Behandling og lagring av sensitiv data i utlandet

Store penger forsvinner ut av Norge til land som India og Ukraina. Min kollega, Gerd Kathrine, satt i bilen på vei til jobben dagen etter sikkerhetsdagen i Alta da hun hørte nyheten på radio, og tipset meg. Tips og inspirasjon som dette får hodet mitt til å knake. Jeg er over middels interessert i faget mitt, IT-sikkerhet – og det er morsomt når flere blir engasjert. Under Sikkerhetsdagene 2016 er tematikken myndighetenes krav til personvern og trygghet, og om din virksomhet oppfyller disse kravene. Temaet kom ut av den nye personvernforordningen i EU/EØS:

Overføring av personopplysninger til utlandet

Virksomheter som vil overføre personopplysninger til utlandet, kan bare overføre til stater som sikrer en forsvarlig behandling av opplysningene. Loven sier at overføring bare kan skje til stater som sikrer en forsvarlig behandling av opplysningene. Landene innenfor EU/EØS-området er anerkjent som stater som sikrer at personopplysninger behandles forsvarlig, og derfor kan man overføre personopplysninger til disse statene forutsatt at personopplysningslovens øvrige vilkår er oppfylt. Det samme gjelder land som Europakommisjonen har godkjent.

Kilde: Datatilsynet

Finner du ikke landet din virksomhet ønsker å benytte som driftsleverandør i denne listen? Det er flere som har løst dette ved å opprette lokale datasentre i Norge. Hvem og hvordan dette overvåkes kan jeg ikke uttale meg om, men det er delte meninger om hva man bør og ikke bør gjøre. Les dette eksempelet, hvor en sikkerhetsekspert mener du spiller russisk rulett med virksomhetens sensitive data om du lagrer jobb-filer i Dropbox, Google Docs eller iCloud. Det viser seg likevel at god økonomi i norske bedrifter gjør at vi har det mindre travet med å kaste oss på nettsky-bølgen.

Med EU og EØS's nye personvernforordning er sikkerhet viktigere enn noen gang: 

• Den nye personvernforordningen ble nylig vedtatt i EU-parlamentet, og må implementeres innen januar 2018 i EU- og EØS-landene.
• "One continent, one law”: et harmonisert regelverk som tilrettelegger for e-handel i EU og EØS.
• Gjelder alle virksomheter som behandler informasjon om enkeltpersoner.
• Det innebærer mer direkte regulering av databehandlere, og strengere krav til innsamling og behandling av personopplysninger. Det legges vekt på å forebygge, fremfor å reparere skade.
• Bøtenivået på brudd økes betraktelig - opp til fire prosent av selskapets årlige omsetning eller 20 millioner EURO.
• Høye bøter skal utgjøre en så stor forretningsrisiko for bedriften at det ikke "lønner seg" med en reaktiv IT-sikkerhetsstrategi – virksomheter må ha en proaktiv strategi.
• Finansiell risiko ved utilfredsstillende IT-sikkerhet er såpass høy at den antagelig må adresseres i bedrifters revisjons- og årsrapporter.

Les mer om EU-direktivet her.

Vi snakker ikke lenger kun om sikkerhet som antivirus, brannmur og tradisjonelle tekniske løsninger som er en selvfølge. Vi snakker full oversikt og verktøy som hjelper oss med dette, eksempelvis QRadar fra IBM som Atea har satset tungt på (etter å ha testet de forskjellige løsningene i markedet opp mot hverandre).
Vi anbefaler og selger dette kundene våre både som et produkt du kan ha inhouse og kontrollere selv, men også som "back bone" i tjenesten Security Console. Ønsker du mer informasjon om dette fyr en mail til sikkerhet@atea.no, og vi svarer deg raskt.

Spådommen

I 2012 kom spådommen om femdobling av antall lagrede data. Fra sikkerhetssiden ser vi viktigheten av å ha gode backup-rutiner, spesielt etter de utallige angrepene vi har sett i Norge med blant annet Cryptolocker:

• Ta regelmessig sikkerhetskopier og sjekk at disse fungerer.
• Oppdater alle programmene på dine datamaskiner nå og regelmessig

Jeg spør min gode venn og kollega gjennom mange år Andreas Rømmen som er ansvarlig for backup i Atea. Han har en arkitekts tilnærming og en enorm breddekompetanse. Hvilke tanker har han rundt lagring av data, og ikke minst om spådommen om lagringsveksten fra 2012 har slått til?

– Jeg pleier å si «har vi sjekket med fasiten?» for det er som regel den han sitter på. Lovverket EU og EØS's nye personvernforordninger har innvirkninger innenfor dette fagområdet også.

Kommentar fra Andreas:

– Jeg blir litt svett når Thomas referer til meg som om jeg sitter på fasiten, men noen meninger – det har jeg jo. De fleste bedrifter har en lavere vekst enn spådommen, selvfølgelig med noen hederlige unntak. Det ligger likevel en viss sannhet i spådommen: på verdensbasis vokser volumene enormt. Litt av grunnen til det er at privatpersoner (som for eksempel Thomas) sitter på en datamengde tilsvarende en mellomstor bedrift i Norge.

