2. LÅT GDPR VARA STARTPUNKTEN FÖR ATT
SKYDDA DINA DIGITALA TILLGÅNGAR
31 januari 2018
3. www.frontit.se
AGENDA
Vår digitala samtid
Möjligheter, hot och risker
Business security
En helhetssyn på säkerhet i den digitala världen
Mentimeter röstning
Hur kan GDPR vara startpunkten för att skydda era digitala tillgångar
Några goda råd på vägen
Hur kan vi nå framgång med GDPR och Business Security
Vad bör man tänka på och hur kan man gå tillväga?
3
8. www.frontit.se
HUR HOTEN HAR UTVECKLATS
8
NYFIKENHET
ORGANISERAD
BROTTSLIGHET
NATIONELLA INTRESSEN
SPIONAGE,
POLITISK AKTIVISM
MOTIV
HÄMND
Nyfikna ungdomar eller hackers som använder offentliga online
verktyg och testar ”steg för steg”-beskrivningar
Insiders, använder företagets information
Organiserad brottslighet, hackers som använder
avancerade verktyg
Konkurrenter, hacktivister
Nationella aktörer, riktade attacker
ANTAL ATTACKER
9. www.frontit.se
NYA UTMANINGAR GER NYA MÖJLIGHETER
9
Medeltalet för att identifiera en incident är dagar och dagar
för att reparera skadan
Attacker utifrån 70% och inifrån 30%
206 69
Källa: IT Governance LTD, Gartner Inc.
15. www.frontit.se
TEKNOLOGI
15
Viktigt att tänka på:
Håll koll på vem som får göra vad i vilka system och få
tillgång till data
Ha ett bra inloggnings- och kontrollsystem
Matcha processer och metoder mot teknik
Säkerhetsscanna programvarorna för hitta kritiska
sårbarheter i tid
Enligt Gartner har ca 80% av alla applikationer kritiska
sårbarheter
16. ”ALLA VETATT VI BORDE TA BUSINESS SECURITY PÅ
ALLVAR, MEN JUST NU HAR VI FULLT UPP MED GDPR”
MEN VI KAN ANVÄNDA GDPR SOM HÄVSTÅNG!
www.frontit.se
20. www.frontit.se
DATASKYDDSFÖRORDNINGEN – GDPR
(GENERAL DATA PROTECTION REGULATION)
20
Kraven skärps kring hur personuppgifter hanteras
Syfte
- harmonisera reglerna i EU:s medlemsstater
- öka integritetsskyddet och stärka
medborgarnas rättigheter
- öka medvetenheten kring skydd av
personuppgifter och IT-relaterade incidenter
- EU vill att vi ska veta hur uppgifter lagras, rör sig
och hanteras
21. www.frontit.se
DETTA FÖRÄNDRAS
21
Krav på att ha kontroll på de personuppgifter ni har
Personuppgiftsansvarig måste kunna visa att förordningen följs
Utpekat dataskyddsombud
Krav på att identifiera en incident med personuppgifter, och rapportera
den inom 72h till Datainspektionen (Integritetsskyddsmyndigheten)
Sanktionsavgifter och civilrättsliga processer
22. 1. 2. 3.
6.5.4.
GDPR är som Milleniumbuggen Ingen kommer att bli bötfälld Det är lugnt så länge inget intrång skett
Alla intrång måste rapporteras
inom 72 timmar
Det är bäst att inte rapportera intrång GDPR är en IT-fråga
VANLIGA MISSFÖRSTÅND OCH MYTER OM GDPR
www.frontit.se
23. www.frontit.se
EXEMPEL, VEM FICK UPPDRAGET ATT DRIVA
GDPR-PROJEKTET?
23
Koncern inom pappersindustrin
Kommun
Förvaltning inom landsting
25. www.frontit.se
FÅ KONTROLL PÅ DE PERSONUPPGIFTER NI HAR
25
Det här är inget man kan lägga över på en IT-leverantör
Bra frågor att ställa till organisationen:
Varför har vi de här uppgifterna?
Hur samlas de in?
Vem har tillgång till dem?
Finns samtyckesavtal?
Har ni gjort en riskbedömning?
