21. april 2020
Hvordan sørge for god nok cybersikkerhet på hjemmekontoret
Covid-19 krisen har ført til historisk høy bruk av hjemmekontor. Mange har på kort varsel kastet seg ut i bruk av nye digitale kommunikasjonsløsninger for å opprettholde driften under koronautbruddet. Men hvordan sikrer man at krav til cybersikkerhet og personvern overholdes når ansatte jobber hjemmefra?
Hjemmekontor krever like høy sikkerhet som på jobben
Norske bedrifter har etter personvernforordningen (GDPR) ble innført vært flinke til å dokumentere at de følger krav til cybersikkerhet (datasikkerhet) når arbeidet utføres på arbeidsplassen. Men har krav til informasjonssikkerhet og personvern blitt tilpasset hjemmekontoret? Her ser vi ofte både kunnskapshull og sikkerhetshull – og det uavhengig av koronakrisen.
Sikkerhetsbrudd på hjemmekontoret er alvorlig. Det kan være brudd på virksomhetens krav til cybersikkerhet som kan føre til økonomisk ansvar. Under koronakrisen vil strenge krav til GDPR kunne lempes, men brudd på sikkerhetskrav kan likevel føre til omdømmetap og fare for at bedriftshemmeligheter kommer på avveie.
Mange bedrifter har oppdaget at ansatte manglet riktig utstyr og kompetanse for å ivareta tilstrekkelig cybersikkerhet når virksomheten ble flyttet til den ansattes private hjem. På kort tid skulle jobben gjøres hjemmefra og ofte med den ansattes private utstyr. Bedriftsledelsen måtte ta raske beslutninger når nye møteformer med videokonferanser og nye systemer ble tatt i bruk for å sikre driften. I den forbindelse melder det seg spørsmål som: Er ansatte på hjemmekontoret opplært og utstyrt til å håndtere sensitiv informasjon for bedriften eller om andre personer? Og hvem har egentlig ansvaret for datasikkerheten på hjemmekontoret?
Cybersikkerhet er ledelsens ansvar. Mange tenker at sikkerhetsbrudd er angrep utenfra (dataangrep og hackere), men de fleste sikkerhetsbrudd er forårsaket av egne ansatte som ikke følger sikkerhetsrutinene. Ledelsen må følgelig sørge for at hjemmekontoret tas i bruk på en sikker nok måte, bl.a. ved å lære opp de ansatte om hvordan bruke trygge nok systemer og utøve gode sikkerhetsrutiner.
Hvordan ha kontroll når ingen er på kontoret?
Kort forklart skal bedriftens sikkerhetsrutiner og kommunikasjonsverktøy være kjent for den ansatte, dette er en del av bedriftens internkontroll. Etter at GDPR ble innført i juli 2018 skal bedrifter for aktiviteter som de har behandlingsansvar for, vise at de har gjennomført egnede tekniske og organisatoriske tiltak for å sikre og dokumentere at behandlingen utføres i samsvar med kravene i GDPR.
Et eksempel på organisatorisk tiltak er at alle ansatte vet hvem de skal kontakte ved feil, f.eks. om den ansatte på hjemmekontoret oppdager datavirus, hacking eller annet sikkerhetsbrudd. De ansatte bør også vite hvordan beslutninger og informasjonsflyt henger sammen i virksomheten, f.eks. hva de skal gjøre hvis en nøkkelperson eller leder er syk eller indisponert. Internkontrollen kan sammenlignes med et bedriftskart med tydelig struktur og retningslinjer – slik at alle ledd som behandler bedriftens sensitive data er kjent med virksomhetens sikkerhetskrav og raskt kan finne gode løsninger om sikkerhetsavvik oppdages.
Eksempler på tekniske tiltak vil kunne være å påse at bedriften eller dennes IT-tjenesteleverandør evner å detektere sikkerhetsavvik i systemene selv om det benyttes hjemmekontor.
Et annet eksempel er at virksomheten bør ha tilpasset BCP-planer (Business Continuity Plan) for dets virksomhet. Dette kan f.eks. være ulike planer som skal sikre forretningskontinuitet dersom bedriften rammes av datainnbrudd, terrorangrep eller løsepengevirus – og slike planer bør utvides til å omfatte de ansattes hjemmekontorløsninger. De ansatte bør få vite hvem som skal kontaktes under krisen, samt vite om utpekte stedfortredere for hver leder som blir indisponert under en krise.
Ledelsen må informere de ansatte om trusselbildet
Når hjemmekontor benyttes under covid-19 krisen, vil det i tillegg være vesentlig at ledelsen gjør de ansatte oppmerksomme på det aktuelle trusselbildet, samt utviklingen av det. En rekke aktører vil se på økt og plutselig hjemmekontorbruk i sammenheng med en pandemi som et mulighetsrom for å ulovlig tilegne seg både data og andre verdier.
Det har vært en vesentlig stigning i antall social engineering-angrep med Covid-19 temaer. Dette er angrep som kan gå ut på å overtale et individ til å følge en link, åpne en fil eller en applikasjon, under påskudd om at det er Covid-19 relatert. Gitt at man i dagens situasjon naturlig nok vil søke informasjon om spredningen av viruset og hvilke beskyttelsestiltak som anbefales, kan resultatet fort bli at man ser bort fra vanlige forholdsregler hva gjelder cybersikkerhet, og utsetter seg selv og bedriften for kompromittering.
