Datasikkerhet beskytter din lovbestemte taushetsplikt og din fortrolighetsplikt. Datasikkerhet er ikke et spørsmål om alt eller ingenting, men heller et spørsmål om å være bevisst en mulig fare. Det viktigste rådet er at du tenker over og er bevisst muligheten for at elektronisk informasjon kan komme på avveie.
Og husk: Det er bedre å gjøre noe enn intet!
Huskelisten for datasikkerhet er generelle datasikkerhetsråd til alle advokater som bruker IKT - men er kanskje spesielt egnet for mindre virksomheter uten egen IKT-avdeling. Huskelisten er utarbeidet av Advokatforeningen.
Huskelisten kan også lastes ned her
1. Advar klienter mot å sende fortrolig informasjon med e-post på hjemmesiden
2. Sikker e-post/ krypterte vedlegg
3. Vær varsom med vedlegg i e-post, nedlastning og kjøring av filer fra Internett
4. Krypter lagringsmedier
5. Avhending av utstyr
6. Vær varsom med bruk av lagringsmedier for USB porten
7. Sikkerhetskopi, oppbevaring
8. Serverrommet bør sikres
9. Hold kontroll av logger på utstyret
10. Hold systemer oppdaterte
11. Antivirus programvare
12. Bruk brannmur
13. Fjerntilgang / VPN / Oppkobling fra hjemmekontor mot advokatfirma
14. Unngå bruk av ukrypterte trådløse nett
15. Offentlige datamaskiner
16. Bruk sikre passord
17. Lås PCn din
18. Mobiltelefon
19. Internkontroll / risikovurdering
20. Vær oppmerksom på fenomenet “Sosial manipulering”
21. Ta kontakt med kyndig personell innen datasikkerhet om du er usikker
Datatilsynet påpeker ovenfor Advokatforeningen at advokater bør opplyse sine klienter om risiko ved utveksling av e-post med sensitivt innhold som for eksempel personopplysninger.
Ved sending av fortrolig informasjon og/eller personopplysninger skal en løsning for kryptert e-post benyttes. Det er også mulig å sende en e-post med krypterte vedlegg. Man skriver da ikke konfidensiell informasjon i selve e-posten og krypterer vedlegg som inneholder konfidensiell informasjon. Adobe Acrobat er et program som brukes til å produsere PDF filer og som har mulighet til å kryptere PDF filer. Husk sikkert passord!
Sjekk filer du laster ned med antivirus programvaren din. Ikke last ned filer fra nettsider du ikke kjenner, eller som ikke tilhører et anerkjent firma. Det god praksis ikke å kjøre filer direkte fra nett. Last heller ned filen. Skann den med antivirusprogramvaren din, så kan du kjøre den om ikke antivirus programvaren fant noe i filen.
Krypter datalagringsmedier og mobile enheter - ha god kontroll på krypteringsnøkler. Alle datalagringsmedier bør krypteres. Minnepinner, ulike former for mobile datamaskiner, telefoner, Ipads etc. kan inneholde informasjon som ikke bør komme i hendene på tredjepart og børderfor krypteres og låses med kode/passord. Informasjonen blir da utilgjenglig for alle som ikke kan låse opp enheten med riktig kode/passord. I større miljøer bør man ha systemer for håndtering av krypteringsnøkler slik at man kan hjelpe brukere som glemmer passord eller bytter roller. Lagringsmedier bør heller ikke ligge åpenlyst i bedriftens lokaler, men kan gjerne oppbevares i låst skuff, eget avlåst datarom etc.
Pass på at alt utstyr som inneholder lagringsmedier med data blir slettet før avhending. Datamaskiner og servere kan slettes med dertil egnet programvare. Ta gjerne kontakt med leverandøren av utstyret eller eksperter på sletting av data for å påse at data blir slettet på en tilfredsstillende måte. IBAS og Blancco er produsenter av utstyr og programvare for sikker sletting av data.
I følge produsentene av anti virus programvare skjer mange av virus angrepene i dag via USB porten. Du bør derfor være varsom med å koble til USB lagringsmedier som for eksempel minnepinner eller harddisker du ikke kjenner innholdet på og historikken til. Bruk ikke minnepinner du får i gave. Det finnes egen sikkerhetsprogramvare for styring av usb portene på alle bedriftens maskiner. Med slik programvare kan en systemadministrator velge hvilke enheter som kan tillates koblet til maskinene. Minnepinner vil i et slikt system tildeles en identitet, eller ha spesielle egenskaper om de skal kunne benyttes.
