Stadig mer sensitiv informasjon i skyen – hvordan beskytter man den best mulig?

Organisasjoner over hele verden lagrer stadig mer av informasjonen sin i skyen. Dette er i utgangspunktet positivt, da sky nesten alltid er sikrere enn et lokalt kontor eller et selskaps eget datasenter. Dessverre holder ikke sikkerheten alltid tritt med tilstrømningen av data til skyen. For eksempel krypterer ikke alle data «i hvile», har full oversikt over hvilke data som faktisk finnes i selskapets skyapplikasjoner, eller bruker funksjoner for forebygging av datatap (DLP) for å beskytte mot ulike typer datatap. Mange selskaper tillater også tilgang til selskapets godkjente skytjeneste fra personlige enheter, noe som kan føre til at sensitiv informasjon lastes ned fra skyen til en ukontrollert personlig enhet.

For alle som håndterer sensitiv informasjon – ikke minst personopplysninger og kundedata – er det ekstremt viktig at alt er riktig konfigurert, at du har de riktige sikkerhetsprosedyrene på plass (som også følges) og full åpenhet om hvor og hvordan data lagres og beskyttes.

Dine sky-tjenester kan bryte med GDPR-regelverket

The regulations governing the handling of personal data have been in force for several years, and until now, the major American cloud service providers have relied on the Privacy Shield agreement. However, since the European Court of Justice has invalidated Privacy Shield, it is no longer permissible to refer exclusively to this agreement to demonstrate EU compatibility. Instead, it is now up to each individual company to assess whether sufficient protection is in place to ensure compliance with the requirements of the GDPR.

Datakryptering kan gi organisasjonen slik beskyttelse, men det er viktig å huske på at bevisbyrden i dette tilfellet ligger hos den enkelte virksomheten. Det er derfor den enkelte virksomheten som må kunne garantere at ingen ekstern organisasjon (som den amerikanske NSA) har knekket de gjeldende krypteringsnivåene. Dette er en garanti som er ekstremt vanskelig, om ikke umulig, for enkeltorganisasjoner å gi.

Alt i alt har vi en situasjon hvor det er økt risiko for at sensitive data havner i feil hender – noe som i siste instans også kan få økonomiske konsekvenser for selskapene som håndterer dataene.

Nedenfor er noen viktige ting som alle som håndterer personopplysninger (for eksempel kundedata) må sikre og ta hensyn til.

5 tips om hvordan du kan beskytte sensitive data

Det er ikke så vanskelig å få innsikt i skyen og beskytte sensitive data som det kan virke. Men selvfølgelig handler det om å vite hvor man skal begynne og hva man skal fokusere på. Og det handler om tekniske løsninger, retningslinjer og prosedyrer, samt å øke bevisstheten blant alle ansatte.

1. Velg en skytjeneste som garanterer samsvar med regelverket.

Sørg for at du er kjent med personvernlovgivningen som gjelder i landet der dataene dine skal lagres, for eksempel GDPR i EU, og om det finnes andre lover som kan ha forrang fremfor nasjonale lover, for eksempel den amerikanske CLOUD Act. Husk at det er skyleverandørens hjemland som avgjør hvilke regler som gjelder for data og applikasjoner, ikke den geografiske plasseringen av datasenteret.

2. Kryptering er et must.

When moving to the cloud, or switching clouds, you need to ensure that your platform and cloud solutions offer the ability to encrypt data – both when data is stored in the cloud and when data is transferred or shared with business partners. Also, stay up to date on encryption – encryption technologies and processes are evolving rapidly. Organisations that have not reviewed and, where necessary, updated their encryption methods are often vulnerable to attacks.

3. Kontroll, kontroll, kontroll.

Lag en strategi for enhetskontroll for å identifisere og kontrollere bruken av alle enheter som kan lagre eller laste ned data. Dette reduserer ikke bare risikoen for at skadelige elementer kommer inn i nettverket ditt – det kan også bidra til å forhindre at sensitiv informasjon lekker ut, enten ved et uhell eller med vilje. Bruk applikasjonskontroll for å spore og begrense unødvendig eller risikabel programvare.

Vurder også å begrense tilgangen til kundeinformasjon – ikke alle i en organisasjon trenger å kunne se kundenes personopplysninger. Jo færre personer som har et reelt behov for tilgang, desto færre muligheter har angripere til å finne et svakt punkt og stjele data.

