Konfidensiell informasjon på e-post
description
Transcript of Konfidensiell informasjon på e-post
![Page 1: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/1.jpg)
1
Konfidensiell informasjon på e-postKim Ellertsen, NSR
![Page 2: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/2.jpg)
2
HVA ER NÆRINSLIVETS SIKKERHETSRÅD (NSR)?
Historikk• Opprettet i 1977 under navnet Industriens
Sikkerhetsutvalg og skiftet senere navn til Næringslivets Sikkerhetsråd
• Var inntil 2004 organisert i Næringslivets Sikkerhetsorganisasjon, men er nå en selvstendig forening. NHO som initiativtaker.
• Medlemsforening. Medlemmer har tilgang til vårt nettverk og ev. rådgivning i konkrete saker, kostnadsfrie foredrag og reduserte priser på kurs og konferanser.
![Page 3: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/3.jpg)
Best practice
Forbygge kriminalitet
Samfunnsansvar
Trender
Kommunikasjon
![Page 4: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/4.jpg)
Hva bruker vi e-post til
Kontraktsarkiv – papirbasert, scannet, e-mail, muntlig etc
Offentlig forvaltnings korrespondanse – brev sml mail
Advokatkontor – saksbehandlingssystem
E-mail som bevismiddel i tvister
![Page 5: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/5.jpg)
Utgangspunktet for e-postog annen elektronisk kommunikasjon Hva erstatter e-post Styrker og svakheter Bruksområder
Autensitet Gjenfinning Notoritet Krav til sporbarhet og
dokumentasjon Ny krav?
![Page 6: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/6.jpg)
Bruk av InternettMørketallsundersøkelsen 2006
0 20 40 60 80 100IP-telefoni
Instant messageing
Salg via Internett
WAN
WLAN
Kjøp via internett
Andre tilgang utenfra
Ansatte hjemmefra
e-betaling
Hjemmeside
E-post
![Page 7: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/7.jpg)
Tiden det tar før det oppstår vesentlige problemer grunnet bortfall av IT (% av virksomheter)
0
5
10
15
20
25
30
35
40
Totalt
I løpet av 1 time
I løpet av 1 dag
I løpet av 2-3 dager
I løpet av 4-7 dager
I løpet av 1-4 uker
Mer enn 1 måned
Det ville ikke skape størreproblemer
En dag
En time
![Page 8: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/8.jpg)
8
Hva skjer -> kan skje
1,4 %
3,1 %
5,1 %
6,5 %
7,7 %
7,9 %
30,8 %
19,7 %
0,0%
5,0%
10,0%
15,0%
20,0%
25,0%
30,0%
35,0%
Innbrudd i datasystemer
Misbruk/tap/tyveri av sensitiv informasjon
Intern mobbing av ansatte
Økonomisk kriminalitet
Oppsigelse pga lovbrudd
Kopiering av industrielle rettigheter
Innbrudd i eller hærverk mot lokalene
Datavirusangrep
Har din virksomhet opplevd følgende de siste 12 månedene?
![Page 9: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/9.jpg)
E-postVenn eller fiende?
”Business Conduct” Email som virksomhetens
stemme Kontroll med form og innhold
Ryddighet i håndtering og oppbevaring Informasjon som verdifull ressurs Informasjon som årsak til kaos Individavhengighet
![Page 10: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/10.jpg)
10
Påbud om lagring• Regnskapsloven
Opplysningsplikten § 7-1• Bokføringsloven
Regnskapsmessige disposisjoner skal bokføres på en ”fullstendig måte i regnskapssystemet”, jfr§ 4 nr 2
Opplysninger ”skal være dokumentert på en måte som viser deres berettigelse”, jfr § 4 nr 6
Krav til sporbarhet, jfr § 4 nr 7 Krav til oppbevaring ”så lenge det er saklig behov for å kontrollere pliktig
regnskapsrapportering. Oppbevaring skal skje i en form som opprettholder muligheten for å lese materialet”, jfr.§ 4 nr 8
Regnskapsmaterialet må sikres mot ”urettmessig sletting eller tap”, § 4 nr 9• Forvaltningsloven
Partsinnsyn § 18 flg E-mail omfattes av lovens dokumentbegrep jfr § 2 bokstav f)
• Offentlighetsloven Offentlig innsyn § 2 flg
• Finansavtaleloven Krever betryggende metode for autentifisering av avtaleinngåelsen jfr § 8 (2)(b)
• Arkivloven• Hvitvaskingsloven
• Krav til ”forsvarlig” lagring jfr § 6 2• Opplysningene som omfattes angitt i § 8
Formelle krav til lagring(foredrag fra adv fa. Simonsen)
![Page 11: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/11.jpg)
11
Lagring – forts.
