Brudd 1: Data til feil mottakere fordi feil mottaker flettes inn i utg?ende e-post
Beskrivelse av brudd:
Slike brudd kan ber?re mange personer, siden e-post ofte brukes n?r det skal sendes til mange mottakere. Feilen oppst?r typisk i en manuell prosess, hvor en medarbeider ved en feil legger til uriktig mottaker. Dette inneb?rer en risiko for at innholdet og mottakeren ikke passer sammen, og at e-posten/brevet derfor blir sendt til en feil mottaker. Det kan resultere i uautorisert videreformidling av personopplysninger, noe som er et brudd p? innformasjonsikkerheten.
Tiltak:
Minimer innholdet i brevet til det n?dvendige, for eksempel ved ikke ? angi private adresser hvis brevet sendes elektronisk. P? den m?ten kan man i noen tilfeller redusere konsekvensene dersom uhellet f?rst skjer. S?rg for ? ha retningslinjer for intern og ekstern kommunikasjon, inkludert at medarbeidere skal utvise forsiktighet for ? sikre at e-poster, brev osv. ikke sendes til feil mottakere. Innf?r en teknisk forsinkelse p? levering av e-poster. P? den m?ten kan medarbeideren avbryte leveringen hvis vedkommende oppdager en feil eller trykker p? ’Send’ for tidlig.
Brudd 2: Beskyttet adresse blir feilaktig eksponert etter endring i IT-systemet
Beskrivelse av brudd:
Datatilsynet ser jevnlig brudd p? personopplysningsikkerheten som oppst?r fordi organisasjonen ikke har prosedyrer og regler som sikrer oppmerksomhet om hvor personopplysningene er hentet fra, hva form?let med deres registrering er, eller begrensninger i hvordan opplysningene kan brukes. Det ber?rer spesielt beskyttede adresser og bosteder, som risikerer ? bli utlevert (det vil si avsl?rt) for den personen som er ?rsaken til at det er valgt adressebeskyttelse.
Tiltak:
S?rg for ? ha styring av endringer i IT-systemer, da det kan redusere sannsynligheten for denne typen feil.
Brudd 3: Feil utlevering av data ved saksbehandling
Beskrivelse av brudd:
Slike brudd skjer blant annet n?r behandlingsansvarlig og databehandlere utleverer eller publiserer dokumenter som inneholder opplysninger som ikke skulle v?rt inkludert. Det kan v?re fordi dokumentene er lagret p? feil sted i et IT-system (for eksempel journalf?rt p? en feil sak) og dermed blir utlevert i forbindelse med foresp?rsler om innsyn, tilgang eller lignende.
Det kan ogs? skje ved at et dokument ikke blir tilstrekkelig pseudonymisert (bestemte personopplysninger blir ikke fjernet/slettet), f?r dokumentet blir offentliggjort p? internett eller utlevert i forbindelse med for eksempel foresp?rsler om innsyn eller tilgang.
Feil utlevering av personopplysninger kan ogs? skje ved at ansatte sender e-post til feil mottakere, eller at e-post til rett mottaker inneholder feil personopplysninger.
Tiltak:
S?rg for ? ha retningslinjer for intern og ekstern kommunikasjon, som blant annet understreker at ansatte skal v?re forsiktige for ? sikre at de ikke sender e-post osv. til feil mottakere, og at de ikke sender feil dokumenter. S?rg for ? ha retningslinjer for behandling av foresp?rsler om innsyn og offentliggj?ring av opplysninger p? internett. Retningslinjene skal blant annet inneholde en anvisning om at ansatte skal gjennomg? materialet manuelt med fokus p? ? slette/fjerne personopplysninger, f?r materialet publiseres eller utleveres. Ha prosedyrer for at andre i visse tilfeller sjekker materialet f?r det sendes eller publiseres. Ha retningslinjer for at feilregistrering av opplysninger i systemer osv. skal rettes s? snart de oppdages, for ? unng? at feilen senere f?rer til brudd p? persondatasikkerheten. Klassifiser dokumenter for ? markere de dokumentene som ikke uten videre kan sendes ut av organisasjonen.
