Dataskyddshandbok för mindre- och medelstora företag

Transkript

1 Dataskyddshandbok för mindre- och medelstora företag

2 Nya möjligheter, hot och skyldigheter Cyberkriminalitet har ökat och sannolikheten för att bli attackerad har ökat under de senaste åren. Utpressningsprogram som WannaCry och Petya syftar till att utnyttja oskyddade system och säkerhetshål, och dra finansiell nytta av användarinformation. I media skrivs med stora rubriker om säkerhetsattacker. Några av berättelserna är överdrivna, men risker är dock reella. Statistik från Kommunikationsverket och större säkerhetsleverantörer indikerar också, att säkerhetsmiljön har blivit mera utmanande. Myndigheterna syftar till att förbättra behandling av personuppgifter i företag med EU:s sekretesspolicy (GDPR) som tillämpas från och med den 25 maj Informationssäkerhet är dock inte bara en tråkig skyldighet Välskött informationssäkerhet medför exakthet för hela företaget och ger bättre och säkrare service till kunden. Genom att ta hand om grunderna kan risker minimeras och skyldigheter klaras av enkelt.

3 Utvecklingen av data skyddsmiljön 2017 vs Följande lägesbedömningar baserar sig på en gemensam bedömning av Kommunikationsverkets Cybersäkerhetsavdelning, som jämför situationen 2017 med året Källa: Kommunikationsverket, Tietoturvan vuosi 2017 publikationen Allvarligt hot Störande hot Milt hot Inget hot Hotbildsbedömning: Bedrägerier och phishing År 2017 blev bedrägerier alltmer vanligare och hotet om att bli utsatt för webb-bedrägeri ökade från Påverkan Ryktesproblem Kundernas förtroende Pengar Fakturering och betalningstransaktioner Information Användarnamn Lösenord Företagsinformation Indirekt inverkan Information används för brottsliga syften Hotbildsbedömning: Sårbarheter och skadliga program Förändringar i riskbedömning: Utpressningsprogram har blivit vanligare och utgör ett allvarligt hot mot tillgängligheten och nyttan av organisationsdata. Påverkan Ryktesproblem på grund av sårbarheter i service/produkt Pengar Tillgänglighet av tjänster Utpressning Information Spionage Indirekt inverkan Rekrytering av webbsidor för distribution av skadliga program

4 Hotbildsbedömning: Nätverkspionage Realiseringen av hot riktade mot informationssystem har höjt hotbilden. Påverkan Inaktivering av företagens informationssystem sabotage Pengar Indirekta följder återspeglas i att man misslyckas anbudstävlingar och i produktjämförelse Information Anbudstävlingar, innovationer och kundinformation kan vara nyttig information för utomståend Indirekt inverkan Intressanta kunder ökar risken för att man indirekt används till att t.ex. stjäla information Hotbildsbedömning: Denial-of-service attacker Observationer av denial-of-service attacker 2017 har inte förändrats från hotbildsbedömningen för föregående år. Det viktigaste är att lägga märke till denial-of-service attacker vid riskbedömning av företag och skydd av IoT-utrustningen. Påverkan Eventuella denial-of-service attacker måste beaktas i riskbedömningen Pengar Utpressningsförsök men inga attacker Om en webbtjänst blockeras, kan den påverka affärsverksamheten Information Riskerar inte informationen Indirekt inverkan Oskyddade IoT-enheter eller felaktigt konfigurerade tjänster (t.ex. DNS eller NTP) utnyttjas Hotbildsbedömning: Störningar i nätet Medborgare, företag och statsförvaltningen kunde använda inhemska kommunikationsnät mera effektivt än året innan, eftersom tjänsterna fungerade med mindre antal störningar än tidigare. Nätverkshoten minskade. Påverkan Intern kommunikation inom organisationen Pengar Tillgänglighet av tjänster Egna tillgängligheten Information Hindrar kommunikation Indirekt inverkan Ingen risk

5 Hotbildsbedömning: Sakernas internet (IoT) Elektroniska tjänster produceras eller används mer och mer genom intelligenta enheter. Risker och hot av riktad mot staten och företag har närmat sig varandra. Särskilt kommer säkerhetssituationen för konsumentenheter att försämras. Situationen blir bättre först efter år. Påverkan Denial-of-service attacker genom IoT-bottnät stör företagens affärsverksamhet Pengar Utpressningsprogram och produktion av virtuella valutor med IoT-enheter Information Data som samlas in av enheter är föremål för dataintrång Information blir offentlig av misstag Indirekt inverkan Användning av enheter för denial-of-service attackker Genom oskyddade IoT-enheter kan man hamna till det interna nätverket

