SIKKER ID

Sikker ID testen ble lansert for næringslivet i september 2011. Besvarelser viser at 21 % av lederne ikke har innført rutiner for sikkerhetsbrudd.

Sikker ID testen skal bevisstgjøre virksomheter om regler og rutiner for håndtering av opplysninger om kunder, samarbeidspartnere, leverandører så vel som egen bedrift.  Så langt har det kommet inn nær 2000 besvarelser på testen.
Den største forskjellen fra næringslivstesten og testen for privatpersoner, er at man svarer på vegne av en virksomhet og hva som i praksis gjøres i virksomheten.
Det er et paradoks at selv om enkeltpersoner er aldri så bevisste på potensielle farer og tar alle mulige forholdsregler for å unngå ID-tyveri, vil de ikke kunne sikre seg mot at virksomheter håndterer deres personopplysninger på usikker måte. Testen er utviklet med tanke på å rette fokus mot virksomheters bevissthet om ID-tyveri og håndtering av personopplysninger både internt og eksternt.
Svarene viser at mange virksomheter har gode og sikre rutiner knyttet til håndtering av kunders personopplysninger. Det er imidlertid flere områder hvor man bør endre eller iverksette rutiner. Hver femte leder sier de ikke sletter informasjon når de avhender fysiske lagringsmedier som harddisker, CDer, USB minnepinner og andre lignende enheter. Bestemmelser i forskrift til Personopplysningslov pålegger imidlertid virksomheter å slette data slik at de ikke kan gjenskapes (§2-11).
Resultatene stemmer overens med en undersøkelse som ble utført i 2011 på oppdrag av NorSIS og IBAS, der resultatene viste at halvparten av landets kommuner ikke hadde formelle rutiner for destruksjon av lagringsmedier.
I tillegg stoler virksomhetene så mye på sine driftsleverandører og deres sikkerhetsrutiner, at en av 10 ikke følger opp sikkerhet hos leverandøren i det hele tatt. Hver femte mener at valget av leverandør betyr at man ikke behøver å følge opp sikkerhet hos leverandøren fordi det er en seriøs aktør.  Dette betyr i praksis at det er leverandøren som setter nivå for sikkerheten i disse virksomhetene. Det er viktig at virksomhetene forstår at man ikke kan utkontraktere ansvar for sikkerhet, og at ansvaret for sikkerheten er lovfestet i personopplysningsloven med tilhørende forskrift. Samtidig svarer 21 % av lederne at de ikke har rutiner for sikkerhetsbrudd i egen virksomhet, mens IKT-ansatte svarer at hver tredje virksomhet ikke har rutiner for sikkerhetsbrudd
– hvordan skal de ansatte da vite hva som er sikkerhetsbrudd og hvordan agere hvis sikkerhetsbrudd oppstår?
Virksomhetsledere bør i en eller annen form få tilført kompetanse om informasjonssikkerhet. 7% av lederne vet ikke hva kryptering av informasjon er, mens 27% innser at de ikke kan nok om kryptering som tema og anser å bruke e-post som sikkert. Bruk av passord varierer også mye. 43% av de ansatte får et tilfeldig valgt passord de må huske, samt mange ledere vet ikke om de ansatte har sikret sin mobil med passord (17%). Flere medieoppslag det siste år viser hvor lett det er å angripe flere norske virksomheter og stjele informasjon. Sosial manipulering er velkjente metoder for å få tilgang til virksomheters nett. Det er derfor viktig at de ansatte har gode passordregler og beskytter bærbare medier.
Vil også vise til Sikkerhetsbloggen til Nasjonal Sikkerhetsmyndighet, hvor ett av innleggene tar for seg nettopp virksomheter og deres ansvar for å ha kompetanse og rutiner for å sikre både medarbeidere og kunders informasjon. Vi stiller oss bak de rådene som det vises til her.
SIKKER ID testen er et samarbeid mellom Næringslivets Sikkerhetsråd, Datatilsynet og Norsk senter for informasjonssikring.

NorSIS anbefaler:

  • Bli kjent med trusselbildet og gjeldende lovverk
  • Utfør en risikoanalyse for virksomheten – Mangler man kompetanse internt må denne innhentes
  • Benytt veiledninger til å øke forståelse og kompetanse ( NorSIS, NSR, Datatilsynet og NSM har alle veiledninger).
  • Informasjonssikkerhet er viktig i hele organisasjonen og i de aller fleste prosesser. Ansvaret kan ikke skyves over på driftsleverandører, IKT-ansatte eller kunden selv.
  • Bruk passord som er lette å huske men vanskelig for andre å gjette. Ha også forskjellige passord på forskjellige tjenester.

Les mer:

Webadresse til SIKKER ID test er: https://bedrift.idtyveri.info/
NorSIS veiledninger http://norsis.no/veiledninger/
Datatilsynet veiledninger http://www.datatilsynet.no/Sikkerhet-internkontroll
NSR veiledninger http://www.nsr-org.no/
NSM veiledninger https://www.nsm.stat.no/
Eksempel på sikkerhetsbrudd fra media http://www.itavisen.no/904610/norsk-nettbutikk-leverandor-grisehacket-paa-5-minutter
http://blogg.nsm.stat.no/archives/2997
Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.

Publisert: 17. februar 2013

Informasjon fra NorSIS er hentet fra flere kilder. NorSIS vurderer informasjon før publisering, men NorSIS kan ikke holdes ansvarlig for skade eller tap som kan oppstå som følge av ukorrekt, manglende eller utilstrekkelig informasjon.