Anne-Marie Eklund-Löwinder, säkerhetschef Internetstiftelsen Sverige (IIS) Digitaliseringens baksida integritetsfrågor och morgondagens nya hot

Transkript

1 Anne-Marie Eklund-Löwinder, säkerhetschef Internetstiftelsen Sverige (IIS) Digitaliseringens baksida integritetsfrågor och morgondagens nya hot Anne-Marie Eklund-Löwinder inleder med att berätta om Internetstiftelsen Sverige som jobbar brett med att alla i Sverige ska vilja, våga och kunna använda internet på att sätt som alla drar nytt av. IIS satsar på att öka den digitala kompetensen bland barn och vuxna. Man ger också ut guider som visar vad människor behöver göra för att skapa digitalt självförsvar, ett digitalt källskydd. Anne-Marie Eklund-Löwinder har jobbat som säkerhetschef på stiftelsen sedan Hon säger att internet är den största gemensamma it-plattformen som någonsin existerat. Internet skalar fortfarande upp utan att man egentligen behöver ändra särskilt mycket i grundprotokollen. Men det finns några undantag, DNS gjordes inte säkert från början eftersom det inte var meningen att någon utan för den begränsade kretsen skulle tala med varandra. Att IPV4 adresser kunde ta slut föreställde man sig aldrig, men det har de gjort och nu måste man gå över till IPV6. Det är det alldeles för få som gjort hittills menar Anne-Marie Eklund-Löwinder. Hon vill inte bara tala om infrastruktur utan även om digitaliseringen. Digitaliseringen ses nästan som en autonom process, något som bara händer. Men det är inte sant. Om det ska gå måste man ha en stabil och säker infrastruktur och man måste vara medveten om att samhällssystemen kan störas. Om man ska attackera ett sjukhus idag behöver man inte ens ta sig dit, det räcker med en cyberattack mot DNS, eller att man gräver av en kabel så är det klart. Samhället är för beroende av att kommunikationsvägarna ska funka. Vi tar den grundläggande kommunikationen för given. Vi litar på att den kommer att fortsätta fungera. Men om ingen bryr sig om att bygga om infrastrukturen eller uppdatera protokollen så kommer det sluta fungera en vacker dag. Därför är det viktigt att ha en diskussion kring framtidshoten. Vad behöver vi göra? Vi måste börja med att titta på sårbarheter. Med den nya miljön och i den nya världen händer mycket saker. I papperssamhället var det inte svårt att försvara sig. Men det digitala samhället har gjort det lättare att genomföra storskaliga attacker. När Android hade en sårbarhet i operativsystemet drabbade det inte bara en telefon utan alla telefoner. Man kan tycka att man folk borde ha uppdaterat sina operativsystem, men det hade de flesta inte gjort. 74 procent körde fortfarande med en gammal version och tänkte jag uppdaterar sen. IoT, Big Data, mobilitet, kvantdatorer. Det finns många buzz words och alla nya tekniker betyder också nya hot och risker. Samtidigt betyder de enormt många nya möjligheter, även på säkerhetsområden. Tänk vilken marknad det finns för nya säkerhetslösningar! Information är den nya oljan, på gott och på ont. Det är bra för att vi får nya tjänster, men samtidigt ogillar vi när informationen används på fel sättet. Undersökningar visar att folk inte är oroliga för att dela med sig av information, det man inte gillar är om företagen säljer informationen vidare till 3:e part. Då har vi tappat kontroll över informationen. Security by design kommer allt mer och det kan vi inte blunda för. Vi måste börja tänka på hur vi kan göra systemen säkra från början. Vi har inte råd, tid och ork att göra det i efterhand. Många av dagens attacker bygger på social ingenjörskonst. 90 procent av alla attacker börjar med någon typ av social ingenjörskonst, mest riktade mejl. Man siktar in sig på en person eller organisation och ser till att göra ett utskick som är oemotståndligt för mottagaren. De är väldigt duktiga på att få oss att klicka på länkar och lämna ut lösenord. Ransomware är en typ av skadlig kod som installeras i bakgrunden på datorer, plattor och mobiler utan att användare vet om det. Har man inte ordning på sina back-uper får man problem. Då har man två val. Det ena är att installera om allt från början och hoppas på att man har back up. Det andra är att betala. Då kan det bli dyrt och man har egentligen inga garantier för att problemet är löst. Människorna som ligger bakom attackerna vill bara ha en sak, pengar. Många av de här grupperna har till och med kundtjänst och erbjuder sig att hjälpa till att växla in

