Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Transkript

1 Lathund IT-säkerhet, GDPR och NIS Version 3.0

2 GDPR skydda personuppgifter Den 25 maj 2018 kommer en ny dataskyddsförordning för samtliga EU-länder som ersätter tidigare lagar kring hantering av personuppgifter. Den nya lagen är till för att skydda varje individs data och för att skapa en mer homogen lagstiftning i hela EU. Lagstiftningen stärker individens rätt och förmåga att kontrollera sina personuppgifter och integritet. De nya lagarna ställer ökade krav på den part som hanterar personuppgifter. En organisation som är ovarsamma och läcker personuppgifter t.ex. om de blir hackade kan få dryga böter på upp till 4 % av den årliga omsättningen eller 20 miljoner euro. Med den nya lagen kommer ett krav på incidentrapportering vid incidenter relaterade till personuppgifter, såsom läckage av personuppgifter vid intrång. För att säkerställa säkerheten för personuppgifter behövs ett strukturerat säkerhetsarbete som säkerställer motståndskraften fortlöpande i de system som hanterar personuppgifter. Eftersom de flesta IT-miljöer är ett nätverk av datorer, servrar etc. som är på olika vis är sammankopplade så innebär det att säkerheten måste säkerställas i hela IT-miljön. Fakta GDPR EU-homogent direktiv GDPR (General Data Protection Regulation) Ligger till grund för lokal lagstiftning i varje EU-land Startdatum 25 maj 2018 Reglerar hantering av personliga uppgifter Ersätter tidigare lagstiftningar, såsom PuL (personuppgiftslagen) Indirekt ökat krav på IT-säkerhet för att skydda personuppgifter Med GDPR införs krav på incidentrapportering inom 72 timmar till Datainspektionen Böterför privata organisationer på upp till 4 % av global omsättning eller drygt 200 miljoner kronor Böter för svenska offentliga verksamheter på miljoner kronor Exempel En hackare kommer åt en databas genom att hacka en webbapplikation. Hackaren extraherar data som är personuppgifter, såsom namn och e-postadresser. Detta skall incidentrapporteras och ses som ett läckage av personuppgifter som kan ge dryga böter.

3 NIS lagkrav på IT-säkerhet NIS (Network and Information Security) är ett nytt EUdirektiv som är planerat att leda till en ny lagstiftning som träder i kraft 1 augusti NIS-direktivet innebär att alla organisationer som bedriver samhällsviktigt verksamhet, såsom vattenförsörjning, elförsörjning, transport, sjukvård, telekom, bank och finansiella tjänster måste påvisa att de arbetar systematiskt, strukturerat och kontinuerligt med säkerheten i sin IT-miljö. Bakgrunden till NIS är den ökade hotbilden för alla typer av organisationer inte minst från främmande makter. Berörda sektorer: Energi, med delsektorerna elektricitet, olja och gas Transporter, med delsektorerna lufttransport, järnvägstransport, sjöfart och vägtransport Bankverksamhet Finansmarknadsinfrastruktur Hälso- och sjukvårdssektorn, med delsektor hälso- och sjukvårdsmiljöer (inklusive sjukhus och privata kliniker) Fakta NIS EU-homogent direktiv NIS (Network and Information Security) Ligger till grund för lokal lagstiftning i varje EU-land Startdatum 1 augusti 2018 Gäller alla organisationer som bedriver samhällsviktigt verksamhet (offentliga och privata verksamheter) Krav på analys, systematiskt, strukturerat och kontinuerligt ITsäkerhetsarbete Krav på incidentrapportering till MSB (gäller även sårbarheter som inte utnyttjats) Det är organisationens ansvar att påvisa att de följer lagstiftningen Det finns en tillsynsmyndighet för respektive sektor (t.ex. Statens energimyndighet för elbolag) Påföljder i form av administrativa sanktioner såsom indragna tillstånd för att bedriva verksamhet Leverans och distribution av dricksvatten Digital infrastruktur Exempel Ett företag som förser medborgare med el måste kunna påvisa att de arbetar strukturerat och arbetar med säkerheten i sin IT-miljö. Drabbas av företaget av avbrott i sin tjänst som är kopplat till bristande säkerhet kan företaget få allvarliga följder.

4 Så hjälper vi dig Vår plattform för sårbarhetsanalyser Holm Security VMP hjälper er att möta nya rekommendationer, lagliga krav och direktiv. Ökad IT-säkerhet mot liten arbetsinsat Vi hjälper er att öka er säkerhet genom automatiserade och kontinuerliga sårbarhetsanalyser som skannar efter över svagheter i er IT-miljö, samt läckor av personuppgifter. De till stor del automatiserade processerna gör att arbetsinsatsen är liten från den egna personalen. Upptäck sårbarheter innan hackaren Med Holm Security VMP analyserar och upptäcker du sårbarheter innan hackaren. Vi hjälper dig att ligga steget före. T.ex. sårbarheten som WannaCry utnyttjar upptäcktes av vår plattform. Holm Security VMP Nätverksskanning Automatiserade och kontinuerliga sårbarhetsanalyser av publika och lokala system. Molntjänst samt virual appliance för lokal skanning. Webbapplikationsskanning Automatiserade och kontinuerliga sårbarhetsanalyser av webbapplikationer, såsom webbplatser. Testar bland annat OWASP topp 10. Riskanalys av användare Sårbarhetsanalyser av användarna i din ITmiljö för att ta reda på hur motståndskraftiga de är mot social engineering såsom phishing-, spear phishing- och ransomware -attacker. Kontinuerligt och strukturerat säkerhetsarbete Holm Security VMP bidrar till ett kontinuerligt och strukturerat säkerhetsarbete genom automatisering, vilket bidrar till ett systematisk IT-säkerhetsarbete. Insikt, översikt och förståelse Genom statistik och rapporter får ni insikt och förståelse för säkerhetsläget i er organisation och kan göra en riskbedömning. Anpassade rapporter finns för t.ex. företagets ledning Läs mer om Holm Security VMP på

5 Praktisk tillämpning I Security Center finns en rad funktioner som underlättar GDPR compliance. Med dessa funktoiner kan du bland annat enkelt skanna, administrera och ra fram rapporter över sårbarheter i enheter som handhar personuppgifter. Du kan även punktmarkera dessa enheter för att få automatiserade notiser och larm. Gruppering Med taggar kan du gruppera dina enheter som handhar personuppgifter. Du kan sedan använda grupperingen för t.ex. skanningar, rapporter och punktmarkering. Notiser och larm Med Continuous Monitoring kan du punktmarkera sårbarheter i enheter som handhar personuppgifter. Uppstår en sårbarhet eller sker en förändring skickas automatiskt notiser och larm. Rapporter Du kan schemalägga t.ex. veckovis rapporter över sårbarheter i enheter som handar personuppgifter.