Atle Dingsør_20111201 - Den Norske Dataforening

Offshoring - datalagring
Atle Dingsør, Finanstilsynet
Norge: IKT-forskriften (F0R-2003-05-21-630)
§ 12. Utkontraktering (1. ledd)
Foretaket har ansvar for at IKT-virksomheten
oppfyller alle krav som stilles etter denne forskrift.
Dette gjelder også der hele eller deler av IKTvirksomheten er utkontraktert. Det skal foreligge en
skriftlig avtale som sikrer dette. Avtalen må sikre at
foretak under tilsyn også gis rett til å inspisere og
kontrollere de av leverandørens aktiviteter som er
knyttet til avtalen. Avtalen skal også sikre håndtering
av taushetsbelagt informasjon.
2
30. november 2011
Norge: IKT-forskriften (FOR-2003-05-21-630)
§ 12. Utkontraktering (2. ledd)
Avtalen skal videre sikre at Finanstilsynet gis
tilgang til opplysninger fra og tilsyn hos IKTleverandøren der Finanstilsynet finner det
nødvendig som et ledd i tilsynet med foretaket.
Foretaket skal sikre, i egen regi eller gjennom et
formalisert samarbeid med andre foretak enn IKTleverandøren, at organisasjonen besitter tilstrekkelig
kompetanse til å forvalte utkontrakteringsavtalen.
3
30. november 2011
Norge: IKT-forskriften (F0R-2003-05-21-630)
§ 2. Planlegging og organisering
Foretaket skal fastsette overordnede mål, strategier og
sikkerhetskrav for IKT-virksomheten. Det skal foreligge
beskrivelse av den enkelte prosess og hvordan ansvaret for
administrasjon, anskaffelse, utvikling, drift,
systemvedlikehold, sikring av informasjon og avvikling
utføres på en betryggende måte.
Ved utkontraktering av deler eller hele IKT-virksomheten
skal foretaket ha egne retningslinjer som skal sikre
leveransen.
Det skal oppnevnes en ansvarlig i foretaket for de ulike
deler av IKT-virksomheten. Med ansvarlig menes en funksjon
eller stilling.
4
30. november 2011
Rundskriv 14/2010, 31.05.2010. Mottakere:
Banker.
Utflytting av bankenes IKT-oppgaver
5
30. november 2011
Finland: Standard 1.6 Utlägging
av verksamhet
«Ett kreditinstitut eller ett fondbolag kan anlita
ombud for sin affärsverksamhet eller på annat sätt
lägge ut viktige driftsfunktioner på entreprenad om
dette inte försvårar kreditinstitutets/fondbolagets
riskhandtering och interna kontroll eller annars
innebär betydande olägenhet for verksamheten».
6
30. november 2011
Finland: Standard 1.6 Utlägging
av verksamhet
Åtminstone följande funktioner ska betraktas som viktiga:
• tillståndspliktig verksamhet
• funktioner som har samband med internkontroll och
riskhantering
• internrevision
• för verksamheten centrala IT-system
• en placeringsfonds portföljforvaltning, värdeberäkning
och registerhållningen av vãrdeandelsregistret
7
30. november 2011
Finland: Standard 1.6 Utlägging
av verksamhet
Institutets ansvar for utlagda funktioner:
Ved utlägging av en för verksamheten viktig
funktion ska institutet säkerställa at
uppdragstagaren har tillräckliga resurser,
tillräcklig kompetens, ekonomisk
handlingsfõrmåga och sakkunskap. Institutet ska
ha förfaranden för att kunna bedöma
uppdragstagarens prestationer.
8
30. november 2011
Finland: Standard 1.6 Utlägging
av verksamhet
Institutets ansvar for utlagda funktioner:
Institutet ska in sin kontinuitetsplanering
förbereda sig för funktionsstörningar också hos
uppdragstagaren och förutsätta att
uppdragstagaren upprätter egne
kontinuitetsplaner.