Alle data som har verdi, altså data du ikke vil kvitte deg med, skal det tas sikkerhetskopi av. Ta sikkerhetskopi regelmessig, så ofte som mulig. Sørg for at sikkerhetskopiene ikke er tilgjengelige for uvedkommende. For ekstra sikkerhet bør sikkerhetskopier også lagres på en annen sikker lokasjon enn bygningen dataene normalt benyttes og oppbevares i. Et slikt sted kan være en bankboks eller hos en leverandør som tilbyr sikker lagring. Dersom bygningen skades av f.eks. vann eller brann vil man da likevel ha tilgang til dataene på sikkerhetskopiene.
Bedriftens server(e) bør stå i et avlåst rom, som holdes kjølig og med normal luftfuktighet. Avbruddsfri strømforsyning (UPS) bør brukes for å beskytte utstyret mot strømbrudd. De rimeligste variantene av UPS gir serveren strøm i noen minutter slik at det blir tid til å kjøre en rutine som lagrer ulagrede data og skrur av serveren på betryggende måte. Mer avanserte løsninger holder utstyret i gang til det strømbruddet er utbedret.
Mistenkelig virksomhet, feil eller mangler ved systemene kan ofte observeres i systemets logg. Be derfor bedriftens system administrator eller tjenesteleverandør om å holde øye med logger. På den måten kan man oppdage for eksempel en sikkerhetskopi jobb som ikke kjører, bruk av systemet på unormale tider av døgnet (ofte et tegn på at uvedkommende har tilgang), eller en brannmur som varsler om irregulær aktivitet eller manglende oppdateringer.
Ettersom utviklere av programvare finner sikkerhetshull eller gjøres oppmerksomme på svakheter, lanserer de gjerne en sikkerhetsoppdatering for sikkerhetshullet, slik at sikkerhetshullet lukkes. Det er derfor viktig å holde Operativsystem (For eksempel: Microsoft Windows), og annen programvare som for eksempel Microsoft Office og Adobe Acrobat oppdaterte. Mange programmer har i dag egen oppdateringsfunksjon, gjør deg kjent med den. I tilfeller der skadelig programvare som datavirus kommer forbi anti virus programmet, kan ofte et oppdatert operativsystem og programvare sterkt begrense skaden viruset kan gjøre.
Bruk antivirusprogramvare på alle datamaskiner og servere. Det viktig å holde Antivirus programvaren oppdatert med de nyeste virus definisjoner til enhver tid. God programvare vil varsle bruker eller systemadministrator om eventuelt manglende oppdateringer.
Påse at bedriftens datanettverk har en god brannmur mot Internett og at mobile enheter som bærbare PCer har en lokal brannmur installert når den brukes utenfor bedriftens nettverk.
Bruk krypterte forbindelser ved oppkobling opp mot bedriftens nettverk.
Ved bruk av ukrypterte trådløse nett risikerer man at uvedkommende for tilgang til dine data og passord og dermed kan misbruke denne informasjonen. Sørg derfor for at trådløse nett er krypterte før du kobler deg til. Windows viser gjerne et utropstegn ved siden av navnet på et ukryptert nett i listen over tilgjengelige trådløse nett.
Vær varsom med bruk av offentlige datamaskiner, for eksempel terminaler på konferanser, kurs, flyplasser, hotell lobbyer etc. Ikke lagre passord når du bruker nettleseren på offentlige maskiner. Logg alltid ut når du har vært logget på sider på offentlige datamaskiner. Bruk ikke tjenester som inneholder/ har lagret sensitive data på offentlige terminaler, for eksempel nettbank eller bedrifts e-post kontoen. Har du behov for å sende en e-post fra en offentlig terminal kan det være fornuftig å ha en egen e-post konto som brukes til slik e-posting av ikke sensitiv data. Rens nettleseren - Slett gjerne logg og fjern spor etter deg om mulig.
