Offshoring - datalagring Atle Dingsør, Finanstilsynet Norge: IKT-forskriften (F0R-2003-05-21-630) § 12. Utkontraktering (1. ledd) Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av IKTvirksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å inspisere og kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon. 2 30. november 2011 Norge: IKT-forskriften (FOR-2003-05-21-630) § 12. Utkontraktering (2. ledd) Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn hos IKTleverandøren der Finanstilsynet finner det nødvendig som et ledd i tilsynet med foretaket. Foretaket skal sikre, i egen regi eller gjennom et formalisert samarbeid med andre foretak enn IKTleverandøren, at organisasjonen besitter tilstrekkelig kompetanse til å forvalte utkontrakteringsavtalen. 3 30. november 2011 Norge: IKT-forskriften (F0R-2003-05-21-630) § 2. Planlegging og organisering Foretaket skal fastsette overordnede mål, strategier og sikkerhetskrav for IKT-virksomheten. Det skal foreligge beskrivelse av den enkelte prosess og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling utføres på en betryggende måte. Ved utkontraktering av deler eller hele IKT-virksomheten skal foretaket ha egne retningslinjer som skal sikre leveransen. Det skal oppnevnes en ansvarlig i foretaket for de ulike deler av IKT-virksomheten. Med ansvarlig menes en funksjon eller stilling. 4 30. november 2011 Rundskriv 14/2010, 31.05.2010. Mottakere: Banker. Utflytting av bankenes IKT-oppgaver 5 30. november 2011 Finland: Standard 1.6 Utlägging av verksamhet «Ett kreditinstitut eller ett fondbolag kan anlita ombud for sin affärsverksamhet eller på annat sätt lägge ut viktige driftsfunktioner på entreprenad om dette inte försvårar kreditinstitutets/fondbolagets riskhandtering och interna kontroll eller annars innebär betydande olägenhet for verksamheten». 6 30. november 2011 Finland: Standard 1.6 Utlägging av verksamhet Åtminstone följande funktioner ska betraktas som viktiga: • tillståndspliktig verksamhet • funktioner som har samband med internkontroll och riskhantering • internrevision • för verksamheten centrala IT-system • en placeringsfonds portföljforvaltning, värdeberäkning och registerhållningen av vãrdeandelsregistret 7 30. november 2011 Finland: Standard 1.6 Utlägging av verksamhet Institutets ansvar for utlagda funktioner: Ved utlägging av en för verksamheten viktig funktion ska institutet säkerställa at uppdragstagaren har tillräckliga resurser, tillräcklig kompetens, ekonomisk handlingsfõrmåga och sakkunskap. Institutet ska ha förfaranden för att kunna bedöma uppdragstagarens prestationer. 8 30. november 2011 Finland: Standard 1.6 Utlägging av verksamhet Institutets ansvar for utlagda funktioner: Institutet ska in sin kontinuitetsplanering förbereda sig för funktionsstörningar också hos uppdragstagaren och förutsätta att uppdragstagaren upprätter egne kontinuitetsplaner. 9 30. november 2011 Finland: Standard 1.6 Utlägging av verksamhet Institutets ansvar for utlagda funktioner: Institutet ska säkerhetställa att uppdragstagaren har skyddat konfidentiell information om institutet och dess kunder. Institutet ska upprätthålla viktig kompetens i utlagda funktioner så att institutet vid behov kan återta dem eller överlåta dem til en annan tjänsteleverantör. 10 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder Outsourcing av diskretionær porteføljepleie, it og regnskabs-/solvensopgørelser vil normalt være omfattet. 11 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder Outsurcingvirksomheden skal ifølge … have tilstrækkelig indsikt til at kontrollere leverandøren og ydelsen lever opp til kravene. Det er ligeledes af stor betydning, at outsourcingsvirksomheden har tilstrækkelig ressourcer og viden om ydelsen til at håndtere den situation, at man bliver nødt til at trække aktiviteten fra den pågældende leverandør og finde en anden løsning af opgaven. 12 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder De interne retningslinjer i … skal sikre at alle relevante aspekter vedrørende kontrol, opfølgning og rapportering om udførelsen af den outsourcede aktivitet er dækket samt sikring av at den risikoprofil og de strategier, som outsourcingsvirksomheden har besluttet herunder outsourcingsvirksomhedens itsikkerhetspolitikk ikke tilsidesættes ved outsourcingen. 13 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder Ifølge … skal retningslinjerne præcisere, hvilke personer eller enheder hos outsourcingsvirksomheden, der står for overvåkingen og kontrollen af ydelsen … . 