Vi har sett på trusler og risikoanalyse. Nå skal vi se på den andre siden: hvordan vi faktisk sikrer systemene, og hvilket regelverk vi må forholde oss til. I Norge er personvern en lovfestet rettighet, og som IT-drifter har du et direkte ansvar for å ivareta det.
CIA-triaden
Det mest brukte rammeverket for informasjonssikkerhet er CIA-triaden. Den har ingenting med etterretning å gjøre, men beskriver tre grunnpilarer:
| Prinsipp | Norsk | Hva det betyr | Hvis det brytes |
|---|---|---|---|
| Confidentiality | Konfidensialitet | Kun de rette personene har tilgang til informasjonen | Persondata lekker på nett |
| Integrity | Integritet | Informasjonen er korrekt og ikke uautorisert endret | Noen endrer en databaseoppføring |
| Availability | Tilgjengelighet | Systemene er tilgjengelige når de trengs | DDoS-angrep tar ned nettsiden |
Alt vi gjør innen informasjonssikkerhet handler om å beskytte en eller flere av disse tre.
Tenk CIA ved feilsøking
Når noe går galt, kan det hjelpe å spørre: “Er dette et problem med konfidensialitet, integritet eller tilgjengelighet?” Det gir deg et bedre utgangspunkt for å finne riktig tiltak.
Tiltak i praksis
Her er konkrete tiltak du kan gjennomføre, sortert etter hva de beskytter:
Konfidensialitet
| Tiltak | Hva det gjør |
|---|---|
| Tilgangsstyring | Bare de som trenger det får tilgang (minste privilegium) |
| Kryptering | Data er uleselig for uvedkommende, både lagret og i transitt |
| VPN | Kryptert tunnel for fjerntilgang |
| Brannmurregler | Blokkerer uønsket trafikk mellom nettverk |
| Nettverkssegmentering | Isolerer ulike deler av nettverket fra hverandre |
Integritet
| Tiltak | Hva det gjør |
|---|---|
| Backup med verifisering | Sjekker at backupen faktisk inneholder riktig data |
| Loggføring | Sporer endringer slik at man kan oppdage manipulering |
| Versjonskontroll | Git gir full historikk over alle endringer |
| Filrettigheter | Hindrer uautoriserte brukere fra å endre filer |
Tilgjengelighet
| Tiltak | Hva det gjør |
|---|---|
| Redundans | Flere kopier av viktige systemer (f.eks. to webservere) |
| Backup (3-2-1) | Sikrer at data kan gjenopprettes etter feil |
| Overvåking | Varsler deg før problemer blir alvorlige |
| Oppdateringer | Forhindrer at kjente sårbarheter utnyttes |
| UPS (nødstrøm) | Gir servere tid til å slå seg av kontrollert ved strømbrudd |
GDPR og personopplysningsloven
GDPR (General Data Protection Regulation) er EUs personvernforordning og gjelder i Norge gjennom personopplysningsloven. Den regulerer hvordan virksomheter behandler personopplysninger.
Hva er en personopplysning?
Alt som kan knyttes til en enkeltperson:
- Navn, e-post, telefonnummer
- IP-adresse
- Bilder og videoer der personer kan gjenkjennes
- Helseopplysninger, politisk tilhørighet (sensitive personopplysninger)
Viktige prinsipper i GDPR
| Prinsipp | Hva det betyr |
|---|---|
| Lovlighet | Du må ha et gyldig grunnlag for å behandle persondata |
| Formålsbegrensning | Data skal kun brukes til det formålet den ble samlet inn for |
| Dataminimering | Samle bare det du faktisk trenger |
| Riktighet | Sørg for at dataene er korrekte og oppdaterte |
| Lagringsbegrensning | Ikke lagre data lenger enn nødvendig |
| Sikkerhet | Beskytt dataene med passende tiltak |
Rettigheter brukerne har
| Rettighet | Hva den innebærer |
|---|---|
| Innsyn | Brukeren kan be om å se hvilke data du lagrer |
| Sletting | Brukeren kan be om å få dataene sine slettet |
| Dataportabilitet | Brukeren kan be om å få dataene utlevert |
| Retting | Brukeren kan be om å korrigere feil i dataene |
Sletting er ikke så enkelt som det høres ut
Når en bruker ber om sletting, må dataene fjernes fra alle steder: databasen, loggfiler, backuper, cacher. I Driftstøtte er det ditt ansvar å sørge for at infrastrukturen faktisk støtter dette. I Utvikling er det utviklerens ansvar å bygge inn støtte for det i koden.
Personvernbrudd: Hva skjer når det går galt?
Et personvernbrudd er enhver hendelse der personopplysninger kommer på avveie, endres eller blir utilgjengelige uten at det var meningen.
Konsekvenser
| For hvem | Hva som kan skje |
|---|---|
| Enkeltpersoner | Identitetstyveri, svindel, utpressing, utrygghet |
| Virksomheter | Bøter (opptil 4% av global omsetning), omdømmetap, søksmål |
| Samfunnet | Svekket tillit til digitale tjenester og offentlige systemer |
Eksempler fra Norge
- Østre Toten kommune (2021) ble rammet av ransomware. Sensitive personopplysninger ble lekket på det mørke nettet, og kommunen fikk overtredelsesgebyr fra Datatilsynet.
- Stortinget (2020/2021) ble hacket to ganger. E-postkontoer til folkevalgte ble kompromittert.
- Norsk Hydro (2019) ble rammet av ransomware med estimerte kostnader på over 800 millioner kroner.
Felles for alle: mangelfull sikkerhet (manglende oppdateringer, svak tilgangsstyring) var en medvirkende faktor.
GDPR i IT-drift
Som IT-drifter berører GDPR deg mer konkret enn du kanskje tror:
| Oppgave | Eksempel |
|---|---|
| Sikker lagring | Krypter disker, bruk HTTPS, sikre databaser |
| Tilgangsstyring | Begrens hvem som kan se persondata i systemer og logger |
| Backup og sletting | Ha rutiner for å slette data fra backup når det kreves |
| Logging | Logg hvem som har tilgang til hva, men ikke logg mer enn nødvendig |
| Databehandleravtaler | Hvis du bruker skytjenester, må det finnes en avtale som regulerer behandlingen |
Oppgave 1 - Gjør en mini personvern-sjekk
Velg en tjeneste du har satt opp (en VM, en webapp, en Docker-container) og tenk gjennom:
- Lagrer den noen personopplysninger? (Loggfiler med IP-adresser teller!)
- Hvem har tilgang til disse dataene?
- Hva skjer med dataene ved backup og sletting?
- Finnes det en databehandleravtale hvis tjenesten kjører i skyen?
Oppsummering
- CIA-triaden (konfidensialitet, integritet, tilgjengelighet) er grunnlaget for informasjonssikkerhet
- Tiltak som tilgangsstyring, kryptering, backup og overvåking beskytter mot ulike typer trusler
- GDPR gir brukere rettigheter over egne data og stiller krav til hvordan data behandles
- Personvernbrudd kan ramme enkeltpersoner, virksomheter og samfunnet
- Som IT-drifter er du ansvarlig for at infrastrukturen ivaretar både sikkerhet og personvern