilken informasjon vi enten hentet inn, behandlet og lagret. Jeg ville ha sett både på personopplysninger og kritisk/sensitiv bedriftsinformasjon.

  2. Lovpålagte krav

    Jeg ville på grunnlag av kartleggingen ha avklart om mitt firma var underlagt for eksempel Personopplysningsloven m/forskrift. I så fall ville styret være eksponert, og det er min plikt som daglig leder å sikre at selskapet driver i henhold til norsk lov.

  3. Hvordan lagrer og distribuerer vi informasjon?

    Dette ville jeg ha sett i forhold til:

    1. Server
    2. Filer/mapper
    3. E-post
    4. USB
    5. CD
    6. Mobil
    7. Bærbart utstyr
    8. Kopiering/scanning

  4. Eksponering

    Jeg ville ha sett på kritiske punkter for eksponering for uautorisert innsyn, dvs hvem kan potensielt få tilgang til våre data:

    1. Hvordan håndterer vi elementene nevnt i pkt. 3
    2. Har alle på IT tilgang til all informasjon som lagres?
    3. Hvilke ansatte har tilgang ellers?
    4. Kan utenforstående få tilgang?

  5. Fjerning av data

    Jeg ville hatt klare retningslinjer for hvor lenge data lagres og hvordan data slettes/fjernes, herunder også hvordan vi behandler gammelt utstyr ved kjøp av nytt. Nevnes her kan PC (både stasjonært og mobilt), kopieringsmaskiner, mobiler og alt utstyr som lagrer informasjon.

  6. Opplæring av ansatte

    Uten at ansatte er med på laget har man svakt sikkerhetsnivå.

Av Jussystemer | Postet i Auduns sikkerhetsblogg | Kommentarer (1)

Nå kan svenskene overvåke datatrafikken vår

7. desember, 2009 – 15:15

Fra første desember gjelder den svenske FRA-loven, der Försvarets Radioanstalt gis retten til å undersøke datatrafikk. Computerworld forklarer hva som egentlig er hensikten med loven:

Elektronisk informasjon som passerer gjennom kabler på svensk mark kan kartlegges dersom

  • FRA anser de kartlagte som en trussel mot Sverige, for eksempel ytre militære trusler mot landet og strategiske forhold med hensyn til internasjonal terrorisme.
  • Den nyopprettede Forsvarsunderrättelsesdomstolen godkjenner kartleggingen.
  • Regjeringen, regjeringskontoret eller forsvarmakten gir FRA signalspaningsoppdrag.
  • Avsender eller mottaker må være lokalisert utenfor Sverige.
  • Informasjonen ikke inneholder religiøse spørsmål, syndsbekjennelse eller åndelige spørsmål med mindre det finnes ekstreme spørsmål som taler for det.

Du skal som hovedregel bli orientert hvis du blir overvåket, og overvåkningen kan ankes. Det norske Datatilsynet sier til Digi.no at Norge og Finland blir særlig rammet av den nye FRA-loven.

Dersom du er skeptisk til den nye svenske loven, finnes det utveier. Digi.no melder om en ny tjeneste for å unngå datasnoking. Enda enklere er det å kryptere e-posten din slik at ingen andre enn sender og riktig mottaker kan lese den.

Av Jussystemer | Postet i E-post, IKT-politikk | Tagged , , , , , , , | Kommentarer (0)

Halvparten har sendt e-post feil

30. november, 2009 – 12:17

Én av to arbeidstakere har sendt e-post til feil mottaker, melder Dagbladet.

stoppskiltDet er analyseselskapet Sophos som har gjort en verdensomspennende undersøkelse. Ifølge undersøkelsen er 70 prosent av virksomhetene bekymret for datalekkasje gjennom uforsiktig e-post-bruk. En feilsendt e-post kan være flau og ubehagelig, eller den kan medføre en reell sikkerhetstrussel mot bedriften. Det kan igjen føre til en ordentlig økonomisk smell, skriver Sophos på hjemmesidene sine.

