Download
konfidensiell informasjon p e post n.
Skip this Video
Loading SlideShow in 5 Seconds..
Konfidensiell informasjon på e-post PowerPoint Presentation
Download Presentation
Konfidensiell informasjon på e-post

Konfidensiell informasjon på e-post

163 Vues Download Presentation
Télécharger la présentation

Konfidensiell informasjon på e-post

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Konfidensiell informasjon på e-post Kim Ellertsen, NSR

  2. HVA ER NÆRINSLIVETS SIKKERHETSRÅD (NSR)? Historikk • Opprettet i 1977 under navnet Industriens Sikkerhetsutvalg og skiftet senere navn til Næringslivets Sikkerhetsråd • Var inntil 2004 organisert i Næringslivets Sikkerhetsorganisasjon, men er nå en selvstendig forening. NHO som initiativtaker. • Medlemsforening. Medlemmer har tilgang til vårt nettverk og ev. rådgivning i konkrete saker, kostnadsfrie foredrag og reduserte priser på kurs og konferanser.

  3. Forbygge kriminalitet Trender Samfunnsansvar Kommunikasjon Best practice

  4. Hva bruker vi e-post til • Kontraktsarkiv – papirbasert, scannet, e-mail, muntlig etc • Offentlig forvaltnings korrespondanse – brev sml mail • Advokatkontor – saksbehandlingssystem • E-mail som bevismiddel i tvister

  5. Utgangspunktet for e-postog annen elektronisk kommunikasjon • Hva erstatter e-post • Styrker og svakheter • Bruksområder • Autensitet • Gjenfinning • Notoritet • Krav til sporbarhet og dokumentasjon • Ny krav?

  6. Bruk av InternettMørketallsundersøkelsen 2006

  7. Tiden det tar før det oppstår vesentlige problemer grunnet bortfall av IT (% av virksomheter) En dag En time

  8. Hva skjer -> kan skje Har din virksomhet opplevd følgende de siste 12 månedene?

  9. E-postVenn eller fiende? ”Business Conduct” Email som virksomhetens stemme Kontroll med form og innhold Ryddighet i håndtering og oppbevaring Informasjon som verdifull ressurs Informasjon som årsak til kaos Individavhengighet

  10. Påbud om lagring Regnskapsloven Opplysningsplikten § 7-1 Bokføringsloven Regnskapsmessige disposisjoner skal bokføres på en ”fullstendig måte i regnskapssystemet”, jfr§ 4 nr 2 Opplysninger ”skal være dokumentert på en måte som viser deres berettigelse”, jfr § 4 nr 6 Krav til sporbarhet, jfr § 4 nr 7 Krav til oppbevaring ”så lenge det er saklig behov for å kontrollere pliktig regnskapsrapportering. Oppbevaring skal skje i en form som opprettholder muligheten for å lese materialet”, jfr.§ 4 nr 8 Regnskapsmaterialet må sikres mot ”urettmessig sletting eller tap”, § 4 nr 9 Forvaltningsloven Partsinnsyn § 18 flg E-mail omfattes av lovens dokumentbegrep jfr § 2 bokstav f) Offentlighetsloven Offentlig innsyn § 2 flg Finansavtaleloven Krever betryggende metode for autentifisering av avtaleinngåelsen jfr § 8 (2)(b) Arkivloven Hvitvaskingsloven Krav til ”forsvarlig” lagring jfr § 6 2 Opplysningene som omfattes angitt i § 8 Formelle krav til lagring(foredrag fra adv fa. Simonsen) 10

  11. Lagring – forts. Forbud mot lagring Personopplysningsloven sml markedsføringsloven Vilkår for oppbevaring av personopplysninger jfr § 8 Vilkår for oppbevaring av sensitive personopplysninger jfr § 9 Krav til oppbevaringen se §§ 11 flg Opplysningsplikten i mfl § 15 Helseregisterloven Behandlingsrettede helseregistre kan føres elektronisk jfr § 6 Vilkår for føring av slik register se lovens kap 2 Krav til oppbevaring, kap 3 IT-sikkerhetsforskriften Sikkerhetskrav § 5 Overtredelse Ansvar Sanksjoner (bøter og fengsel) Personopplysningsloven kap 8 Helseregisterloven kap 6 Markedsføringsloven kap 12 Omdømme Rettssak 11

  12. Det nye trusselbildet Adressering

  13. Du har mottatt feilsendt e-post (Undersøkelse foretatt av NorSIS) To av ti har mottatt feilsendt e-post Det er ingen signifikante geografiske forskjeller og det forekommer i like stor grad i privat og offentlig sektor når det gjelder å motta feilsendt e-post. Det er i bransjene undervisning (25 prosent), offentlig administrasjon (23 prosent) og tjenesteytende næringer (23 prosent) at man i størst grad har mottatt feilsendt e-post. Det skjer i minst grad i primærnæringer (5 prosent), transport og kommunikasjon (12 prosent), samt bygg- og anleggsvirksomhet (13 prosent).