2 bitcoins. Ett bra skydd är en minimalistisk behörighetsstruktur, dvs ingen ska ha behörighet till fler saker än vad de borde. Man bör också se till att ha säkerhetskopior, då klarar man sig ganska bra. Wannacry:s plånbok innehåller nu nästan 52 bitcoins, motsvarande dollar. 135 organisationer har betalt men det verkar inte vara någon riktig kassako. Förmodligen beror det på att Wannacry klantade sig, de hade glömt att om man splittar en dator eller ett system så måste man ha en nyckel som är unik för det systemet, som man kan ge de som man attackerar så att man kan låsa upp. Något som är väldigt läskigt är vd-bedrägerier. För att angriparna ska lyckas krävs tre saker: 1. Att företaget har en hierarkisk organisation där ekonomichefen inte ifrågasätter vd:n 2. Att man de inte sitter i samma byggnad 3. Att man lyckas skapa en känsla av stress och tidspress. Den här typen av bedrägerier ökar sommartid. Frångå inte era vanliga betalningsrutiner. Security by design. Skillnad mellan security by design och secure är att när du har något som är secure så utgår du från standardkomponenter och gör det bästa möjliga. Du kan stänga ner eller lägga på brandväggar. Men angripare behöver bara hitta ett hål för att komma in, och det gör man förr eller senare. Produkter som är designade enligt principen security by design är framtagna med syfte att göra bara en sak. Anne-Marie Eklund-Löwinder menar att det är ett problem att vi köper så många dåliga, uppkopplade teknikprylar. En av de största attackerna förra året berodde på uppkopplade webbkameror. Kamerorna kom från små kinesiska leverantörer, de saknade säkerhet och hade lösenord som inte ens gick att ändra. Anne-Marie Eklund-Löwinder menar att vi skjuter oss själva i foten när vi inte ens ställer grundläggande säkerhetskrav på de produkter vi köper. Det stora problemet med oss människor, är att vi är buggiga menar Anne-Marie Eklund-Löwinder. Därför kan vi inte räkna med att folk kommer att göra rätt. Vi måste tänka på att awareness endast fyller sitt syfte om man gör det hela, hela tiden. Det räcker inte med att ha ett program då och då. Det måste hela tiden återkomma. Annars glömmer folk. Se över rutinerna, hur har ni det med övervakningen? Hur har ni det med rutinerna för uppdatering av operativsystem? Om ni lägger ut det hos tredje part, har ni koll på att de verkligen sköter det som de ska? Nu börjar politikerna vakna till de vill ställa nya krav. Tyvärr kan det skada det som vi vill åstadkomma, nya innovativa, SÄKRA lösningar som hjälper oss i vår vardag. När det kommer till digitala signaturer, så var det snarare så att politikerna la en våt filt över hela utvecklingen. Det här gäller också smarta bilar och smarta byggnader. Vi har förälskat oss i sociala medier. Det är det viktigt att vi har egna, interna regler, angående hur organisationen förhåller sig till sociala medier, och vad vi förväntar oss av våra medarbetare (hur ska de jobba med det här. ) Kom ihåg: Angrepp är enklare än försvar Två supersäkra system som kopplas ihop kan bli sårbara Internet gynnar angriparen

3 Lovisa Bonnevier, CISCO SecureLink, En roadmap för it-säkerhet Lovisa Bonnevier jobbar med rådgivning kring it-säkerhet och hur vi bör tänka runt säkerhet strategiskt och operativt för att få ihop den ganska komplexa bilden. Vilka konkreta handlingar hjälper oss få en bättre säkerhet och hålla den? Säkerhet förändras hela tiden och vi måste förhålla oss till det. En viktig aspekt när man ska tänka strategiskt på säkerhet är att man måste balansera olika perspektiv. Det här är en av de stora utmaningarna. Man måste ha kortoch långsiktiga mål. Man måste känna till verksamhetens mål, var branschen är på väg och vad man ska förhålla sig till. Men samtidigt måste man vara i nuet och då kan det handla om att man måste uppgradera en brandvägg eller hitta ett bättre skydd. Båda det kortsiktiga och det långsiktiga måste vara i fokus. Man behöver också jobba både uppifrån och ner och nedifrån och upp och ha en dialog med ledningen för att få pengar för att säkerställa att säkerhetsavdelningens arbete går i linjen med verksamhetens. Man måste