konfidensiell informasjon på e-post
DESCRIPTION
Konfidensiell informasjon på e-post. Kim Ellertsen, NSR. HVA ER NÆRINSLIVETS SIKKERHETSRÅD (NSR)?. Historikk Opprettet i 1977 under navnet Industriens Sikkerhetsutvalg og skiftet senere navn til Næringslivets Sikkerhetsråd - PowerPoint PPT PresentationTRANSCRIPT
1
Konfidensiell informasjon på e-postKim Ellertsen, NSR
2
HVA ER NÆRINSLIVETS SIKKERHETSRÅD (NSR)?
Historikk• Opprettet i 1977 under navnet Industriens
Sikkerhetsutvalg og skiftet senere navn til Næringslivets Sikkerhetsråd
• Var inntil 2004 organisert i Næringslivets Sikkerhetsorganisasjon, men er nå en selvstendig forening. NHO som initiativtaker.
• Medlemsforening. Medlemmer har tilgang til vårt nettverk og ev. rådgivning i konkrete saker, kostnadsfrie foredrag og reduserte priser på kurs og konferanser.
Best practice
Forbygge kriminalitet
Samfunnsansvar
Trender
Kommunikasjon
Hva bruker vi e-post til
Kontraktsarkiv – papirbasert, scannet, e-mail, muntlig etc
Offentlig forvaltnings korrespondanse – brev sml mail
Advokatkontor – saksbehandlingssystem
E-mail som bevismiddel i tvister
Utgangspunktet for e-postog annen elektronisk kommunikasjon Hva erstatter e-post Styrker og svakheter Bruksområder
Autensitet Gjenfinning Notoritet Krav til sporbarhet og
dokumentasjon Ny krav?
Bruk av InternettMørketallsundersøkelsen 2006
0 20 40 60 80 100IP-telefoni
Instant messageing
Salg via Internett
WAN
WLAN
Kjøp via internett
Andre tilgang utenfra
Ansatte hjemmefra
e-betaling
Hjemmeside
E-post
Tiden det tar før det oppstår vesentlige problemer grunnet bortfall av IT (% av virksomheter)
0
5
10
15
20
25
30
35
40
Totalt
I løpet av 1 time
I løpet av 1 dag
I løpet av 2-3 dager
I løpet av 4-7 dager
I løpet av 1-4 uker
Mer enn 1 måned
Det ville ikke skape størreproblemer
En dag
En time
8
Hva skjer -> kan skje
1,4 %
3,1 %
5,1 %
6,5 %
7,7 %
7,9 %
30,8 %
19,7 %
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
35,0%
Innbrudd i datasystemer
Misbruk/tap/tyveri av sensitiv informasjon
Intern mobbing av ansatte
Økonomisk kriminalitet
Oppsigelse pga lovbrudd
Kopiering av industrielle rettigheter
Innbrudd i eller hærverk mot lokalene
Datavirusangrep
Har din virksomhet opplevd følgende de siste 12 månedene?
E-postVenn eller fiende?
”Business Conduct” Email som virksomhetens
stemme Kontroll med form og innhold
Ryddighet i håndtering og oppbevaring Informasjon som verdifull ressurs Informasjon som årsak til kaos Individavhengighet
10
Påbud om lagring• Regnskapsloven
Opplysningsplikten § 7-1• Bokføringsloven
Regnskapsmessige disposisjoner skal bokføres på en ”fullstendig måte i regnskapssystemet”, jfr§ 4 nr 2
Opplysninger ”skal være dokumentert på en måte som viser deres berettigelse”, jfr § 4 nr 6
Krav til sporbarhet, jfr § 4 nr 7 Krav til oppbevaring ”så lenge det er saklig behov for å kontrollere pliktig
regnskapsrapportering. Oppbevaring skal skje i en form som opprettholder muligheten for å lese materialet”, jfr.§ 4 nr 8
Regnskapsmaterialet må sikres mot ”urettmessig sletting eller tap”, § 4 nr 9• Forvaltningsloven
Partsinnsyn § 18 flg E-mail omfattes av lovens dokumentbegrep jfr § 2 bokstav f)
• Offentlighetsloven Offentlig innsyn § 2 flg
• Finansavtaleloven Krever betryggende metode for autentifisering av avtaleinngåelsen jfr § 8 (2)(b)
• Arkivloven• Hvitvaskingsloven
• Krav til ”forsvarlig” lagring jfr § 6 2• Opplysningene som omfattes angitt i § 8
Formelle krav til lagring(foredrag fra adv fa. Simonsen)
11
Lagring – forts.
Forbud mot lagring• Personopplysningsloven sml markedsføringsloven
Vilkår for oppbevaring av personopplysninger jfr § 8 Vilkår for oppbevaring av sensitive personopplysninger jfr § 9 Krav til oppbevaringen se §§ 11 flg Opplysningsplikten i mfl § 15
• Helseregisterloven Behandlingsrettede helseregistre kan føres elektronisk jfr § 6 Vilkår for føring av slik register se lovens kap 2 Krav til oppbevaring, kap 3
• IT-sikkerhetsforskriften Sikkerhetskrav § 5
Overtredelse• Ansvar• Sanksjoner (bøter og fengsel)
Personopplysningsloven kap 8 Helseregisterloven kap 6 Markedsføringsloven kap 12
• Omdømme• Rettssak
Det nye trusselbildet• Adressering
Du har mottatt feilsendt e-post(Undersøkelse foretatt av NorSIS)
To av ti har mottatt feilsendt e-post
Det er ingen signifikante geografiske forskjeller og det forekommer i like stor grad i privat og offentlig sektor når det gjelder å motta feilsendt e-post.
