Slik får din virksomhet bedre informasjons-sikkerhet
Oktober er nasjonal sikkerhetsmåned, og i den anledning ønsker vi å dele noen tips for hvordan din virksomhet kan verne om informasjonssikkerheten til personopplysningene dere behandler.
Mange ledere og ansatte tenker at de ikke er et attraktivt mål for nettkriminelle, men en slik tankegang er naiv for alle har opplysninger som kan være attraktivt for noen. Cyberangrep kan innebære store konsekvenser for personvernet til dine ansatte, kunder og andre.
Norsk Senter for informasjonssikring (NorSIS) har laget en enkel gjennomgang av de vanligste digitale truslene som vil kunne ramme mange norske virksomheter. NorSIS skriver i «Trusler og trender 2021» blant annet at «løsepengevirus og andre digitale trusler er i høyeste grad alvor og mer aktuelt enn noensinne for alle norske kommuner og små og mellomstore bedrifter.»
Det er derfor viktig at din virksomhet har et bevisst forhold til hvilke grep som må gjøres for å etablere en nødvendig informasjonssikkerhet for personopplysningene din virksomhet behandler.
Krav om tilstrekkelig informasjonssikkerhet
Informasjonssikkerhet handler om å håndtere risikoen for at personopplysninger blir ivaretatt på en tilfredsstillende måte, og sikre opplysningenes konfidensialitet, integritet og tilgjengelighet. I dette ligger et krav om at virksomheten må sørge for at uvedkommende ikke får tilgang til personopplysningene, at virksomhetene sørger for at uvedkommende ikke får endret på opplysningene og de er tilgjengelig når virksomheten trenger dem.
Ledere må ha et bevisst forhold til informasjonssikkerhet
Norge ligger langt framme når det gjelder informasjonssikkerhet, men vår erfaring er at det sviktes mye på dette feltet i mange norske virksomheter.
Det er viktig at ledere har et bevisst forhold til informasjonssikkerhet. En forutsetning for å lykkes er at det gjøres en god risikoanalyse. Sticos har bistått mange virksomheter med slike risikovurderinger. På informasjonssikkerhetsområdet ser vi særlig tre tilfeller som går igjen; manglende tilgangskontroll, virksomheter som ikke sender personopplysninger på en sikker måte og at mange arbeidstakere har manglende bevissthet om bruk av sikkert passord.
Behov for å vite mer om personvern, risikoanalyse og GDPR? Les her om vår spesialtilpassede GDPR-workshop Serious Game
Krav om kryptering for visse typer personopplysninger
Krav til tilfredsstillende informasjonssikkerhet medfører at det er nødvendig med sterk autentisering når en person har tilgang til et informasjonssystem med sensitive personopplysninger og/eller personopplysninger om mange over eksterne nett. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord, vil det være mulig å logge seg på informasjonssystemet.
Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord. Eksempelvis bør virksomheter bruke fjernarbeidsløsning med sterk autentisering.
Personopplysninger på e-post
E-post er i utgangspunktet ikke kryptert, slik at uvedkommende kan lese innholdet og få tilgang til personopplysninger. I tillegg er det en nærliggende risiko for at e-poster feilsendes, slik at personopplysninger kommer på avveie.
GDPR oppstiller ikke et generelt forbud mot å sende personopplysninger per e-post, men det kreves tilstrekkelig informasjonssikkerhet. Dette innebærer at visse opplysninger må krypteres hvis de sendes på e-post, slik som særlige kategorier av personopplysninger (sensitive personopplysninger) og fødselsnummer.
Når det gjelder å sende personopplysninger på e-post, er det særlig et praktisk tilfelle man bør være oppmerksom på. Når man sender en e-post der flere e-postmottakere er synlig i mottaker- eller kopifeltet innebærer er dette en utlevering av personopplysninger. Vi anbefaler derfor at blindkopi benyttes i de tilfellene der det ikke er nødvendig at mottakeren ser hvem de andre mottakerne er.
For å minimere risikoen for datainnbrudd og medfølgende overtredelser av GDPR-regelverket bør arbeidsgivere oppfordre arbeidstakere om ikke å benytte e-post til privat bruk.
Tips til sikkert passord
Mange norske arbeidstakere bruker passord som er lett å gjette og som gjør virksomhetene sårbare for datainnbrudd.
Nettstedet «Howsecureismypassword» gir deg en antydning på hvor sikkert passordet ditt er. Ifølge nettstedet tar det tusen år for en datamaskin å avsløre passordet «jeglikerfotball». Passordet «rosenborg» tar det derimot bare to minutter å avsløre.
Her er noen tips for et sikkert passord:
Bruk hele setninger som passord fremfor ord og tall.
Ikke bruk navn på familiemedlemmer eller husdyr.
Gjerne benytt spesialtegn i passordet.
Skift passord hvert kvartal.
Ikke bruk det samme passordet overalt.
Tilgangskontroll
Et viktig ledd i informasjonssikkerheten er at det kun er medarbeidere i virksomheten som har et tjenstlig behov for personopplysningene som skal ha tilgang til disse. Det betyr at medarbeidere som ikke har en saklig grunn til å se opplysningene, heller ikke skal ha tilgang.
Flere virksomheter har roligere dager på grunn av korona. Jeg anbefaler at ledere bruker denne tiden til å gå gjennom tilganger i systemer, samt sette i verk tiltak for å sikre informasjonssikkerhet i virksomheten, slik som å gå til anskaffelse av tekniske løsninger som støtter dette. Sist, men ikke minst bør ledere ha søkelys på å utarbeide rutiner for informasjonssikkerhet og gi informasjon og opplæring om datasikkerhet til ansatte.