Brudd 1: Data til feil mottakere fordi feil mottaker flettes inn i utgående e-post
Beskrivelse av brudd:
Slike brudd kan berøre mange personer, siden e-post ofte brukes når det skal sendes til mange mottakere. Feilen oppstår typisk i en manuell prosess, hvor en medarbeider ved en feil legger til uriktig mottaker. Dette innebærer en risiko for at innholdet og mottakeren ikke passer sammen, og at e-posten/brevet derfor blir sendt til en feil mottaker. Det kan resultere i uautorisert videreformidling av personopplysninger, noe som er et brudd på innformasjonsikkerheten.
Tiltak:
Minimer innholdet i brevet til det nødvendige, for eksempel ved ikke å angi private adresser hvis brevet sendes elektronisk. På den måten kan man i noen tilfeller redusere konsekvensene dersom uhellet først skjer. Sørg for å ha retningslinjer for intern og ekstern kommunikasjon, inkludert at medarbeidere skal utvise forsiktighet for å sikre at e-poster, brev osv. ikke sendes til feil mottakere. Innfør en teknisk forsinkelse på levering av e-poster. På den måten kan medarbeideren avbryte leveringen hvis vedkommende oppdager en feil eller trykker på ’Send’ for tidlig.
Brudd 2: Beskyttet adresse blir feilaktig eksponert etter endring i IT-systemet
Beskrivelse av brudd:
Datatilsynet ser jevnlig brudd på personopplysningsikkerheten som oppstår fordi organisasjonen ikke har prosedyrer og regler som sikrer oppmerksomhet om hvor personopplysningene er hentet fra, hva formålet med deres registrering er, eller begrensninger i hvordan opplysningene kan brukes. Det berører spesielt beskyttede adresser og bosteder, som risikerer å bli utlevert (det vil si avslørt) for den personen som er årsaken til at det er valgt adressebeskyttelse.
Tiltak:
Sørg for å ha styring av endringer i IT-systemer, da det kan redusere sannsynligheten for denne typen feil.
Brudd 3: Feil utlevering av data ved saksbehandling
Beskrivelse av brudd:
Slike brudd skjer blant annet når behandlingsansvarlig og databehandlere utleverer eller publiserer dokumenter som inneholder opplysninger som ikke skulle vært inkludert. Det kan være fordi dokumentene er lagret på feil sted i et IT-system (for eksempel journalført på en feil sak) og dermed blir utlevert i forbindelse med forespørsler om innsyn, tilgang eller lignende.
Det kan også skje ved at et dokument ikke blir tilstrekkelig pseudonymisert (bestemte personopplysninger blir ikke fjernet/slettet), før dokumentet blir offentliggjort på internett eller utlevert i forbindelse med for eksempel forespørsler om innsyn eller tilgang.
Feil utlevering av personopplysninger kan også skje ved at ansatte sender e-post til feil mottakere, eller at e-post til rett mottaker inneholder feil personopplysninger.
Tiltak:
Sørg for å ha retningslinjer for intern og ekstern kommunikasjon, som blant annet understreker at ansatte skal være forsiktige for å sikre at de ikke sender e-post osv. til feil mottakere, og at de ikke sender feil dokumenter. Sørg for å ha retningslinjer for behandling av forespørsler om innsyn og offentliggjøring av opplysninger på internett. Retningslinjene skal blant annet inneholde en anvisning om at ansatte skal gjennomgå materialet manuelt med fokus på å slette/fjerne personopplysninger, før materialet publiseres eller utleveres. Ha prosedyrer for at andre i visse tilfeller sjekker materialet før det sendes eller publiseres. Ha retningslinjer for at feilregistrering av opplysninger i systemer osv. skal rettes så snart de oppdages, for å unngå at feilen senere fører til brudd på persondatasikkerheten. Klassifiser dokumenter for å markere de dokumentene som ikke uten videre kan sendes ut av organisasjonen.
