Gagnaöryggi

Lögmenn – heilræði um gagnaöryggi

Ein af grundvallarreglum í störfum lögmanna er trúnaðarskyldan sem bæði er lögfest í 22. gr. lögmannalaga nr. 77/1998 og reglusett í 17. gr. siðareglna lögmanna. Reglan er viðtæk og tekur ekki aðeins til lögmannsins sjálfs heldur einnig til fulltrúa hans og annars starfsfólks. Þá stendur trúnaðarskyldan áfram eftir að verki lögmanns fyrir umbjóðanda er lokið.

Reglulega berast fréttir af fyrirtækjum sem lent hafa í klóm tölvuþrjóta, sem gera að leik sínum að brjótast inn í tölvukerfi og ræna þaðan gögnum, sem síðar eru ýmist seld hæstbjóðenda á svörtum markaði eða þá að gögn eru tekin í „gíslingu“ og lausnargjalds í formi rafmyntar kraf­ist. Þá er slíkum fjárkúgunum einnig beitt með hótunum um birtingu viðkvæmra upplýsinga eða gagna um fyrirtæki eða viðskiptavini þess, sem tölvuþrjótar hafa komist yfir.

Tölvuöryggi eða netöryggi er afar mikilvægur liður í starfsemi fyrirtækja, bæði vegna mikillar notkunar internetsins og ekki síður vegna aukinnar notkunar þráðlausra nettengdra snjalltækja. Fyrirtæki, þ.m.t. talið lögmannsstofur, sem sýsla með viðkvæm gögn eða trúnaðarupplýsingar þurfa því að gefa netöryggismálum gaum á markvissan og skipulagðan hátt.

Á síðunni cert.is, sem haldið er út af Fjarskiptastofu er að finna leiðbeiningar og fræðslu­efni um öryggismál sem tengjast notkun internetsins, sem nýst getur lögmannsstofum, en einnig bjóða fjölmörg netöryggisfyrirtæki upp á úttektir á upplýsingatæknimálum, ráðgjöf sérfræðinga á sviði netöryggis, m.a. um val á viðeigandi kerfum, uppsetningu og innleiðingu verkferla við vöktun, vernd og varveislu trúnaðarupplýsinga og við gerð öryggisáætlunar.

Hvers vegna er áætlun um skipulag upplýsingaöryggis nauðsynleg?

  • Lögbundnar skyldur, t.d. lög um lögmenn nr. 77/1998 og lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
  • Vaxandi hættur stafa að fyrirtækjum vegna mögulegra gagnaleka, þjófnaði á viðkvæmum upplýsingum, „gagnagíslatökum“ o.fl.
  • Þjálfa þarf starfsmenn í tölvu- og nettækni og skýrar verklagsreglur þurfa að vera til staðar um notkun þeirra.
  • Þegar fleiri tölvur eiga í hlut er erfiðara að vernda þær ef öryggisáætlun er ekki til staðar.
  • Upplýsingaöryggi fyrirtækja snertir marga þætti sem þarf að samhæfa og forgangsraða, t.d. tæknimál, starfsfólk, stefnu og ferla.
  • Það er erfiðara að koma auga á öryggisvandamál ef ekki er heilsteypt áætlun um upplýsinga­öryggi til staðar.

Hvernig gera skal öryggisáætlun

Hægt er að stilla upp markvissri öryggisáætlun í fimm þrepum:

  • Úttekt - Kannaðu eigin hæfileika og þekkingu, t.d. með því að taka netpróf á netöryggi.is. Ákvarðaðu hvort þú þurfir að leita þér frekari þekkingar víðar. Farðu yfir þær eignir og upplýsingar sem þarf að vernda, t.d. hug- og vélbúnað, skjöl og gögn. Endurskoðaðu fyrir­séðar ógnir og áhættur, farðu yfir núverandi ráðstafanir og taktu ákvörðun um hvaða viðbót­ar ráðstafanir, bæði tæknilegar og skipulagslegar, þarf að innleiða. Forgangsraðaðu því sem rétt er að vernda.
  • Öryggisáætlun – Skrifaðu niður og lýstu verkferlum við forvarnir, eftirliti með hugsan­legum hættum og viðbrögðum. Hafðu í huga lögbundna fresti hvað viðbrögð varðar, svo sem í tilviki öryggisbresta á grundvelli laga um persónuvernd og vinnslu persónuupplýs­inga. Kynntu fyrir starfsmönnum á áberandi hátt hvernig framkvæmdinni skuli fylgt eftir. Gerðu tilvísanir til skjala sem kunna að skipta máli, t.d. í starfsmannastefnu. Gerðu ákveðna starfsmenn ábyrga fyrir mismunandi þáttum áætlunarinnar, t.d. innleiðingu og vöktun. Gerðu tímaáætlun um innleiðingu.
  • Framkvæmd – Kynntu starfsmönnum áætlunina, hugaðu vel að fræðslu og bættu við sér­stakri þjálfun sé þ‏ess ‏þörf. Framkvæmdu öryggisáætlunina.
  • Vöktun – Um leið og ógnir steðja að, skaltu kynna þér þær. Skráðu þig á öryggislista á netinu. Breyttu áætluninni um upplýsingaöryggi í samræmi við breytingar í starfsmanna­haldi eða á hug- og vélbúnaði. Sjáðu til þess að viðhald tækjabúnaðar sé gott, taktu afrit reglulega og notaðu ávallt nýjustu útgáfur af varnarhugbúnaði gegn spilliforritum.
  • Endurskoðun – Endurskoðaðu og bættu öryggisáætlunina á sex til tólf mánuði fresti og einnig ef fyrirtæki þitt gengur í gegnum verulegar breytingar.