Brudd 4: Manglende sletting av personopplysninger ved bruk av digitale verkt?y
Beskrivelse av brudd:
Hvis ansatte mangler kjennskap til IT-verkt?y, eller at data kan v?re skjult, kan det resultere i brudd. I s? fall kan ansatte bruke verkt?y (i tekstbehandlingsprogrammer som for eksempel Word og Adobe Acrobat) til ? fjerne opplysninger fra dokumenter i den tro at personopplysningene er effektivt fjernet, men hvor opplysningene bare er gjort ikke umiddelbart synlige - for eksempel ved at teksten dekkes av en "boks", eller ved at teksten endres til hvit.
Brudd kan ogs? oppst? n?r personopplysninger er skjult i metadata, uten at ansatte er klar over det. Metadata er andre opplysninger enn selve innholdet i et dokument. I et tekstdokument kan det for eksempel v?re opplysninger om hvem som sist lagret filen, titler p? brevmaler eller tidligere versjoner av teksten.
Manglende forst?else for et verkt?y kan ogs? bety at personopplysninger videreformidles som metadata. Det kan v?re metadata i et skjult regneark som brukes til ? lage en graf i en presentasjon, men fordi regnearket er en del av presentasjonsfilen, kan personopplysninger i regnearket tilgjengeliggj?res for alle som f?r tilgang til presentasjonen.
Tiltak:
S?rg for at ansatte kjenner til de verkt?yene de bruker til ? behandle personopplysninger. Bruk verkt?y som kan sikre at data blir effektivt slettet. Ha retningslinjer for hvilke verkt?y ansatte kan bruke og prosedyrer for hvordan ansatte kan slette effektivt n?r de bruker verkt?yet.
Brudd 5: Auto-fullf?r f?rer til at e-poster blir sendt til feil mottakere
Beskrivelse av brudd:
I mange e-postprogrammer er standardinnstillingen at funksjonen "auto-fullf?r" er sl?tt p?. Funksjonen fungerer ved at e-postprogrammer lagrer navn og e-postadresser p? mottakere som en bruker tidligere har sendt mail til. P? bakgrunn av disse lagrede opplysningene foresl?s det mottakere n?r brukeren begynner ? skrive i et av mottakerfeltene.
Det er ofte tidsbesparende ? bruke denne funksjonen, og den kan ogs? bidra til at e-poster blir sendt til rett mottaker. I noen tilfeller skjer det imidlertid at man velger en feil mottaker, ett resultat av det er at e-posten blir sendt til uvedkommende. Hvis e-posten inneholder personopplysninger, vil det ha skjedd et brudd p? personopplysningssikkerheten.
Tiltak:
Ha retningslinjer for intern og ekstern kommunikasjon, inkludert at ansatte skal v?re forsiktige for ? sikre at de ikke sender e-poster til feil mottakere. Sikre jevnlig (automatisk) sletting av lagrede e-postadresser som nylig ikke har v?rt brukt. Innf?r teknisk forsinkelse p? levering av e-poster. P? den m?ten kan de ansatte avbryte forsendelsen hvis de merker en feil eller trykker p? "send"-knappen for tidlig. Sett opp en automatisk advarsel i e-postsystemet om at en e-post for eksempel er i ferd med ? sendes 1) til en annen mottaker enn parten i saken, 2) ut av organisasjonen/myndigheten eller 3) ut av avsenders enhet/avdeling.
Brudd 6: Mistet/tyveri av b?rbare enheter
Beskrivelse av brudd:
USB-pinner, b?rbare datamaskiner, mobiltelefoner, nettbrett og eksterne harddisker som inneholder ikke-krypterte personopplysninger, kan g? tapt som f?lge av for eksempel tap eller tyveri. Dette kan skje under transport, postforsendelse, bruk utenfor kontoret, inkludert p? reise, eller ved at de blir stj?let fra biler, private hjem mv. I slike tilfeller kan uvedkommende f? tilgang til personopplysningene, og det vil derfor v?re et brudd p? personopplysningssikkerheten.
