Lukk opp din hjertedør – om sensitive opplysninger i lukkede facebook-grupper

I vår viste NRK hvor lett det var å kartlegge livet til en enkeltperson gjennom å samle opplysninger fra åpne kilder på Internett. Vi var ikke overrasket over resultatet, som det også sto i saken på nrk.no, da man som enkeltperson lett mister oversikten over totalbildet når man deler litt her og litt der over tid. Og åpne kilder er naturlig nok tilgjengelig for hvem som helst. Men hva med nettsider og tjenester som ikke er åpne? Som krever medlemskap og dermed innlogging, og derfor ikke er åpent tilgjengelig for alle? Er det tryggere å dele mye informasjon i slike lukkede fora? Er det risikofritt? Eller kan det også gi uheldige konsekvenser for den enkelte, som det kan være enda vanskeligere å forholde seg til?

Innebygd personvern – vinneren er kåret og ny konkurranse er utlyst

Bilde av pokal med grønn bakgrunn
Ill: fra Datatilsynet

Direktoratet for e-helse med deres Kjernejournal ble mandag kåret til vinner av konkurransen Innebygd personvern 2017. Vi gratulerer!

Datatilsynet utlyste samtidig neste års konkurranse – Innebygd personvern i praksis 2018. Nytt av året er en egen kategori for studenter, der premien er et stipend på 20.000 kr.

Innebygd personvern – bli med i konkurransen!

Send inn bidrag innen 1.desember og bli med i konkurransen «Innebygd personvern i praksis 2018»! Konkurransen arrangeres av Datatilsynet og vinneren kåres i februar 2018.

Målet med konkurransen er å løfte frem gode eksempler på praktisk bruk av prinsippene for innebygd personvern.

Husk å tenke på informasjonssikkerhet når du “sourcer”!

shoppingPå lørdag hadde jeg og min kollega, Nils Brede Moe, en kronikk i Dagens Næringsliv om ulike skjulte kostnader man bør være klar over når man flytter hele eller deler av virksomheten til lavkostland. Informasjonssikkerhet, eller mangel på sådan, er nettopp en slik kostnadsrisiko mange bedrifter undervurderer.

Ukens myte: Vi trenger ikke sikkerhet

Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn.

Safe Harbour underkjent

safe-harbourTirsdag 6. oktober utstedte EU-domstolen en pressemelding om Safe Harbour-ordningen fra juli 2000: “[…] Domstolen erklærer Safe Harbour-beslutningen [av kommisjonen i 2000] ugyldig”. Beslutningen ønskes velkommen av forbrukerorganisasjoner, men reiser en del spørsmål for bedrifter som benytter seg av amerikanske netttjenester.

Sikkerhet og robusthet i IKT-systemer

Norge er i dag fullstendig avhengig av IKT. For at våre IKT-systemer skal fungere er det nødvendig at de er både beskyttet (sikre) og at de fungerer (robuste). Selv om disse to aspektene er like viktige så er de fleste av oss i praksis opptatt av kun det ene eller det andre. training-iconSikkerhetsfolk tenderer til å fokusere på hvordan unngå at sårbarheter kan utnyttes for å angripe et system, og ignorerer ofte andre aspekter som responstid, oppetid og effekten av fysiske feil som kan oppstå i underliggende infrastruktur. Pålitelighetsfolk tenderer til å bara se på tilfeldige feil som oppstår i programvare og maskinvare, og ignorerer dermed konsekvenser av angrep og ondsinnede handlinger.

Velferdsteknologi, sikkerhet og personvern

GPS for dementeSINTEF er landets største forskningsaktør innen velferdsteknologi. Sammen med innovasjon på teknologifronten og nye anvendelser som oppstår, arbeider vi også med nye problemstillinger og trusler mot informasjonssikkerhet og personvern i denne sammenheng. Nå har et knippe av våre gode medarbeidere gitt ut en fersk oppskrift på implementering av GPS-sporing for demente på kommunalt nivå. Til oppskriften har også forskningsgruppa vår bidratt med et par avsnitt omkring risiko- og sårbarhetsanalyse (ROS-analyse) og personvern.

Sjekkliste for sikkerhet i skytjenester

cloudsecVi har publisert en rapport som kan være til hjelp for deg som vurderer å ta i bruk nettskyen!

Rapporten “Cloud Security Requirements” (som du laster ned gratis her) inneholder nemlig en sjekkliste som du kan bruke til å evaluere sikkerhet og personvern i offentlige nettskytjenester, og til å stille krav.

Sjekklisten benytter vi selv i forbindelse med risikoanalyser av IT-systemer/applikasjoner, og nå vil vi gjerne at enda flere tar den i bruk.