jobba ganska pragmatiskt och titta på hur verkligheten ser ut. Hur ser den tekniska infrastrukturen ut, var finns hålen etc. En annan utmaning handlar om arv. Många organisationer har legacy med stordatorer och liknande. Samtidigt kommer duktiga utvecklarna med nya coola idéer och de vill att de ska gå snabbt och enkelt att prova att slänga upp saker. Man måste kunna dra nytta av nya möjligheter men samtidigt ta hänsyn till det gamla. Det är viktigt att balansera arkitektur-tänket, security by design och hur vi ska bygga för att få den säkerhet vi vill ha, mot att vi måste vara snabba och kunna plocka de lågt hängande frukterna, saker som kanske är enkla att fixa men som höjer säkerheten ganska mycket. Det kan vara att man måste bli bättre på att implementera vissa lösningar eller bli snabbare på att täppa igen hål om man upptäcker. Säkerhetsmänniskor måste bli på att röra sig upp och ner i hierarkierna, både organisatoriskt men också när man tänker och pratar it-säkerhet. Man måste å ena sidan förhålla sig till det strategiska perspektivet. Men man måste också vara på den operativa nivån där mycket av verksamheten sker varje dag. Det är där man kan se till att man har ett effektivt skydd och upptäcka det som slinker igenom. När man tänker roadmap och strategi är det viktigt att inte planera i tre månader och sedan ta fram en treårsplan. Det går snabbt och efter tre månader har världen redan förändrats. De som jobbar med it-säkerhet måste hela tiden vara agila så att man kan förändra och anpassa sig. Grunden är att ha ett strukturerat förhållningssätt. SecureLink kallar det för assess, design, deploy. Det handlar om att utgå ifrån var man är idag, var man vill och glappet däremellan. Hur ska man designa den bästa vägen framåt? Hur implementerar man det här på ett bra sätt? Teoretiskt är det väldigt enkelt. Det första steget är assessment, dvs nuläge kontra önskat lägre. Här finns en del utmaningar gällande hur man kan kvantifiera och sätta ord på det. Vad handlar det om när man pratar nuläge och önskat läge? Det handlar om var vi har vår data, om vi har en effektiv skyddsnivå på data. Ligger det i vår organisation eller ligger det hos en tredje part? Har vi koll på våra sårbarheter, tekniskt och integrationsmässigt? Vad gör vi med våra tredjepartsleverantörer och den data som de processar? Allt det här behöver man ha med för att kunna sätta bilden av var man befinner sig och var man vill vara.

4 Vilken säkerhetsnivå vill vi ha? Vilken risk kan vi ta som organisation? Om vi har mycket forskning och utveckling, mycket känslig information så kanske vi har ganska låg risknivå. Men har vi ett start up-företag där det handlar om att växa snabbt så kanske vi är villiga att ta större risker. Det här påverkar vår bild av den önskade situationen. Vi behöver ha en målbild som ligger i linje med vad verksamheten vill och vi behöver förtydliga den här målbilden. Vad innebär det att vara säker för oss? Hur säkra måste vi vara? Ett sätt att hantera det här kan vara att prata om mognadsgrad. Om vi börjar formulera oss i termer som mognadsgrad och hur vi jobbar med säkerhet så kan vi börja fundera på om vi jobbar ad hoc eller om vi har mogna processer, rutiner, resurser och verktyg. Om man känner till de här förhållandena kan man göra en GAP-analys och titta på var vi är idag och var vi vill vara. Då kan man formulera ett önskat läge och titta på vad vi behöver ha för mål, för processer och för organisation. Lite frågeställningar att förhålla sig till: hur ska man bygga och designa sin säkerhetsinfrastruktur tekniskt? Vad har man för typer av miljöer? Hur mycket sitter man ihop med andra? Hur ska man förhålla oss till molnet? Hur kan man minska sin exponering? Hur ska man få kontroll på governance, hur får man ihop helheten? Det finns ingen lösning som passar alla men man kan hitta sin egen väg framåt. Ofta har organisationer en dålig teknisk förmåga att hitta det som slinker igenom. Man behöver göra en bättre teknisk analys. Man behöver hitta verktyg som kan hjälpa till att upptäcka saker. Det ska inte vara så att man upptäcker incidenter först när en kund höra av sig. Många organisationer är svaga i responsprocessen, de saknar förmågan att agera när något händer. Det kan bero på verktygen man använder sig av