Varðandi meðferð persónuupplý‎singa og mat á því til hvaða varúðarráðstafana grípa þarf til með það fyrir augum að tryggja öryggi gagnanna má benda á leiðbeiningar frá Persónuvernd en hér að neðan er að finna tengil inn á þessar leiðbeiningar:

https://www.personuvernd.is/media/leidbeiningar-personuverndar/Leidbeiningar-um-oryggi-personuupplysinga.pdf.

 

Gátlisti um gagnaöryggi

Hvaða búnað er ráðlagt að hafa í tölvunni til að vernda hana fyrir tölvuþrjótum.

Búnaður sem nauðsynlegt er að hafa í öllum tölvum:

  • Forrit sem verja tölvuna fyrir hnýsibúnaði (e. Anti Spyware program).
  • Eldveggur (e. Firewall). Með góðum eldveggjum minnkar þú áhættuna á slíku innbroti og verndar þannig bæði vinnuumhverfi þitt og viðkvæm gögn.
  • Vörn gegn síðum sem opnast sjálfkrafa (e. Pop-up Blocker).
  • Tölvupóstsía.

Hvað ber að varast við meðferð aðgangsupplýsinga

  • Ekki skrifa niður aðgangsupplýsingar. Ef þú af einhverri ástæðu telur nauðsynlegt að skrifa niður aðgangsupplýsingar er best að geyma þær á öruggum stað, t.d. í traustum öryggisskáp eða bankahólfi.

  • Forðastu að gefa öðrum upp aðgangsupplýsingar, sama hversu vel þú treystir viðkomandi.

  • Tryggðu að hugbúnaðurinn í tölvunni sem þú notar sé ávallt búinn nýjustu öryggisuppfærsl­um.

  • Forðast að nota tölvu sem er í eigu einhvers sem þú þekkir ekki þar sem þú getur ekki vitað hvort forrit séu uppfærð eða vírusvörn í lagi.

  • Varastu að opna viðhengi eða hlekki sem þú áttir ekki vona á, hvort sem er í gegnum tölvu­póst eða önnur samskiptaforrit, t.a.m. MSN, AIM, Skype o.s.frv.

  • Ekki geyma PIN-númer, lykilorð o.þ.h. upplýsingar í tölvunni.

  • Vertu á varðbergi gagnvart hvers konar gylliboðum sem þér berast í tölvupósti eða í gegnum önnur samskiptaforrit, s.s. MSN, AIM, Skype o.s.frv. eða einfaldlega í gegnum netið.

  • Varastu Internet glugga sem opnast sjálfkrafa (e. Pop-up window), nema þú sért örugg(ur) um að upplýsingarnar í glugganum stafi frá traustum aðila.

  • Læstu tölvunni með „sterku“ lykilorði. Forðastu að nota hvers konar orð eða númer sem tengjast þér persónulega og hægt er að giska á með tiltölulega einföldum hætti. t.d. nafn, kennitala, heimilisfang eða afmælisdagur þinn, náins vinar eða fjölskyldumeðlims, bílteg­und, gæludýr o.s.frv. Æskilegt er að lykilorð sé minnst 12 stafir sem byggðir eru upp af samblandi af háum og lágum bókstöfum auk tölustafa.

  • Ef aðgengi að viðkvæmum upplýsingum sem varðveittar eru í tölvu eða sóttar eru í gegnum tölvu er stýrt með lykilorðum er góð regla er að notast við ekki færri en 3 persónuleg lykil­orð.

  • Nýttu þér möguleika á tvíþættri auðkenningu sé hún til staðar. Ýmsar útgáfur eru til af slíkri auðkenningu sem studdar eru af flestum þjónustum þ.á.m. SMS smáskilaboð með kóða, rafræn skilríki á símtækjum, smáforrit, t.d. Google Authenticator, Duo o.fl., vélbúnaður s.s. fingrafaralesari og U2F lausnir

  • Skiptu reglulega um lykilorð. Góð viðmiðunarregla er að því viðkvæmari sem upplýsing­arnar eru, sem lykilorðið verndar, því oftar er æskilegt að breyta því.

  • Nýttu þér lykilorðabanka til að halda utan um lykilorð ef þú vinnu með mörg slík. Þessi þjónusta er ýmist aðgengileg í gegnum netið eða staðbundið á tækjum.

  • Passaðu upp á harða disk tölvunnar þegar líftími hennar er á enda.

  • Skráðu þig inn sem venjulegan notanda þegar tölvan er notuð dags daglega. Ef þú ert skráð/­(ur) inn í tölvuna þína sem almennur notandi, en ekki sem umsjónarmaður þ.e. Admini­strator, er ekki hægt að breyta uppsetningu á stýrikerfi.