6 De vanligaste data- säkerhetsproblemen i SME-företag Ledningens förståelse av datasäkerhetsrisker - vad är de och hur stora kostnader kan uppstå, om det går dåligt? Brist på centraliserad kontroll och hantering, uppfattning av helhetssituationen är otillräcklig Centraliserad och systematisk korrigering av sårbarheter i programvara saknas Datasäkerhetsproblem upptäcks inte på grund av otillräcklig övervakning Många outsourcingar komplicerar data-administration E-postrisker: phishing, skadliga länkar och bilagor, sändning av konfidentiell data okrypterad Obegränsade användarrättigheter Okunnighet eller oaktsamhet av användare Användning av svaga lösenord Användning av standardlösenord Risker med öppna wifi-anslutningar Oskyddade mobila enheter Mobilrelaterade risker, en enhet kan bli stulen eller den kan försvinna IOT-enheter utan datasäkerhet Slumpmässig och bristfällig säkerhetskopiering Många outsourcingar komplicerar data-administration Oklara ansvar Svagt skydd mot hot via Internet Ofullständig administration av installation och införande av terminal- och nätverksutrustning Icke tillförlitlig och systematisk tömning av utgående utrustning

7 Invändningar och frågor om datasäkerhet Säkerheten hos våra enheter har redan uppdaterats Vet du säkert, att datasäkerheten är uppdaterad på alla enheter i företaget? Kan du följa det centralt, och bevisa det, när myndigheten frågar? Företag har ofta utrustningar, anslutningar eller metoder, vars informationssäkerhet inte har beaktats. Ingen hemlig information, och vår data intresserar inte någon Kan du säga detsamma för dina kunder och partners? I ditt företags nätverk, molntjänster, datorer, skrivare, mobila enheter och IoT-enheter finns antagligen åtminstone kontaktuppgifter till dina kunder, eventuellt även annan konfidentiell information. Även myndigheterna (GDPR) kräver att du kan bevisa att du har vidtagit nödvändiga åtgärder för att säkerställa säkerheten. Vilken information är värdefull? Personuppgifter i olika former: Patientinformation, kundregister, anställningsregister, e-handelsorder, offertbegäran, webbformulär Interna dokument i företaget: anbud och rapporter Affärshemligheter: framtidsplaner, budgeter, analyser, produktutvecklingsdokument Annan värdefull information: bilder och videor

8 Vem ansvarar för datasäkerheten? Är det någon? Det är bra, om företaget har gemensamma säkerhetsmetoder och personer som ansvarar för helheten och lösningar som används. Varje anställd i företaget skall dock se till, att det dagliga arbetet är säkert. Det har inte varit några problem med virus Avancerad skadlig kod fungerar ofta i bakgrunden utan att man märker den. I ett rent nätverk kan det finnas långvariga skadliga program, som till exempel sänder ut data för vidare exploatering. Antivirus är bara en del av en funktionell datasäkerhetslösning. Behöver vi ett datasäkerhetsprogram också för Mac-datorer? Mac-datorer har också utbredda skadliga program, och deras antal växer stadigt. Bedrägerier, phishing och dataförlust är en risk oavsett operativsystemet. En mobil enhet kan inte förorenas. Antalet skadliga program för mobila enheter är signifikant, särskilt för Android. En stor risk är att data hamnar i fel händer genom bedrägerisidor - utan att enheten ens är förorenad. En risk är även öppna Wifi-nätverk och försvinnande av en enhet, då man måste kunna låsa eller tömma enheten vid behov. Varför skulle man inte kunna använda en konsumentprodukt i ett företag? Företagsprodukten kan hanteras centralt. Det kan användas för att bestämma säkerheten i terminalutrustningen. Någon måste vara ansvarig för helheten, eftersom om appar och inställningar uppdateras manuellt från enheten, finns det en stor risk för misstag. Centraliserad hantering ger besparingar genom effektivare uppdaterings- och hanteringsprocesser, även i små organisationer. Dessutom kan information och rapporter för myndigheter fås enkelt från ett ställe för alla enheter.

9 Steg till bättre datasäkerhet 1. Skapa metoder och roller, utbilda personer 2. Förenkla datahantering 3. Hantera lösningar centralt 4. Förbered dig för problemsituationer 5. Kartlägg och övervaka kontinuerligt

10 1. Skapa metoder och roller, utbilda personer När alla anställda och partners i företaget känner till en tydlig handlingsplan och instruktioner för olika situationer, minskar det risker och gör arbetet tydligare och snabbare i oväntade situationer. Vilken information är värdefull? Vilken information lagras och var? Vem är den, som behandlar informationen och i vilka situationer? Vilka krav ställer de för praxis och verktyg? Vilka datasäkerhetsrisker har företaget? Hur hanterar man problemlägen? Tillgångsrättigheter gör det lättare att skapa en lämplig roll för alla, då information endast behandlas av dem som behöver dem, vilket minskar risken för både avsiktligt och oavsiktligt missbruk. Dokumentation hjälper dig att hålla dig på kartan över företagets säkerhetsstatus, samt bevisa för kunder och myndigheter att nödvändiga säkerhetsåtgärder har vidtagits. 1 Definiera en lämplig säkerhetsnivå för ditt företag Kom överens om metoder, ange nödvändiga rättigheter för användare Ta hand om kunskap, utbilda personalen regelbundet Dokumentera lösningar som har använts