Förstudie Exekvering Implementering
26. www.frontit.se
PERSONUPPGIFTSANSVARIG MÅSTE KUNNA
VISA ATT FÖRORDNINGEN FÖLJS
26
Krav på
dokumentation
Bra frågor att ställa till organisationen:
Vem är vår personuppgiftsansvarige?
Har vi tillräcklig dokumentation kring våra processer?
Juridisk person
Förstudie Exekvering Implementering
27. www.frontit.se
DATASKYDDSOMBUD
(DATA PROTECTION OFFICER, DPO)
27
Bra frågor att ställa till organisationen:
Vem är vår DPO?
Vem rapporterar denne till?
Vad innebär rollen för er?
Har ni fungerande rutiner?
Förstudie Exekvering Implementering
28. www.frontit.se
FÅ KONTROLL PÅ DE PERSONUPPGIFTER NI HAR
28
Bra frågor att ställa till organisationen:
Har vi kapacitet att identifiera incidenter kopplade till
personuppgifter?
Har vi rutiner för att skicka in en rapport till inom 72 timmar?
Har vi rutiner för att informera de personer vars uppgifter läckt
ut inom 72 timmar?
Har vi ett tekniskt stöd och processer som gör det möjligt?
Förstudie Exekvering Implementering
29. www.frontit.se
LÅT GDPR VARA STARTPUNKTEN FÖR
ATT SKYDDA ERA DIGITALA TILLGÅNGAR
29
Gör kartläggning och riskanalys med all er känsliga information, inte bara personuppgifter
Implementera det nya sättet att arbeta och gör det till en del av företagets DNA
Se till att ert GDPR-projekt ger er valuta för ert arbete med Business Security
Compliant på pappret, eller att vara säker – välj alltid säkerhet
Förstudie Exekvering Implementering
30. www.frontit.se
FRAMGÅNGSFAKTORER FÖR BUSINESS SECURITY
30
Att ledning och styrelse tar aktivt ansvar
Att ändra attityd kring säkerhetsfrågor – ökad medvetenhet och kunskap
Att börja mäta säkerhet och risk
Att uppdatera tekniska stöd, processer och metoder så att de hänger med i den
digitala utvecklingen, möter upp de nya lagkraven och den framtida hotbilden
Att utbilda ledning, styrelse och personal
31. www.frontit.se31
SE GDPR SOM EN MÖJLIGHET
Människor Processer Teknologi och applikationer
Var data lagras Hur data rör sig Hur data används
32. www.frontit.se
DESSA OMRÅDEN EFTERFRÅGAS AV VÅRA KUNDER
32
Vision och strategi för Business Security
Analyser och rådgivning
Genomförande av program och projekt inom Business
Security och GDPR
Utbildningar för att öka medvetenhet och kunskap
Data Protection Officer/ Dataskyddsombud, roller inom
IT- och informationssäkerhetthomas.warneryd@frontit.se
070- 660 70 52
33. www.frontit.se
TACK!
Vad händer nu?
Frontit skickar presentationen och en
utvärdering av seminariet till alla deltagare.
Intresserad av att veta mer? Kontakta någon av oss på Frontit!
33
Notas del editor
Hur kan PROJEKTKONTORET bli en viktig PARTNER för LEDNINGEN för att MÖTA OMVÄRLDENS trender och förändringstryck?
Vår spaning idag är utifrån ett PROJEKTKONTOR perspektiv – hur OMVÄRLDEN ställer krav på VERKSAMHETENA att vara RELEVANTA med tydliga STRATEGIER och effektivt GENOMFÖRANDE av strategierna.
Projektkontorens stora utmaning är TREÅRS-KRISEN. Enligt forskning/PMI är livslängden för projektkontor ca 3 år. Vanligaste orsaken till att projektkontor avslutas är det OTYDLIGA VÄRDET för LEDNINGEN.
Hur kan PROJEKTKONTORET bli en viktig PARTNER för LEDNINGEN för att MÖTA OMVÄRLDENS trender och förändringstryck?
Vår spaning idag är utifrån ett PROJEKTKONTOR perspektiv – hur OMVÄRLDEN ställer krav på VERKSAMHETENA att vara RELEVANTA med tydliga STRATEGIER och effektivt GENOMFÖRANDE av strategierna.
