Konfidensiell informasjon på e-post

Download Report

Transcript Konfidensiell informasjon på e-post 

Konfidensiell informasjon på e-post
Kim Ellertsen, NSR
1
HVA ER NÆRINSLIVETS SIKKERHETSRÅD
(NSR)?
Historikk
• Opprettet i 1977 under navnet Industriens
Sikkerhetsutvalg og skiftet senere navn til
Næringslivets Sikkerhetsråd
•
Var inntil 2004 organisert i Næringslivets
Sikkerhetsorganisasjon, men er nå en selvstendig
forening. NHO som initiativtaker.
•
Medlemsforening. Medlemmer har tilgang til vårt
nettverk og ev. rådgivning i konkrete saker,
kostnadsfrie foredrag og reduserte priser på kurs og
konferanser.
2
Forbygge kriminalitet
Trender
Samfunnsansvar
Kommunikasjon
Best practice
Hva bruker vi e-post til

Kontraktsarkiv – papirbasert, scannet, e-mail, muntlig etc

Offentlig forvaltnings korrespondanse – brev sml mail

Advokatkontor – saksbehandlingssystem

E-mail som bevismiddel i tvister
Utgangspunktet for e-post
og annen elektronisk kommunikasjon
Hva erstatter e-post
 Styrker og svakheter
 Bruksområder


Autensitet
Gjenfinning
 Notoritet
 Krav til sporbarhet og dokumentasjon


Ny krav?
Bruk av Internett
Mørketallsundersøkelsen 2006
E-post
Hjemmeside
e-betaling
Ansatte hjemmefra
Andre tilgang utenfra
Kjøp via internett
WLAN
WAN
Salg via Internett
Instant messageing
IP-telefoni
0
20
40
60
80
100
Tiden det tar før det oppstår vesentlige problemer
grunnet bortfall av IT (% av virksomheter)
40
En dag
I løpet av 1 time
I løpet av 1 dag
I løpet av 2-3 dager
En time
35
30
25
I løpet av 4-7 dager
20
I løpet av 1-4 uker
15
Mer enn 1 måned
Det ville ikke skape større
problemer
10
5
0
Totalt
Hva skjer -> kan skje
Har din virksomhet opplevd følgende de siste 12
månedene?
Datavirusangrep
30,8 %
Innbrudd i eller hærverk mot lokalene
19,7 %
Kopiering av industrielle rettigheter
7,9 %
Oppsigelse pga lovbrudd
7,7 %
6,5 %
Økonomisk kriminalitet
Intern mobbing av ansatte
5,1 %
3,1 %
Misbruk/tap/tyveri av sensitiv informasjon
Innbrudd i datasystemer
1,4 %
0,0
%
5,0 10,0 15,0 20,0 25,0 30,0 35,0
%
%
%
%
%
%
%
8
E-post
Venn eller fiende?
”Business Conduct”
 Email som virksomhetens stemme


Kontroll med form og innhold
Ryddighet i håndtering og
oppbevaring
Informasjon som verdifull ressurs
 Informasjon som årsak til kaos
 Individavhengighet

Formelle krav til lagring
(foredrag fra adv fa. Simonsen)
Påbud om lagring
• Regnskapsloven

•
Bokføringsloven





•

•
Offentlig innsyn § 2 flg
Finansavtaleloven

•
Partsinnsyn § 18 flg
E-mail omfattes av lovens dokumentbegrep jfr § 2 bokstav f)
Offentlighetsloven

•
Regnskapsmessige disposisjoner skal bokføres på en ”fullstendig måte i regnskapssystemet”, jfr§ 4 nr 2
Opplysninger ”skal være dokumentert på en måte som viser deres berettigelse”, jfr § 4 nr 6
Krav til sporbarhet, jfr § 4 nr 7
Krav til oppbevaring ”så lenge det er saklig behov for å kontrollere pliktig regnskapsrapportering.
Oppbevaring skal skje i en form som opprettholder muligheten for å lese materialet”, jfr.§ 4 nr 8
Regnskapsmaterialet må sikres mot ”urettmessig sletting eller tap”, § 4 nr 9
Forvaltningsloven

•
Opplysningsplikten § 7-1
Krever betryggende metode for autentifisering av avtaleinngåelsen jfr § 8 (2)(b)
Arkivloven
Hvitvaskingsloven
•
10
•
Krav til ”forsvarlig” lagring jfr § 6 2
Opplysningene som omfattes angitt i § 8
Lagring – forts.
Forbud mot lagring
• Personopplysningsloven sml markedsføringsloven




•
Helseregisterloven



•
Vilkår for oppbevaring av personopplysninger jfr § 8
Vilkår for oppbevaring av sensitive personopplysninger jfr § 9
Krav til oppbevaringen se §§ 11 flg
Opplysningsplikten i mfl § 15
Behandlingsrettede helseregistre kan føres elektronisk jfr § 6
Vilkår for føring av slik register se lovens kap 2
Krav til oppbevaring, kap 3
IT-sikkerhetsforskriften

Sikkerhetskrav § 5
Overtredelse
• Ansvar
• Sanksjoner (bøter og fengsel)



