Databeskyttelse og sikring af platform og standard software mod udefrakommende trusler

18. juni, 2019

Ole KjeldsenTeknologi- & SikkerhedsdirektørMicrosoft Danmark & Island

CONNECT via

https://aka.ms/olek

SIKKERHEDS-

STRATEGI

Lars Frelle – daværende direktør for Digitaliseringsstyrelsen

* D E T E R I K K E MU L I G T, AT KØ B E E T KO MP L E T SY ST E M, P RO D U K T E L L E R SE R V I C E D E R G Ø R B E H A N D L I N G E N G D P R C O MP L I A N T !

D E N R E T T E T E K N O LO G I K A N A SS I ST E R E D E N D ATA A N SVA R L I G E I AT O P N Å C O MP L I A N C E & D E N R E T T E P L AT F O R M K A N G Ø R E

D E T L A N G T E N K E L E R E AT O P N Å C O MP L I A N C E !

Gældende lov

Alle slides er tilgængelige på https://aka.ms/msgrgdpr2019

Der er shortlinks undervejs og samlet til slut

Spørgsmål, spørgsmål, spørgsmål – bare skyd, men husk at jeg kun er ‘skabsjurist’☺

Vore Terms of Service binder Microsoft kontraktuelt til

at håndtere alle Databehandler krav som GDPR

opstiller, fra 25. Maj, 2018.

Vi vil som både dataansvarlig og databehandler dele

vore erfaringer med arbejdet med at leve op til GDPR.

Sammen med vore partnere, er det vores erklærede

mål at hjælpe vore kunder med at nå deres mål for

implementering af politikker, medarbejdere, processer,

og teknologi, for at opnå fuld efterlevelse af GDPR.

HIPAA /

HITECH ActFERPA

GxP

21 CFR Part 11

Singapore

MTCS

UK

G-Cloud

Australia

IRAP/CCSL

FISC Japan

New Zealand

GCIO

China

GB 18030

EU

Model Clauses

ENISA

IAF

Argentina

PDPA

Japan CS

Mark Gold

CDSAShared

Assessments

Japan My

Number Act

FACT UK GLBA

Spain

ENS

PCI DSS

Level 1MARS-E FFIEC

China

TRUCS

Canada

Privacy Laws

MPAA

Privacy

Shield

India

MeitY

Germany IT

Grundschutz

workbook

Spain

DPA

HITRUST IG Toolkit UK

China

DJCP

ITARSection 508

VPATSP 800-171 FIPS 140-2

High

JAB P-ATOCJIS

DoD DISA

SRG Level 2

DoD DISA

SRG Level 4IRS 1075

DoD DISA

SRG Level 5

Moderate

JAB P-ATO

GLO

BA

LU

S G

OV

IND

US

TR

YR

EG

ION

AL

ISO 27001

SOC 1

Type 2ISO 27018CSA STAR

Self-AssessmentISO 27017SOC 2

Type 2SOC 3ISO 22301

CSA STAR

Certification

CSA STAR

AttestationISO 9001

Microsoft har og vedligeholder den bredeste & dybeste compliance certificeringsportefølje i markedet

Service Trust Platformen giver i kombination med

Microsoft Trust Centeret:

• Adgang til audit rapporter på tværs af Microsoft cloud

services eet enkelt sted on-line.

• Vejledning til at opnå compliance med reguleringer

igennem anvendelsen af Microsoft cloud service.

• Adgang til documentation af hvordan Microsoft cloud

services hjælper med at beskytte data.

http://aka.ms/STP

At beskytte enkeltpersoners (datasubjekters) data bedst muligt i forhold til risici under indsamling, opbevaring og anvendelse!

Hvordan kan jeg starte?

Identificere PII som indsamles i virksomheden &

hvor PII lagres/behandles i hvilke dataflowsDiscover1

Håndtere hvordan og af hvem PII tilgåes,

behandles og slettesManage2

Etablere sikkerhedskontroller som forebygger,

opdager og håndterer sårbarheder & data

breaches/sikkerhedshændelser

Protect3

Skab og hold den nødvendige dokumentation,

håndtér dataforespørgsler & breach notifikationReport4

Hvordan kan jeg starte?