Tiltak:
S?rg for ? kryptere enhetene. Kryptering er vanligvis en lett tilgjengelig teknisk st?tte, siden alle vanlige operativsystemer kan settes opp til ? kryptere harddisker og lagringsmedier. Innf?r prosedyrer som sikrer at alle organisasjonens enheter administreres likt og dermed for eksempel alltid krypteres og beskyttes av passord. Dette kan supplementeres med en regelmessig manuell eller automatisert kontroll av at beskyttelsen fremdeles er aktiv.
S?rg for ? beskytte de kryptografiske n?klene du bruker. Kryptografiske n?kler er ikke det samme som passord. Kryptografiske n?kkelfunksjoner er ? kryptere og dekryptere data, mens passord typisk m? skrives inn for ? "?pne for" bruk av kryptografiske n?kler. Uten tilstrekkelig beskyttelse av de kryptografiske n?klene, har de ingen verdi. Hvis n?klene kan f?s tilgang til av uvedkommende, vil krypteringen ikke lenger i seg selv v?re en beskyttelse mot at uvedkommende kan lese de krypterte dataene. Etabler teknisk oppsett der ansatte som standard ikke kan lagre dokumenter, filer osv. med personopplysninger lokalt p? b?rbare datamaskiner, mobiltelefoner eller nettbrett. Dette kan v?re et alternativ til kryptering. V?r imidlertid oppmerksom p? at hvis du ikke kan sikre fullstendig mot lokal lagring av personopplysninger, er kryptering det beste utgangspunktet - spesielt siden kryptering ofte er enkelt ? bruke. For ? hindre brukeren i ? lagre dokumenter lokalt kan v?re et supplement til kryptering. Det har den ekstra fordelen at det kan tvinge brukerne til ? lagre dokumenter et sted hvor det blir tatt sikkerhetskopi av dem. Hvis du bruker medier som ikke kan krypteres, for eksempel minnekort i et kamera, m? du s?rge for at mediet er fysisk beskyttet - det vil si oppbevares sikkert. Fysisk sikring kan for eksempel best? i sikringsskap, d?rl?ser, n?kkeladministrasjon, alarmer og overv?kning med kameraer. Du m? ogs? lage en prosedyre som sikrer at data fra minnekortet blir raskt overf?rt til et internt IT-system, hvoretter kortet formateres eller om mulig slettes / overskrives.
Brudd 7: For bred tilgang i systemer
Beskrivelse av brudd:
Informasjon lagres p? feil sted, der det ikke er tilstrekkelig tilgangsbegrensning. En ansatt oppretter en mappe uten tilstrekkelig forst?else for hvordan tilgangsbegrensning etableres og administreres p? en korrekt m?te. Det endres i et IT-system, uten at den eksisterende tilgangsbegrensningen f?lges videre. Tilgangsrettigheter oppdateres ikke, noe som f?rer til at ansatte som ikke lenger trenger tilgang, ikke f?r fjernet sin tilgang.
Tiltak:
Opprett retningslinjer for styring av tilgangsrettigheter for ? sikre at ansatte bare har tilgang til personopplysninger som de har behov for i forbindelse med jobben.
Brudd 8: Uautorisert tilgang til personopplysninger
Beskrivelse av brudd:
Feil ved utvikling eller oppdatering av programvare og manglende p?f?lgende tester kan f?re til brudd p? personopplysningsikkerheten i form av uautorisert tilgang til personopplysninger. Dette kan for eksempel skje n?r rettighetsstyringen blir ?delagt eller forsvinner helt i forbindelse med endring i et IT-system.
Tester kan for eksempel v?re s?rbarhetstester for ? finne s?rbarheter som kan utnyttes av personer med onde hensikter, men det kan ogs? v?re tester for feil som gir vanlige brukere (uten onde hensikter) uautorisert tilgang til personopplysninger. Det kan ogs? v?re en test av om systemet i det hele tatt fortsatt fungerer som forventet, inkludert at rettighetsstyringen fortsatt fungerer som forventet. Det kan spesielt v?re grunn til ? v?re oppmerksom ved nyanskaffelser, st?rre systemendringer eller hvis risikobildet endrer seg vesentlig.
