frukostseminarium om informationssäkerhet
TRANSCRIPT
Frukostseminarium om
informationssäkerhet
Malmö Börshus, Malmö
Hos Transcendent Group möter du erfarna
konsulter inom governance, risk and compliance. Våra
tjänster skapar trygghet och möjligheter för
myndigheter, företag och andra organisationer
inom en rad olika branscher.
Transcendent Group har fyra år i rad utsetts till en
av Sveriges bästa arbetsplatser.
Om företaget
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Om oss
Cirka 70 medarbetare totalt
• Stockholm: 45
• Oslo: 13
• Göteborg: 5
• Malmö: 4
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Vår kärnverksamhet
• Risk
• GRC systemstöd
• Verksamhetsstyrning
• Internrevision
• IT-revision
• Informationssäkerhet
• Dataanalys
• Compliance
• Strategisk IT
• ERP-tjänster
• Privacy
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Stefan Arnslätt Anna Nielanger
Informationssäkerhet – aktuella
hot och risker
Personuppgiftslagen och ny
dataskyddsförordning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Informationssäkerhet –
aktuella hot och risker
Stefan Arnslätt, Transcendent Group
Agenda
• Bakgrund och koncept:
– vad handlar informationssäkerhet om?
– mål och syfte med informationssäkerhet
• Traditionella IT-relaterade risker.
• Aktuella hot och risker:
– cyber crime
– mobila enheter/mobil säkerhet
– sociala medier
• Hur kan verksamheter skydda sig?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Bakgrund och koncept
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Vad handlar informationssäkerhet om?
• Informationssäkerhet handlar om att skydda en
verksamhets informationstillgångar.
• Information kan existera i många former, vilket innefattar:
digital information, information i pappersform samt verbal
information.
• Information har ett värde och priset går därför att mäta i
olika termer, exempelvis: i kostnader för att återskapa
information, i missade leveranser, i förlorade kunder eller i form
av skadestånd eller förlorat förtroende på marknaden.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ett riskbaserat förhållningssätt: riskanalys
och riskaptit
Plan
Do
Check
Act
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Principerna för informationssäkerhet
IS-triaden
konfidentialitet
riktighettillgänglighet
• Konfidentialitet – att hålla
känslig information skyddad
från obehörig åtkomst.
• Riktighet – att hålla
information korrekt och
fullständig.
• Tillgänglighet – att hålla
information tillgänglig och
användbar vid behov/begäran
från verksamheten.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Traditionella IT-relaterade risker
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Vanligaste
riskområdena
• ändringshantering
• behörighetshantering
• kontinuitetsplanering
• bristande koppling mellan IT och
affärsverksamheten
• intrång
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Aktuella hot och risker: cyber
crime
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Cyber crime
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Typ av attack Syfte
Phishing (social engineering) Att utge sig för att vara någon annan (exempelvis
supporttjänsten på en bank) för att lura användare att
dela med sig av känsliga uppgifter och information
såsom kontonummer och liknande.
Malware (sabotageprogram) Program/skadlig kod (till exempel en trojan) som via
någon form av intrång installeras på en dator eller
nätverk med syfte att störa och sabotera systemet eller
samla in information.
Identitetsstöld Att kapa personuppgifter / identiteter för att exempelvis
handla varor och tjänster i någon annans namn.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Allt starkare externa krafter kräver ett
större fokus på cybersäkerhet
Er verksamhetRegulatoriska krav
IT-beroende
Ökade attackytor
Avancerade hot
Nya arbetssätt
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Aktuella hot och risker: mobila
enheter/mobil säkerhet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
En enorm ökning
• Under 2014 översteg antalet mobila enheter (7,4 miljarder) hela
jordens befolkning*.
• Cirka 500 miljoner mobila enheter tillkom under 2014*.
• Användande av smartphones ökade med 45% under 2014*.
• I och med det ökade användandet av smartphones kommer de
utgöra 75% av all mobil datatraffik 2019*.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
* CISCO Visual Networking Index
De vanligaste riskerna
1. Svagt lösenordsskydd – verksamheten har bristande kontroll
över vilket lösenordsskydd som appliceras på anställdas mobila
enheter (PIN-kod, touch ID).