Siden trusselaktører også evner å tilpasse seg situasjonen og målene, vil det være viktig å følge med på utviklingen av slike angrep. Jo mer bevisste og kunnskapsrike de ansatte er om de aktuelle risikoene, jo bedre beskyttet er virksomhetens data.
Hvilke krav gjelder for ansattes hjemmekontor?
Siden bruk av hjemmekontor åpner for en rekke sårbarheter, anbefaler vi at cybersikkerhet er en integrert del av virksomhetens hjemmekontorløsning fra starten av og uavhengig av koronautbruddet. Bedriften må gjennomføre risikovurderinger – også av leverandørers løsninger som hjemmekontoret bruker.
Hva er de 6 viktigste kravene til cybersikkerhet etter GDPR som også gjelder for hjemmekontoret?
- Etter artikkel 32 skal den behandlingsansvarlige (ledelsen) etablere tiltak for å sikre personopplysninger mot uautorisert eller utilsiktet tilgang, videreformidling, endring og/eller sletting. Hver virksomhet må f.eks. bare bruke hjemmekontorløsninger som har god nok cybersikkerhet. Derfor bør virksomheten dokumentere å ha kort vurdert om nye verktøy de ansatte bruker på datamaskinen eller mobilen på hjemmekontoret er egnet til bl.a. å hindre ulovlig tilgang fra tredjeparter.
- Etter artikkel 32 skal ikke bare bedriftens egne systemer vurderes. Dersom hjemmekontoret skal bruke en videokommunikasjonstjeneste som f.eks. Microsoft Teams, må virksomheten også dokumentere å ha risikovurdert cybersikkerheten Microsoft tilbyr via denne løsningen.
- I tillegg må databehandleravtalen som Microsoft tilbyr vurderes av bedriften for å klarlegge om kravene i GDPR artikkel 28 til innhold for gyldig databehandleravtale oppfylles. Microsoft endrer jevnlig sine standard tjenestevilkår, og dette medfører at kunder også må foreta en ny vurdering etter slik endring.
- Dersom virksomheten bestemmer at Teams eller annen løsning skal brukes av ansatte med hjemmekontor, må virksomheten i tillegg – og på forhånd – dokumentere å ha foretatt en personvernkonsekvensanalyse etter GDPR artikkel 35.Ansatte regnes som en særlig sårbar gruppe i relasjon til ledelsen som bestemmer hvilke verktøy ansatte skal bruke, og Teams inneholder mye ny teknologi som kunstig intelligens og annen skjult funksjonalitet som øker brukeropplevelsen samtidig som det øker personvernrisikoen. Virksomheter må derfor foreta selve personvernkonsekvensanalysen for å vurdere hvilke risikoreduserende tiltak som kan settes inn for å tilstrekkelig redusere personvernrisikoen.
- Dersom bedriften ikke har råd til eller mulighet til å være sikker på at risikoen for de ansattes personvern er redusert ned fra høy risiko, må virksomheten gjennomføre forhåndsdrøftelse med Datatilsynet etter artikkel 36 eller la være å ta slik ny løsning i bruk.
- Bedriften må velge personvernvennlige løsninger, samt påse at innstillingene i de løsningene de ansatte bruker er stilt inn slik at bare nødvendige personopplysninger behandles. Dette kravet om innebygd personvern følger av artikkel 25.
Disse seks kravene henger nøye sammen. Et eksempel er at endrede brukervilkår eller standardinnstillinger for hjemmekontorets anbefalte videoløsning, kan føre til at bedriften må foreta nye risikovurderinger. Hvis løsningen ikke lenger oppfyller krav om innebygd personvern, kan det føre til at ny personvernkonsekvensanalyse må foretas for å finne ut hvilke nye risikoreduserende tiltak bedriften må implementere.
Følg tips om sikkerhetstiltak fra NSM
Nasjonal sikkerhetsmyndighet (NSM) har publisert god informasjon om hvordan virksomheter bør sikre seg mot de risikoer som følger med hjemmekontorbruk under Covid-19 krisen, f.eks. at bedriften vurderer bruk av riktig utstyr på hjemmekontoret og sikrer tilganger med VPN og 2-faktor autentisering.
Vi mener de gode rådene fra NSM for hjemmekontorløsninger også bør gjelde etter at krisen er over. Tilbake i 2018 hadde 36% av norske ansatte mulighet for pålogging til jobben via mobil- og hjemmekontorløsninger (FaFo). Denne andelen har økt kraftig under koronakrisen, og den forventes å øke ytterligere fremover.
Norske bedrifter er gode på brannøvelser, alarmer og fysiske sikkerhetstiltak på arbeidsplassen. Nå bør de digitale sikkerhetstiltakene få samme fokus – både på kontoret og hjemmekontoret. Verdiskapning og cybersikkerhet går hånd i hånd og trygger både kunder, ansatte og bedriften.