Projektkontorens stora utmaning är TREÅRS-KRISEN. Enligt forskning/PMI är livslängden för projektkontor ca 3 år. Vanligaste orsaken till att projektkontor avslutas är det OTYDLIGA VÄRDET för LEDNINGEN.
Ta fram era mobiltelefoner.
Lås upp dem.
Lämna över till personen som sitter bredvid dej, som får i uppgift att ta reda på så mycket information den kan under 5 minuter. Klara, färdiga, gå!
Hur kändes det där?
Hitta ett exempel där man utgår ifrån att IT-avdelningarna redan gör mycket bra saker. Behöver kanske göra saker mer strukturerat.
Digitaliseringen medför många nya möjligheter och utvecklingen går rasande fort.
Mycket av den teknologi som används idag är designad för ett decennium sedan, för att svara på krav som var aktuella då. Hotbilden har förändrats – från enkla attacker till avancerade.
Det är också dags att vi uppdaterar vår egen inställning, attityd och medvetenhet kring säkerhetsrisker hemma/på jobbet/i skolan och skapar en god kultur kring cybersäkerhet.
Sometimes frustrated customers ask us why threats have evolved this way and why there are so many types – to which the answer is we need to understand how the attackers motivations have changed over time as well
Of course, to be able to understand whether a given countermeasure will be effective, we also need some way to understand or model the threats themselves.
At Websense we use the “7 stages model”, AKA the 7 stage kill chain, to understand how attacks work.
(we’ve been using this for several years now, adapted from an original model developed by Lockheed Martin following the famous “RSA breach”)
Not every attack uses every stage, but every attack can be modelled this way. (Sometimes a complete 7 stage cycle may represent 1 stage in a bigger attack, e.g. compromising a suppliers system to enable recon on the “true” target)
Det finns tre processer som är viktiga att ha koll på vad gäller sin data:
hur den är lagrad
hur den används
hur den rör sig inom och utanför verksamheten
Business security i en digital värld är ett stort område. Berätta om de olika aspekterna.
Man vill göra rätt, men det blir fel
Insiderhot
Kan bli utnyttjade utan att ens veta om det
Tidsbrist – gena i kurvorna, avvika från rutinerna
Avbrutna affärsprocesser
- Man går inte igenom alla steg i processen, hittar egna vägar att lösa uppgiften
Avvikelser från uppsatta rutiner
Krångliga rutiner som i praktiken är svåra att följa blir en säkerhetsrisk
Hårdvara
- Security by design – bygg in säkerheten från början.
Mjukvara
- Programvarorna i sig – en webbsida, ett ekonomisystem etc.
Sårbarheter utnyttjas för att stjäla, manipulera eller radera
information.
Tidigare köpt säkerhetsteknologier som man lägger på befintliga lösningar.
Det blir ”lager på lager”, blir dyrt och svårt att hålla uppdaterad.
Hur kan PROJEKTKONTORET bli en viktig PARTNER för LEDNINGEN för att MÖTA OMVÄRLDENS trender och förändringstryck?
Vår spaning idag är utifrån ett PROJEKTKONTOR perspektiv – hur OMVÄRLDEN ställer krav på VERKSAMHETENA att vara RELEVANTA med tydliga STRATEGIER och effektivt GENOMFÖRANDE av strategierna.
Projektkontorens stora utmaning är TREÅRS-KRISEN. Enligt forskning/PMI är livslängden för projektkontor ca 3 år. Vanligaste orsaken till att projektkontor avslutas är det OTYDLIGA VÄRDET för LEDNINGEN.
Vi skall vara medvetna om att ett av EU´s främsta syfte med GDPR, är förutom att skydda våra personuppgifter också att öka medvetenheten, kunskapen och förmågan att skydda sig mot avancerade cyberattacker. Detta ger oss fina möjligheter till förbättring och ökad kontroll inom detta område då de flesta säkerhetssystem är designade för de hot som fanns för ett decennium sedan. Idag behöver verksamheter kunna skydda sig mot okända avancerade hot som är designade att stjäla, manipulera och radera data för att tryggt kunna fortsätta att använda traditionella kanaler för kommunikation med kunder och intressenter och därigenom skapa hållbarhet övertid.