Det kan også være lurt å skille nettverkene dine. Dagens nettkriminelle vil ha mer enn bare brukerens passord og noen få filer – de vil ha tilgang til backend-databasene dine, PoS-nettverket ditt og testnettverket ditt. Derfor bør du vurdere å skille nettverkene dine med kraftige brannmurer som behandler de interne avdelingene dine som potensielt fiendtlige mot hverandre, i stedet for å ha en enkelt stor «intern» barriere mot den fryktede «utsiden».

4. Ikke glem de grunnleggende sikkerhetsfunksjonene.

Det er en rekke ting du alltid bør ha i sikkerhetsverktøykassen din – enten det gjelder beskyttelse av personopplysninger i cloud eller andre steder. Sørg for eksempel for at du har effektiv beskyttelse av endepunkter, nettverk og e-post som filtrerer bort det meste av spam, skadelig programvare og filer. Lær dine ansatte å være mistenksomme overfor e-poster, spesielt de med vedlegg, og å alltid rapportere uvanlige e-poster eller vedlegg til IT-avdelingen. Dessverre er det fortsatt altfor mange ansatte i bedrifter som ved et uhell laster ned skadelig programvare ved å klikke på lenker eller vedlegg i e-poster.

I tillegg bør du selvfølgelig ha strenge passordprosedyrer på plass, og ikke tillate at kjælenavn, bursdager eller favorittlag brukes som påloggingsinformasjon for skyplattformer der sensitive data lagres. Hvis det er mulig, bør du alltid implementere multifaktorautentisering – faktisk snakker mange nå om å fjerne passord helt og bruke biometriske løsninger i stedet.

Såkalt «skygge-IT» er en situasjon som oppstår når ansatte bruker utallige sky-tjenester uten din viten. Prøv å få oversikt over hvilke tjenester som faktisk brukes i organisasjonen din, og hvordan de brukes. Informer dine ansatte om at det er svært upassende å flytte sensitive bedriftsdata til en privat Dropbox eller lignende. Selv om det er «mer praktisk» for øyeblikket, kan det øke risikoen for at informasjonen havner i feil hender (spesielt hvis passordet til Dropbox-kontoen er svakt eller aldri har blitt endret).

Rask og kontinuerlig oppdatering er en annen svært viktig del av sikkerhetsarbeidet ditt. Kjente, men uoppdaterte sikkerhetshull er en av de vanligste angrepsvektorene som utnyttes av kriminelle. Dessverre blir oppdateringer ofte neglisjert og gitt lav prioritet. Vurder derfor å kjøpe verktøy eller tjenester som håndterer oppdateringer for deg. Dette vil sikre at operativsystemet og applikasjonene dine alltid er oppdatert med de nyeste sikkerhetsrettelsene.

5. Lagre bare det som er absolutt nødvendig.

Å samle inn unødvendige kundedata er ikke bare sløsing med energi og ressurser, men gir også angripere et større mål å fokusere på. Det kan også lett føre til at kunder blir bekymret og lurer på hvorfor du trenger å samle inn så mye informasjon i utgangspunktet. Samle og lagre derfor bare det du virkelig trenger for forretningsformål. Du kan også gå et skritt videre og gi kundene muligheten til å velge om de ønsker å dele personlig informasjon med deg eller ikke.

I stedet for alltid å prøve å få mest mulig ut av kundedata (mange selskaper abonnerer fortsatt automatisk kundene sine på nyhetsbrev umiddelbart etter en transaksjon), bør du vurdere å slette alle data etter at du har brukt dem, når selskapet ditt er ferdig med å kommunisere med dem. Denne typen sikkerhetstankegang styrker kundenes tillit til dine personvernstiltak.

Konklusjon – gjør kundenes personvern til alles prioritet

Databeskyttelse angår alle. Kundesikkerhet er altfor viktig til å håndteres av noen få utvalgte. Når du har innført omfattende sikkerhetsprosedyrer og -retningslinjer, må du sørge for at alle i organisasjonen forstår dem og, fremfor alt, følger dem. Du bør for eksempel legge ekstra vekt på å sikre at de ansatte forstår de potensielle risikoene ved å bruke egne enheter eller nettverk utenfor kontoret.