Et sikkert passord er viktig fordi et svakt passord kan gjøre det mulig for uvedkommende å få tilgang til det du ønsker å sikre med passordet. Ofte er et passord en sikkerhetsløsnings svakeste ledd. En hacker kan ofte forsøke å knekke passordet ved hjelp av programmer som prøver ut ulike passord kombinasjoner ved hjelp av en egen programvare. Noen bruker gjerne eksempelet med en svært solid dør, med en dårlig lås. Kan man enkelt manipulere låsen er det liten hjelp i en solid dør. På samme måte hjelper det lite med en god krypteringsløsning om en hacker raskt finner passordet med hackerprogram som gjør et raskt ordliste søk mot passordet.
a) Passordet bør inneholde minst 8 tegn.
b) Passordet bør inneholde både bokstaver, tall og tegn som f. eks. !?=.
c) Unngå ord som finnes i ordlister.
d) Unngå passord om ligner ditt brukernavn.
e) Ikke bruk navn på personer, fødselsdatoer, titler på bøker, sanger og filmer.
f) Hold passordene dine konfidensielle!(Ikke på en gul lapp under tastaturet)
g) Pass på at det ikke er noen som ser hva du skriver når du skriver inn passord.
Når du forlater maskinen din bør du låse maskinen eller logge ut, slik at ikke uvedkommende kan bruke maskinen din. I Microsoft Windows kan du låse maskinen din ved å bruke tastene: Ctrl + Alt + Del og deretter velge “Lås datamaskinen”. Har du et tastatur med Windows tast mellom Alt og tasten for mellomrom, kan du låse maskinen ved å bruke Windows tasten + L. For å unngå å glemme å låse maskinen kan man velge at maskinen låses automatisk etter noen minutters innaktivitet, ved hjelp av et valg du finner der du velger skjermbeskytter.
a) Bruk en kode for å låse telefonen, slik at uvedkommende ikke kan bruke den uten å bruke koden.
b) Ikke installer programmer du ikke kjenner –Apps kan sende data fra din telefon, sende din posisjon og/eller sette opp forbindelser til telefonnummer i utlandet etc.
c) Krypter om mulig informasjonen på telefonen og eventuelle minne kort i telefonen, slik at informasjonen ikke er tilgjengelig for uvedkommende.
d) Ha gjerne en deaktiveringstjeneste tilgjengelig. Disse kalles gjerne "killpill" og er tjenester som deaktiverer telefonen og fjerner all informasjon på telefonen om du skulle ønske det, for eksempel ved tyveri eller annet tap av telefonen.
Vurder hvilke sikkerhetsrisikoer virksomheten står ovenfor og hvorledes dette bør påvirke daglige rutiner og hvilke sikkerhetstiltak som må iverksettes. Risikovurderinger bør gjøres jevnlig siden bruk av IKT stadig endres og utvikles. Bedriften bør aktivt holde seg oppdatert på nye sikkerhetstrusler.
Det engelske begrepet “Social Engineering” oversettes gjerne til sosial manipulering, og brukes om hackere og kriminelles bruk av metoder for å lure ut informasjon fra mennesker i vinnings hensikt. Ved å virke godt informert eller å utgi seg for å være “rette vedkommende” anskaffer en bruker av sosial manipulering seg informasjon som igjen kan brukes i til å skaffe ytterligere informasjon, verdier eller kontroll over eiendeler. Et klassisk tilfelle er hackeren som utgir seg for å være en ansatt ute på forretningsreise som trenger et passord, eller et dokument og/eller tilgang til noe og ringer inn til bedriften og ber om å få et passord eller tilgang. Andre eksempler kan være falske nettsider, nettbanker etc. som brukes for å hente informasjon. Det fenomenet kalles også Phising. Felles for fenomenene er at de spiller på menneskelige svakheter eller ønske om å være behjelpelig. Dermed er det vanskelig å beskyttes seg mot slike trusler med tekniske innrettinger. Løsningen kan derimot være bevisstgjøring av de ansatte og gode rutiner.Gode rutiner kan være at kun IT ansvarlig gir ansatte, kunder og leverandører tilganger til systemer, at man kontrollerer identiteter på folk som kommer på besøk og lar rette vedkommende i bedriften følge dem inn og ut av bygget.
Usikker på om utstyret er sikret, eller om din omgang med dine data skjer på en tilfredsstillende måte? Ta kontakt med en datasikkerhetsekspert og få råd om beste praksis.