Namn
Adress
Personnummer
Telefonnummer
E-postadress
Bilder på person
Video med person
Ljudupptagningar där personen är med
men även digitala loggar, t ex en IP-adress som går att spåra till en fysisk person, en digital identitet och vissa typer av cookies, räknas som personuppgifter. Till det börjar vi få ännu fler typer som t ex fingeravtryck som sparats i en avläsare, ögonscanning och face recognition.
Exemplet med Rulle
Syftet med den nya lagstiftningen är dels att få till en harmonisering mellan EU:s medlemsstater. Dataskyddsdirektivet från 1995 utgjorde visserligen en gemensam grund inom unionen, men som direktiv var det upp till varje land att implementera regelverket och tolka det. Nu är det samma lagtext oavsett vilket EU-land man befinner sig i.
Ökat integritetsskydd. Medborgarnas rättigheter kommer att stärkas. Kraven på att företag och andra organisationer ska informera hur de hanterar uppgifter, vilka uppgifter och varför, de stärks. Det ska också gå att under vissa omständigheter gå att säga nej till att personuppgifterna används. Till exempel blir det lättare att slippa direktreklam.
I det ökade medborgarskyddet ingår också rätten att bli glömd –möjligt för en person att begära att få uppgifter på sökmotorer bortplockad. För det krävs att sökresultatet är oriktigt, irrelevant, eller överflödigt.
Håll koll på vilken information ni har och varförStörst förändring blir det dock för de som hanterar uppgifterna. Det är däremot bra att ha bakhuvudet att många av de krav som dataskyddsförordningen medför redan finns i personuppgiftslagen. Till viss del är GDPR bara en uppdatering och skärpning av PUL. Men några saker är viktiga att ha med sig.
Privacy by default - vilket i korthet betyder att ni måste känna er data, och de system som hanterar informationen. Det är inte heller något som företaget kan lägga över på en it-leverantör. Varje organisation måste själva ställa sig en rad frågor, och hitta svaren i god tid innan 25 maj nästa år. Varför har ni behöver ni precis de här uppgifterna, hur samlas de in och vem har tillgång till dem. Ni bör göra en riskbedömning.
Personuppgiftsansvarig. Dataskyddsförordningen gör gällande att den personuppgiftsansvarige måste visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller som man har ett personuppgiftsbiträde.
Dataskyddsombud. En nyhet är däremot införandet av ett dataskyddsombud. En person som har särskilt ansvar för att se till att reglerna efterföljs och som bevakar dataskyddsfrågor. Det gäller för de som hanterar särskilt känsliga uppgifter. Eller om det innebär en kartläggning av enskilda människors beteende.
(Missbruksregeln försvinner. I Sverige har vi tidigare haft en förenkling av personuppgiftslagen. Har man behandlat personuppgifter i löpande text och enklare listor har den hanteringen kunnat göras med stöd i missbruksregeln. Det har gjort det möjligt att hantera personuppgifter så länge det inte är kränkande för någon. Den regeln försvinner helt och hållet i och med den nya lagen.)
Rapportskyldighet. Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta nu rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själva begått ett misstag. Även de vars uppgifter läckt ut måste informeras inom 72 timmar. Till detta behövs ett adekvat tekniskt stöd för att identifiera och göra rapporten.
Sanktionsavgifter. Om ett företag brister i sin behandling av personuppgifter kan de tvingas betala en så kallad administrativ sanktionsavgift på upp till 20 miljoner euro eller fyra procent av deras globala omsättning. Den bedömningen gör i första hand tillsynsmyndigheten i varje land, för Sveriges del blir det Datainspektionen. Men det kommer också finnas en central dataskyddstyrelse i EU som tar fram riktlinjer och fattar beslut om tolkningar.
Hur sanktionsavgifterna ser ut för myndigheter och den offentliga sektorn är upp till varje medlemsland att avgöra. I Sverige finns ett förslag på att de ska ligga på mellan 10 och 20 miljoner kronor.
Myt 1. GDPR är som milleniumbuggenPå vissa företag hanterar man GDPR på samma hysteriska sätt som man modifierade it-lösningar inför millennieskiftet, alltså som ett enda projekt med ett fast slutdatum. Men förändringarna av GDPR är inte av den arten att de kan genomföras en gång för alla, för att allt sedan ska vara klart. Konsekvenserna av GDPR kommer att leva vidare.hela verksamheten kontinuerligt arbetar med att hantera personuppgifter på ett rätt sätt.
