onsdag 11 december 2013

Molnjuridik del 2 - Varför mörkas säkerheten i molntjänsterna? - TechWorld

Molnjuridik del 2 - Varför mörkas säkerheten i molntjänsterna? - TechWorld

Molnet är inte ett laglöst land, och du måste behandla känsliga data likadant i molnet som i dina egna servrar. Det skriver Pehr Jern, jurist och it-säkerhetskonsult på Combitech, som förundras över att molnleverantörerna inte kan redogöra för säkerheten.
 Så din organisation har bestämt sig för att lägga ut vissa tjänster i en molntjänst. Ni har läst del 1 i vår artikelserie och sett till att ni har ett regelverk som tydligt reglerar vilka säkerhetsmekanismer och administrativa processer som ska implementeras inom olika nivåer av infoklassningsmodellen för att man ska kunna anse att regelverkets krav är uppfyllda.

Infoklassningsmodellen vägleder också användarna hur information ska klassificeras och därefter hanteras.

Därmed är kanske den svåraste delen gjord. Om ni verkligen har gjort det som jag precis har beskrivit har ni ett bra underlag för att kunna jämföra olika molntjänsters förmåga att leva upp till era krav (vi förutsätter att ni har koll på organisationens verksamhetskrav för informationsförsörjningen).

Men är allting klart då för att börja jämföra de molntjänster som ett antal företag vill sälja till er, bland annat med löfte om att de är säkra? Nej, troligen är det ytterligare några saker ni måste klara av innan ni kan starta. Även om ert regelverk för informations- och it-säkerhet är utformat för att leva upp till legala krav, så bör ni göra en rättsanalys som komplettering.

För att en rättsanalys ska bli rättvisande krävs en verksamhetsanalys som underlag. Denna bör beskriva hur hanteringen av företagets information är tänkt att gå till. Ju bättre verksamhetsanalysen är, desto mer rättvisande blir sannolikt rättsanalysen, och desto bättre kommer det gå för er att leva upp till legala krav.
 

Du ansvarar för att Pul följs

Hanteringen av personuppgifter och vad som krävs för att den ska vara tillåtet är ganska bra beskrivet av Datainspektionen.

Det man bör tänka på här är att den som använder en molntjänst för sin personuppgiftsbehandling också är så kallad personuppgiftsansvarig för behandlingen, även om den utförs av molntjänstleverantören eller någon som den leverantören i sin tur anlitar. Ansvaret för att personuppgiftslagen, Pul, följs ligger alltså kvar hos organisationen som lägger ut uppgifterna i en molntjänst. Molntjänstleverantören blir vad som kallas personuppgiftsbiträde, och är som leverantör också skyldig att se till att lagens krav uppfylls.

I princip samma sak gäller med annan lagstiftning, till exempel offentlighets- och sekretesslagen, OSL, som vi ska återkomma till strax.
 

Duger molntjänsten för dina data?

Innan en molntjänst tas i bruk måste den personuppgiftsansvarige bedöma om den personuppgiftsbehandling som man vill låta molntjänstleverantören utföra kommer att vara tillåten enligt personuppgiftslagen.

När man anlitar en molntjänstleverantör är man ofta hänvisad till de villkor som gäller enligt leverantörens standardavtal. I sådana fall måste den personuppgiftsansvarige granska de avtalsvillkor och riktlinjer som molntjänstleverantören erbjuder och bedöma personuppgiftsbehandlingen utifrån dessa.

Förutom en rättsanalys bör även en hot- och riskanalys genomföras. Den bör klargöra vilka åtgärder som ska övervägas när det gäller bland annat autentisering, behörighetsstyrning, behörighetskontroll, kommunikationssäkerhet, rutiner för säkerhetskopiering och datautplåning samt skydd mot obehörig åtkomst och skadlig programvara.
 

OSL – en luddigare lag

Säkerhetsmekanismer av det nyss nämnda slaget är normalt sådana som krävs när en myndighet hanterar uppgifter som ska skyddas enligt offentlighets- och sekretesslagen, OSL. I den ställs tydliga krav på skydd för informationen, men det framgår inte på vilket sätt den ska skyddas, och om informationen finns i en it-miljö framgår inte heller av lagen med vilka medel den ska skyddas.