för att laga saker. Men man måste också ha rätt processer och organisation på plats för att få effekt av säkerhetsarbetet. Vissa organisationer har dålig säkerhetsnivå över lag. Det största problemet kanske är människor som klickar på länkar och liknande. Hur kan man ta sig runt det läget? Svaret kanske handlar om att hitta någon typ av awarenessarbete på plats. När man har funderat över de här olika delarna som Lovisa Bonnevier talar om i sitt föredrag kan man påbörja arbetet med att sätta upp en road map. Förmodligen har man en lista över saker man måste jobba med och nu gäller det att prioritera. Det gör man genom att titta på vad som får mest effekt. Ibland är det ganska små saker, som att utnyttja de tekniska lösningarna bättre, eller ta kontroll över data som går ut i molnet. Lågt hängande frukter är sådant som enkelt kan implementeras till en låg kostnad. Det viktigaste med it-säkerhetsstrategin är att den går i linje med verksamheten. Gör den inte det kommer man inte att få några pengar. Det kan tyckas helt uppenbart men många glömmer att stämma av strategin mot verksamheten. Man bör också fundera runt hur man pratar säkerhet i sin organisation. Hur ska man föra dialogen med affären med cheferna så att de förstår varför det här är viktigt? Säkerhet ses fortfarande som jobbigt, som en bromskloss. Om man kan tala om för verksamheten hur det här kan hjälpa, hur man kan möjliggöra bättre affärsmöjligheter så är det lättare att sälja in. Hur kan man mäta och rapportera säkerhetsarbetet? Man har mycket att vinna på att hitta mätpunkter för att mäta säkerheten

5 Det sista steget handlar om hur man får in säkerhetsarbetet i verksamheten, rent praktiskt. Här har alla organisationer olika utmaningar men Lovisa Bonnevier tror att det handlar mycket om att planera för det löpande säkerhetsarbetet. Därför är det viktigt att road mapen görs levande och uppdateras kontinuerligt. Kom ihåg: Asses>design>deploy Var är vi, vart ska vi, hur ska vi ta oss dit. Var flexibla och agila och inför saker i kortare sekvenser. Se till att ni ligger i fas med verksamheten och it Se till att påvisa och sälja in förbättringar ni gör. Mycket säkerhetsarbete görs i det tysta och syns inte. Hur kan man lyfta fram det så att det syns? Att jobba med säkerhet på ett strukturerat sätt är jätteviktigt. Balansera de olika perspektiven, kort och långt. Här behöver man vara multikonstnär. Man måste kunna föra dialog och jobba med de olika perspektiven samtidigt. Caroline Olstedt Carlström, Vice President Privacy, Klarna Group GDPR konsekvenser och goda råd Caroline Olstedt Carlström berättar om Klarnas GDPR resa. Hon säger att mycket handlar om compliance och juridik. Men hon uppmanar alla att höja blicken: Det finns en hel del som mer eller mindre som måste vara klart till nästa vår pga GDPR, men det finns en hel del annat som företag måste tänka på i alla fall. De konsumentdrivna kraven på säkerhet har ökat, speciellt inom internationella B2B-relationer. Internationella kunder ställer allt högre krav. För några år sedan var det inte så många av Klarnas kunder som funderade över vad Klarna gjorde med dataskyddet men idag har många frågor runt det. Caroline Olstedt Carlström säger att vi i Norden är extremt duktiga på digitalisering. Med det kommer möjligheter men också risker. Legal compliance är en del av det, men det handlar också mycket om etik och moral och hur kunderna uppfattar oss. Även om sanktionerna ökar med GDPR är det fortfarande tilliten till varumärkena är som är den stora förlusten. GDPR är främst ett konsumentskyddande verktyg. Men användarna är inte riktigt klara över hur de vill att vi hanterar deras data. Grundläggande principer för GDPR: De grundläggande principerna finns redan i direktivet idag. Det måste man nu förhålla sig till oavsett var i organisationen man sitter. Principerna måste in på alla olika nivåer. Det är ett antal olika åtgärder som måste göras på enterprise-nivå men det är lika mycket en fråga om compliance; vad händer ute i organisationen, vad gör man på produktavdelningen, vad händer på HR och kundtjänst, vilken information får de anställda. På alla nivåer måste man på något sätt ta in det här regelverket. Och det är ju de praktiska utmaningarna finns, hur får man in det här rent praktiskt?

