Taggat med: incidentrapportering

GDPR och kryptering

GDPR

En sökfråga som dyker upp då och då dyker upp här på Kryptera.se är GDPR och kryptering. Så varför inte ta tag i detta och ställa några frågor till Jonatan Seeskari som är specialist på GDPR och jobbar på Advokatfirman Lindahl.

Jonatan skriver följande gällande GDPR och kryptering:

”GDPR ställer inte absoluta krav på kryptering av personuppgifter. Det nya regelverket innehåller dock omfattande krav på säkerheten i samband med behandling av personuppgifter, särskilt när det kommer till känsliga uppgifter (t.ex. hälsa).

Som du kanske känner till så finns det också nya koncept kring ”inbyggt dataskydd” och ”dataskydd som standard”. I grunden kan kryptering användas som ett verktyg av flera tillgängliga för att uppnå kraven på sådana tekniska och organisatoriska åtgärder som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen av personuppgifterna.

Krypterade personuppgifter kan även underlätta hanteringen av incidentrapportering och behandling av personuppgifter för nya ändamål i och med att GDPR innehåller vissa undantag för dessa situationer – under förutsättning att personuppgifterna är krypterade.”

Tittar vi vidare förordningstexten för dataskyddsförordningen så förekommer ordet ”kryptering” tre gånger:

Artikel 6

Laglig behandling av personuppgifter

”Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

Avsnitt 2 – Säkerhet för personuppgifter

Artikel 32

Säkerhet i samband med behandlingen

”a) pseudonymisering och kryptering av personuppgifter,”

Artikel 34

Information till den registrerade om en personuppgiftsincident

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.”

Ett år av obligatorisk it-incidentrapportering

Det har nu gått nästan ett år sedan den 1:a April 2016 då det är obligatoriskt för Sveriges (nästan) samtliga 244 myndigheter att rapportera in it-incidenter till MSB (Myndigheten för samhällsskydd och beredskap).

MSB rapporterar att det skickats in 214 incidentrapporter från 77 myndigheter och att snittet legat på 25 st per månad. Detta innebär att många myndigheter fortfarande inte skickat in en enda incidentrapport, vilket påvisar ett stort mörkertal. Men troligtvis så tar det några år innan myndigheter anpassar sig.

En annan intressant sak är att incidenter ska rapporteras inom 24h att de upptäckts men i verkligheten ser det annorlunda ut:

Vid genomgång av rapporterna visar det sig att runt 20 procent av incidenterna rapporterats mer än fem dagar efter att de upptäckts, vissa incidenter har rapporterats först efter en månad.

De incidenter som rapporteras in kategoriseras på följande sätt och antal:

Rapporten har även bilaga med sekretessbelagda uppgifter och där framgår vissa särskilda företeelser avseende it-incidentrapporteringen.

För inrapporteringen så används filkryptot KURIR 2.0.

Att loggning är viktigt är något som jag inte understryka nog och detta framkommer även i incidentrapporteringen:

I ett antal incidenter har det framkommit att myndigheter inte har någon dedikerad loggserver, något som är en viktig komponent för att kunna upprätthålla en fungerande övervakning av it-system och för att i efterhand ha möjlighet att klargöra vad som hänt i systemet.

Jag kan även utläsa att MSB använder ordet kryptotrojan återkommande gånger, vilket jag tycker är felaktigt. Utpressningsvirus eller ransomware tycker jag är mer rättvisande och något som Polisen etc använder. Och på tal om ransomware så anger rapporten att 40% av inkomna rapporter om ransomware har lett till informationsförlust. Tyvärr framgår det inte vilken typ av ransomware det rör sig om eller om antivirus-mjukvara detekterat dessa.

Här kan du läsa MSB:s årsrapport om it-incidentrapportering 2016 i sin helhet (PDF):

MSB Årsrapport IT-incidentrapportering