9
30. november 2011
Finland: Standard 1.6 Utlägging
av verksamhet
Institutets ansvar for utlagda funktioner:
Institutet ska säkerhetställa att uppdragstagaren
har skyddat konfidentiell information om institutet
och dess kunder.
Institutet ska upprätthålla viktig kompetens i
utlagda funktioner så att institutet vid behov kan
återta dem eller överlåta dem til en annan
tjänsteleverantör.
10
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
Outsourcing av diskretionær porteføljepleie, it og
regnskabs-/solvensopgørelser vil normalt være
omfattet.
11
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
Outsurcingvirksomheden skal ifølge … have
tilstrækkelig indsikt til at kontrollere leverandøren
og ydelsen lever opp til kravene.
Det er ligeledes af stor betydning, at
outsourcingsvirksomheden har tilstrækkelig
ressourcer og viden om ydelsen til at håndtere
den situation, at man bliver nødt til at trække
aktiviteten fra den pågældende leverandør og
finde en anden løsning af opgaven.
12
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
De interne retningslinjer i … skal sikre at alle
relevante aspekter vedrørende kontrol,
opfølgning og rapportering om udførelsen af den
outsourcede aktivitet er dækket samt sikring av
at den risikoprofil og de strategier, som
outsourcingsvirksomheden har besluttet
herunder outsourcingsvirksomhedens itsikkerhetspolitikk ikke tilsidesættes ved
outsourcingen.
13
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
Ifølge … skal retningslinjerne præcisere, hvilke
personer eller enheder hos
outsourcingsvirksomheden, der står for
overvåkingen og kontrollen af ydelsen … .
14
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
… ikke være tvivl om, hva der er outsourced og
omfanget herav
… ikke være tvivl om, hvad leverandøren kan
gjøres ansvarlig for hvis der opstår fejl eller
mangler
… hvorfra leverandøren kan levere sin ydelse
… tydelig fremgå hvornår ansvaret for en
leverance overgår til outsourcingsvirksomheden
15
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
Det bør fremgå av kontrakten at leverandøren og
dens personale er omfattet af …. , hvorefter
kundeopplysninger hos leverandøren skal
behandles på samme måde som hos
outsourcingsvirksomheden selv.
16
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
Hvis en aftale om videreoutsourcing ophører skal
leverandøren ifølge … gi
outsourcingvirksomhede meddelelse om dette,
således at outsourcingvirksomheden til alle tider
ved, hvor aktiviteten varetages.
17
30. november 2011
Danmark: Vejledning til bekendtgjørelse
om outsourcing av væsentlige
aktivitetsområder
Det bør fremgå av kontrakten at leverandøren og
dens personale er omfattet af …. , hvorefter
kundeopplysninger hos leverandøren skal
behandles på samme måde som hos
outsourcingsvirksomheden selv.
18
30. november 2011
Sverige: Finansinspektionens almänna råd
om styrning og kontroll av finansiella
företag.
Av de interna reglerna bör åtminstone följande
framgå:
• vilka krav som skal ställas på företagens
beställarkompetens
• hur risker med utläggingen skal hånteras
• att företaget ska forsäkra sig om at
uppdragstagaren skyddar konfidensiell
information både när det gjelder företaget og
dets kunder
19
30. november 2011
Sverige: Finansinspektionens almänna råd
om styrning og kontroll av finansiella
företag.
Av de interna reglerna bör åtminstone följande
framgå:
• hur företaget ska styra ock följa upp hur
oppdraget utförs samt revidera den utlagda
verksamheten
• vilka krav som dels ska ställas på kompetens
hos uppdragstagaren, dels på intern kontroll
och kvalitet, samt uppdragstagarens
möjligheter att långsiktigt fullgöra sitt uppdrag
20
30. november 2011
Sverige: Finansinspektionens almänna råd
om styrning og kontroll av finansiella
företag.
