Driftsikkerhet og Datasikkerhet
Driftsikkerhet handler om å sikre at systemer og tjenester er tilgjengelige og fungerer som de skal, uten uønskede avbrudd. Dette inkluderer beskyttelse mot fysiske trusler som brann, strømbrudd og maskinvarefeil.
Datasikkerhet fokuserer på å beskytte data mot uautorisert tilgang, endring og ødeleggelse. Dette inkluderer tiltak for å sikre konfidensialitet, integritet og tilgjengelighet av data. Det inkluderer også personvernhensyn som er blitt ekstra nøye regulert av GDPR lovverket.
Personvern handler om å beskytte enkeltpersoners rett til privatliv og kontroll over egne personopplysninger. I Europa reguleres personvern av General Data Protection Regulation (GDPR).
GDPR (General Data Protection Regulation) er en omfattende personvernlovgivning som trådte i kraft i mai 2018. Den stiller strenge krav til hvordan organisasjoner samler inn, lagrer og behandler personopplysninger.
Viktige prinsipper under GDPR inkluderer:
- Lovlighet, rettferdighet og åpenhet: Personopplysninger skal behandles på en lovlig, rettferdig og åpen måte i forhold til den registrerte.
- Formålsbegrensning: Personopplysninger skal samles inn for spesifikke, eksplisitte og legitime formål og ikke behandles på en måte som er uforenlig med disse formålene.
- Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig i forhold til formålene de behandles for.
- Korrekthet: Personopplysninger skal være korrekte og om nødvendig oppdaterte. Alle rimelige tiltak skal tas for å sikre at personopplysninger som er uriktige blir slettet eller rettet uten opphold.
- Lagringsbegrensning: Personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte lenger enn det som er nødvendig for formålene som personopplysningene behandles for.
- Integritet og konfidensialitet: Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade.
Fremfor å vurdere driftsikkerhet, datasikkerhet, og personvern hver for seg bruker vi én metodikk med risikotrekanten, risikovurdering og CIA+AAA, og trekker inn både datasikkerhet, driftsikkerhet og personvernshensyn.
Risikotrekanten
1) Kjenn dine verdier!
Først må du identifisere hvilke verdier som må beskyttes. Eksempler på verdier inkluderer:
- Penger i kassaapparatet
- Personopplysninger
- Bedriftshemmeligheter som teknologi, regnskap og planer
Konsekvensen av å tape disse verdiene forteller deg hvor stor verdien er.
For eksempel: skal du sikre 1000 kroner i kassa med et system til 10 000 kroner?
2) Finn ut hva som truer verdiene dine:
Neste steg er å identifisere trusler mot disse verdiene. Trusler kan inkludere:
- Generell online cyberkriminalitet
- Rettede løsepengevirus aktører
- Konsulenter som tar med bedriftshemmeligheter
- Innbrudd
- Hærverk
- Feil bruk
- Driftsutfordringer som brann, strømbrudd og defekter
3) Finn ut hvilke sårbarheter truslene kan utnytte
Identifiser sårbarheter som trusler kan utnytte. For eksempel:
- Ingen backup på data,
- Ingen lås på serverdøren,
- Ingen adgangskontroll på bygningen,
- Utdatert firewall,
- Nettverket er ikke segmentert,
- Svakt passord på admin brukeren.
Barrierer er tiltakene vi oppretter for å dekke sårbarheter, som for eksempel brannmur.
Risikovurdering
Risiko er sannsynligheten for at faren inntreffer, ganget med konsekvensen om det inntreffer. Vi kan redusere den ene eller andre komponenten av risikoen. Risikotrekanten og CIA-trekanten hjelper oss med å finne tiltak som reduserer sårbarhetene og dermed den totale risikoen. Når vi implementerer tiltak som UPS, brannmur, RAID, backup osv., reduserer vi sårbarheten og risikoen blir mindre.
Risiko = Sannsynlighet x Konsekvens
CIA-triaden
CIA-triaden står for Konfidensialitet (Confidentiality), Integritet (Integrity) og Tilgjengelighet (Availability). Disse tre prinsippene er grunnleggende for datasikkerhet og hjelper oss å balansere sikkerhetsbehov med brukervennlighet.
CIA-triaden viser at vi ofte må ofre tilgjengelighet for å oppnå sikkerhet. Helt sikre ting er ofte vanskelige å bruke. CIA-trekanten hjelper oss å rette innsatsen dit det gir mest mening, og sørger for at vi undersøker alle sider av installasjonen.
- Konfidensialitet: Sikre at kun autoriserte personer har tilgang til sensitiv informasjon. Dette kan oppnås gjennom tilgangskontroll (Active Directory), kryptering (Bitlocker) og andre sikkerhetstiltak.
- Integritet: Sikre at data er korrekte og ikke er blitt endret eller manipulert. Dette kan oppnås gjennom tiltak som sjekksummer, digitale signaturer og versjonskontroll.
- Tilgjengelighet: Sikre at data og systemer er tilgjengelige for brukerne når de trenger det. Dette kan oppnås gjennom tiltak som redundans, UPS, og backup-løsninger.
AAA-modellen / CIAAN
CIA-modellen er ikke tilstrekkelig for å beskrive alt som har med autentisering, autorisasjon, ikke-benektbarhet (non-repudiation) altså at du ikke kan nekte for for at du faktisk signerte med bankID.
Derfor er det nå vanlig å benytte CIAAN eller AAA modellene som er CIA+Autentisering, Autorisasjon, og Accounting /Non-Repudiation for å ha en modell som ser mer av helheten til systemet.
AAA-modellen står for Autentisering (Authentication), Autorisasjon (Authorization) og Regnskap (Accounting) og kommer i tillegg til CIA som CIAN eller CIA+AAA. Disse tre prinsippene er viktige for å administrere og overvåke tilgang til systemer og data.
- Autentisering: Bekreftelse av identiteten til en bruker eller enhet før tilgang til et system gis. Eksempler inkluderer brukernavn og passord, biometriske data og to-faktor autentisering (2FA).
- Autorisasjon: Bestemmelse av hvilke ressurser og data en autentisert bruker eller enhet har lov til å få tilgang til. Dette kan styres gjennom tilgangskontrollister (ACL) og rollebasert tilgangskontroll (RBAC).
- Regnskap: Overvåking og logging av brukeres aktiviteter og tilganger for å sikre sporbarhet og etterlevelse. Dette inkluderer logging av pålogginger, tilgang til data og bruk av ressurser.