Lagen har sitt ursprung i en tid när behandling av information gjordes på papper eller möjligen i stordatorer. Det finns en omfattande okunskap om hur lagen ska fungera i en it-miljö och de flesta jurister som tillämpar lagen saknar djupare kunskaper inom it.

I OSL regleras dock två grundläggande saker: röjning och behörighet. Det är inte tillåtet att ”röja” skyddsvärd information för någon som är ”obehörig”. För att förstå hur information som ska skyddas enligt något av lagens kapitel ska skyddas och med vad, krävs att man också förstår när ett röjande kan föreligga i en it-miljö och vem som är obehörig.


Vem är obehörig?

Vi börjar med det enklaste, termen obehörig, vars motsats alltså är behörig. Vi håller oss till it-system och konstaterar att en person som är behörig att ta del av information är en person som har behov av de uppgifterna, och som är pålitlig och har lämplig utbildning. Den som uppfyller de här tre grundkraven brukar tilldelas behörighet till ett it-system. En rättighet kopplas till hans eller hennes användarkonto i en katalogtjänst.

Behovet av att använda uppgifterna i it-systemet måste kunna motiveras i varje enskilt fall när en användare med hjälp av sin klient skickar ett anrop till en server och ner i en databas för att tillgå en viss information som skyddas av en reglering i OSL.

Den som uppfyller kraven är alltså behörig. Varken speciellt konstigt eller svårt, eller hur?

Det är när det gäller det andra begreppet, röjande, som molntjänstleverantörernas sparsmakade beskrivningar oftast leder till att man tvingas kryssa i rutan ”Ej uppfyllt”. Inte nödvändigtvis för att de inte uppfyller kraven, utan för att de inte på ett tillräckligt bra sätt kan beskriva hur de uppfyller kraven.

Ett röjande i en it-miljö kan uppstå när någon obehörig kommer åt informationen, eller att informationen hanteras på ett sådant sätt att den är åtkomlig. Det ställs sannolikt inga krav på att någon obehörig ska ha kommit åt information som han eller hon inte var behörig till – det räcker att informationen varit åtkomlig genom att ha ett otillräckligt skydd.
 

Data måste skyddas i hela it-miljön

Så vad innebär det? Jo, åtkomst till informationen måste styras av olika skyddsmekanismer genom hela it-miljön. Om det finns ett krav på stark autentisering för användare, för att man endast på ett kontrollerat sätt ska komma åt uppgifter som skyddas av OSL, så måste stark autentisering tillämpas överallt i it-miljön, för alla. Om det ställs krav på tvåfaktorautentisering för att komma åt vissa uppgifter så ska det gälla alla delar av ett system. Om det gäller inloggning via en vanlig användarklient, så gäller det för en tekniker som autentiserar sig via inställningar i operativsystemet.

Så svaret på frågan om vad det innebär är alltså: det kräver koll på helheten. Alla delar av it-miljön där det på olika sätt är möjligt att komma åt information måste ha likartade säkerhetsmekanismer.

Om molntjänsten ska hantera känsliga personuppgifter, till exempel uppgifter om hälsa, brottslighet eller andra sekretesskyddade uppgifter, kräver Datainspektionen bland annat att det finns stark autentisering och ett kommunikationskrypto vid överföring av uppgifter. När sådana uppgifter behandlas innebär kraven på åtkomstkontroller ofta att den personuppgiftsansvarige inte bara ska utföra kontroller på förekommen anledning, utan dessutom regelbundet och systematiskt följa upp vem som har haft åtkomst till vilka uppgifter.

Frågan är i vilken utsträckning detta är möjligt när en molntjänst används. Vilka möjligheter har du som kund att få bekräftat att systematiska kontroller genomförs? Räcker det att skriva in det i ditt avtal med leverantören och sedan utgå från att så sker? Det är förmodligen det vanligaste scenariot.


Avtal måste formuleras tydligt

 Enligt Datainspektionen ska personuppgiftsbiträdesavtal upprättas antingen genom att man tecknar ett avtal med varje bolag som behandlar personuppgifter för den personuppgiftsansvariges räkning, eller genom att i ett avtal ge ett bolag mandat att ingå avtal med så kallade underbiträden, alltså underleverantörer.