Myt 2. Ingen kommer att bli bötfälldEn del tror att risken att råka ut för stora böter på grund av GDPR är överdriven. Men det är troligt att efterlevnad av GDPR kommer att kontrolleras noggrant, inte minst vad gäller välkända företag. Det är våghalsigt att chansa på att inga böter kommer att delas ut
Myt 3. Det är lugnt så länge inget intrång skettRäkna inte med att slippa bötar bara för att inget intrång skett eller inga data kommit på vift när man har slarvat med att uppfylla GDPR. Böter kan, och kommer troligtvis, att delas ut ändå.
Myt 4. Alla intrång måste rapporteras inom 72 timmarFaktum är att bara intrång eller dataläckage (breaches) som gäller persondata behöver rapporteras. Kraven på rapporteringen varierar beroende på vilken roll ett drabbat företag har haft i hanteringen av data.
Myt 5. Det är bäst att inte rapportera intrångPå vissa håll resonerar man att det är bäst att dölja intrång och dataläckage och därigenom komma undan böter. Men det är en riskabel strategi och dessutom kan man bli bötfälld för att inte ha rapporterat.
Myt 6. GDPR är en IT frågaGDPR är inte enbart en IT fråga, IT är den av verksamheten och GDPR är en verksamhetsfråga som involverar hela företaget där ledning och styrelse har det yttersta ansvaret för att lagar och förordningar följs. Att vara GDPR compliant innebär att man ökar kunskaper och förbättrar processer, metoder och teknologier i syfte att skapa ökad medvetenhet och ökad säkerhet.
Source: CIO, July/August 2017 Digital Magazine
Personuppgiftsansvarig. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller om man har ett personuppgiftsbiträde.
Enligt dataskyddsförordningen måste den som är personuppgiftsansvarig kunna visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation.
Ni kan ha startat på olika ställen och kommit olika långt, av olika anledningar.
Ge några exempel
En kommun – juridiska avdelningen fått det som primär uppgift
SanSac -
(Skånetrafiken) personuppgiftsansvar utanför sin egen organisation
Vem i organisationen har intiterat? Var har uppgiften landat, vem i org har ansvaret? Hur drivs deras arbete?
Punktlista med vad ett GDPR-projekt bör innehålla – varje aktivitet ger en leverabel.
Privacy by default - vilket i korthet betyder att ni måste känna er data, och de system som hanterar informationen. Det är inte heller något som företaget kan lägga över på en it-leverantör. Varje organisation måste själva ställa sig en rad frågor, och hitta svaren i god tid innan 25 maj nästa år. Varför har ni behöver ni precis de här uppgifterna, hur samlas de in och vem har tillgång till dem. Ni bör göra en riskbedömning.
Personuppgiftsansvarig. En personuppgiftsansvarig är en juridisk person, alltså inte en enskild person. Samma sak gäller om man har ett personuppgiftsbiträde.
Enligt dataskyddsförordningen måste den som är personuppgiftsansvarig kunna visa att förordningen följs. Det kommer troligen betyda krav på ökad dokumentation.
Dataskyddsombud. Myndighet eller ett företag som hanterar stora mängder personuppgifter eller känsliga uppgifter måste också ha ett dataskyddsombud.
Det är en person som har särskilt ansvar för att se till att reglerna efterföljs och som bevakar dataskyddsfrågor.
Rapportskyldighet. Om det inträffar något som riskerar att personuppgifter hamnar i orätta händer måste detta nu rapporteras till Datainspektionen. Det kan gälla både dataintrång eller att man själva begått ett misstag. Även de vars uppgifter läckt ut måste informeras inom 72 timmar. Till detta behövs ett adekvat tekniskt stöd för att identifiera och göra rapporten.
Vad ska rapporten innehålla?
Vilken typ av incident det är fråga om
Vilka kategorier av personer som kan komma att beröras
Hur många personer det berör
Vilka konsekvenser incidenten kan få
Vilka åtgärder man vidtagit för att motverka ev. negativa konsekvenser