Dataintegritet i molnet
Världens organisationer fortsätter att lägga allt mer av sin information i molnet. Det är i grunden en bra sak, eftersom molnet nästan alltid är säkrare än det lokala kontoret eller det företagsegna datacentret. Dessvärre håller inte alltid säkerheten jämna steg med påfyllningen av data i molnet. Det är exempelvis långt från alla som krypterar data ”i vila”, har full insyn i vilken data som faktiskt finns i bolagets molnapplikationer, eller använder DLP-funktioner (Data Loss Prevention) för att skydda sig mot olika typer av dataförlust. Många bolag tillåter dessutom åtkomst till företagsgodkända molntjänster från personliga enheter, vilket kan leda till nerladdning av känslig information från molnet till en okontrollerad personlig enhet
För den som hanterar känslig information – inte minst personuppgifter och kunddata – är det av allra största vikt att allt är rätt inställt, att du har rätt säkerhetsrutiner (som också följs) och full insyn i var och hur data lagras och skyddas.
Dina molntjänster kan strida mot bestämmelserna i GDPR
Regelverken kring hantering av personuppgifter har funnits några år och hittills har de stora amerikanska molntjänstleverantörerna lutat sig mot det så kallade Privacy Shield-avtalet. Sedan EU-domstolen ogiltigförklarade Privacy Shield är det dock inte längre tillåtet att enbart hänvisa till detta avtal för att påvisa EU-kompatibilitet. Det är nu istället upp till varje enskild verksamhet att göra en bedömning om tillräckligt skydd finns för att garantera att kraven i GDPR efterlevs.
Kryptering av data kan vara ett sådant skydd för organisationen, men viktigt att tänka på är att bevisbördan ligger på den enskilda verksamheten här. Det är alltså den enskilda verksamheten som måste kunna garantera att ingen extern organisation (så som exempelvis amerikanska NSA) har knäckt aktuella krypteringsnivåer. En garanti som är extremt svår, om inte helt omöjlig, att ge för enskilda organisationer.
Sammantaget har vi alltså en situation där det finns en ökad risk att känsliga uppgifter hamnar i orätta händer – något som i slutändan också kan drabba de företag ekonomiskt som hanterar uppgifterna.
Här nedan följer några viktiga saker som alla som hanterar personuppgifter (såsom kunddata) måste säkerställa och tänka på.
5 tips om hur du skyddar känslig data
Att skaffa insyn i molnet och skydda känslig data är egentligen inte så svårt som det kan verka. Men det handlar förstås om att veta var du ska börja och vad du bör fokusera på. Och det handlar om såväl tekniska lösningar, policys och rutiner, och att öka medvetenheten hos alla anställda.
- Välj en molntjänst som garanterar regulatorisk efterlevnad
Skaffa bra koll på vilka dataskyddslagar som gäller i det landet där er data kommer att lagras, exempelvis GDPR inom EU, samt om det finns andra lagar som riskerar att trumfa de nationella lagarna, exempelvis amerikanska CLOUD Act. Glöm inte att det är molnleverantörens bolagshemvist som avgör vilket regelverk som data och applikationer lyder under, inte datacentrets geografiska placering.
- Kryptering ett måste
När du flyttar till molnet, eller byter moln, måste du säkerställa att din plattform och dina molnlösningar erbjuder möjligheten att kryptera data – både när data ligger lagrat i molnet och när data överförs eller delas med affärspartners. Håll dig också uppdaterad om kryptering – krypteringsteknologier och processer utvecklas mycket snabbt. Organisationer som inte har granskat och vid behov uppdaterat sina krypteringsmetoder är ofta sårbara för attacker.
- Kontroll, kontroll, kontroll.
Skapa en strategi för enhetskontroll för att identifiera och kontrollera användningen av alla enheter som kan lagra eller ladda ner data. Detta minskar inte bara risken för att dåliga saker kommer in i ditt nätverk – det kan också hjälpa till att förhindra att känslig information läcker ut, av misstag eller med uppsåt. Använd applikationskontroll för att hålla reda på och begränsa onödig eller riskabel programvara.
Överväg också att begränsa åtkomsten till kundinformation – inte alla i en organisation behöver kunna se kundernas personliga information. Ju färre människor med ett verkligt behov av åtkomst, desto färre är också möjligheterna för angripare att hitta en svag punkt och stjäla data.