Av de interna reglerna bör åtminstone följande framgå:
• att företaget och uppdragstagaren ska upprätta og
vidmakthålla beredskapsplaner för uforutsedda
händelser, inklusive en kris- og katastrofplanering
som löpande ska testas
• att det ska upprättas beredskapsplaner och strategier
för hur uppdraget ska kunna avslutas och
verksamheten återtas till företaget, utan betydande
störningar av viktig verksamhet.
21
30. november 2011
Sverige: Finansinspektionens almänna råd
om styrning og kontroll av finansiella
företag.
Av de interna reglerna bör åtminstone följande
framgå:
• att det ska upprattas ett skriftlig avtal, som
reglerar servicenivå, partenas rättigheter och
skyldigheter samt övriga frågor enligt dessa
almänna råd
22
30. november 2011
Nettverk & kommunikasjon nr. 7
2011
Om Office 365:
«For norske kunder vil det være et datasenter i Irland som er
produksjonsstedet for skytjenesten og lagring av data med en
geografisk redundans».
«En ting som er vesentlig i forhold til at kundedata ikke lagres
lokalt, er hvilken lovgivning Microsoft er underlagt. Microsoft har
selv kommet med uttalelser om at de må forholde seg til
amerikansk lovgivning fordi de har hovedkontor i USA. Dette
betyr at de kan bli tvunget til å utlevere kundedata i henhold til
den amerikanske loven Patriot Act. Dette gjelder også for data
som er lagret innen EU».
23
30. november 2011
Personopplysningsloven
«Ifølge personopplysningsloven kan ikke
personopplysninger overføres til utlandet uten samtykke fra
den det gjelder. Samtykke er trolig ikke tilstrekkelig dersom
det er uklart hvor i verden dataene er lagret».
«Manglende kjennskap til hvor data lagres kan være i strid med
lover og regler for bokføring og regnskap, der det stilles krav til
oppbevaring og tilgang til regnskapsopplysninger».
Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma
http://www.digi.no/824408/pass-paa-jussen-i-nettskyen
24
30. november 2011
Transport av data
Nettskyleverandører kan ha avtaler seg i mellom, slik
at de kan avlaste hverandre etter behov. Det
innebærer at data plutselig kan flyttes rundt omkring.
I slike tilfeller må man kunne svare på blant annet
hvordan dataene overføres, om det er noen form for
kryptering, og hvordan data sikres mot innsyn både
under flytting og på det nye stedet.
Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma
http://www.digi.no/824408/pass-paa-jussen-i-nettskyen
25
30. november 2011
Skille kundene
Det er risiko for tap og sammenblanding når flere aktører kjøper
nettskytjenester fra samme leverandør. Konfidensialitet må
kontraktsreguleres.
SLA: implementering, tilgang til datakraft og lagringskapasitet,
responstid, reparasjonstid, tilgjengelighet, oppetid.
Er det forsvarlig av en leverandør å garantere oppetid i skyen?
Det kan være veldig tøft for en leverandør som ikke har kontroll
over helheten.
Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma
http://www.digi.no/824408/pass-paa-jussen-i-nettskyen
26
30. november 2011
Innelåsing
Man må sikre seg rett til å bytte leverandør, og til at
leverandøren skal bistå ved en avvikling av forholdet. Man skal
være sikker på at man får med seg alle egne data og metadata,
og at leverandøren sletter sine kopier når overføringen er gjort.
Kilde: Advokat Ståle Hagen fra Simonsen Advokatfirma
http://www.digi.no/824408/pass-paa-jussen-i-nettskyen
LOCK-IN: there is currently little on offer in the way of tools,
procedures or standard data formats or services interfaces that
could guarantee data, application and service portability. This
can make it difficult for the customer to migrate from one
provider to another or migrate data and services back to an inhouse IT environment. This introduces a dependency on a
particular CP for service provision, especially if data portability,
as the most fundamental aspect, is not enabled.
Kilde: Enisa
27
30. november 2011
Markeder under angrep
September 1999 Hackers break into computers
used to operate the websites for American Stock
Exhange and Nasdaq, leaving messages on the
system.