6 Inom ram som GDPR skapar måste man först komma fram till hur man löser change management på ett bra sätt. När man har något som påverkar hela bolaget är det viktigt är att man hittar alla stakeholders inom alla delar av organisationen. Man kanske inte ens vet vem som äger de här frågorna? Det måste finnas ett ägarskap. Man kanske inte ens har en DPO, data protection officer? Man kanske inte ens har en informationssäkerhetschef? Sedan har vi i Sverige varit tvungna att ha en karta över den databehandling som görs inom organisationen. Det här måste fixas och i många organisationer är det en stor utmaning att mappa och få till. Det behöver man lägga tid och resurser på. Någon måste göra det här jobbet, det kommer inte lösa sig av sig själv. Personuppgiftsansvarig är den organisation som behandlar informationen, det bolag som sitter på databasen och använder informationen för någon typ av affärsmässiga syften är ansvarig. Idag har Caroline Olstedt Carlström, som personuppgiftsombud på Klara en straffrättslig skyldighet att se till att informationen hamnar rätt. Teoretiskt sett kan hon hamna i fängelse om man misslyckas. Det förändras i maj Då blir det bara administrativa sanktioner, ansvaret hamnar det hör hemma. DPO, data protection officer, däremot, får ett ännu tydligare uppdrag än tidigare och det är ett ganska tungt uppdrag. DPO är en person som är väldigt viktig för organisationen. Det är en person som både ska förstå sig på it och systemen, men också informationssäkerhet, juridiken. Han eller hon bör vara kommunikativ och diplomatisk och förstå sig på interna processer. Personen bör sitta högt upp i organisationen och rapportera direkt till management. På Klarna rapporterar Caroline Olstedt Carlström direkt till vice vd. Till sitt förfogande har hon också haft 5 jurister och 5 dataskyddsspecialister som jobbat med de här frågorna på heltid. För att nå ut i organisation så har Klarna tagit hjälp av ambassadörer som är engagerade personer som tycker att GDPR är väldigt viktigt, men som egentligen är specialiserade inom sitt område. Det var viktigt att bygga ett nätverk så att man kunde nå ut ordentligt i organisationen för GDPR berör alla. Ambassadörerna ser till att man får med alla på tåget och sitter på en massa information. Idag har Klarna 35 ambassadörer som är utspridda på alla kontor. När man valde ut ambassadörerna tog man inte chefer eller ansvariga på de olika avdelningarna, istället plockade man de som var intresserade och tyckte att GDPR var viktigt. Caroline Olstedt Carlström säger att de är viktigt att arbeta tvärfunktionellt, mellan olika avdelningar. Det är viktigt att ha någon form av kommitté som kan leda arbetet. På Klarna har man haft ett råd bestående av de funktioner som Caroline Olstedt Carlström tyckte var viktigast för att driva arbetet. Man måste göra en risk- och sårbarhetsanalys i organisationen. På Klarna har alla projekt som går igenom den krossfunktionella prövningen också gjort en risk- och sårbarhetsanalys. Det som Caroline Olstedt Carlström insåg när hon började jobba på Klarna var att top down är väldigt viktigt men det funkar inte alltid jättebra, särskilt inte när det handlar om väldigt snabbfotade organisationer som gör förändringar hela tiden. På Klarna byggdes det interna regelverk som finns idag underifrån. Man har en policy som etablerar dataskyddsarbetet och de principer som ska gälla och som kopplar till GDPR. Man har också gjort det möjligt att skapa ett regelverk för privacy management program. Konsumentperspektivet är viktigt för Klarnas säkerhetsavdelning, GDPR är ett konsumentskyddande regelverk. Caroline Olstedt Carlström berättar att man håller på att utvecklar en privacy dashboard där man samlar allt som användarna är en del av för att man ska få in konsumenternas rättigheter i de olika delarna av organisationen.