Det kan också vara en god idé att separera dina nätverk. Dagens cyberkriminella vill komma åt mer än bara en användares lösenord och några filer – de vill ha åtkomst till dina back-end-databaser, ditt PoS-nätverk och ditt testnätverk. Överväg därför att separera dina nätverk med kraftfulla brandväggar som behandlar dina interna avdelningar som potentiellt fientliga mot varandra, snarare än att ha en enda stor ”inre” barriär mot den fruktade ”utsidan”.
- Glöm inte de grundläggande säkerhetsfunktionerna
Det finns ett antal saker som du alltid bör ha i din verktygslåda för säkerhetsarbetet – oavsett om vi pratar om att skydda personuppgifter i molnet eller någon annanstans. Se till exempel till att du har ett effektivt endpoint-, nätverks- och e-postskydd som filtrerar bort merparten av skräppost, skadlig programvara och filer. Lär dina anställda att vara misstänksamma mot e-postmeddelanden, särskilt de som innehåller bilagor, och att alltid rapportera alla ovanliga e-postmeddelanden eller bilagor till IT-avdelningen. Dessvärre är det fortfarande allt för många företagsanställda som av misstag laddar ner skadlig programvara genom att klicka på länkar eller bilagor i e-postmeddelanden.Därtill bör du givetvis ha rigorösa rutiner för lösenord, tillåt inga husdjursnamn, födelsedagar eller favoritlag för inloggning på molnplattformar där känsliga data lagras. Om det erbjuds ska du alltid implementera multifaktorsautentisering – faktum är att många har börjat prata om att skippa lösenorden helt och hållet och i stället använda exempelvis biometriska lösningar.
Så kallad ”skugg-IT” är en situation som uppstår när anställda använder otaliga molntjänster utan din vetskap. Försök skaffa en överblick över vilka tjänster som faktiskt används i din organisation och hur de används. Informera dina anställda om det mycket olämpliga i att flytta känsliga företagsdata till en privat Dropbox eller liknande. Även om det är ”smidigare” för stunden så kan det kraftigt öka riskerna för att informationen kommer i fel händer (särskilt om lösenordet till Dropbox-kontot är svagt eller aldrig har ändrats).
Att patcha snabbt och kontinuerligt är en annan mycket viktig del av ditt säkerhetsarbete. Kända, men icke patchade, säkerhetshål är en av de allra vanligaste attackvektorerna som kriminella utnyttjar. Dessvärre är patchningen trots detta ofta väldigt eftersatt och lågprioriterat. Överväg därför att köpa in verktyg eller tjänster som sköter patchningen åt dig. På så sätt säkerställer du att ditt operativsystem och dina applikationer alltid är uppdaterade med de senaste säkerhetsfixarna.
- Spara bara det som är absolut nödvändigt
Att samla in onödiga kunddata innebär inte bara slöseri med energi och resurser, utan ger också ett större kassavalv för angripare att rikta in sig på. Det kan också lätt få kunder att oroa sig och undra över varför du behöver samla in så mycket informationen överhuvudtaget. Samla och spara alltså bara det du verkligen behöver för affärsändamål. Du kan också ta det ytterligare ett steg och erbjuda kunderna möjligheten att själva välja om de vill dela personlig information med dig eller inte.
I stället för att alltid försöka få ut så mycket som möjligt av kundens data (många företag gör fortfarande automatiskt sina kunder till prenumeranter på utskick direkt efter en affär) efter att ditt företag har slutfört sin kommunikation med dem, kan du överväga att förstöra alla data efter att du har använt dem. Den typen av säkerhetstänk stärker kundernas förtroende för ditt integritetsarbete.
Avslutningsvis - gör kundens integritet till allas prioritet
Skydd av personuppgifter berör alla. Kundsäkerhet är alldeles för kritisk för att enbart hanteras av någon särskilt utvald. När du har omfattande säkerhetsrutiner och policys på plats, se till att alla i din organisation förstår dem och – framför allt – följer dem. Till exempel bör du lägga extra tyngd på att dina anställda förstår de potentiella riskerna med användning av egna enheter eller nätverk utanför kontoret.