11 2. Förenkla datahantering Tänk på vilken information och var det är vettigt för ditt företag att spara, och hur skall informationen delas. Ju mindre lagringsplatser det finns, desto lättare är informationen att hantera, skydda och radera. Observera hur information delas och hanteras. Till exempel känslig information kan inte behandlas på offentliga platser eller skickas okrypterad via e-post. Onödig känslig information är förnuftigt och i vissa fall obligatoriskt att förstöra, när de inte längre behövs. På så sätt utgör de inte längre någon risk och tar inte upp diskutrymme i nödan. Använd programvara som är certifierad för dataförstörelse. Raderingsfunktion, formatering eller fabriksåterställning av operationssystemet raderar inte data från datorn, minnet eller mobilenheten. 2 Förenkla datahanteringen Förstör känslig information, när de inte längre behövs Förstör information med lämplig programvara

12 3. Hantera lösningar centralt Centraliserad hantering möjliggör enklare implementering, kontinuerlig övervakning och automatisk uppdatering av enheter och tjänster enligt de nödvändiga profilerna. Automatisering och inställningar minskar antalet mänskliga fel. Var särskilt uppmärksam på att även mobila enheter, nätverksenheter och IoT-enheter är ordentligt skyddade, inställningar är korrekta och att standardlösenord har ändrats. Nätverk, nätverksenheter och konfiguration måste väljas och implementeras korrekt och hållas uppdaterade. Hantering Spårning Rapporter 3 Hantera och uppdatera alla terminalanordningar och tjänster centralt Använd automatiska installationsprofiler och uppdateringar Ta hand om nätverkssäkerhet

13 4. Förbered dig för problemsituationer Vad händer det om ett utpressningsprogram krypterar data, känslig information läcker utanför företaget, företagsservern går sönder, eller ett minneskort med viktig information försvinner? Planerad förberedelse för problemsituationer gör verksamheten snabbare, om det händer något oväntat. Hårddiskar och minne går sönder relativt lätt, så det är bra att lagra information, som är viktig för ditt företags prestanda automatiskt i mer än ett system, till exempel förutom arbetsstationen i din företagsserver eller molnserver, som också har säkrats. Det är viktigt att testa funktion av säkerhetskopior med lämpliga intervall för att säkerställa en snabb återgång till normal daglig ordning vid problemsituationer. Lagringsmedia som är lätt att ta med som USB-minnen och bärbara diskar skall skyddas med ett lösenord och kryptering, så att data inte hamnar i fel händer när lagringsmedian försvinner. 4 Automatisera säkerhetskopiering Testa dataåterställningen och skapa en återställningsplan Gör en plan för problemsituationer

14 5. Kartlägg och övervaka situationen kontinuerligt Det räcker inte att saker korrigeras en gång. Datasäkerhetsmiljön förändras ständigt, så utrustning, tjänster, rutiner och kompetensnivåer måste hållas aktuella. Automatiserade övervaknings- och kartläggningsverktyg hjälper dig att hålla dig uppdaterad med ändringar och eventuella brister. Det är viktigt att ha en sakkunnig person som ansvarar för informationssäkerheten, - antingen företagets egen säkerhetsansvarig eller en extern expert. Det är bra att dela egna observationer med andra människor, så kan även andra människor förhindra problem i tid. 5 Kartlägg och korrigera sårbarheter i nätverket regelbundet Automatiserade spårnings- och kartläggningsverktyg Rapportera förändringar och situationer Ge ansvaret för att upprätthålla informationssäkerhet åt en expert

15 Testa säkerhetsnivån i ditt företag Testen hjälper dig att utvärdera säkerhetsnivån i ditt företag, och ger samtidigt tips om vilka saker som ska uppmärksammas i datasäkerheten i ditt företag. Samma grundregler fungerar för varje företags informationssäkerhet. Gör testen här Om du vill veta, hur saker, som testen har lyft fram, borde i praktiken hanteras i ditt eget företag, fråga mer!

16 Tack för ditt intresse! För mer information, besök din närmaste Data Group -affär samt datagroup.fi Kommunikationsverket: Informationsssäkerhet nu! Kommunikationsverket: Informationssäkerhetsanvisningar Centralhandelskammaren: Tietoturvaopas yrityksille