Nye personvernregler - nye krav til motstandsdyktighet

Fra og med mai 2018 vil vi få nye personvernregler i Norge som tar utgangspunkt i EUs personvernforordning (GDPR). I en tidligere artikkel belyste vi sentrale regelendringer knyttet til brukerens rettigheter, strengere krav for databehandlere og plikten til å ha personvernombud. En endring som ikke har fått like mye oppmerksomhet ennå er de nye kravene som stilles knyttet til motstandsdyktighet ved prosessering av personopplysninger.

Nye krav til sikker prosessering og motstandsdyktighet


Både behandlingsansvarlig og databehandlere skal implementere hensiktsmessige tekniske og organisatoriske sikkerhetsbarrierer basert på en vurdering av risiko forbundet med prosesseringen i henhold til de nye reglene (jf. GDPR artikkel 32). I vurderingen skal det blant annet tas hensyn til evnen til å opprettholde konfidensialitet, integritet, tilgjengelighet samt motstandsdyktigheten til systemer og tjenester. Videre skal det vurderes evnen til å gjenopprette tilgjengeligheten og tilgangen til personopplysninger innen rimelig tid dersom fysiske eller tekniske hendelser inntreffer.
Mens krav som konfidensialitet, integritet og tilgjengelighet er kjent fra dagens lovgivning, er motstandsdyktighet et nytt aspekt som krever vurdering hos virksomheter.


Motstandsdyktighet – hva hvis sikkerhetsbarrierer svikter?


Mange vil ha en intuitiv forståelse for begrepet motstandsdyktighet. Likevel er det verdt å spørre seg hvordan begrepet bør tolkes i denne konteksten og hvordan forordningens krav kan etterleves?
I informasjonssikkerhetsverdenen brukes begrepet motstandsdyktighet for å si noe om i hvilken grad et system eller tjeneste kan motstå et angrep og eksisterende sårbarheter eller svikt i enkelte sikkerhetsbarrierer kan medføre svikt i hele sikkerhetssystemet. Forsvar i dybden (defence in depth) er en velkjent strategi hvor flere sikkerhetsbarrierer brukes lagvis for å hindre at svikt i én sikkerhetsbarriere resulterer i sikkerhetsbrudd med uønskede konsekvenser. Skallsikring og fysisk adgangskontroll til virksomhetens datahall i tillegg til bruk av diskkryptering for servere er et eksempel hvor informasjonens konfidensialitet vil være beskyttet i et fysisk innbruddscenario, selv om en barriere svikter. Redundans for kritiske systemer i tillegg til overvåkning og gjenopprettingsrutiner er et annet eksempel der flere barrierer sikrer systemets motstandsdyktighet.
Eksemplene viser at motstandsdyktighet skiller seg ut fra konfidensialitet, integritet og tilgjengelighet i den forstand at det kan vurderes for sårbarheter og barrierer uavhengig om disse gjelder konfidensialitet, integritet eller tilgjengelighet til systemer eller tjenester.


Vurdering av motstandsdyktighet i praksis


I praksis blir vurdering av motstandsdyktighet en naturlig del av virksomhetens årlige prosess for vurdering av risiko knyttet til håndtering av personopplysninger og valg av (ytterlige) sikkerhetsbarrierer og det blir bli naturlig å stille seg spørsmålet: Hva hvis en (eksisterende) sikkerhetsbarriere svikter?


Deretter må man gjøre en kost-nytte vurdering av eventuelle alternative/ytterligere barrierer, for å implementere og dokumentere forsvar i dybde-strategien. Her er det viktig å huske at ulike typer barrierer kan brukes. De nye personvernreglene krever vurdering av både tekniske, men også organisatoriske barrierer. Jevnlig opplæring og bevisstgjøring av ansatte angående relevante deler av virksomhetens risiko- og trusselbildet samt deres rolle og ansvar, f.eks. ved phishingangrep og sosial manipulering, er kun et eksempel på organisatoriske barrierer som bør vurderes i tillegg til tekniske som overvåkning av systemer.
Barrierer kan igjen deles inn i barrierer som:

  • Forhindrer at en type hendelse inntreffer,
  • Oppdager hendelser og/eller
  • Bidrar til å håndtere hendelser før disse medfører større konsekvenser.

Bruk av flere barrierer øker sannsynligheten for at man oppdager og kan håndtere angrep før angriperen har kommet seg gjennom alle barrierer. Dette er kun en av de endringene som den nye personvernforordningen vil medføre. Overgangen til GDPR og å sikre samsvar mot det nye lovverket vil innebære en del arbeid for virksomheter for å få på plass rutiner, prosesser og annet som kreves. Det anbefales at man starter dette arbeidet så fort som mulig, slik at man er forberedt. Ønsker du ytterligere informasjon kan du også lese vårt whitepaper «Hvordan treffes dere av den nye personvernloven» hvor du vil kunne lese om strakstiltak for å starte arbeidet mot samsvar med lovgivningen, samt flere spørsmål det er viktig å ta stilling til i forhold til den nye forordningen. Watchcom er et unikt selskap i Norge med noen av markedets fremste eksperter på sikkerhet og vi kan hjelpe deg på alle områder. Vi leverer ekspertrådgivning og tjenester innenfor GDPR og hjelper deg å sikre din virksomhet slik at du kan fokusere på å gjøre dine kunder fornøyde.