2. Okrypterade (offentliga) trådlösa nätverk används för att
läsa/skicka mail, ladda ner dokument etcetera.
3. Ökad exponering för skadlig kod (malware) via nedladdade
appar.
4. Säkerhetsmjukvara (till exempel virusprogram) är ej installerad
på den mobila enheten.
5. Avsaknad av policys och riktlinjer – ger låg
säkerhetsmedvetenhet inom verksamheten.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Aktuella hot och risker: sociala
medier
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
2014
2013
2012
60
Vad händer
online på 60
sekunder?
Sociala medier
• ”Kartläggningsprocessen” för att utföra attacker underlättas till
stor del av informationsspridningen via sociala medier:
– Med en gång information läggs upp på sociala medier så upphör den att
vara privat.
• Enligt undersökningen lagringsbarometern från Proact som utförs
på offentliga och privata bolag tror 84 procent av kommunerna
och 78 procent av svenska börsbolag att industrispionage
kommer att bli vanligare framöver.
• Trots tron om ökat antal incidenter räds inte de svenska bolagen.
Endast ett av fyra börsbolag (24 %) och kommuner (28 %) oroar
sig för att bli utsatta för industrispionage.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Hur kan verksamheter skydda
sig?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Hur kan verksamheter skydda sig?
Etablera en basnivå för IT – och informationssäkerhet:
• En verksamhetsgemensam basnivå med minimikrav för alla
system.
• Skarpare krav för system som innehåller känslig information.
• Informationsklassning för att säkerställa rätt skyddsnivå
• Roller och ansvar (systemägare, informationsägare).
• Security awareness - Informera och träna personal löpande
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Frågor?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Personuppgiftslagen och
ny dataskyddsförordning
Anna Nielanger, Transcendent Group
Personuppgifts-biträde
Tillsyns-myndighet
Personuppgifts-ansvarig
Person-uppgift
Behandling
Tredje land
Personuppgifts-ombud
Integritet
Registrerad
Samtycke
Känslig uppgift
Ändamål med behandling
Centrala begrepp
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Historisk utveckling
1973
Datalagen (SE)
1995
Dataskyddsdirektivet (EU)
1998
Personuppgiftslagen (SE)
2007
Uppdaterad Personuppgiftslag (SE)
2012
Kommissionens förslag till dataskyddsförordning (EU)
2014
Parlamentets reviderade förslag till dataskyddsförordning (EU)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Personuppgiftslagens syfte
• Syftar till att skydda människor mot att deras personliga integritet
kränks när personuppgifter behandlas.
• Reglerar hur personuppgifter får behandlas.
• Behandling omfattar insamling, registrering, lagring, bearbetning,
spridning, utplåning med mera.
• För strukturerad personuppgiftsbehandling gäller betydligt fler
regler än för ostrukturerad.
• Särregler i annan lagstiftning tar över bestämmelserna i
personuppgiftslagen, och det finns undantag med hänsyn till
offentlighetsprincipen samt tryck- och yttrandefriheten.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Roller och ansvar i PuL
• Den juridiska person eller myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad de ska användas till.
• Ansvaret är straff- och skadeståndssanktionerat.
Personuppgifts-ansvarig
• Behandlar personuppgifter för den personuppgiftsansvariges räkning.
• Finns alltid utanför den egna organisationen.
• Kan vara en fysisk eller en juridisk person.
• Ett skriftligt avtal måste upprättas.
Personuppgifts-biträde
• En person som ser till att personuppgifter behandlas korrekt och lagligt inom en verksamhet.
• För förteckning över register och annan behandling av personuppgifter.
• Hjälper registrerade att få felaktiga uppgifter rättade.
