Persónuvernd

Persónuvernd

Tilgangur með stofnun faghópsins er að skapa vettvang fyrir umræðu, fræðslu og miðlun upplýsinga um persónuvernd og vinnslu persónuupplýsinga.

Markmið faghópsins er að þjóna sem flestum hópum sem vinna að eða hafa áhuga á persónuvernd og vinnslu persónuupplýsinga, s.s. persónuverndarfulltrúum, mannauðsstjórum, stjórnendum og aðilum sem starfa í upplýsingatæknigeiranum. Þá er það markmið faghópsins að vera vettvangur fyrir starfandi persónuverndarfulltrúa sem starfa hjá íslenskum fyrirtækjum, stofnunum, opinberum aðilum og félagasamtökum m.a. til að þeir aðilar sem sinna þessu nýja hlutverki geti mótað hlutverk sitt og nýtt sér reynslu og þekkingu annarra fulltrúa.

Hópurinn samastendur af einstaklingum sem starfa sem persónuverndarfulltrúar hjá opinberum aðilum, félagasamtökum og einkafyrirtækjum svo og ráðgjöfum á sviði persónuverndar og upplýsingatækni.

Viðburðir

Viðbragðsáætlanir

Click here to join the meeting
Undanfarin misseri hefur reynt á margar viðbragðsáætlanir, hvort sem það er vegna alheimsfaraldurs eða ofsaveðurs. Góð áætlun getur verið afgerandi þegar kemur að því að bregðast við þannig að vel sé og mikilvægt að vel sé staðið að verki.

 
Þau Elva Tryggvadóttir (Isavia), Bæring Árni Logason (Vodafone) og Guðmundur Stefán Björnsson (Sensa) ætla að fjalla um viðbragðsáætlanir frá nokkrum sjónarhornum. Þau munu fjalla um hvernig staðið er að uppbyggingu slíkra áætlana þannig að tilgangi þeirra séð náð, hvenær eru slíkar áætlanir virkjaðar og eftir hvaða leiðum er starfað í þeim aðstæðum. Þau munu einnig skoða hvernig hefur gengið að fara eftir áætlunum og hvernig áætlanir eru lagfærðar eftir að neyð hefur verið aflétt.
 
Einnig munu þau skoða sérstaklega samband viðbragðsáætlana og þjónustuaðila, hvernig er ábyrgð skipt og hver er sýn þjónustuaðilans í þessum málum. 
 
Um fyrirlesara:

Bæring Logason Gæða- og öryggisstjóri Vodafone mun fara yfir hvernig utanumhaldi viðbragðsáætlana er háttað hjá félaginu. Vodafone er fjarskiptafyrirtæki sem margir reiða sig á og skiptir því miklu máli að viðbragðsáætlanir félagsins séu við hæfi. Bæring er með meistaragráðu í gæðastjórnun frá Florida Tech og einnig með CBCI vottun frá Business Continuity Institute í Bretlandi ásamt því að vera ISO 27001 Lead auditor.

Elva Tryggvadóttir er verkefnastjóri í neyðarviðbúnaði hjá Isavia. Isavia sér um rekstur flugvalla á landinu auk flugleiðsögu á flugvöllum og flugstjórnarsvæðinu. Fyrirtækið telst til mikilvægra innviða landsins og þurfa viðbragðsáætlanir að vera í takt við eðli starfseminnar. Elva situr í Neyðarstjórn Isavia og mun segja okkur frá hvernig þau vinna sínar viðbragðsáætlanir og tengingu þeirra við aðra hagsmunaaðila. Elva er viðskiptafræðingur með meistaragráðu í mannauðsstjórnun. Hún hefur unnið í mannauðsmálum til margra ára þar til hún færði sig yfir í neyðarviðbúnað Isavia árið 2018. Elva er einnig aðgerðastjórnandi hjá Slysavarnafélaginu Landsbjörg og hefur komið að ýmsum störfum tengt neyðarviðbúnaði undanfarna áratugi.

Guðmundur Stefán Björnsson er yfirmaður upplýsingaöryggis og innri upplýsingtækni hjá Sensa og framkvæmdastjórn Sensa. Tæknifræðingur að mennt. Hann hefur verið í þessu hlutverki frá því 2015 eða þegar UT svið Símans færðist yfir til Sensa í sameinuðu fyrirtæki Sensa, UT Símans og Basis. Starfaði í 18 ár hjá Símanum, lengstum í stjórnun sem framkvæmdastjóri og forstöðumaður í sölu, vörustýringu og verkefnastjórn og kom víða við í störfum hjá Símanum.

