Informasjon til øvingsleder

Innledende om scenarioet

Behandlinger og lagring av personopplysninger er regulert av personopplysningsloven. Regelverket skal ivareta den enkeltes personopplysninger når de er lagret og under behandling. Personopplysningsloven som nå har blitt oppdatert med det europeiske GDPR-direktivet stiller en rekke krav til sikkerhet og beskyttelse av personinformasjon.

De aller fleste organisasjoner håndterer personopplysninger. Personopplysninger er opplysninger om enkeltpersoner, for eksempel navn, adresse, telefonnummer og., e-post. Dagens elektroniske behandling av personinformasjon skal bidra til effektive administrative og produksjonsmessige prosesser i virksomhetene. Dessverre medfører også elektronisk behandling av informasjon en risiko for at personinformasjon kan komme på avveie på en rekke andre måter enn ved en behandling av fysiske dokumenter.

Ved phishingangrep kontaktes offeret som regel via e-post,LinkedIN, Facebook eller andre sosiale medier. Avsenderen fremstår som en reell virksomhet, for eksempel en bank. Offeret lures videre til å åpne et vedlegg eller klikke seg inn på en falsk nettside for å "logge seg inn" eller oppgi annen sensitiv informasjon, som for eksempel personnummer.

Spearphishing er en form for phishingangrep der den som utøver angrepet har kartlagt offeret sitt på forhånd, og det er nesten umulig å oppdage at det er et angrep.

Spørsmål for å drive diskusjonsøvelsen fremover

  • Er det gjort en risikoanalyse med tanke på slike hendelser i organisasjonen?
  • Har organisasjonen gjennomført opplæring av ansatte knyttet til phishing
  • Finnes det rutiner for varsling om antatte phishing-angrep i organisasjonen?
  • Hvordan klarer man å vurdere skadeomfanget for organisasjonen?
  • Har organisasjonen beredskapsplaner for å håndtere slike situasjoner?
  • Finnes det rutiner for å dempe påfølgende uønskede hendelser ved å handle raskt, eks. i dette tilfelle å ta ned server til en har kontroll og kan sikre data?
  • Er det en kommunikasjonsplan som en kan bruke ved en krise/alvorlig hendelse, inkl. roller og ansvar og som kan indikere nødvendig kommunikasjon?
  • Hvordan forsikre seg om at data som er sendt ut virkelig blir slettet hos dem som sitter på denne informasjonen?
  • Dette er et personvernbrudd og skal rapporteres til Datatilsynet. Hvilke rutiner har organisasjonen for å håndtere dette?
  • Hvordan skal dette rapporteres til eventuelt andre involverte parter, kunder, leverandører eller andre samarbeidspartnere?
  • Er det behov for å informere fagforeninger?
  • Hvordan og når er man sikker på at man er tilbake i normalsituasjon?
  • Er det rutiner for å finne ut hvilke interne forhold som gikk feil slik at man får lukket sakene?

Ved øvelsen er det viktig å se på hva som kunne vært gjort for å unngå denne hendelsen. For å få interne forbedringer er det i dette tilfelle naturlig å spørre:

  • Har virksomheten utpekt ansvarlig for å sette opp krav og rutiner til sikkerhet og regulatoriske forhold, inkl. ansvar for å informere og lære opp ansatte?
  • Er det gjort risikoanalyser som indikerer behovet for å beskytte data
    • I regi av egen organisasjon?
    • I regi av IT-drift?
  • Med tanke på beskyttelse av kritisk data og regulatoriske forhold for organisasjonen?
  • Finnes det instruks internt for om og når en trenger å stenge ned server for å unngå ytterligere tap? (Dette kan være i henhold til kontraktsklausuler med driftsleverandører.)
  • Er det gjort analyser spesielt for spesiell adgangskontroll til virksomhetskritiske data, eks. om det er behov for totrinnsverifisering?
  • Er det innført en god nok rutine for å gi adgang til data, basert på tjenstlig behov og segregering av data?
  • Inneholder eventuelt kontrakt med IT-drifts monitorering og logging av aktiviteter mot database og systemer slik at en kan gå tilbake å se hva som er skjedd?
  • Er det satt opp tekniske løsninger som gir alarm ved unormal aktivitet, eks. aksess fra et sted en normalt ikke har aksess fra, og hvordan overvåker vi disse varslene?
  • Er det en opplæring i organisasjonen på HVA som er kritisk sensitiv informasjon (eks. obligatorisk ved ansettelse)?
  • Er det gjort avtaler med tjenesteleverandører i forhold til GDPR for sikring og behandling av personlig informasjon?