Personvern | Sikring av personopplysninger – inntrengingstesting

Alle virksomheter som behandler personopplysninger, både behandlingsansvarlige og databehandlere, skal gjennomføre tiltak for å ivareta sikkerheten til personopplysningene. Ifølge Nasjonal sikkerhetsmyndighet står norske virksomheter overfor «et skjerpet digitalt risikobilde». Det bør derfor vurderes, som ett av flere sikkerhetstiltak, å jevnlig sjekke sikkerheten i egne systemer ved å gjennomføre inntrengingstester. Sikkerhetstesting kan bidra til å finne sikkerhetshullene før kriminelle gjør det.

Et skjerpet digitalt risikobilde

Ifølge Nasjonal sikkerhetsmyndighets (NSM) årlige nasjonale trussel- og risikovurdering «Risiko 2021» står norske virksomheter overfor «et skjerpet digitalt risikobilde». NSM uttaler blant annet at «2020 var preget av et høyere aktivitetsnivå mot norske virksomheter og institusjoner sammenlignet med tidligere år» og at det ikke er tegn til at dette avtar.

Samtidig som det digitale risikobildet skjerpes, ser vi i Europa at brudd på GDPR art. 32 om personopplysningssikkerhet ofte trekkes frem av tilsynsmyndighetene ved ileggelse av bøter for overtredelse av personvernlovgivningen.

Alle virksomheter som benytter – og særlig de som er avhengig av – digitale informasjonssystemer bør derfor stille seg noen viktige spørsmål: Er sikkerhetstiltakene som er gjennomført effektive? Og fungerer de som forutsatt?

En måte å finne ut av dette på, er å leie inn eksperter innen digital sikkerhet for å gjennomføre simulerte dataangrep, såkalt inntrengingstesting. I dette nyhetsbrevet skal vi først se på hva GDPR sier om testing av sikkerhetstiltak, og deretter litt nærmere på hva inntrengingstesting er og om det har noe for seg.

GDPR

Både behandlingsansvarlige og databehandlere skal sørge for sikkerheten til personopplysningene de behandler. Det overordnede kravet om å sikre personopplysninger følger av GDPR art. 32. Konkret hvilke sikkerhetstiltak som skal iverksettes beror på hva som er egnet til å redusere risikoen en står overfor. I bestemmelsen listes det opp noen tiltak som kan være aktuelle, for eksempel i nr. 1 bokstav d: «en prosess for regelmessig testing, analysering og vurdering av hvor effektive behandlingens tekniske og organisatoriske sikkerhetstiltak er.»

Det europeiske Personvernrådet (EDPB) har utarbeidet retningslinjer (Guidelines 01/2021 on Examples regarding Data Breach Notification) som gir praktisk veiledning i håndtering av aktuelle typer sikkerhetsbrudd (blant annet løsepengevirus og datauthenting). EDPB understreker viktigheten av at det gjennomføres sikkerhetstiltak for å unngå at sikkerhetsbrudd oppstår. Jevnlig inntrengingstesting nevnes som ett av flere tiltak som kan bidra til å motvirke sikkerhetsbrudd. EDPB skriver blant annet at «the security of the data controller’s environment is extremely important”, og at “periodic IT security audits, vulnerability assessments and penetration tests are also required in order to detect these kinds of vulnerabilities in advance and fix them”.

Også ICO – det britiske Datatilsynet – nevner inntrengingstesting som en metode for å vurdere egne sikkerhetstiltak. ICO skriver blant annet at «the UK GDPR specifically requires you to have a process for regularly testing, assessing and evaluating the effectiveness of any measures you put in place» og at «technically, you can undertake this through a number of techniques, such as vulnerability scanning and penetration testing”.[1]

British Airways ble i 2020 ilagt 20 millioner pund i bot av ICO for manglende beskyttelse av personopplysninger tilhørende mer enn 400 000 kunder. Selskapet ble blant annet kritisert for at sikkerhetstesting ikke var blitt gjennomført i tilstrekkelig grad: «Had more rigorous testing been performed, or had internal penetration tests been performed (where an attacker with access to the network was simulated), many of the problems identified within this decision are likely to have been detected and appropriately addressed.”