Brudd 4: Manglende sletting av personopplysninger ved bruk av digitale verktøy
Beskrivelse av brudd:
Hvis ansatte mangler kjennskap til IT-verktøy, eller at data kan være skjult, kan det resultere i brudd. I så fall kan ansatte bruke verktøy (i tekstbehandlingsprogrammer som for eksempel Word og Adobe Acrobat) til å fjerne opplysninger fra dokumenter i den tro at personopplysningene er effektivt fjernet, men hvor opplysningene bare er gjort ikke umiddelbart synlige - for eksempel ved at teksten dekkes av en "boks", eller ved at teksten endres til hvit.
Brudd kan også oppstå når personopplysninger er skjult i metadata, uten at ansatte er klar over det. Metadata er andre opplysninger enn selve innholdet i et dokument. I et tekstdokument kan det for eksempel være opplysninger om hvem som sist lagret filen, titler på brevmaler eller tidligere versjoner av teksten.
Manglende forståelse for et verktøy kan også bety at personopplysninger videreformidles som metadata. Det kan være metadata i et skjult regneark som brukes til å lage en graf i en presentasjon, men fordi regnearket er en del av presentasjonsfilen, kan personopplysninger i regnearket tilgjengeliggjøres for alle som får tilgang til presentasjonen.
Tiltak:
Sørg for at ansatte kjenner til de verktøyene de bruker til å behandle personopplysninger. Bruk verktøy som kan sikre at data blir effektivt slettet. Ha retningslinjer for hvilke verktøy ansatte kan bruke og prosedyrer for hvordan ansatte kan slette effektivt når de bruker verktøyet.
Brudd 5: Auto-fullfør fører til at e-poster blir sendt til feil mottakere
Beskrivelse av brudd:
I mange e-postprogrammer er standardinnstillingen at funksjonen "auto-fullfør" er slått på. Funksjonen fungerer ved at e-postprogrammer lagrer navn og e-postadresser på mottakere som en bruker tidligere har sendt mail til. På bakgrunn av disse lagrede opplysningene foreslås det mottakere når brukeren begynner å skrive i et av mottakerfeltene.
Det er ofte tidsbesparende å bruke denne funksjonen, og den kan også bidra til at e-poster blir sendt til rett mottaker. I noen tilfeller skjer det imidlertid at man velger en feil mottaker, ett resultat av det er at e-posten blir sendt til uvedkommende. Hvis e-posten inneholder personopplysninger, vil det ha skjedd et brudd på personopplysningssikkerheten.
Tiltak:
Ha retningslinjer for intern og ekstern kommunikasjon, inkludert at ansatte skal være forsiktige for å sikre at de ikke sender e-poster til feil mottakere. Sikre jevnlig (automatisk) sletting av lagrede e-postadresser som nylig ikke har vært brukt. Innfør teknisk forsinkelse på levering av e-poster. På den måten kan de ansatte avbryte forsendelsen hvis de merker en feil eller trykker på "send"-knappen for tidlig. Sett opp en automatisk advarsel i e-postsystemet om at en e-post for eksempel er i ferd med å sendes 1) til en annen mottaker enn parten i saken, 2) ut av organisasjonen/myndigheten eller 3) ut av avsenders enhet/avdeling.
Brudd 6: Mistet/tyveri av bærbare enheter
Beskrivelse av brudd:
USB-pinner, bærbare datamaskiner, mobiltelefoner, nettbrett og eksterne harddisker som inneholder ikke-krypterte personopplysninger, kan gå tapt som følge av for eksempel tap eller tyveri. Dette kan skje under transport, postforsendelse, bruk utenfor kontoret, inkludert på reise, eller ved at de blir stjålet fra biler, private hjem mv. I slike tilfeller kan uvedkommende få tilgang til personopplysningene, og det vil derfor være et brudd på personopplysningssikkerheten.