Áhættustjórnun- aðferðir, umgjörð og ljónin í veginum

Microsoft Teams meeting

Click here to join the meeting

______________________

Örar breytingar í umhverfi fyrirtækja fela í sér aukna áhættu í rekstri, því er mikilvægt að fyrirtæki séu meðvituð um þá hættu sem ógnað getur starfsemi þeirra. Þá þurfa fyrirtæki einnig að hlíta við kröfum laga og reglugerða hvað varðar áhættustjórnun. Fyrirtæki þurfa að greina, meta, stýra, hafa eftirlit með og endurskoða áhættu í starfsemi sinni en til þess þarf að vera til staðar skýrt og skilgreint ferli.

Fyrirtækin CreditInfo og Orkuveita Reykjavíkur munu miðla reynslu sinni m.a. hvaða aðferðir og umgjörð þau hafa skapað sér við áhættustjórnun ásamt því hvaða ljón hafa orðið á vegi þeirra í vegferðinni.

Sigríður Laufey Jónsdóttir, persónuverndarfulltrúi og forstöðumaður Þjónustu- og lögfræðingasviðs Creditinfo. Laufey er lögfræðingur frá Háskóla Íslands með héraðsdómslögmannsréttindi. Áður starfaði hún sem sviðsstjóri hjá Umboðsmanni skuldara, sem sviðsstjóri hjá Motus og Lögheimtunni og sem forstöðumaður í Búnaðarbanka Íslands. Laufey hefur starfað hjá Creditinfo frá árinu 2015 og tekið þátt í að innleiða nýju persónuverndarlöggjöfina í starfsemi félagsins.

Ábyrg meðferð og vinnsla upplýsinga er hornsteinninn í starfsemi Creditinfo. Félagið hefur innleitt og fengið vottaðan ISO 27001 staðalinn um stjórnun upplýsingaöryggis. Persónuverndarfulltrúi og upplýsingaöryggisstjóri hafa unnið náið saman að gerð áhættumats. Hafin er vinna við að samþætta og samræma gerð áhættumats á upplýsingaöryggi og persónuvernd. Farið verður yfir það af hverju Creditifno telur slíkt vænlegt og hvaða skref hafa verið tekin í þá átt.  

 

Olgeir Helgason, sérfræðingur í stjórnunarkerfum og upplýsingaöryggisstjóri Orkuveitu Reykjavíkur (OR). Olgeir er með  BS í rafmagnstækifræði frá Odense Teknikum (nú SDU í Danmörku). Lauk viðskipta- og rekstrarfræði frá HÍ. Hóf störf árið 1984 hjá Rafmagnsveitu Reykjavíkur sem síðar varð að Orkuveitu Reykjavíkur og hefur gegnt 3 mismunandi störfum innan samstæðunnar á öllum þessum árum.

Orkuveita Reykjavíkur og dótturfélögin Veitur, Orka náttúrunnar, Gagnaveita Reykjavíkur og Carbfix hafa innleitt og fengið vottuð eða viðurkennd átta stjórnunarkerfi. Flest kerfanna eru lögbundin stjórnunarkerfi sem byggja á vottuðum stjórnunarkerfum og er áhættu grunduð hugsun komin inn í öll stöðluðu stjórnunarkerfin. OR reyndi að meðhöndla og skrá áhættur allra stjórnunarkerfanna eftir einu og sama kerfinu og vinna með áhættur á sama hátt hvort sem um var að ræða áhættur vegna gerlamengunar í köldu vatni, nýtingaráætlunar gufu á Hellisheiði eða bilunar í afritunarþjarki fyrir UT -  Sjáum hvernig fór!

Aðalfundur stjórnar faghóps um persónuvernd (fjarfundur)

Aðalfundur stjórnar faghóps um persónuvernd verður haldinn á Teams milli 12:00-12:30. Áhugasöm um þátttöku í aðalfundi faghópsins geta sent póst á alma.tryggvadottir@landsbankinn.is til að fá fundarboð með hlekk í Teams fundarboðið.