14 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder … ikke være tvivl om, hva der er outsourced og omfanget herav … ikke være tvivl om, hvad leverandøren kan gjøres ansvarlig for hvis der opstår fejl eller mangler … hvorfra leverandøren kan levere sin ydelse … tydelig fremgå hvornår ansvaret for en leverance overgår til outsourcingsvirksomheden 15 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder Det bør fremgå av kontrakten at leverandøren og dens personale er omfattet af …. , hvorefter kundeopplysninger hos leverandøren skal behandles på samme måde som hos outsourcingsvirksomheden selv. 16 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder Hvis en aftale om videreoutsourcing ophører skal leverandøren ifølge … gi outsourcingvirksomhede meddelelse om dette, således at outsourcingvirksomheden til alle tider ved, hvor aktiviteten varetages. 17 30. november 2011 Danmark: Vejledning til bekendtgjørelse om outsourcing av væsentlige aktivitetsområder Det bør fremgå av kontrakten at leverandøren og dens personale er omfattet af …. , hvorefter kundeopplysninger hos leverandøren skal behandles på samme måde som hos outsourcingsvirksomheden selv. 18 30. november 2011 Sverige: Finansinspektionens almänna råd om styrning og kontroll av finansiella företag. Av de interna reglerna bör åtminstone följande framgå: • vilka krav som skal ställas på företagens beställarkompetens • hur risker med utläggingen skal hånteras • att företaget ska forsäkra sig om at uppdragstagaren skyddar konfidensiell information både när det gjelder företaget og dets kunder 19 30. november 2011 Sverige: Finansinspektionens almänna råd om styrning og kontroll av finansiella företag. Av de interna reglerna bör åtminstone följande framgå: • hur företaget ska styra ock följa upp hur oppdraget utförs samt revidera den utlagda verksamheten • vilka krav som dels ska ställas på kompetens hos uppdragstagaren, dels på intern kontroll och kvalitet, samt uppdragstagarens möjligheter att långsiktigt fullgöra sitt uppdrag 20 30. november 2011 Sverige: Finansinspektionens almänna råd om styrning og kontroll av finansiella företag. Av de interna reglerna bör åtminstone följande framgå: • att företaget och uppdragstagaren ska upprätta og vidmakthålla beredskapsplaner för uforutsedda händelser, inklusive en kris- og katastrofplanering som löpande ska testas • att det ska upprättas beredskapsplaner och strategier för hur uppdraget ska kunna avslutas och verksamheten återtas till företaget, utan betydande störningar av viktig verksamhet. 21 30. november 2011 Sverige: Finansinspektionens almänna råd om styrning og kontroll av finansiella företag. Av de interna reglerna bör åtminstone följande framgå: • att det ska upprattas ett skriftlig avtal, som reglerar servicenivå, partenas rättigheter och skyldigheter samt övriga frågor enligt dessa almänna råd 22 30. november 2011 Nettverk & kommunikasjon nr. 7 2011 Om Office 365: «For norske kunder vil det være et datasenter i Irland som er produksjonsstedet for skytjenesten og lagring av data med en geografisk redundans». «En ting som er vesentlig i forhold til at kundedata ikke lagres lokalt, er hvilken lovgivning Microsoft er underlagt. Microsoft har selv kommet med uttalelser om at de må forholde seg til amerikansk lovgivning fordi de har hovedkontor i USA. Dette betyr at de kan bli tvunget til å utlevere kundedata i henhold til den amerikanske loven Patriot Act. Dette gjelder også for data som er lagret innen EU». 23 30. november 2011 Personopplysningsloven «Ifølge personopplysningsloven kan ikke personopplysninger overføres til utlandet uten samtykke fra den det gjelder. Samtykke er trolig ikke tilstrekkelig dersom det er uklart hvor i verden dataene er lagret». «Manglende kjennskap til hvor data lagres kan være i strid med lover og regler for bokføring og regnskap, der det stilles krav til oppbevaring og tilgang til regnskapsopplysninger». Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma http://www.digi.no/824408/pass-paa-jussen-i-nettskyen 24 30. november 2011 Transport av data Nettskyleverandører kan ha avtaler seg i mellom, slik at de kan avlaste hverandre etter behov. Det innebærer at data plutselig kan flyttes rundt omkring. I slike tilfeller må man kunne svare på blant annet hvordan dataene overføres, om det er noen form for kryptering, og hvordan data sikres mot innsyn både under flytting og på det nye stedet. Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma http://www.digi.no/824408/pass-paa-jussen-i-nettskyen 25 30. november 2011 Skille kundene Det er risiko for tap og sammenblanding når flere aktører kjøper nettskytjenester fra samme leverandør. Konfidensialitet må kontraktsreguleres. SLA: implementering, tilgang til datakraft og lagringskapasitet, responstid, reparasjonstid, tilgjengelighet, oppetid. Er det forsvarlig av en leverandør å garantere oppetid i skyen? Det kan være veldig tøft for en leverandør som ikke har kontroll over helheten. Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma http://www.digi.no/824408/pass-paa-jussen-i-nettskyen 26 30. november 2011 Innelåsing Man må sikre seg rett til å bytte leverandør, og til at leverandøren skal bistå ved en avvikling av forholdet. Man skal være sikker på at man får med seg alle egne data og metadata, og at leverandøren sletter sine kopier når overføringen er gjort. Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma http://www.digi.no/824408/pass-paa-jussen-i-nettskyen LOCK-IN: there is currently little on offer in the way of tools, procedures or standard data formats or services interfaces that could guarantee data, application and service portability. This can make it difficult for the customer to migrate from one provider to another or migrate data and services back to an inhouse IT environment. This introduces a dependency on a particular CP for service provision, especially if data portability, as the most fundamental aspect, is not enabled. Kilde: Enisa 27 30. november 2011 Markeder under angrep September 1999 Hackers break into computers used to operate the websites for American Stock Exhange and Nasdaq, leaving messages on the system. 2004 Van Dinh, a 19-year old living with his parents in Pennsylvania, is sentenced after online trading hacking and identity fraud. October 2007 A Ukranian engineering consultant named Oleksandr Dorozhko hacked into a computer that contained advance information about a negative earnings announcement from MS Health. 28 30. november 2011 Markeder under angrep Januar 2011 European Commission halts emissions trading system for two weeks following allegations of theft of permits from European carbon trading markets. February 2011 Nasdaq OMX targeted my hackers who breached its system but did not compromise its trading operations. Yet the attempted hacking on Nasdaq has sparked broader concerns about information security, particularly for data that can be stolen and used for insider trading. 29 30. november 2011 Markeder under angrep “It was inevitable”, says Justin Magruder, chief executive of Noetic Partners, which builds trading data systems. Virtualisation is a relative new application and is very complex. My assumption is that most clouds are vulnerable because of the sheer number of access points, and many have already been hacked. We just don’t hear about it”. Kilde: Financial Times 30 30. november 2011 Management Interface MANAGEMENT INTERFACE COMPROMISE: customer management interfaces of a public cloud provider are accessible through the Internet and mediate access to larger sets of resources (than traditional hosting providers) and therefore pose an increased risk, especially when combined with remote access and web browser vulnerabilities. Kilde: Enisa 31 30. november 2011 Hotell Cloud providers, by their very nature, are tasked with providing a multi-tenant environment, whether this is via virtualization on a server or the common network shared by the customers. The co-location of many customers inevitably causes conflict for the cloud provider as customers’ communication security requirements are likely to be divergent from each other. Kilde: Enisa 32 30. november 2011 Risikoanalyser «Personvernlovgivningen er ikke på Europeisk nivå. Det medfører at sikkerhet som er kravstilt i norsk og europeisk lov ikke tilsvarende er ivaretatt i Indisk lov. Det medfører at tilsvarende sikkerhet må håndteres avtalemessig og at eventuell behandling av personopplysninger krever spesiell godkjenning hos Datatilsynet». 33 30. november 2011 Risikoanalyser «Ukraina er ungt land, og for eksempel på områder som regulerer immaterielle rettigheter og personvern er ikke Ukraina like godt regulert som EU/EØS. Personvernlovgivning er ikke på nivå med lovgivningen i EU/EØS. Ukraina er rangert som ett av landene med mest piratkopiert programvare i henhold til Business Software Alliance (85%), på nivå med land som Irak, Vietnam, Pakistan og Indonesia». 