  14. Du har mottatt feilsendt e-post (Undersøkelse foretatt av NorSIS)

  15. Du har selv feilsendt e-post (Undersøkelse foretatt av NorSIS) 14 prosent har feilsendt e-post Å sendt e-post til feil adressat skjer i like stor grad i privat og offentlig sektor og det er ingen signifikante geografiske forskjeller. I de ulike bransjene skjer det i størst grad i tjenesteytende næringer og undervisning (hhv. 19 og 18 prosent). Innenfor primærnæringer, helse- og sosialtjenester og hotell- og restaurant forekommer feilsending av e-post i minst grad (hhv. 5,10 og 11 prosent).

  16. Du har selv feilsendt e-post (Undersøkelse foretatt av NorSIS)

  17. Eksempler

  18. Rt-2003-825 Saken gjaldt spørsmål om brudd på straffeloven §405a. Høyesterett kom til at bestemmelsen ikke rammet den som tilfeldig kommer over bedriftshemmeligheter. Ettersom de to tiltalte hadde lagt til rette for at e-post skulle feilsendes til dem, ble imidlertid kunnskapen ansett skaffet til veie på en urimelig måte.

  19. Det nye trusselbildet Adressering Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere – Effektivitet Spam

  20. Det nye trusselbildet Adressering Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere – Effektivitet Spam

  21. Eksempel - SPAM Dette er den siste vi har sett:

  22. Det nye trusselbildet Adressering Egen dokumentasjonskontroll, i forhold til andres Manipulasjon av data Sletting av data Utro tjenere – Effektivitet Spam Kan du stå inne for det som er skrevet OG sendt for all ettertid

  23. Hvor er risikoen?- Gjelder også for e-post

  24. Sikker e-post håndtering? • Dokumenterte prosedyrer <-> Etterlevelse • Automatisering <-> Manuelle prosesser • Lagring Struktur Sikkerhet Tidsperspektiv Teknologiendringer

  25. Regler for skriving av e-post 1) Ha en profesjonell tone og vær objektiv 2) Vær nøyaktig og faktaorientert 3) Sørg for fullstendighet 4) Unngå åpne ender 5) Ikke ta parti mot den du representerer 6) Ikke skriv nedsettende om andre 7) Unngå sleivete humor 8) Tenk som en dommer

  26. Helhetlig sikkerhetstenkning • Helhetlig tenkning • Alle må være tilstede • Del av en helhet • Styrken avhenger av beskyttelsesbehovet • Fysisk Sikkerhet • Adgangskontroll • Soneinndeling • Innbruddsdeteksjon • Alarm • Vakttjenester • Teknisk Sikkerhet • Brannmurer • Tilgangskontroll • Antivirus/spyware • Oppdateringer (patch) Branntrekanten Beskyttelsesverdige interesser (Verdivurdering) Fysisk sikkerhet Brennbart stoff Varme Teknisk sikkerhet Teknisk utstyr Dokumenter, patenter, post, e-post, personopplysninger o.s.v Mennesket – det svakeste ledd i sikkerhetskjeden Strategier - planer Kontanter Oksygen Personellsikkerhet Sensitiv informasjon Børsinfo, regnskap og lignende.

  27. Helhetstenkning – etter verdivurdering • Åpent område • Juridisk barriere • Lett eller ingen adgangskontroll • Begrenset område • Fysisk sperre • Kun ansatte eller gjester med følge • Adgangskontroll • Sensitivt område • Fysisk sperre • Begrenset antall ansatte • Streng adgangskontroll/tilgang • Åpen informasjon • Allment kjent informasjon • ”vanlig e-post” • Begrenset informasjon • Vedlegg (lukket) • Godkjente mottakere • Sensitivt informasjon • Kryptering • Sertifikater • Ikke vedlegg hvis ikke dette er kryptert. • Avtaler, tekniske beskrivelser, anbud, strategier, personinformasjon, bedriftshemmeligheter

  28. Spørsmål? Takk for oppmerksomheten