Forbud mot lagring• Personopplysningsloven sml markedsføringsloven
Vilkår for oppbevaring av personopplysninger jfr § 8 Vilkår for oppbevaring av sensitive personopplysninger jfr § 9 Krav til oppbevaringen se §§ 11 flg Opplysningsplikten i mfl § 15
• Helseregisterloven Behandlingsrettede helseregistre kan føres elektronisk jfr § 6 Vilkår for føring av slik register se lovens kap 2 Krav til oppbevaring, kap 3
• IT-sikkerhetsforskriften Sikkerhetskrav § 5
Overtredelse• Ansvar• Sanksjoner (bøter og fengsel)
Personopplysningsloven kap 8 Helseregisterloven kap 6 Markedsføringsloven kap 12
• Omdømme• Rettssak
![Page 12: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/12.jpg)
Det nye trusselbildet• Adressering
![Page 13: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/13.jpg)
Du har mottatt feilsendt e-post(Undersøkelse foretatt av NorSIS)
To av ti har mottatt feilsendt e-post
Det er ingen signifikante geografiske forskjeller og det forekommer i like stor grad i privat og offentlig sektor når det gjelder å motta feilsendt e-post.
Det er i bransjene undervisning (25 prosent), offentlig administrasjon (23 prosent) og tjenesteytende næringer (23 prosent) at man i størst grad har mottatt feilsendt e-post. Det skjer i minst grad i primærnæringer (5 prosent), transport og kommunikasjon (12 prosent), samt bygg- og anleggsvirksomhet (13 prosent).
19 %
80 %
1 %0 %
10 %20 %
30 %40 %
50 %60 %
70 %80 %
90 %
Ja Nei Vet ikke
![Page 14: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/14.jpg)
Du har mottatt feilsendt e-post(Undersøkelse foretatt av NorSIS)
22 % 20 % 18 % 17 %13 % 12 %
5 %
25 %23 % 23 %
0 %
10 %
20 %
30 %
Undervisning Offentlig administrasjonTjenesteytende næringer Helse- og sosialtjenesterIndustri etc VarehandelHotell- og restuarantvirksomhet Bygge- og anleggsvirksomhetTransport og kommunikasjon Primærnæringer
![Page 15: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/15.jpg)
Du har selv feilsendt e-post(Undersøkelse foretatt av NorSIS)
14 %
80 %
6 %
0 %
10 %20 %
30 %40 %
50 %60 %
70 %80 %
90 %
Ja Nei Vet ikke
14 prosent har feilsendt e-post
Å sendt e-post til feil adressat skjer i like stor grad i privat og offentlig sektor og det er ingen signifikante geografiske forskjeller.
I de ulike bransjene skjer det i størst grad i tjenesteytende næringer og undervisning (hhv. 19 og 18 prosent). Innenfor primærnæringer, helse- og sosialtjenester og hotell- og restaurant forekommer feilsending av e-post i minst grad (hhv. 5,10 og 11 prosent).