Ger man ett sådant mandat måste det framgå i avtalet att varje underbiträde har samma skyldigheter som det personuppgiftsbiträde som den personuppgiftsansvarige ingått avtal med. Det är därför viktigt att avtalet är tydligt utformat mellan den personuppgiftsansvarige, alltså den som köper en molntjänst, och personuppgiftsbiträdet.

Villkoren i personuppgiftsbiträdesavtalet ska vara urskiljbara från övriga villkor som gäller mellan parterna och de ska inte ensidigt kunna förändras av personuppgiftsbiträdet. Kravet på personuppgiftsbiträdesavtal kan också innebära förtydliganden inom flera områden, till exempel:
 
  • Kontroll av biträden. Den personuppgiftsansvarige måste kunna förvissa sig om att alla personuppgiftsbiträden verkligen vidtar de säkerhetsåtgärder som krävs. Ju känsligare uppgifter som behandlas, desto högre är kravet på att kontrollera biträdena.

    Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES måste den personuppgiftsansvarige se till att något av undantagen från förbudet mot överföring till tredje land kan tillämpas, till exempel samtycke, standardavtalsklausuler eller anslutande till Safe Harbor-principerna.
     
  • Krav på att personuppgiftsbiträdet ska tillämpa svensk lagstiftning vid behandling av personuppgifter.
     
  • Reglera att personuppgiftsbiträdet ska vidta lämpliga skyddsåtgärder enligt 31 § PUL (tekniska och administrativa åtgärder för att skydda personuppgifter på lämpligt sätt)
     
  • Reglera att personuppgiftsbiträdet endast får behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner.
     
  • Reglera att personuppgiftsbiträdet inte för över personuppgifter till ett land utanför EU/EES.


Molnleverantörerna svarar inte

Hur ska du veta att en molntjänstleverantör uppfyller dina krav på säkerhet? Det kan vara svårt nog med den egna it-miljön, trots att du själv har kontrollen över den.

Om du kontaktar en molntjänstleverantör och ber att få titta på datahallen är det högst osäkert om ett sådant önskemål kommer att tillgodoses.

Sedan kan man också undra över om det är rätt datahall som du får titta på, om du nu får det. Det vill säga den hallen där dina uppgifter kommer att behandlas och lagras.

Det mest sannolika är att du inte får tillträde till datahallen hos en leverantör. För några år sedan hjälpte jag en myndighet att hitta ett säkert sätt att betala ut pengar till viss personal som tvingades betala för resor och uppehälle i tjänsten. Det rörde sig om särskild personal som inte fanns med i det ordinarie lönesystemet. Betaltjänsten som tillhandahölls av en svensk bank var av standardmodell. När vi med hänvisning till myndighetens regelverk för informations- och it-säkerhet ville veta hur banken levde upp till kraven fick vi bara till svar att ”Ja, vi lever upp till dem”. Något besök i deras datahall var inte aktuellt, från deras sida. Man får alltså se standardinformation och höra floskler, inte mer. Det duger inte.
 

Kallar sig säkra – men hur är det egentligen?

Alla molntjänstleverantörer säger sig ha ett högt mått av säkerhet i sina produkter. Vore konstigt annars. En snabb koll på marknaden visar att det finns en mängd leverantörer som säger att just deras tjänst är säker. Allmänna värdeomdömen som till exempel begreppet säker är dock inte mycket värda inom juridiken.

Låt oss som hastigast titta på två alternativ. Svenska initiativet Based in Sweden med Bahnhof i spetsen säger sig erbjuda säker lagring, inom landets gränser. De skriver: ”Använder du olika populära amerikanska molntjänster? Låt bli! Du kan inte lita på att den information du lämnar över till amerikanska tjänster förblir din”. Bahnhof med samarbetspartners anser att man kan göra det med deras lagringstjänst. Exakt hur får vi dock aldrig reda på i annonsen, och inte heller Bahnhofs webbplats ger några detaljer.

På en övergripande nivå ser det i och för sig intressant ut, men efter några samtal till Bahnhof, utan att ha fått prata med den som sägs vara expert på företagets säkerhetsfrågor för molntjänster, ger vi upp.