34 30. november 2011 Risikoanalyser «På personvernområdet er lovregulering svak i forhold til EU/EØS. Det medfører at sikkerhet som i EU/EØS er ivaretatt i lovverket må ivaretas gjennom avtaleforhold i Ukraina. Eventuell behandling av eller overføring av personopplysninger til Ukraina krever formell godkjenning av Datatilsynet. Dersom man velger og sette ut oppgaver som krever tilgang til (behandling eller overføring av) personopplysninger krever det godkjenning hos Datatilsynet og en omfattende prosess for å sikre og dokumentere og sikkerhet og kvalitet hos den Ukrainske virksomheten». 35 30. november 2011 Risikoanalyser «Korrupsjonen i Ukraina er av betydning for å forklare endringer i risikoforhold mellom Ukraina og Norge. Korrupsjon skaper uforutsigbarhet for eksempel med hensyn til politiske og eventuelle rettslige prosesser i Ukraina. Korrupsjon kan derfor medføre direkte økonomisk tap dersom det påvirker resultater av forretningsmessige, politiske eller rettslige prosesser i uventet og uheldig retning». 36 30. november 2011 Risikoanalyser Konklusjonen når det gjelder India og Ukraina: «… kan utkontraktere utvikling og kodeforvaltning på systemer, forutsatt at det ikke krever tilgang til reelle kundedata under følgende betingelser… ». Konklusjonen når det gjelder Danmark: «Utkontraktering av alle typer IT-tjenester til Danmark er akseptabelt under følgende betingelser…» 37 30. november 2011 Risikoanalyser «I henhold til Datatilsynet og Personopplysningsloven skal personopplysninger ikke behandles utenfor EØS, med mindre det er gitt særskilt tillatelse. Datatilsynet legger til grunn at i begrepet behandling omfattes all form for tilgang og innsyn i konsesjonsbelagte personopplysninger, herunder også IT-messig test og utvikling». 38 30. november 2011 Risikoanalyser «For å sikre personopplysninger ved offshore utvikling skal det ikke brukes kopi av produksjonsdata til testformål uten at disse er anonymisert eller tillatelse til eksport er gitt. Videre må det sikres at det er fysiske og IT-messige sperrer i systemene som hindrer slike data i å bli kopiert eller eksportert via autoriserte eller uautoriserte kanaler». 39 30. november 2011 Risikoanalyser «For å sikre at ikke offshore test- og utviklingsressurser kan omgå autorisasjoner, eskalere privilegier eller kalle ressurser i andre omgivelser, må profiler, roller, systemer og skille i form av brannmurspolicyer og sperringer i Group Policy objekter settes opp slik at dette ikke blir mulig. Offshore-ressurser må ikke gis oppgaver som kan gi tilganger til ressurser i produksjonsområdet». 40 30. november 2011 Noen indekser Corruption Perceptions Index Ease of doing business index 41 30. november 2011 Case: Bankens rett til å søke i e-post sendt av norske ansatte lokalisert på servere i utlandet. I henhold til EU Direktiv Art. 4, litra a) har den behandlingsansvarlige lands lov enekompetanse i forhold til behandlingens lovlighet, også hvor dataene er lokalisert i et annet EU/EØS-lands territorium. Landet har implementert direktivet gjennom personopplysningsloven. I følge dennes Art. 4 gjelder loven kun hvor den behandlingsansvarlige er etablert på landets territorium eller under landets lov på annen måte. 42 30. november 2011 Case: Bankens rett til å søke i e-post sendt av norske ansatte lokalisert på servere i utlandet. Idet det Norske foretaket er behandlingsansvarlig, følger det av landets lov § 4 at databehandlingen som landet gjør på vegne av den behandlingsansvarlige ikke vil omfattes av landets personvernlovgivning overhodet. Dette er i løsning som er i overenstemmelse med Direktiv 95/45 Art. 4. 43 30. november 2011 Case: Bankens rett til å søke i e-post sendt av norske ansatte lokalisert på servere i utlandet. Problemstillingen er at et slikt søk ikke bare vil gi treff på e-post sendt av ansatte i det norske foretaket og hvor søket er lovlig i henhold til norsk personopplysningslov. Søket vil også gi treff på e-post sendt av ansatte i andre land og hvor det norske foretaket ikke er behandlingsansvarlig for oppbevaring av den aktuelle e-posten. 44 30. november 2011 Case: Bankens rett til å søke i e-post sendt av norske ansatte lokalisert på servere i utlandet. Konsernjuridisk avdeling i Finland ble kontaktet. Resultatet var gjennomgående at det var finsk rett som skulle anvendes og at innsyn ikke ville være tillatt. Det norske foretaket fikk aldri innsyn i dataene i Finland. Rent prinsipielt synes det svært betenkelig at det norske foretaket ikke fikk tilgang til disse opplysningene. 45 30. november 2011 Bank oppdaget Ukrainske inntrengere Bank oppdaget Ukrainske inntrengere 46 30. november 2011
© Copyright 2024