7 Rapportering och en årsplan är också viktiga delar där man måste arbeta in GDPR i processen. Ni måste göra en kartläggning. Er kartläggning är dessutom ett bra verktyg för att jobba med för dataskyddet. Lägg upp mer information i kartläggningen än vad som är nödvändigt. Utnyttja processerna, det kommer hjälpa er att nå målen. Ägarskapet är jätteviktigt. Vem äger frågan om dataskyddet internt? Change management kräver kulturella förändringar i vissa organisationer, det får man inte glömma bort. Man får inte heller glömma bort att det krävs utbildning genom hela projektet. Man måste identifiera alla stakeholders internt och man måste få upp dem och in dem i projektet. Det ska finnas ett affärsfokus redan från början. Slutmålet måste vara klart, hur ska vi ha det här, vem ansvarar för det, vilka processer ska kicka igång vid integritetsincidenter, för att få ut information till registrerade, för sign-ups för de produkter som går ut. Det är bra om man kan skicka ut en statusrapport som visar vad man har gjort. Det handlar om awareness, om att få med organisationen på tåget och visa att vi gör något större än bara compliance. Välj molnleverantörer med omsorg. Molnleverantörer är inte compliant idag. Här måste man arbeta mycket med avtal. Dokumentation, oavsett vad ni gör, i vilken del av organisationen, se till att ni har dokumentation! Stefan Berglund, Affärsområdeschef HP Sofistikerade säkerhetshot i skrivare och dess lösningar Stefan Berglund berättar om hur skrivare utgör ett säkerhetshål som är lätt att täppa till. Tidigare talare har talat om uppkopplade tvättmaskiner och andra produkter som gör att hackare kan ta sig in i människors hem. Skrivare fungerar likadant på företag. En undersökning visar att 64 procent av it-cheferna säger att de har problem med skrivare och menar att skrivarna påverkar säkerheten. 26 procent av dem har kopplat säkerhetsproblem till en utskrift. Peter Kim är en världsberömd hackare som lever på att hacka olika system för att upptäcka säkerhetsluckor. Han har testat att gå ut och söka på utskrifter runt om i världen. Han har hittat mängder av skrivare som saknar lösenord, andra har kvar default-lösenordet Genom att gå in på skrivarna har Peter Kim kunnat stjäla viktig information. Ett annat exempel är en organisation som på kort tid lyckats hitta skrivare med öppna portar på universitet runt om i USA. Genom att använda sig av dem kan man sprida information, flygblad till mängder av studenter med bara en knapptryckning. Det finns också exempel där studenter med dålig ekonomi utnyttjar universitets skrivares hårddisk för att lägga upp ljudfiler, film. Det finns de som använt skrivare för att få tillgång till ett prov som de sedan delat med sig av eller sålt till andra. Det här har varit möjligt eftersom man inte krypterat data till skrivaren. Idag är organisationer ganska duktiga på att skydda sina dokument. Många har installerat någon form av lösning som gör att man på grund av säkerhetsskäl och miljöskäl måste logga in för att få ut sin utskrift. När det kommer

8 till att kryptera information som skickas till skrivaren däremot, så är det få som gjort det. En del har till och med tagit bort krypteringen eftersom det tar längre tid att skriva ut dokument som krypterats. Många är också dåliga på att säkra själva enheten. På sin PC har man ofta någon typ av skydd som gör att datorn känner av att konfigurationen är riktig och att det inte finns någon skadlig kod i maskinen. Om den skulle upptäcka något skumt stänger den ned och startar upp igen i säkert läge. Den tekniken finns också för utskrifter men det är sällan den används. Samma typ av skydd som skyddar våra datorer bör också finnas för skrivarna. Det här är något som många glömmer bort. Man bör också se till att det är enkelt och säkert att underhålla skrivarna. När det gäller våra datorer kan man enkelt skicka ut automatiska uppdateringar men för skrivare krävs det många gånger att man uppdaterar dem med en USB-sticka. Varje gång man installerar en ny skrivare borde man hämta hem den policy som man satt för skrivare och bestämma vilka säkerhetskoderna ska vara och vilka som får access. Att skriva incidentrapporter om skrivare är helt bortglömt idag, men det är något vi behöver tänka på för compliance och inför GDPR. Många tänker att skrivarna är säkra för att de står innanför brandväggen men det spelar ingen roll om man har anställda som klickar på fel länkar i mejl. De flesta it-säkerhetschefer är inte inblandade i inköpsprocessen när det kommer till skrivare men det borde de vara. Skrivarna borde vara inkluderade i säkerhetspolicyn och omfattas av