•
•
11
Personopplysningsloven kap 8
Helseregisterloven kap 6
Markedsføringsloven kap 12
Omdømme
Rettssak
Det nye trusselbildet
•
Adressering
Du har mottatt feilsendt e-post
(Undersøkelse foretatt av NorSIS)
90 %
80 %
80 %
70 %
60 %
50 %
40 %
30 %
19 %
20 %
10 %
1 %
0%
Ja
Nei
Vet ikke
To av ti har mottatt feilsendt e-post
Det er ingen signifikante geografiske forskjeller og det forekommer i like stor grad i privat og offentlig sektor når
det gjelder å motta feilsendt e-post.
Det er i bransjene undervisning (25 prosent), offentlig administrasjon (23 prosent) og tjenesteytende næringer
(23 prosent) at man i størst grad har mottatt feilsendt e-post. Det skjer i minst grad i primærnæringer (5
prosent), transport og kommunikasjon (12 prosent), samt bygg- og anleggsvirksomhet (13 prosent).
Du har mottatt feilsendt e-post
(Undersøkelse foretatt av NorSIS)
30 %
25 %
23 % 23 % 22 %
20 %
20 %
18 % 17 %
13 % 12 %
10 %
5%
0%
Undervisning
Offentlig administrasjon
Tjenesteytende næringer
Helse- og sosialtjenester
Industri etc
Varehandel
Hotell- og restuarantvirksomhet
Bygge- og anleggsvirksomhet
Transport og kommunikasjon
Primærnæringer
Du har selv feilsendt e-post
(Undersøkelse foretatt av NorSIS)
90 %
80 %
80 %
70 %
60 %
50 %
40 %
30 %
20 %
14 %
6 %
10 %
0 %
Ja
Nei
Vet ikke
14 prosent har feilsendt e-post
Å sendt e-post til feil adressat skjer i like stor grad i privat og offentlig sektor og det er ingen signifikante
geografiske forskjeller.
I de ulike bransjene skjer det i størst grad i tjenesteytende næringer og undervisning (hhv. 19 og 18 prosent).
Innenfor primærnæringer, helse- og sosialtjenester og hotell- og restaurant forekommer feilsending av e-post i
minst grad (hhv. 5,10 og 11 prosent).
Du har selv feilsendt e-post
(Undersøkelse foretatt av NorSIS)
20 %
19 %
15 %
18 %
15 %
14 % 14 %
13 % 12 %
11 %
10 %
10 %
5%
5%
0%
Tjenesteytende næringer
Undervisning
Transport og kommunikasjon
Bygge- og anleggsvirksomhet
Industri etc
Offentlig administrasjon
Varehandel
Hotell- og restuarantvirksomhet
Helse- og sosialtjenester
Primærnæringer
Eksempler
Rt-2003-825
Saken gjaldt spørsmål om brudd på
straffeloven §405a. Høyesterett kom
til at bestemmelsen ikke rammet den
som tilfeldig kommer over
bedriftshemmeligheter. Ettersom de
to tiltalte hadde lagt til rette for at epost skulle feilsendes til dem, ble
imidlertid kunnskapen ansett skaffet
til veie på en urimelig måte.
Det nye trusselbildet
•
•
•
•
•
•
Adressering
Egen dokumentasjonskontroll, i forhold til
andres
Manipulasjon av data
Sletting av data
Utro tjenere – Effektivitet
Spam
Det nye trusselbildet
•
•
•
•
•
•
Adressering
Egen dokumentasjonskontroll, i forhold til
andres
Manipulasjon av data
Sletting av data
Utro tjenere – Effektivitet
Spam
Eksempel - SPAM
Dette er den siste vi har sett:
Det nye trusselbildet
•
•
•
•
•
•
Adressering
Egen dokumentasjonskontroll, i forhold til
andres
Manipulasjon av data
Sletting av data
Utro tjenere – Effektivitet
Spam
Kan du stå inne for det
som er skrevet OG
sendt for all ettertid
Hvor er risikoen?
- Gjelder også for e-post
Sikker e-post håndtering?
• Dokumenterte prosedyrer <-> Etterlevelse
• Automatisering <-> Manuelle prosesser
• Lagring
Struktur
 Sikkerhet
 Tidsperspektiv
 Teknologiendringer

Regler for skriving av e-post
1)
2)
3)
4)
5)
6)
7)
8)
Ha en profesjonell tone og vær objektiv
Vær nøyaktig og faktaorientert
Sørg for fullstendighet
Unngå åpne ender
Ikke ta parti mot den du representerer
Ikke skriv nedsettende om andre
Unngå sleivete humor
Tenk som en dommer
Helhetlig sikkerhetstenkning
Helhetlig tenkning
-Fysisk
Alle må
være tilstede
Sikkerhet
-Teknisk
Del avSikkerhet
en helhet
-Adgangskontroll
Branntrekanten
--Brannmurer
Styrken avhenger av
-Soneinndeling
Beskyttelsesverdige
beskyttelsesbehovet
interesser
-Tilgangskontroll
-Innbruddsdeteksjon
(Verdivurdering)
-Antivirus/spyware
-Alarm
Teknisk utstyr
Dokumenter, patenter,
-Oppdateringer
(patch)
-Vakttjenester
post,
e-post,
Strategier - planer
Mennesket – det
personopplysninger
svakeste
ledd iKontanter
Sensitiv
o.s.vinformasjon
sikkerhetskjeden
Børsinfo, regnskap og lignende.
Helhetstenkning – etter verdivurdering
Åpentinformasjon
Åpen
område
Allment kjent
•Juridisk
barriere
informasjon
•Lett eller ingen
adgangskontroll
•”vanlig
e-post”
Begrenset
Begrensetområde
informasjon
•Fysisk
sperre
•Vedlegg
(lukket)
•Kun
ansatte
eller
gjester
med følge
•Godkjente
mottakere
•Adgangskontroll
Sensitivt
Sensitivt område
informasjon
•Fysisk
sperre
Kryptering
•Begrenset
•Sertifikaterantall ansatte
•Streng
adgangskontroll/tilgang
•Ikke vedlegg
hvis ikke dette
er kryptert.
•Avtaler, tekniske beskrivelser,
anbud, strategier,
personinformasjon,
bedriftshemmeligheter
Takk for oppmerksomheten
Spørsmål?