Personuppgifts-ombud
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Huvuddragen i personuppgiftslagen
baseras på ett EU-direktiv
bygger på samtycke och information till de registrerade, tydligt syfte krävs
uppgifter som behandlas skall vara aktuella och riktiga
endast nödvändiga och adekvata personuppgifter får behandlas
rutiner för rättning, uppdatering och radering av uppgifter krävs
stränga regler för känsliga uppgifter
begränsade möjligheter att föra över personuppgifter utanför EU/EES
bestämmelser om information som ska lämnas till den registrerade
tekniska och organisatoriska åtgärder för att skydda personuppgifter
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Håll reda på era behandlingar
vilka personuppgifter registreras?
syftet med registreringen
information till de registrerade
samtycke
hur länge bevaras uppgifterna?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Håll reda på hur personuppgifterna
hanteras
upprätta register-förteckning
lämnas uppgifterna ut?
behörighet till uppgifterna
säkerhets-åtgärder för att skydda uppgifterna
biträdesavtal med IT-leverantörer
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utmaningar i
personuppgiftslagen:
• låg allmänkunskap
• vårdslöst förhållningssätt
• bristande översikt av behandlingar
• PuO:s kompetens och plats i organisationen
• gallringsrutiner
• avtal med tjänsteleverantörer
• bristande säkerhet.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ny dataskyddsförordning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Bakgrund till ny dataskyddsförordning
Trialogförhandlingar mellan kommissionen, rådet och europaparlamentet pågår. Förhoppningar finns om att en färdig text är klar mot slutet av 2015.
Lades fram redan 2012, och syftar till att stärka skyddet för datalagrade personuppgifter.
Både EU-kommissionen och rådet har sagt sitt.
Blir en förordning, och därmed en lag i EU:s alla medlemsstater.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utökad omfattning och harmoniserad
tillämpning
• Blir en förordning.
• Omfattar all behandling, även ostrukturerad.
• Utvidgad territoriell tillämpning.
• Strängare krav kring överföring till tredje land.
• Utökning av vad som avses med känsliga uppgifter: uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religion eller livsåskådning, sexuell läggning, könsidentitet, medlemskap och verksamhet i fackförening samt behandling av genetiska eller biometriska uppgifter, uppgifter om hälsa och sexualliv, administrativa sanktioner, domar, brott eller misstänkta brott, fällande domar i brottmål samt därmed sammanhängande säkerhetsåtgärder.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Utökade rättigheter
för registrerade
• Registrerade personer skall i vissa
fall ges rätt att begära att
information om sig själv raderas.
• Den registrerade har rätt att när
som helst göra invändningar mot
behandling av personuppgifter.
• Skärpta krav avseende
profilering.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Mer utförlig information till registrerade
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Ökade krav på
styrning
• Skyldighet att anta en
integritetsskyddspolicy och vidta
åtgärder för att kontrollera
efterlevnaden.
• Utökade krav på regelbundet
uppdaterad dokumentation om
all behandling som utförs.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Mer specifika
säkerhetskrav
• Krav på riskanalys och
konsekvensbedömning avseende
uppgiftsskydd.
• Mer specifika krav avseende
säkerhetsstrategi för
behandlingen.
• Krav på anmälan av dataintrång
till Tillsynsmyndigheten och
information till registrerade.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Uppgiftsskyddsombudet
• Uppgiftsskyddsombudet skall ges en oberoende ställning och inte ha övriga arbetsuppgifter som leder till en intressekonflikt.
• Uppgiftsskyddsområdet utses på minst 2 alternativt 4 år.
• Krav på uppgiftsskyddsombudets arbetsuppgifter.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Skyldighet att utse uppgiftsskydds-ombud/person-uppgiftsombud
Myndigheter
Juridisk person som behandlar fler än 5000 registrerade under en sammanhängande period på 12 månader.
De som har behandling som kräver regelbunden och systematisk övervakning av de registrerade, som sin kärnverksamhet.
Strängare sanktioner
Strängare sanktioner vid
överträdelser eller brott mot den
nya förordningen innebär:
• Straffavgift på upp till 1 MEUR
alternativt 2% av företagets årliga
globala omsättning.
• Sanktioner kan utdömas även
mot biträden (leverantörer).
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
Är ni förberedda?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
015
www.transcendentgroup.com