2004 Van Dinh, a 19-year old living with his parents
in Pennsylvania, is sentenced after online trading
hacking and identity fraud.
October 2007 A Ukranian engineering consultant
named Oleksandr Dorozhko hacked into a computer
that contained advance information about a negative
earnings announcement from MS Health.
28
30. november 2011
Markeder under angrep
Januar 2011 European Commission halts
emissions trading system for two weeks following
allegations of theft of permits from European carbon
trading markets.
February 2011 Nasdaq OMX targeted my hackers
who breached its system but did not compromise its
trading operations. Yet the attempted hacking on
Nasdaq has sparked broader concerns about
information security, particularly for data that can be
stolen and used for insider trading.
29
30. november 2011
Markeder under angrep
“It was inevitable”, says Justin Magruder,
chief executive of Noetic Partners, which
builds trading data systems. Virtualisation is
a relative new application and is very
complex. My assumption is that most clouds
are vulnerable because of the sheer number
of access points, and many have already
been hacked. We just don’t hear about it”.
Kilde: Financial Times
30
30. november 2011
Management Interface
MANAGEMENT INTERFACE
COMPROMISE: customer management
interfaces of a public cloud provider are
accessible through the Internet and mediate
access to larger sets of resources (than
traditional hosting providers) and therefore
pose an increased risk, especially when
combined with remote access and web
browser vulnerabilities. Kilde: Enisa
31
30. november 2011
Hotell
Cloud providers, by their very nature, are
tasked with providing a multi-tenant
environment, whether this is via virtualization
on a server or the common network shared
by the customers. The co-location of many
customers inevitably causes conflict for the
cloud provider as customers’ communication
security requirements are likely to be
divergent from each other.
Kilde: Enisa
32
30. november 2011
Risikoanalyser
«Personvernlovgivningen er ikke på Europeisk nivå.
Det medfører at sikkerhet som er kravstilt i norsk og
europeisk lov ikke tilsvarende er ivaretatt i Indisk lov.
Det medfører at tilsvarende sikkerhet må håndteres
avtalemessig og at eventuell behandling av
personopplysninger krever spesiell godkjenning hos
Datatilsynet».
33
30. november 2011
Risikoanalyser
«Ukraina er ungt land, og for eksempel på områder
som regulerer immaterielle rettigheter og personvern
er ikke Ukraina like godt regulert som EU/EØS.
Personvernlovgivning er ikke på nivå med
lovgivningen i EU/EØS. Ukraina er rangert som ett
av landene med mest piratkopiert programvare i
henhold til Business Software Alliance (85%), på
nivå med land som Irak, Vietnam, Pakistan og
Indonesia».
34
30. november 2011
Risikoanalyser
«På personvernområdet er lovregulering svak i
forhold til EU/EØS. Det medfører at sikkerhet som i
EU/EØS er ivaretatt i lovverket må ivaretas gjennom
avtaleforhold i Ukraina. Eventuell behandling av eller
overføring av personopplysninger til Ukraina krever
formell godkjenning av Datatilsynet. Dersom man
velger og sette ut oppgaver som krever tilgang til
(behandling eller overføring av) personopplysninger
krever det godkjenning hos Datatilsynet og en
omfattende prosess for å sikre og dokumentere og
sikkerhet og kvalitet hos den Ukrainske
virksomheten».
35
30. november 2011
Risikoanalyser
«Korrupsjonen i Ukraina er av betydning for å
forklare endringer i risikoforhold mellom Ukraina og
Norge. Korrupsjon skaper uforutsigbarhet for
eksempel med hensyn til politiske og eventuelle
rettslige prosesser i Ukraina. Korrupsjon kan derfor
medføre direkte økonomisk tap dersom det påvirker
resultater av forretningsmessige, politiske eller
rettslige prosesser i uventet og uheldig retning».