samma rutiner som klienterna. Ställ krav på er befintliga leverantör vid upphandlingen, fokusera inte bara på kostnad och hur fort skrivaren skriver ut, ställ krav på säkerheten. Det här är ett stort säkerhetshål och här är det viktigt att ta hjälp av någon som kan it-frågor, inte bara någon som kan skrivare. Agne Lindberg, partner och advokat Delphi Säkra ansvarsfrågan med ett vattentätt avtal men läs lagboken först Agne Lindberg pratar om it-juridik och säkerhet. Han menar att det är det viktigt att vi klargöra vilka regler vi ska följa för att vara compliant. Men det handlar också om att säkerställa it-säkerheten genom att använda juridiken som ett verktyg. Det handlar bland annat om behovet av att skydda information och tekniska lösningar, framförallt i form av immaterialrätten. Avtalet med leverantörer är också ett sätt att garantera säkerheten för de som använder sig av externa leverantörer. GDPR innebär egentligen inte så mycket nya regler men effekterna för den som missköter sig kommer att bli väldigt mycket större, framförallt konstandsmässigt. Har man inte satt igång med förberedelserna måste man göra det. Det finns också annan lagstiftning på det här området. Det finns lagar mot intrång och attacker men problemet är att det är dåligt med kompetens och resurser hos rättsväsendet, så även om det finns ett regelverk så ligger mycket av ansvaret på oss som sitter här. Informationssäkerhet och lagstiftning som ska skydda företagshemligheter kanske inte är något som alla tänker på varje dag. Men en sak som är väldigt viktig att veta är att för att något ska vara en företagshemlighet så måste det

9 vara hemligt. Så fort du går ut och berättar om hur någonting så räknas det inte längre som en företagshemlighet. Därför finns det också ett skydd i immaterialrätten. Det är det sättet som juridiken har valt att skydda information och de flesta it-produkter, framförallt programvara och tekniska lösningar, omfattas av immaterialrätten. Immaterialrätten har två sidor. Den ena gäller det man får göra. Den andra gäller det jag kan göra för att skydda mig mot andra. I grund och botten är det copyright och upphovsrätt som skyddar de här sakerna. De ger ensamrätt att göra vad som helst med det man skapat. För att någon annan ska få använda sig av det så måste man ha tillstånd, licenser. Det här är grunden till alla licensavtal. Men lagen skyddar bara det som har lite verkshöjd. Den skyddar programvara och texter man skriver på sajter. Den skyddar dokumentation. Men den skyddar inte metoder och fakta. Det finns också en utmaning i att avgöra vem som äger den skyddade informationen, vem som har ensamrätten. Det finns bara lagreglering av en enda situation och det är när man använder anställda för att ta fram programkod, det är lagreglerat. Allt annat tillhör den som skapar det. Om företaget använder konsulter eller anställda som gör annan programkod så kommer de personerna att äga den. Det är en individrätt som funnits sedan 1700-talet för att skydda författare. Därför är avtal jätteviktigt för att ingen som jobbat på företaget ska kunna ta er information och skapa en konkurrerande verksamhet. Fakta kan inte skyddas. Men det finns en särskild lag som reglerar ett skydd för om man samlar mycket fakta, Big Data. Men skillnaden mellan upphovsrätten och Big data-skyddet, eller katalogskyddet, är att med upphovsrätten skyddas även enskilda komponenter, enskilda delar. Big Data-skyddet skyddar bara helheten. Det innebär att någon kan ta en del och återanvända den utan att det blir olagligt. Därför är det otroligt viktigt att komplettera de grundläggande immaterialrättslagarna med avtal. När vi gör det ska vi passa på att reglera så att vi skyddar oss med en bra sekretessklausul. När det kommer till de här viktiga avtalen är det tre moment som är viktiga. Det är viktigt att beskriva vad man levererar Vad som händer om man inte levererar Vad som händer när avtalet tar slut. Hur hanterar man en exit på ett smart sätt? Det är någonting som man måste tänka på från början. På Delphi jobbar man mycket med att snickra ihop och granska avtal men man tittar också på tvister och den främsta anledningen till tvister är att man inte är överens om vad som ska levereras. På andra plats hamnar priset. Därför är det jätteviktigt att man jobbar med att skapa en bra och utförlig tjänstebeskrivning. Den måste vara smart konstruerad, man måste se till att både funktionella och ickefunktionella krav finns med och att man kan utnyttjar leverantörens standardbeskrivningar av sina tjänster. Här har det blivit ganska populärt att jobba med dubbel reglering. Först har man övergripande krav som är funktionella, och sedan jobbar man med olika ansvarstabeller state of works som beskriver detaljer. Man ser också till att koppla det till policies och regelverk som finns. Det är viktigt att det finns en flexibilitet i avtalet. Säkerhetspolicies, säkerhetsregler och governance kommer att förändras. Om man skriver ett infrastrukturavtal på fem år så kommer det ske ganska mycket under den tiden. Därför måste avtalet vara flexibelt för de nya regler som kommer in. Det ska finnas en skyldighet för leverantören att implementera sådant, standardtjänsten kanske