Vi får inga detaljerade beskrivningar

Vi vänder oss i stället till Microsoft i Sverige i hopp om att få detaljer om säkerhetslösningarna för Office 365. Vi kopplas till ett antal personer på huvudkontoret i Kista, men ingen kan upplysa om vilka säkerhetsfunktioner som finns för produkten.

Så småningom hamnar ett av våra samtal någonstans i USA, och vi får hjälp att komma till en webbplats som faktiskt har en beskrivning över säkerheten i Office 365. Men informationen är på en övergripande nivå och vi får inte heller här reda på hur vi ska bära oss åt för att få mer information.

Vi googlar runt och läser om flera andra molntjänster, men bilden är ungefär densamma överallt: Övergripande beskrivningar som inte ger de svar som vi söker.

Antingen missbedömer leverantörerna sina presumtiva kunders behov och kunskaper, eller också har man avsiktligt utelämnat all detaljinformation av intresse. Ett antal av företagen vill visserligen att vi fyller i våra kontaktuppgifter för att vi vid ett kundmöte ska få mer information, men vi tror knappast det är värt besväret.
 

TechWorlds slutsats

Låt oss anta att din organisation har ett regelverk för informations- och it-säkerhet, med en fungerande informationsklassning som vi pratade om i den förra artikeln. Ni har dessutom implementerat säkerhetsmekanismer i it-miljön och skapat administrativa processer som gör att användarna på ett hyfsat sätt lever upp till ert regelverk. Då är frågan: Ska ni verkligen göra avkall på allt detta för att spara pengar genom att använda en molntjänst?

Om svaret är ja bör ni kanske fundera på att ändra delar av ert regelverk. Det är svårt att förstå logiken i att kraven på säkerhet är högre inom den egna verksamhetens lokaler och nät än för en extern tjänst.

Eftersom det inte är helt enkelt att få information om vilka säkerhetslösningar som molntjänstleverantörerna är det också svårt att veta om de lever upp till kraven på säkerhet. Det är ganska uppenbart att en molntjänstleverantör kan tjäna pengar på att sälja generella tjänster. Om man börjar skräddarsy lösningar så närmar man sig någon form av outsourcing, med väsentligt ökade kostnader som följd.

Säkerheten i en molntjänst kan till viss del liknas vid en mjukvarubrandvägg – det är svårt att hitta en riktigt bra inställning om man vill ha både en säker lösning och hög tillgänglighet. Man hamnar oftast någonstans mitt emellan.
När man pratar om hur säker en lösning är handlar det inte bara om var en server eller en databas står placerad någonstans, eller om infrastrukturen. Det handlar om en mängd andra saker för att leva upp till legala krav på skydd för informationen.

Men det som avgör hur man skall bedöma vilken sorts information som är säkert att använda i en molntjänst är hur utförligt leverantören beskriver sin tjänst, och hur bra dina krav kan uppfyllas av leverantören. Det borde leda till man hellre avstår från att använda en molntjänst när man är osäker, enligt principen att ett krav inte är uppfyllt om man inte kan visa att det är uppfyllt.

Så vad blir då den slutliga rekommendationen? Jo, om det rör personuppgifter som inte är känsliga, till exempel löneuppgifter, så är en molntjänst troligen möjlig att använda ur ett legalt perspektiv, under förutsättning att det avtal som ni tecknar med molntjänstleverantören lever upp till de krav som ni har på hur uppgifterna ska hanteras.

Men om en myndighet hanterar känsliga personuppgifter, eller uppgifter som ska skyddas enligt offentlighets- och sekretesslagen, blir det svårare att använda en molntjänst. Det ställer mycket större krav på molntjänstens säkerhetsmekanismer och administrativa processer. Om det standardavtal som leverantören erbjuder inte på ett tillräckligt bra sätt överensstämmer de krav som ert regelverk ska uppfylla, kräv då tillägg och ändringar i avtalet. Om leverantören inte går med på dessa, vänd er till någon annan leverantör.

Det är givetvis stor skillnad på att enbart lagra och att både bearbeta och lagra data i en molntjänst. Om du bara behöver lagra kan du skydda sin information genom egen kryptering.

Att bearbeta information är däremot en helt annan sak. Om det är ditt behov måste du vara helt klar över vilka data som enligt den egna informationsklassningsmodellen är lämplig att hantera utanför den egna säkerhetsdomänen.


Inga kommentarer:

Skicka en kommentar