36
30. november 2011
Risikoanalyser
Konklusjonen når det gjelder India og Ukraina:
«… kan utkontraktere utvikling og kodeforvaltning på
systemer, forutsatt at det ikke krever tilgang til reelle
kundedata under følgende betingelser… ».
Konklusjonen når det gjelder Danmark:
«Utkontraktering av alle typer IT-tjenester til
Danmark er akseptabelt under følgende
betingelser…»
37
30. november 2011
Risikoanalyser
«I henhold til Datatilsynet og
Personopplysningsloven skal personopplysninger
ikke behandles utenfor EØS, med mindre det er gitt
særskilt tillatelse. Datatilsynet legger til grunn at i
begrepet behandling omfattes all form for tilgang og
innsyn i konsesjonsbelagte personopplysninger,
herunder også IT-messig test og utvikling».
38
30. november 2011
Risikoanalyser
«For å sikre personopplysninger ved offshore
utvikling skal det ikke brukes kopi av
produksjonsdata til testformål uten at disse er
anonymisert eller tillatelse til eksport er gitt. Videre
må det sikres at det er fysiske og IT-messige sperrer
i systemene som hindrer slike data i å bli kopiert
eller eksportert via autoriserte eller uautoriserte
kanaler».
39
30. november 2011
Risikoanalyser
«For å sikre at ikke offshore test- og
utviklingsressurser kan omgå autorisasjoner,
eskalere privilegier eller kalle ressurser i andre
omgivelser, må profiler, roller, systemer og skille i
form av brannmurspolicyer og sperringer i Group
Policy objekter settes opp slik at dette ikke blir
mulig. Offshore-ressurser må ikke gis oppgaver som
kan gi tilganger til ressurser i produksjonsområdet».
40
30. november 2011
Noen indekser
Corruption Perceptions Index
Ease of doing business index
41
30. november 2011
Case: Bankens rett til å søke i e-post sendt
av norske ansatte lokalisert på servere i
utlandet.
I henhold til EU Direktiv Art. 4, litra a) har den
behandlingsansvarlige lands lov enekompetanse i forhold til
behandlingens lovlighet, også hvor dataene er lokalisert i et
annet EU/EØS-lands territorium.
Landet har implementert direktivet gjennom
personopplysningsloven. I følge dennes Art. 4 gjelder loven
kun hvor den behandlingsansvarlige er etablert på landets
territorium eller under landets lov på annen måte.
42
30. november 2011
Case: Bankens rett til å søke i e-post sendt
av norske ansatte lokalisert på servere i
utlandet.
Idet det Norske foretaket er
behandlingsansvarlig, følger det av landets
lov § 4 at databehandlingen som landet gjør
på vegne av den behandlingsansvarlige ikke
vil omfattes av landets personvernlovgivning
overhodet. Dette er i løsning som er i
overenstemmelse med Direktiv 95/45 Art. 4.
43
30. november 2011
Case: Bankens rett til å søke i e-post sendt
av norske ansatte lokalisert på servere i
utlandet.
Problemstillingen er at et slikt søk ikke bare vil
gi treff på e-post sendt av ansatte i det norske
foretaket og hvor søket er lovlig i henhold til
norsk personopplysningslov. Søket vil også gi
treff på e-post sendt av ansatte i andre land
og hvor det norske foretaket ikke er
behandlingsansvarlig for oppbevaring av den
aktuelle e-posten.
44
30. november 2011
Case: Bankens rett til å søke i e-post sendt
av norske ansatte lokalisert på servere i
utlandet.
Konsernjuridisk avdeling i Finland ble kontaktet. Resultatet
var gjennomgående at det var finsk rett som skulle anvendes
og at innsyn ikke ville være tillatt.
Det norske foretaket fikk aldri innsyn i dataene i Finland.
Rent prinsipielt synes det svært betenkelig at det norske
foretaket ikke fikk tilgang til disse opplysningene.
45
30. november 2011
Bank oppdaget Ukrainske inntrengere
Bank oppdaget Ukrainske inntrengere
46
30. november 2011