Tiltak:
Sørg for å kryptere enhetene. Kryptering er vanligvis en lett tilgjengelig teknisk støtte, siden alle vanlige operativsystemer kan settes opp til å kryptere harddisker og lagringsmedier. Innfør prosedyrer som sikrer at alle organisasjonens enheter administreres likt og dermed for eksempel alltid krypteres og beskyttes av passord. Dette kan supplementeres med en regelmessig manuell eller automatisert kontroll av at beskyttelsen fremdeles er aktiv.
Sørg for å beskytte de kryptografiske nøklene du bruker. Kryptografiske nøkler er ikke det samme som passord. Kryptografiske nøkkelfunksjoner er å kryptere og dekryptere data, mens passord typisk må skrives inn for å "åpne for" bruk av kryptografiske nøkler. Uten tilstrekkelig beskyttelse av de kryptografiske nøklene, har de ingen verdi. Hvis nøklene kan fås tilgang til av uvedkommende, vil krypteringen ikke lenger i seg selv være en beskyttelse mot at uvedkommende kan lese de krypterte dataene. Etabler teknisk oppsett der ansatte som standard ikke kan lagre dokumenter, filer osv. med personopplysninger lokalt på bærbare datamaskiner, mobiltelefoner eller nettbrett. Dette kan være et alternativ til kryptering. Vær imidlertid oppmerksom på at hvis du ikke kan sikre fullstendig mot lokal lagring av personopplysninger, er kryptering det beste utgangspunktet - spesielt siden kryptering ofte er enkelt å bruke. For å hindre brukeren i å lagre dokumenter lokalt kan være et supplement til kryptering. Det har den ekstra fordelen at det kan tvinge brukerne til å lagre dokumenter et sted hvor det blir tatt sikkerhetskopi av dem. Hvis du bruker medier som ikke kan krypteres, for eksempel minnekort i et kamera, må du sørge for at mediet er fysisk beskyttet - det vil si oppbevares sikkert. Fysisk sikring kan for eksempel bestå i sikringsskap, dørlåser, nøkkeladministrasjon, alarmer og overvåkning med kameraer. Du må også lage en prosedyre som sikrer at data fra minnekortet blir raskt overført til et internt IT-system, hvoretter kortet formateres eller om mulig slettes / overskrives.
Brudd 7: For bred tilgang i systemer
Beskrivelse av brudd:
Informasjon lagres på feil sted, der det ikke er tilstrekkelig tilgangsbegrensning. En ansatt oppretter en mappe uten tilstrekkelig forståelse for hvordan tilgangsbegrensning etableres og administreres på en korrekt måte. Det endres i et IT-system, uten at den eksisterende tilgangsbegrensningen følges videre. Tilgangsrettigheter oppdateres ikke, noe som fører til at ansatte som ikke lenger trenger tilgang, ikke får fjernet sin tilgang.
Tiltak:
Opprett retningslinjer for styring av tilgangsrettigheter for å sikre at ansatte bare har tilgang til personopplysninger som de har behov for i forbindelse med jobben.
Brudd 8: Uautorisert tilgang til personopplysninger
Beskrivelse av brudd:
Feil ved utvikling eller oppdatering av programvare og manglende påfølgende tester kan føre til brudd på personopplysningsikkerheten i form av uautorisert tilgang til personopplysninger. Dette kan for eksempel skje når rettighetsstyringen blir ødelagt eller forsvinner helt i forbindelse med endring i et IT-system.
Tester kan for eksempel være sårbarhetstester for å finne sårbarheter som kan utnyttes av personer med onde hensikter, men det kan også være tester for feil som gir vanlige brukere (uten onde hensikter) uautorisert tilgang til personopplysninger. Det kan også være en test av om systemet i det hele tatt fortsatt fungerer som forventet, inkludert at rettighetsstyringen fortsatt fungerer som forventet. Det kan spesielt være grunn til å være oppmerksom ved nyanskaffelser, større systemendringer eller hvis risikobildet endrer seg vesentlig.