Det er i bransjene undervisning (25 prosent), offentlig administrasjon (23 prosent) og tjenesteytende næringer (23 prosent) at man i størst grad har mottatt feilsendt e-post. Det skjer i minst grad i primærnæringer (5 prosent), transport og kommunikasjon (12 prosent), samt bygg- og anleggsvirksomhet (13 prosent).
19 %
80 %
1 %0 %
10 %20 %
30 %40 %
50 %60 %
70 %80 %
90 %
Ja Nei Vet ikke
Du har mottatt feilsendt e-post(Undersøkelse foretatt av NorSIS)
22 % 20 % 18 % 17 %13 % 12 %
5 %
25 %23 % 23 %
0 %
10 %
20 %
30 %
Undervisning Offentlig administrasjonTjenesteytende næringer Helse- og sosialtjenesterIndustri etc VarehandelHotell- og restuarantvirksomhet Bygge- og anleggsvirksomhetTransport og kommunikasjon Primærnæringer
Du har selv feilsendt e-post(Undersøkelse foretatt av NorSIS)
14 %
80 %
6 %
0 %
10 %20 %
30 %40 %
50 %60 %
70 %80 %
90 %
Ja Nei Vet ikke
14 prosent har feilsendt e-post
Å sendt e-post til feil adressat skjer i like stor grad i privat og offentlig sektor og det er ingen signifikante geografiske forskjeller.
I de ulike bransjene skjer det i størst grad i tjenesteytende næringer og undervisning (hhv. 19 og 18 prosent). Innenfor primærnæringer, helse- og sosialtjenester og hotell- og restaurant forekommer feilsending av e-post i minst grad (hhv. 5,10 og 11 prosent).
Du har selv feilsendt e-post(Undersøkelse foretatt av NorSIS)
14 % 14 % 13 % 12 % 11 % 10 %
5 %
19 % 18 %15 %
0 %5 %
10 %15 %20 %
Tjenesteytende næringer UndervisningTransport og kommunikasjon Bygge- og anleggsvirksomhetIndustri etc Offentlig administrasjonVarehandel Hotell- og restuarantvirksomhetHelse- og sosialtjenester Primærnæringer
Eksempler
Rt-2003-825 Saken gjaldt spørsmål om brudd på
straffeloven §405a. Høyesterett kom til at bestemmelsen ikke rammet den som tilfeldig kommer over bedriftshemmeligheter. Ettersom de to tiltalte hadde lagt til rette for at e-post skulle feilsendes til dem, ble imidlertid kunnskapen ansett skaffet til veie på en urimelig måte.
Det nye trusselbildet• Adressering• Egen dokumentasjonskontroll, i
forhold til andres• Manipulasjon av data• Sletting av data• Utro tjenere – Effektivitet• Spam
Det nye trusselbildet• Adressering• Egen dokumentasjonskontroll, i
forhold til andres• Manipulasjon av data• Sletting av data• Utro tjenere – Effektivitet• Spam
Eksempel - SPAMDette er den siste vi har sett:
Det nye trusselbildet• Adressering• Egen dokumentasjonskontroll, i
forhold til andres• Manipulasjon av data• Sletting av data• Utro tjenere – Effektivitet• Spam
Kan du stå inne for det som er skrevet OG sendt for all ettertid
Hvor er risikoen?- Gjelder også for e-post
Sikker e-post håndtering?
• Dokumenterte prosedyrer <-> Etterlevelse
• Automatisering <-> Manuelle prosesser
• Lagring Struktur Sikkerhet Tidsperspektiv Teknologiendringer
Regler for skriving av e-post
1) Ha en profesjonell tone og vær objektiv
2) Vær nøyaktig og faktaorientert3) Sørg for fullstendighet4) Unngå åpne ender5) Ikke ta parti mot den du
representerer6) Ikke skriv nedsettende om andre7) Unngå sleivete humor8) Tenk som en dommer
Helhetlig sikkerhetstenkningHelhetlig tenkning- Alle må være
tilstede- Del av en helhet- Styrken avhenger
av beskyttelsesbehovetDokumenter, patenter, post, e-post, personopplysninger o.s.v
Teknisk utstyr
Sensitiv informasjon
Børsinfo, regnskap og lignende.
KontanterStrategier - planer
BranntrekantenBeskyttelsesverdige
interesser (Verdivurdering)
Teknisk Sikkerhet
-Brannmurer
-Tilgangskontroll
-Antivirus/spyware
-Oppdateringer (patch)
Fysisk Sikkerhet
-Adgangskontroll
-Soneinndeling
-Innbruddsdeteksjon
-Alarm
-VakttjenesterMennesket – det svakeste ledd i sikkerhetskjeden
Helhetstenkning – etter verdivurderingÅpent område
•Juridisk barriere
•Lett eller ingen adgangskontroll
Begrenset område
•Fysisk sperre
•Kun ansatte eller gjester med følge
•Adgangskontroll
Sensitivt område•Fysisk sperre•Begrenset antall ansatte•Streng adgangskontroll/tilgang
Åpen informasjon
Allment kjent informasjon
•”vanlig e-post”
Begrenset informasjon
•Vedlegg (lukket)
•Godkjente mottakere
Sensitivt informasjonKryptering•Sertifikater•Ikke vedlegg hvis ikke dette er kryptert. •Avtaler, tekniske beskrivelser, anbud, strategier, personinformasjon, bedriftshemmeligheter
Spørsmål?
Takk for oppmerksomheten