Dagskrá:

 

  1. Kynning á faghópnum og fyrirkomulagi viðburða
  2. Dagskrá faghópsins sl. starfsár.
  3. Kosning stjórnar (viðmiðunarfjöldi 4-10 manns)
  4. Starfsárið framundan

Þau sem vilja vera þátttakandi í stjórn eru beðin um að senda póst á formann faghópsins á netfangið hér að ofan. 

F.h. stjórnar

Alma Tryggvadóttir

Fréttir

Rakningarapp - stóri bróðir eða leiðin út úr kófinu?

Fundurinn var tekinn upp og má nálgast á faceobooksíðu Stjórnvísi.

Persónuvernd í æskulýðsstarfi og samstarf persónverndarfulltrúa

Fundurinn var tekinn upp og má nálgast á facebooksíðu Stjórnvísi.
Fyrsti fundur vetrarins á vegum faghóps um persónuvernd var haldinn í hádeginu í dag og sneri hann að persónuvernd í æskulýðsstarfi og samstarfi persónuverndarfulltrúa sveitarfélaga. Fyrirlesarar voru þær Erla Bjarný Jónsdóttir og Bryndís Gunnlaugsdóttir. 
Persónuvernd í æskulýðsstarfi.  Erla Bjarný fór yfir hvað þarf að hafa í huga varðandi persónuvernd í íþróttastarfi. Hvaða forrit eru notuð við miðlun persónuupplýsinga og hvernig er farsælast að miðla persónuupplýsingum, t.d. ljósmyndum og öðru efni tengdu íþróttaviðburðum, til annarra. Einnig fór hún yfir hvað ber að varast við vinnslu persónuupplýsinga í íþróttastarfi.
Erla Bjarný sagði að þjálfarar væru að fá gríðarlega mikið af persónulegum upplýsingum um börn í gegnum messanger og facebook.  Hvernig er hægt að tryggja öryggi þessara upplýsinga?   Erla Bjarný komst að því að það væri ekki neitt einasta íþróttafélag með persónuverndarfulltrúa. Hún skoðaði blak og fótbolta og það eru rosalega mikið af persónulegum upplýsingum sem foreldrar gefa eins og t.d. er varðar lyfjagjöf.  Erla Bjarný er búin að leggja til að félög sameinist t.d. um persónuverndarfulltrúa.  Erla fór inn á 14 félög í gær og sá hvergi félag sem vísaði í persónuverndarlög.  Hún segir hvergi minnst á persónuvernd eða eitthvað tengt persónuvernd.  Erla Bjarný sagði að næstum allt væri persónugreinanlegt í því félagi sem hún er þjálfari sökum þess hve fáir eru í hennar flokki.  Yfir 100 félög eru að nota Sportabler í dag. Þar er hægt að setja upp heimaæfingar og þar er hægt að aðlaga sitt starf að því.  Hægt er að gera vinnslusamninga við félögin og skoðað hvort verið sé að fara á skjön við persónuverndarlögin.  Mentor íþróttafélaganna í dag er Sportabler.  En utan frá sérðu ekki neitt tengt persónuvernd.  Næst skoðaði hún Facebook sem einnig er mikið notað. Um leið og þú setur eitthvað á facebook þá hefur facebook heimild til að nota þær upplýsingar.  Í skóla-og frístundastarfi hefur verið reynt að færa samskiptin af facebook þar sem þú hefur forræði á upplýsingunum. Google lausnin er mjög sniðug. Þjálfarar eru oft með skjal fyrir hvern og einn og þar er haldið utan um tölfræði fyrir hvern og einn aðila.  Þetta eru risaskjöl og þar eru skráðar heilsufarsupplýsingar.  Google er ekki með vinnslusamning í boði, þú gengst einfaldlega undir þeirra skilmála og þeir nýta upplýsingar til 3ja aðila.  Google lausnin er sniðug en það þarf að vera meðvitaður um í hvað hún er notuð.  Frumkvæðisathugun persónuverndar Arion banka. Persónuvernd sagði ekki heimild til að setja inn á samfélagsmiðil þar sem þeir hefðu ekki eign á gögnunum. Því þurfa allir foreldrar að vera meðvitaðir um hvernig myndum af mótum er stjórnað. Myndir hjá hennar félagi eru t.d. geymdar á GooglePhoto í Írlandi og margir geyma þau í Dropbox.  Guðmundur minntist á Sideline og Nóri sem annrs konar kerfi sem hægt væri að nota.