For å hindre spredning av sensitive opplysninger ved uhellssvanger e-postbruk, anbefaler Sophos å installere sikkerhetsprogrammer for e-post. Den enkleste måten å sikre e-posten sin mot å bli lest av uvedkommende på, er gjennom kryptering – da vil ikke feil mottaker kunne nyttiggjøre seg opplysningene e-posten inneholder.

(Illustrasjon:http://www.flickr.com/photos/judofyr/ / CC BY 2.0)
Av Jussystemer | Postet i E-post | Tagged , , , , , , | Kommentarer (0)

USB-pinne på avveie på Røros

30. november, 2009 – 12:07

360 kunder av Fokus Bank Røros er uautorisert eksponert gjennom mistet USB minnebrikke. Banken hevder at det er svikt i rutinene og at alle involverte er varslet. Saken er imidlertid svært alvorlig. Om minnebrikken er levert tilbake, så løser ikke dette alle problemer. Er USB minnebrikken kopiert og/eller videredistribuert av noen før den ble kastet? Dette kan en aldri vite, og alle de 360 berørte har nå grunn for å leve i en viss utrygghet. De er uautorisert eksponert av sin egen bank. Bankene lever av tillit og en slik svikt berører derfor hele bransjen.

Det er nærliggende å stille spørsmålet, hvorfor gjør banken/bankene disse unødvendige tabbene? Omdømmebygging er langsiktig og slike dumme feil er både unødvendig og kostbart. Ennå verre blir det når en samtidig vet at det enkelt går an å sikre seg mot slike feil. Fokus Bank/Danske Bank kan enkelt installere sentral styring av alle USB minnebrikker som benyttes i bankens arbeidsstasjoner. Banken kan gjennom dette systemet tvinge gjennom kryptering av alle USB minnebrikker, hvor en har kontroll på hvilken informasjon som er lagret, endret, kopiert og slettet. Det går derfor enkelt an å sikre seg mot konsekvensen av tapt eller stjålet USB minnebrikke.

Av Jussystemer | Postet i Auduns sikkerhetsblogg, Datasikkerhet, Personvern | Tagged , , , , , , | Kommentarer (0)

Kryptering – enkleste vei til trygg e-post

23. november, 2009 – 13:06

Dine Penger nevner e-post som et av områdene der vanlige (for)brukere uforvarende legger igjen digitale spor. Men selv om du tar dine forholdsregler, kan det være at noen leser eposten din. For vet du egentlig hva som skjer etter at du har trykket på “send”?

sikkerepostUtfordringen med ordinær e-post er at den går på ”åpent nett”, og er derfor å betrakte som et vanlig postkort. Den tar ikke nødvendigvis korteste vei, dette avhenger av nettleverandør og bedriften som mottar e-posten. Ta derfor som utgangspunkt at den gjerne er en tur i utlandet også før den havner i innboksen hos mottakeren.

Når du trykker på send-knappen sier du samtidig: “Her er jeg, hvem er interessert i meg?” Det du kan være helt sikker på, er at ansatte i din egen og mottakers dataavdeling kan lese e-posten. Dette kan enkelt gjøres ved at de fysisk sjekker din ”postkasse” eller at de har en sniffer som sender en kopi til ønsket adresse. Dette kan skje enten ved at alle dine e-poster går dit eller at e-poster med spesifikke ord og uttrykk går dit. Dette er enkelt.

Videre vet vi at inntil 80 – 90% av alle e-poster er innom Sverge for elektronisk scanning, lagring og lesing. Uansett så er e-posten din innom en rekke stasjoner, hvor lesing er mulig. I Norge så er EUs datalagringsdirektiv nå til diskusjon, og vi kan risikere at vi får et tilsvarende regime som i Sverge.

Det er mye du som privatperson kan gjøre for å sikre deg mot datalekkasjer. Men når du trykker på “send”-knappen, er eposten utenfor din kontroll. Er du smart, prøv kryptering av epost. Da hindrer du at personopplysninger eller sensitiv bedriftsinformasjon faller i uautoriserte hender og misbrukes.

Av Jussystemer | Postet i Auduns sikkerhetsblogg, E-post | Tagged , , , , , , , , , | Kommentarer (1)