Identificere PII som indsamles i virksomheden &

hvor PII lagres/behandles i hvilke dataflowsDiscover1

Håndtere hvordan og af hvem PII tilgåes,

behandles og slettesManage2

Etablere sikkerhedskontroller som forebygger,

opdager og håndterer sårbarheder & data

breaches/sikkerhedshændelser

Protect3

Skab og hold den nødvendige dokumentation,

håndtér dataforespørgsler & breach notifikationReport4

Identificere hvilke love & reguleringer

organisationen og de data man behandler er

underlagt

Jura0

Balanceret

Passendeforanstaltninger

Proportionalitet

Fortegnelse

https://aka.ms/msrisikomitigering

https://aka.ms/ dkgdprvejledninger

https://aka.ms/ ukgdprguidance

West US

West US 2

54 Cloud regioner med data lagring- kunden vælger løsning & data region

Central US

East US

North Central US

Brazil South

West Europe

Japan East

South India

Southeast

Asia

Australia Southeast

Australia East

Central India

West India

Japan West

East Asia

China West1

North EuropeGermany

Northeast2Canada East

Canada Central

South Central US

China East1

Germany

Central2

Korea

South3

East US 2

Korea Central3

United Kingdom West

United Kingdom

South

West Central US

US Gov Virginia

US Gov Iowa

US DoD East

US DoD

West

France3

France3

140+ datacenter i 100+ lande

Eet af de 3 største netværk i verden

1Kinesiske datacentre driftes af 21 Vianet

2Tysk data trustee services håndteres af

T-systems (NB! Lukket for nye kunder)

3Frankrig, Norge, Sydkorea og US Gov

datacenter regioner er annonceret med er

endnu ikke alle i drift

Sovereign datacentre

Globale datacentre

US Gov Texas3

US Gov Arizona3

South Africa

Hvilke services i hvilke regioner? https://aka.ms/mscloudregions

Overblik: https://azure.microsoft.com/da-dk/global-infrastructure/

Men det ervæsentligt at man forstårseperationaf ansvar

Ansvar, support, dokumentation& vedligeholdelse …

fra Microsoft

fra Partner

fra Kunden selv, evt med brugaf værktøjer leveret via cloud –fx Azure AD, MFA, Azure Information Protection etc.

Egne kontroller, procedurer og fortegnelser, men værktøjer og anbefalinger fra leverandør

Databehandler driver og dokumenterer passendeforanstaltninger, for den dataansvarliges fortegnelse

Data Governance and Rights Management

Client End-points

Account and Access Management

Identity and Directory Infrastructure

Application

Network Controls

Operating System

Physical Hosts

Physical Network

Physical Datacenter

Security

Privacy and Control

Compliance

Transparency

MS SaaS

PaaS IaaS On-Prem

Whitepaper med flere detaljer:

https://aka.ms/mssharedresponsibility

ISV SaaS

Konstant udvikling af sikkerhedskontroller & funktioner til hver fase …

https://securescore.office.com/

Compliance Manager

Se en real tids status for compliance i

forhold til regulering som udvikler sig.

Anbefalinger om konkrete aktiviteter

som kan forbedre databeskyttelsen.

Gennemføre egne pre-audits som

forberedelse til eksterne audits.

Håndtering af compliance eet sted i MS Cloud

Opsummering: Microsoft Cloud & GDPR

2

Get GDPR Compliant with the Microsoft Cloud

Compliance Offerings. Microsoft Corporation. March 16, 2017.

Microsoft and Office 365 Security Solution Selling Qualitative Research Findings. MDC Partner Research. December 2016.

4

3

5

1

Microsoft Confidential – for internal only use by partners. 30

Opsummering & Q&A

Grund til panik?

Forordningen kræver handling …• Start med at skabe overblik over persondata NU!

• Overvej hvor I kan begynde at udnytte Cloud

fordele & værktøjer I måske allerede har adgang til

• HUSK! Compliance kræver dog andet end IT• Dokumentation

• Politikker & Processer

• Awareness

• Datagovernance

• Mm.

https://aka.ms/msgrgdpr2019

NEJ – men - skaf jer den rette juridiske vejledning- Og husk formålet er MATERIEL BEDRE

DATABESKYTTELSE

TAK!Ole Kjeldsen

https://aka.ms/olek

https://aka.ms/msgrgdpr2019

aka.ms/dkdojdplGDPR - EU: https://gdpr-info.eu/

UK Data Protection Agency: https://aka.ms/ukdatatilsyngdprDK Data Protection Agency: https://aka.ms/dkgdprvejledninger

https://www.gdprbenchmark.com/

aka.ms/dkgdpr

• Kammeradvokaten: https://aka.ms/kagdpr • Bech-Bruun: https://aka.ms/bebgdpr• Gorrisen Federspiel: https://aka.ms/gfgdpr• Bird & Bird: https://aka.ms/bbgdpr• DI Digital: https://aka.ms/digdpr

microsoft.com/GDPR

Whitepapers:https://aka.ms/TechnicalWhitepaperandFAQ& https://aka.ms/gdprwhitepapers