Tiltak:
Fokuser p? om alle risikoer ved endringer i ditt IT-milj? er dekket. Still krav om tilstrekkelige ferdigheter hos utviklerne. Kravene kan eventuelt sikres oppfylt via en databehandleravtale eller en IT-kontrakt, hvis utviklingen skjer hos en annen part / programvareleverand?r. Still krav om at det er innebygd sikkerhet i IT-systemet. Still krav om en kodegjennomgang, der programkoden gjennomg?s av noen andre enn programmereren for ? finne feil. Dette kan du eventuelt sikre via en databehandleravtale eller en IT-kontrakt. Still krav til testing av sannsynlige feilscenarier og s?rbarheter, eventuelt via en databehandleravtale eller IT-kontrakt. Eksempler p? relevante tester: S?rbarhetstest (en test som identifiserer eksisterende s?rbarheter). Pennetrasjonstest (en test som pr?ver ? utnytte s?rbarheter i et IT-system). Test av omkj?ring av p?logging (for eksempel problemer som "brute force"-angrep). Test av om tilgangsrettigheter er begrenset som forventet. Test av om det blir logget som forventet. Andre tester med fokus p? funksjonalitet som ikke har v?rt planlagt og som kan misbrukes.
Brudd 9: Videreformidling av data lagret i mal og skjemal?sninger
Beskrivelse av brudd:
En mal, skjema eller lignende (for eksempel en Word-fil) kan v?re designet slik at en bruker kan legge inn personopplysninger i malen, hvoretter den neste brukeren som ?pner malen, kan se disse opplysningene. Siden den neste brukeren (som er uvedkommende) f?r tilgang til personopplysningene, vil det v?re et brudd p? personopplysningssikkerheten.
Tiltak:
Begrens rettighetene til stedet der malen er lagret. Hvis bare noen f? ansatte har redigeringsrettigheter til dokumentene i mappen, reduseres sannsynligheten for at personopplysninger feilaktig lagres i malen. Dermed vil opplysningene ikke vises n?r den neste brukeren ?pner malen. S?rg for at filen som utgj?r malen, er skrivebeskyttet. P? denne m?ten kan endringer bare lagres ved ? endre navn p? dokumentet eller ved ? lagre det p? et nytt sted. Dette kan fungere som et ekstra sikringstiltak som gir brukeren mulighet til ? tenke seg om en ekstra gang. Behandle sikkerhet i design og tester, hvis det er snakk om en mal i form av et online skjema.
Brudd 10: Ondsinnet programvare (ransomware) f?rer til tap og misbruk av data
Beskrivelse av brudd:
De siste ?rene har flere bedrifter og myndigheter blitt rammet av ransomware. Dette er et ondsinnede angrep hvor hackere utnytter sikkerhetssvakheter i IT-systemer, eller lurer ansatte gjennom phishing eller annen form for "sosial manipulering" for ? f? tilgang til data p? IT-systemene. Deretter krypterer de dataene og krever l?sepenger for ? dekryptere dem. Ofte skjer dette f?rst etter at dataene er tatt ut av IT-systemene, og hvis l?sepengene ikke betales, kan hackerne i stedet presse ved ? true med ? offentliggj?re dataene.
Det er ogs? flere eksempler p? at data selges videre av hackerne og deretter brukes til svindel og identitetsmisbruk til skade for de ber?rte personene, eller at personene som informasjonen er stj?let fra, selv blir utsatt for utpressing.
Tiltak:
Grunnleggende sikkerhetstiltak som sikkerhetskopiering, flerfaktorautentisering, brannmur, antivirus, programvareoppdatering, segmentering av nettverk, etc., er tekniske tiltak som beskytter mot mange trusler, inkludert ransomware. Bevisstgj?ring: Ansatte er ofte det f?rste "laget" i sikkerheten som hackerne g?r gjennom. Derfor er de ansattes evne til ? oppdage begynnelsen p? et ondsinnet angrep en viktig beskyttelsestiltak.