10 utvecklas. Lägg mycket krut på tjänstebeskrivningen, ett avtal består av många delar. Alla är lika viktiga och det måste finnas en röd tråd emellan. Kontroll av underleverantörer är också en del av säkerhetstänket. Att man verkligen vet vilka som levererar. Flow down och flow up-klausuler är viktigt. Det är avtalsvillkor som man kräver att till exempel en molnleverantör som sköter infrastrukturhanteringen ska vara del av. Man måste ha koll på många olika avtal. Det ska finnas business continuity. Revision är en viktig klausul av avtalen. Man måste kunna göra audits och se till att leverantören faktiskt följer avtalet. Vad händer om man inte levererar? Vem har ansvar för de skador som vi drabbas av och vem ska hantera dem. Här finns det ansvarsregler. Det är till exempel väldigt vanligt att man tittar på förlust av data eller förvanskning av data. Där finns driftleveransavtal och driftsavtal där huvudfokus är att hantera infrastrukturen. Generellt sett kan man säga att it-avtal i sin karaktär är väldigt begränsade i sitt ansvar. Det här med force major eller faktorer man inte råder av har diskuterats mycket. Är det verkligen force major när olika kommunikationsvägar inte fungerar? Man måste titta på ansvarbegränsningsregler och förstå vad de innebär. Tjänstebeskrivningar reglerar vad man ska leverera. Sedan har man ju kvalitetskrav i form av service-nivåer. Där ska man vara tydlig på vad man mäter och hur man mäter. När det står om tillgänglighet i avtalen så måste man veta hur och vad man mäter. På samma sätt är det med säkerhet kring krypteringskravet, incidenthantering, repsonse och resolution-hantering. Det är klart att man kan han en incidenthanteringsnivå där man släcker bränder men det ni kanske egentligen vill ha är hantering av problemet och kartläggning av det grundläggande problemet. Konsekvenser, vitena är ofta en förutbestämd peng. Men det man ska tänka på att om jag skriver in ett vite så är det enda som kommer att hända, inget skadestånd, ingen rätt att säga upp avtalet, ingen rätt att få pengar tillbaka även om tjänsten är riktigt, riktigt dålig. Därför är det viktigt att skriva in de sanktioner man har rätt till utöver det. Exit och avtalstid, självklart vill man ha det på ett sätt som gör att man inte behöver gå ur avtalet i förtid. Man ska jobba in business continuity och säkerhetskraven. Man ska se till att man har en step in-rätt så att man kan gå in och ta över ansvaret och använda andra leverantörer om den första leverantören inte sköter sig. Man kan också sätta in en expert som jobbar sida vid sida med leverantören. Det upplevs ofta som en trygghet. När det kommer till avtalstiden är trenden att det går mot kortare och kortare avtalstider med förlängningar. Det är också en trend att det blir allt tydligare krav på vad som händer när man bryter avtalet, vad finns det för assistenskrav, ska vi raderas om leverantör det som finns i vårt system osv. Lite kort om molntjänster: molntjänstleverantörer är sällan möjliga att förhandla med, därför är det viktigt att göra en contra assessment tillsammans med den risk assessment som ni gör när ni lägger ut det på cloud. Titta på ett antal olika grundfrågor och så sätter ni grönt eller rött ljud. Är det här avtalet riktigt dåligt eller är det okej eller är det superbra. Så tar man till sig det när man utvärderar de olika molnalternativen. 2 frågor som ska besvaras: Vad är det som ska levereras. Det är ofta luddigt, ofta länkar till olika webbsidor och liknande. Därför bör man ändå titta på om man ska komplettera med några grundkrav och kanske en exitmöjlighet, åtminstone i början. För att ändra avtalsinnehållet är väldigt svårt.

11 Molntjänster behöver hela tiden ändras. Ska man verkligen tillåta det? Ska man åtminstone ha vissa förberedelseperioder. Ska man i alla fall ha möjlighet att gå ur avtalet. Lever molnleverantören upp till GDPR? Kom ihåg: Säkerställ flexibiliteten i avtalet Se till att ta till en avtalsgranskning när ni väljer molnleverantörer Se till att reglera vad som händer ni går ut avtalet