"Sameinuð stöndum vér, sundruð föllum.."Samstarf persónuverndarfulltrúa sveitarfélaga.  Bryndís Gunnlaugsdóttir sagði að hennar fyrsta verk hefði verið að boða persónuverndarfulltrúa til sín. Hvað er svona sérstakt við persónuverndarfulltrúa innan sveitarfélaga.  Af hverju virkar einn hópur en annar ekki?  Bryndís finnur gríðarlega orku í persónuverndarhópnum hjá sveitarfélögunum.  Eitt af lykilatriðunum er að sambandið (hagsmunafélag sveitarfélaga) boðar til fundarins sem gefur ákveðinn status.  Engar risaeðlur eru inn á fundinum því persónuverndarfulltrúar hafa ekki verið til áður.  Því vissi enginn út í hvaða vegferð væri verið að fara.  Flestir upplifðu sig sem eyland á sínum vinnustað.  Jafningjar hittust sem ekki var hægt að finna á vinnustað því eitt persónuverndarnörd er á hverjum vinnustað. Sveitarfélögin eru 77 og því eru fulltrúarnir með mjög ólíka þekkingu. Umræðan varð því kraftmikil og fjölbreytt, leyfilegt var að spyrja kjánalegra spurninga. Strax í upphafi var leyfilegt að spyrja um hvað sem er, fullkomið traust ríkti innan hópsins því allir voru að vinna saman. Deilt var skjölum milli sveitarfélaga og allir voru óhræddir við að deila hálfum hugmyndum. Gagnrýni varð jákvæð upplifun, rýnt var til gagns í ljósi þess trausts sem byggt var á frá upphafi. Það er kúltúrinn sem skiptir öllu máli í svona starfi.  Þeir sem síðar hafa komið inn í hópinn upplifa þessa miklu virðingu.  Saman ná þau að búa til miklu meiri orku en þau gera ein.
Það sem gengur ekki nægilega vel hjá persónuverndarfulltrúum er að hlutirnir ganga frekar hægt hjá stjórnsýslunni.  Sum sveitarfélög eru með sérfræðinga sem persónuverndarfulltrúa. Sama kaffibollaspjallið næst ekki í dag út af Covid, staðan er óljós víða því margir voru ráðnir tímabundið. Nú eru tekjur sveitarfélaga að skerðast og því gæti persónuverndarfulltrúum fækkað.  Bryndís sagði að allir verði að bera ábyrgð á að hópurinn hittist, allir bera ábyrgð á hvað er á fundinum og það sem skiptir mestu máli er að kúltúrinn innan hópsins ræður því hvort hann nær árangri eða ekki og ALLIR eru ábyrgir innan hópsins. Allir munu ekki vera með jafnt framlag en hvert einasta púsl skiptir máli og það eru tíð og góð samskipti sem eru lykillinn að trausti og að gagnrýnin umræða geti átt sér stað. Það eru einstaklingarnir sem sitja við borðið og mæta og eru tilbúnir að deila og koma til borðsins eins og þau eru klædd. 

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

Stjórn

Sigríður Laufey Jónsdóttir
Sérfræðingur -  Formaður - Creditinfo
Alma Tryggvadóttir
Annað -  Stjórnandi - Landsbankinn
Daði Heiðar Kristinsson
Annað -  Stjórnandi - Umbra-þjónustumiðstöð Stjórnarráðsins
Elfur Logadóttir
Framkvæmdastjóri -  Stjórnandi - ERA
Helga Grethe Kjartansdóttir
Annað -  Stjórnandi - Síminn
Hildur Georgsdóttir
Sérfræðingur -  Stjórnandi - Ríkiskaup
Ragna Pálsdóttir
Sérfræðingur -  Stjórnandi - Íslandsbanki
Thelma Cl. Þórðardóttir
Annað -  Stjórnandi - Thelma Cl. Þórðardóttir
Tómas Kristjánsson
Framkvæmdastjóri -  Stjórnandi - Lögrétta ehf
Vilhjálmur Þór Svansson
Millistjórnandi -  Stjórnandi - Arion banki
Fannst þér efnið á síðunni hjálplegt?