Tiltak:
Fokuser på om alle risikoer ved endringer i ditt IT-miljø er dekket. Still krav om tilstrekkelige ferdigheter hos utviklerne. Kravene kan eventuelt sikres oppfylt via en databehandleravtale eller en IT-kontrakt, hvis utviklingen skjer hos en annen part / programvareleverandør. Still krav om at det er innebygd sikkerhet i IT-systemet. Still krav om en kodegjennomgang, der programkoden gjennomgås av noen andre enn programmereren for å finne feil. Dette kan du eventuelt sikre via en databehandleravtale eller en IT-kontrakt. Still krav til testing av sannsynlige feilscenarier og sårbarheter, eventuelt via en databehandleravtale eller IT-kontrakt. Eksempler på relevante tester: Sårbarhetstest (en test som identifiserer eksisterende sårbarheter). Pennetrasjonstest (en test som prøver å utnytte sårbarheter i et IT-system). Test av omkjøring av pålogging (for eksempel problemer som "brute force"-angrep). Test av om tilgangsrettigheter er begrenset som forventet. Test av om det blir logget som forventet. Andre tester med fokus på funksjonalitet som ikke har vært planlagt og som kan misbrukes.
Brudd 9: Videreformidling av data lagret i mal og skjemaløsninger
Beskrivelse av brudd:
En mal, skjema eller lignende (for eksempel en Word-fil) kan være designet slik at en bruker kan legge inn personopplysninger i malen, hvoretter den neste brukeren som åpner malen, kan se disse opplysningene. Siden den neste brukeren (som er uvedkommende) får tilgang til personopplysningene, vil det være et brudd på personopplysningssikkerheten.
Tiltak:
Begrens rettighetene til stedet der malen er lagret. Hvis bare noen få ansatte har redigeringsrettigheter til dokumentene i mappen, reduseres sannsynligheten for at personopplysninger feilaktig lagres i malen. Dermed vil opplysningene ikke vises når den neste brukeren åpner malen. Sørg for at filen som utgjør malen, er skrivebeskyttet. På denne måten kan endringer bare lagres ved å endre navn på dokumentet eller ved å lagre det på et nytt sted. Dette kan fungere som et ekstra sikringstiltak som gir brukeren mulighet til å tenke seg om en ekstra gang. Behandle sikkerhet i design og tester, hvis det er snakk om en mal i form av et online skjema.
Brudd 10: Ondsinnet programvare (ransomware) fører til tap og misbruk av data
Beskrivelse av brudd:
De siste årene har flere bedrifter og myndigheter blitt rammet av ransomware. Dette er et ondsinnede angrep hvor hackere utnytter sikkerhetssvakheter i IT-systemer, eller lurer ansatte gjennom phishing eller annen form for "sosial manipulering" for å få tilgang til data på IT-systemene. Deretter krypterer de dataene og krever løsepenger for å dekryptere dem. Ofte skjer dette først etter at dataene er tatt ut av IT-systemene, og hvis løsepengene ikke betales, kan hackerne i stedet presse ved å true med å offentliggjøre dataene.
Det er også flere eksempler på at data selges videre av hackerne og deretter brukes til svindel og identitetsmisbruk til skade for de berørte personene, eller at personene som informasjonen er stjålet fra, selv blir utsatt for utpressing.
Tiltak:
Grunnleggende sikkerhetstiltak som sikkerhetskopiering, flerfaktorautentisering, brannmur, antivirus, programvareoppdatering, segmentering av nettverk, etc., er tekniske tiltak som beskytter mot mange trusler, inkludert ransomware. Bevisstgjøring: Ansatte er ofte det første "laget" i sikkerheten som hackerne går gjennom. Derfor er de ansattes evne til å oppdage begynnelsen på et ondsinnet angrep en viktig beskyttelsestiltak.