Microsoft Cloud Compliance Manager:https://aka.ms/cmpr

InformationTraining Program &

Official guidance

aka.ms/mssikkerhedsprodukter

https://aka.ms/ms

datagovernance

https://aka.ms/GetT

oGDPRCompliancehttps://aka.ms/protect

cloudprivacy

https://aka.ms/dpamappinghttps://aka.ms/

msdkgdpr

https://aka.ms/

msazuretrust

https://aka.ms/ms

risikomitigering

Lovgivning før 25/5/2018:

Paragraf 41 stk 4

Alle datasæt som er

1. Nationalt dækkende og

2. Vigtige for en evtbesættelsesmagts mulighed for at opnå administrativ kontrol med landet

.. skal umiddelbart kunne slettes

Fortolkning: De skal blive i Grønland

Eksempler: CPR Registeret

Lovgivning pr 25/5/2018:

Paragraf 3 stk 9

Alle data kan som udgangspunkt behandles overalt i EU/EØS.

For systemer i den offentlige sektor som opfattes som af interesse for national sikkerhed, kanresort-ministeren anmode justitsministeren om at få underlagt systemerne 3-9 & dermed skal disse systemer forblive i DK!

Eksempler kendes endnu ikke, men enkelte detaljer kendes:

- vil være stærkt begrænset ifht. tidligere (enkeltcifret antal)

- alene gælde systemerne, ikke udtræk af data!

Microsofts egne tekniske hovedsikkerhedselementersom understøtter den gode sikkerhedskultur

Vi mener der er 4 kritiske elementer som skal til at beskytte vore aktiver:

Vores review af historiske sikkerhedshændelser viser, at nærmest alle

signifikante events kan spores tilbage til en fejl i 1 eller flere af disse 4.

Multi-factor Authentication

Information Protection

Conditional Access (kun ‘sunde’ entiteter, fra sikre forbindelser får adgang)

Konsistent Logging/Telemetry & automatiseret analyse

Hvor ligger de store risici?& hvad kan man gøre i fx …..

• Kundedata er alene kundensOverordnet

Privacy Politik

• Design, udvikling, test og iterationer defineret i Open Source SDLPrivacy by

Design

• Håndtering af rettigheds- & adgangskontrol (incl bl.a. Lockbox)

• Egen kryptering

• Etc.

Privacy by

Features

• Certificeret standardbaseret multi-layered sikkerhed (HIPAA, ISO, SOC etc.)

• Operational Security Standard: Hardware, Fysisk, Kryptering i alle lag etc.

• Principfast håndtering af myndighedshenvendelser

Privacy i

Operations

HTTPS://AKA.MS/O365KRYPTERING

Transport Layer Security (TLS 1.2)

S/MIME

OME

IRM

Policy tips in Exchange

Classification and labelling Encryption and rights managementIntuitive, one-click process Detailed tracking and reporting

All suspicious content goes through a real-time behavioural malware analysis

(detonation chamber) that uses machine learning techniques to evaluate the

content for suspicious activity.

All links are examined in real time, at the time a user clicks them. If a link is unsafe, the user is warned not to visit the

site or informed that the site has been blocked.

Based on data from Microsofts global Intelligent Security Graph: • Get pro-active information,

alerts and suggestions for new security policies to help protect against malware

• Overview of top targeted users• Deep dive into specific threats

with Threat Explorer• Get a Threat dashboard with

Threat Tracker (ex. how many of my users was hit by Petyaetc.)

• Train end-users with Attack Simulator

• Effectiveness reports

The Service Trust Platform (STP) is a companion feature

to the Microsoft Trust Center, and allows you to:

• Access audit reports across Microsoft cloud services

on a single page.

• Access compliance guides to help you understand

how can you use Microsoft cloud service features to

manage compliance with various regulations.

• Access trust documents to help you understand how

Microsoft cloud services help protect your data.

http://aka.ms/STP

The Office 365 Audit Logs can give you

valuable insight into your environment

and provide critical security information

with audit search and alerts.

The reports contain user and admin

activity in Exchange Online, SharePoint

Online, OneDrive for Business, DLP and

Azure Active Directory.

http://aka.ms/o365log