Ukas filmanbefaling: Disconnect

Bilde fra imdb.com
Bilde fra imdb.com

Det finnes mange eksempler på filmer hvor informasjonssikkerhet er en sentral ingrediens, men realismen i dem ikke henger helt på greip. Heldigvis finnes det unntak. Jeg så nylig filmen Disconnect fra 2012, og fant den god, realistisk og tankevekkende. Teknologien som brukes i filmen er omtrent den samme som vi omgir oss med i dag, og menneskene er ordinære som folk flest – uten superkrefter eller andre spesielle talenter. Den blir heller ikke kjedelig av den grunn, og er en vekker for både barn og vokse som tilbringer litt eller mye tid online.

Privacy by Design – fina ord men lite verkstad?

f-inbyggdintegritet-rund
Bild från www.datainspektionen.se

Privacy by design (PbD), även kallat innebygd personvern på norska (och inbyggd integritet på svenska), är ett begrepp som får mer och mer uppmärksamhet. Min kollega Erlend har i ett tidigare blogginlägg gått igenom konceptet och förklarat vad det innebär. Kort sagt så handlar det om att man ska tänka igenom hur personupplysningar ska kunna skyddas i tex ett nytt IT system, en ny programvara eller en ny app, och det ska man göra redan från förstudie och kravställning, via design och utveckling, till användning och avveckling av systemet/programvaran/appen.

Her kommer dine arme små… – og de vil ikke på Facebook

Jul_1“Ikke fortell det, mamma, jeg vil si det selv!”

Et typisk utsagn fra et barn. De har opplevd noe eller fått til noe og brenner av lyst til å fortelle det – og det ødelegger gleden fullstendig om vi voksne forteller det før de rekker å si det selv.

Interessert i nettsky? Få litt påfyll før ferien!

Ferien står for døren, men før du kler på deg badedrakta og skyene forsvinner helt (forhåpentligvis), gir vi deg muligheten til å få litt faglig påfyll samt en gratis lunsj.

Besøk oss i Trondheim 20. juni, og bli med på workshop om sikkerhet, risiko og tillit i nettskyen!

Forglem-meg-ei eller glem-meg-nå

forglem-meg-eiNå skal retten til å bli glemt forsterkes!

Googler du ditt eget navn av og til? Blir du overrasket når du ser gamle synder dukke opp uten at du har noen mulighet til å gjøre noe med det?

I vår digitaliserte verden har personopplysninger stor verdi. Bare fra de rundt én milliard smarttelefonbrukerne genereres det enorme mengder personlige data som kan kobles sammen og lenkes til individer. Dette omfatter data vi har gitt fra oss frivillig, samt det andre publiserer om oss og de elektroniske fotsporene vi etterlater oss når vi anvender ulike typer internettbaserte tjenester. Den kunnskapen som oppstår når man lenker sammen tidligere separerte data er uvurderlig for enkelte bransjer, og bidrar til at de kan skape innovative, individualiserte tjenester, for eksempel persontilpassede søk, annonser og nyheter.

Mobil-apper og deres tilganger – hva er risikoen?

android-money-permissionPå mange måter er moderne mobile plattformer mer sikre enn operativsystemer vi vokste opp med i Internetts spede barndom. Der virus og malware en gang kunne gjemme seg både her og der, er det få som virkelig anbefaler antivirus-programvare til mobiltelefonen. Også NSM har vært frampå her tidligere, og sagt at mobile plattformer er mye sikrere enn de fleste PCer – og har nok på mange måter rett i det. Likevel kommer mobilene med et par nye trussel-scenarier, som tilsynelatende går under radaren til svært mange, inkludert bedrifter. Dette innlegget handler derfor om såkalte app-tilganger.

Nytt fra Data Protection Day 2014

BBdECnUCMAADYmtEU sitt regelverk for databeskyttelse stammer fra 1995, og i forbindelse med den pågående revisjonen ble det i dag (28.1.2014) organisert en “Data Protection Day” med informasjon og en åpen twitter-debatt rundt dette arbeidet. Det nye direktivet skal være ferdig i år, og det vil påvirke hvordan vi utformer regelverk (for eksempel Datalagringsdirektivet her til lands), hvordan vi kan bruke forskningsdata, hva du som enkeltindivid kan kreve og hva små og store bedrifter får av pålegg framover.

Seminar 13. november: Håndtering av data fra bolig

smart-home-dataPå vegne av forskningsprosjektet Safer@Home ønsker vi velkommen til seminar/dialogmøte, onsdag 13. november: «Hvordan håndtere alle data fra en bolig på en god måte?».

Fra arbeid med velferdsteknologi ser vi mye utstyr som plasseres i private boliger og samler data av ulike slag. Også i forbindelse med smarte strømmålere – og «smarte hjem» generelt – gjør det samme seg gjeldende; at dataene ikke bare samles inn, men ofte sendes ut av den private boligen – til offentlige eller private tjenesteleverandører. Vi ønsker å invitere til diskusjon om hvordan best forholde oss til dette i tiden framover, når tjenestelaget blir utviklet og utbredt i norske hjem.