– Bedrifter har en tendens til å produsere data inn i databaser, og deler derfor mye av informasjonen mellom de ansatte. Uten å bli veldig personlig antar jeg at Thomas ikke deler alt for mye med naboene i gata, og dermed blir det mange duplikater av data (som for eksempel nedlastinger). Virksomhetenes datamengder øker, men ikke like mye som i de private hjem. Utfordringen er at vi er rammet av "kjekt-å-ha" prinsippet (som jeg tror de fleste kan kjenne seg igjen i). Dette har ikke vært noe stort problem så lenge vi har kastet større disker og lagringssystemer etter problemet. Pipeline for utvidelse av lagringssystemer er fortsatt stor i Atea, og jeg klarer vel ikke helt å se at den skal bråstoppe selv med innføring av alskens skyløsninger vi innfører.

– Det som trolig blir en utfordring for de fleste er utformingen av EUs nye direktiv. Direktivet fordrer at man skal ha kontroll på sine data, slik at man kan slette data som ikke lenger har livets rett. Dette rimer dårlig med "kjekt-å-ha" prinsippet, og de virksomhetene som har sett på skylagring som et billig sted for å slippe administrasjonen av en stadig større datamengde. Eierskapet av data ligger fortsatt på samme sted, uavhengig av hvordan man sprer data utover. NB: jeg er ikke negativ til skytjenester, men opptatt av at verktøyet må brukes riktig.

– La meg forklare med en metafor: I oktober kjøpte ”sjefen” (min bedre halvdel) og jeg en enebolig i Tønsberg. Vi rasket med oss alt vi eide i pappesker, lastet det på bil og henger og dro avsted. Vårt lagringssystem var den herlige dobbelgarasjen. Her var det bare å hive alt inn. Etterhvert som vi var klare bar vi inn utstyr og møbler inn i huset. Nå er det jo sånn at man alltid trenger noe nytt og bedre utstyr. Det medførte at garasjen aldri  ble tom – og konsekvensen ble at bilen aldri fikk plass.

– Virksomheter må forholde seg til det nye EU-direktivet, men jeg må forholde meg til "sjefen". Det kan jeg fortelle at blir nesten det samme. (Har ingenting med at hun er EU-borger) Hun forlangte at jeg skulle rydde i denne garasjen (rydde kan visst også bety kaste). Jeg var selvfølgelig ikke helt enig, så jeg så etter rømningsveier, og jeg fant en! Det var i hvert fall det jeg trodde.

– Vår doble garasje hadde selvfølgelig et loft, min private sky. Jeg begynte å bære opp den ene kassen etter den andre. I og med at vi hadde plukket ut en del konsoliderte jeg så mange kasser som mulig, og med det så stemte ikke beskrivelsen på kassen lenger. Ikke så farlig, det viktigste var å få sjefen av nakken. Nå er det slik at sjefen kjenner lusa på gangen, og det tok jo ikke så lang tid før inspeksjonen kom. Min "sky" ble inspisert, og den sto ikke til terningkast én engang. Sjefen forlangte at jeg gikk gjennom alle kassene (indeksere data), kastet det som vi ikke skal bruke, og ikke minst lage et system som gjorde at vi kunne gå opp og finne de tingene vi trengte.

– Foreløpig løsning er at jeg har gjort loftet litt mer utilgjengelig med å fjerne trappa (bygger om) så hun ikke kommer opp. I tillegg så har jeg en annen "sky": uthuset! Det er mye mindre, har reoler på alle vegger, står nærmere huset og skinner i ettermiddagssola så fager. Det jeg prøver å fortelle er at man kan ikke løpe fra ansvaret med å plassere data rundt omkring i forskjellige infrastrukturer. Riktig brukt blir det veldig bra, men vi må ha kontroll på data og den verdien de har.

Wow! Takk til Andreas for et godt innspill. Backup enkelt forklart for oss vanlige dødelige (som ikke har begge beina i backup-verdenen), og ikke minst forståelse for problematikken rundt lagring av data.

Norske selskaper outsourcer IT

Tilbake til disse dagers «hete potet»: norske selskaper outsourcer IT for rundt 30 milliarder kroner årlig, og store penger forsvinner ut av Norge til land som India og Ukraina:

Tapte mye på IT-utvikling i India

Mange norske selskaper går på en smell når de prøver å outsource virksomhet til India eller andre lavkostland som Ukraina eller Kina. Ulik arbeidskultur og fysisk avstand gjør fallgruvene mange og dyre, mener bedriftene selv.

Les artikkelen her.

Jeg er ingen ekspert på outsorcing, og egentlig mest opptatt hvordan man behandler sensitiv data og reglene rundt lagring av data i utlandet. Etter å ha lest noen artikler ser det ut til at lagring av data i utlandet ikke alltid er optimalt, og at arbeidsplassene kommer tilbake til Norge igjen. Da er det greit  å vite at Atea både har og bygger ut våre datasentre i Norge fortløpende.

Med lovverk og sikkerhet i tankene håper jeg å se deg på årets siste sikkerhetsdag i Stavanger 9. juni.

//TT