Prova gratis Begär offert Kontakta mig
29maj
Är du säker nog för GDPR?
Då var det bara upploppet kvar innan GDPR blir gällande. Men finns det verkligen ett mål? Det enkla svaret är nej - eftersom GDPR åsyftar att organisationer skall arbeta kontinuerligt med sin hantering av personuppgifter. Det innebär också att relaterad IT-säkerhet är ett kontinuerligt arbete - utan mål. Så vad ställs för krav på IT-säkerhet nu när GDPR snart lanseras? Kan vi veta det?
Av: Jonas Lejon Ämnen: GDPR, Sårbarhetsanalyser

I grunden inte IT-säkerhet

I grunden är GDPR inte en lagstiftning som pekar direkt på ökad IT-säkerhet. Till skillnad för NIS (Network and Information Security) som kommer i augusti. Behovet av (ökad) IT-säkerhet kommer snarare som en följdeffekt av att din organisation tar hänsyn till GDPR och är mån om att skydda personlig data och inte råka ut för läckage av personuppgifter.

Så hur säkerställer du nu att du gjort det som krävs för att skydda personlig data? Det enkla svaret är att du inte kan säkerställa eller konstatera att du gjort allt du kan. Du kan bara göra så mycket du kan baserat på en rimlig bedömning. I förordningen nämns ”lämpliga skyddsåtgärder” och snarlika formuleringar ett par gånger. Som vanligt är våra myndigheter vaga i sina beskrivningar. De pekar normalt aldrig på specifika lösningar eller krav, utan står neutrala. Det kan ju ses rimligt för att inte favorisera lösningar och leverantörer av dessa. Ska vi försöka tolka ”lämpliga skyddsåtgärder” så handlar det om att göra en bedömning om vilken säkerhet som behövs baserat på en riskanalys. Dels behövs så kallad inbyggd säkerhet. Det kan t.ex. vara kryptering, vilket vi berör lite närmare längre ner. Men mer uppenbart är såklart att hålla en generellt god säkerhet i alla delar av sin IT-miljö för att förhindra intrång. Här är det som vanligt framförallt att hålla sina system uppdaterade som gäller, samt säkerställa rätt konfigurering och starka lösenord.

Alla bolag är IT-bolag

Vi brukar säga att de flesta organisationer numera är IT-bolag eftersom man har stora IT-miljöer. Så oavsett bransch finns en potentiellt mycket stor attackyta för den som vill komma åt era personuppgifter. De flesta av våra kunder har flera hundra, eller tusentals, IT-system. Det är inte rimligt att de med olika mer eller mindre manuella kan säkerställa att alla system är säkra mot yttre hot, såsom hackare. Därför blir det viktigt att lägga på ytterligare lagar av säkerhet genom att oberoende analysera hela IT-miljön. Det är här automatiskt och kontinuerliga sårbarhetsanalyser kommer in i bilden. Det är troligen det mest effektiva sättet, både tids- och konstadsmässigt, att ta kontrollen över IT-säkerheten i hela IT-miljön – idag och i framtiden.

Slutligen så ska man notera att incidenter skall rapporteras till Datainspektionen. Det är ju rimligt att anta att historiskt har väldigt många incidenter aldrig offentliggjorts. Här kommer vi troligen få se en ändring. Inte nödvändigtvis p.g.a. incidentrapporteringskravet i sig, utan snarare då de flesta inser att både en incident och ett hemlighållande skulle kunna ge mycket allvarliga påföljder – om det upptäcks i efterhand.

Kryptering

Den nya lagen ställer inte några direkta krav på kryptering men förordningen framhåller flertalet gånger att kryptering och pseudonymisering är en lämplig teknisk åtgärd för att öka säkerheten för personuppgifter. Vid en personuppgiftsincident ska du också framföra om du genomför åtgärder för att säkerställa att obehöriga inte kan ta del av uppgifterna med hjälp av exempelvis kryptering.

Det är därför bra att tänka på följande exempel gällande kryptering:

  • Krypteras personuppgifter alltid vid överföring mellan system. Även mellan två interna system.
  • Krypteras uppgifterna vid vila. Såsom i databasfält, databasfilerna på hårddisken och eventuella backuper.
  • Krypteras loggar som innehåller personuppgifter och andra ställen där personuppgifter kan förekomma.
  • Krypteras backupfiler på loggar, databaser o.s.v. med personuppgifter.

Dryga böter

Vi vet att det börjar bli tjatigt. Men det kommer finnas risk för omfattande böter om du varit ovarsam med personuppgifter, t.ex. om du blir hackad och läcker personuppgifter. Hur lagen kommer tillämpas och hur hårt olika organisationer kommer straffas återstår att se. Det är fullt rimligt att tro att myndigheterna i hela Europa inte kommer se mellan fingrarna längre. För det hade varit direkt motsägelsefullt sett till det enorma arbetet och kostnader som GDPR medför både för myndigheter och organisationer. Man skulle kunna säga att det vore direkt kontraproduktivt att inte stävja slarv. Vi kommer troligen redan 2018 få se exempel på hur lagen tillämpas och organisationer som misslyckats får stå till svars – och det kan bli kostsamt.

Summering:

Gör en riskbedömning av din IT-miljö och bedöm lämpliga åtgärder. Använd sunt förnuft och arbeta från perspektivet att någon kommer försöka hacka er – om de inte redan gjort det.
  • Arbeta med traditionella metoder och håll era system uppdaterade.
  • Se till att konfigurera era system rätt, exponera inte onödiga tjänster och funktioner och byt ut standardlösenord och använd inte svaga lösenord.
  • Kryptera om möjligt all överföring och lagring av personuppgifter.
  • Alla system och rutiner har brister – verifiera säkerheten genom att göra regelbundna sårbarhetsanalyser och penetrationstester.
  • Rapportera incidenter till Datainspektionen för att om möjligt linda påföljder.
  • Arbeta kontinuerligt med säkerheten!

Det kommer mera: NIS

EU:s strategi är tydlig. Man fortsätter genom olika direktiv att mer eller mindre tvinga organisationer för att öka sin IT-säkerhet. Troligen för att andra åtgärder inte räckt till. Direktivet NIS (Network and Information Security) som berör organisationer som bedriver samhällskritisk verksamhet är en lagstiftning som hamnat lite i skymundan p.g.a. GDPR. NIS blir gällande i augusti och ställer krav på IT-säkerhet för t.ex. kommuner, landsting och energibolag.


About the author
Jonas sitter i Holm Securitys advisory board, har jobbat mer än 10 år på FRA och Försvarsmakten. Jonas driver Sveriges största blogg inom IT-säkerhet, kryptera.se.

Jonas Lejon
jonas@triop.se