![Page 16: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/16.jpg)
Du har selv feilsendt e-post(Undersøkelse foretatt av NorSIS)
14 % 14 % 13 % 12 % 11 % 10 %
5 %
19 % 18 %15 %
0 %5 %
10 %15 %20 %
Tjenesteytende næringer UndervisningTransport og kommunikasjon Bygge- og anleggsvirksomhetIndustri etc Offentlig administrasjonVarehandel Hotell- og restuarantvirksomhetHelse- og sosialtjenester Primærnæringer
![Page 17: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/17.jpg)
Eksempler
![Page 18: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/18.jpg)
Rt-2003-825 Saken gjaldt spørsmål om brudd på
straffeloven §405a. Høyesterett kom til at bestemmelsen ikke rammet den som tilfeldig kommer over bedriftshemmeligheter. Ettersom de to tiltalte hadde lagt til rette for at e-post skulle feilsendes til dem, ble imidlertid kunnskapen ansett skaffet til veie på en urimelig måte.
![Page 19: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/19.jpg)
Det nye trusselbildet• Adressering• Egen dokumentasjonskontroll, i
forhold til andres• Manipulasjon av data• Sletting av data• Utro tjenere – Effektivitet• Spam
![Page 20: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/20.jpg)
Det nye trusselbildet• Adressering• Egen dokumentasjonskontroll, i
forhold til andres• Manipulasjon av data• Sletting av data• Utro tjenere – Effektivitet• Spam
![Page 21: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/21.jpg)
Eksempel - SPAMDette er den siste vi har sett:
![Page 22: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/22.jpg)
Det nye trusselbildet• Adressering• Egen dokumentasjonskontroll, i
forhold til andres• Manipulasjon av data• Sletting av data• Utro tjenere – Effektivitet• Spam
Kan du stå inne for det som er skrevet OG sendt for all ettertid
![Page 23: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/23.jpg)
Hvor er risikoen?- Gjelder også for e-post
![Page 24: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/24.jpg)
Sikker e-post håndtering?
• Dokumenterte prosedyrer <-> Etterlevelse
• Automatisering <-> Manuelle prosesser
• Lagring Struktur Sikkerhet Tidsperspektiv Teknologiendringer
![Page 25: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/25.jpg)
Regler for skriving av e-post
1) Ha en profesjonell tone og vær objektiv
2) Vær nøyaktig og faktaorientert3) Sørg for fullstendighet4) Unngå åpne ender5) Ikke ta parti mot den du
representerer6) Ikke skriv nedsettende om andre7) Unngå sleivete humor8) Tenk som en dommer
![Page 26: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/26.jpg)
Helhetlig sikkerhetstenkningHelhetlig tenkning- Alle må være
tilstede- Del av en helhet- Styrken avhenger
av beskyttelsesbehovetDokumenter, patenter, post, e-post, personopplysninger o.s.v
Teknisk utstyr
Sensitiv informasjon
Børsinfo, regnskap og lignende.
KontanterStrategier - planer
BranntrekantenBeskyttelsesverdige
interesser (Verdivurdering)
Teknisk Sikkerhet
-Brannmurer
-Tilgangskontroll
-Antivirus/spyware
-Oppdateringer (patch)
Fysisk Sikkerhet
-Adgangskontroll
-Soneinndeling
-Innbruddsdeteksjon
-Alarm
-VakttjenesterMennesket – det svakeste ledd i sikkerhetskjeden
![Page 27: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/27.jpg)
Helhetstenkning – etter verdivurderingÅpent område
•Juridisk barriere
•Lett eller ingen adgangskontroll
Begrenset område
•Fysisk sperre
•Kun ansatte eller gjester med følge
•Adgangskontroll
Sensitivt område•Fysisk sperre•Begrenset antall ansatte•Streng adgangskontroll/tilgang
Åpen informasjon
Allment kjent informasjon
•”vanlig e-post”
Begrenset informasjon
•Vedlegg (lukket)
•Godkjente mottakere
Sensitivt informasjonKryptering•Sertifikater•Ikke vedlegg hvis ikke dette er kryptert. •Avtaler, tekniske beskrivelser, anbud, strategier, personinformasjon, bedriftshemmeligheter
![Page 28: Konfidensiell informasjon på e-post](https://reader035.fdocument.pub/reader035/viewer/2022062410/56815e35550346895dcc974c/html5/thumbnails/28.jpg)
Spørsmål?
Takk for oppmerksomheten