Oslo Kommune ble i 2019 ilagt overtredelsesgebyr på 1,2 millioner kroner av Datatilsynet for brudd på personopplysningssikkerheten i mobilapplikasjonen «Skolemelding». Datatilsynet uttalte i vedtaket at: «Mangelfull sikkerhetstesting før lansering av applikasjonen, og at den ble lansert med sikkerhetshull som er godt kjent i sikkerhetsmiljøer verden over, er i strid med personvernforordningen artikkel 32 nr. 1, bokstav d)».

GDPR oppstiller som nevnt ikke spesifikke krav om hvilke sikkerhetstiltak som skal gjennomføres. De to nevnte sakene viser imidlertid at sikkerhetstesting – etter en konkret vurdering – kan være et egnet, og dermed tilsynelatende påkrevet, tiltak for å redusere risikoen som virksomheten står overfor.

Nærmere om inntrengingstesting som sikkerhetstiltak

Inntrengingstesting av digitale informasjonssystemer handler enkelt forklart om å forsøke å komme seg inn steder man ikke har lovlig tilgang til. Målet kan være å finne svakheter i systemene slik at disse kan utbedres eller å teste virksomhetens evne til å identifisere og respondere på dataangrep. Ved å leie inn sikkerhetseksperter til å forsøke å bryte seg inn i egne systemer, skaffe seg tilganger på ulike nivåer og eventuelt forsøke å hente ut data, får man testet om den digitale informasjonen er så trygg som man ønsker. Det er klart å foretrekke at det er innleide sikkerhetseksperter – og ikke kriminelle sikkerhetseksperter – som finner sikkerhetshullene først.

Inntrengingstesting er et anerkjent tiltak for å bedre sikkerheten i digitale informasjonssystemer. Dette gjelder uansett om det er personopplysninger, bedriftssensitive data eller annen informasjon man ønsker å sikre. NSM, som er nasjonal fagmyndighet innen digital sikkerhet, anbefaler for eksempel i veiledningen «Grunnprinsipper for IKT-sikkerhet» som et generelt råd, at det gjennomføres årlige tester. Tiltaket er også anbefalt i tiltaksoversikten til Nasjonal strategi for digital sikkerhet.

Inntrengingstesting vil i mange tilfeller innebære at den som gjennomfører testingen får tilgang til personopplysninger. Det følger av bestemmelsen i sikkerhetsloven § 6-5 at ansatte skal orienteres om at slik testing kan forekomme og at testing av informasjonssystemer som behandler personopplysninger ikke skal være mer omfattende enn nødvendig. Hensynet til personvernet til virksomhetens ansatte ble også vektlagt da lovgiver falt ned på at det for virksomheter underlagt sikkerhetsloven ikke skulle være en rettslig plikt til å gjennomføre inntrengingstesting, se sikkerhetsloven § 6-5.

Om personer eller selskaper som skal gjennomføre inntrengingstesting er å anse som databehandlere, behandlingsansvarlige eller ingen av delene, vil bero på de nærmere omstendighetene. Relevante momenter kan da for eksempel være hva som er formålet med testingen, omfanget av instruksjoner som gis av oppdragsgiver og hva slags systemer som skal testes.

BAHR mener:

Selv om det ikke foreligger noen rettslig plikt til å gjennomføre inntrengingstesting, er det et anerkjent og anbefalt sikkerhetstiltak. Dette gjelder uavhengig av om det er personopplysninger, bedriftssensitive data eller annen informasjon man har behov for å sikre.

For virksomheter som behandler personopplysninger av et visst omfang, og særlig hvis det behandles personopplysninger som anses som spesielt sensitive, vil det likevel etter en nærmere vurdering kunne være et krav om at det gjennomføres inntrengingstesting.

Vi mener derfor at det både fra et rettslig og et sikkerhetsfaglig ståsted vil være fornuftig å vurdere om inntrengingstesting – som ett av flere sikkerhetstiltak – er hensiktsmessig for å kontrollere og bedre sikkerheten i egne systemer.

[1] Selv om Storbritannia ikke lenger er med i EU, bygger deres personvernlovgivning på GDPR, og praksis og veiledning fra ICO er derfor fortsatt relevant.
Share aticle to
Loading video ...close