Persónuvernd

Persónuvernd

Tilgangur með stofnun faghópsins er að skapa vettvang fyrir umræðu, fræðslu og miðlun upplýsinga um persónuvernd og vinnslu persónuupplýsinga.

Markmið faghópsins er að þjóna sem flestum hópum sem vinna að eða hafa áhuga á persónuvernd og vinnslu persónuupplýsinga, s.s. persónuverndarfulltrúum, mannauðsstjórum, stjórnendum og aðilum sem starfa í upplýsingatæknigeiranum. Þá er það markmið faghópsins að vera vettvangur fyrir starfandi persónuverndarfulltrúa sem starfa hjá íslenskum fyrirtækjum, stofnunum, opinberum aðilum og félagasamtökum m.a. til að þeir aðilar sem sinna þessu nýja hlutverki geti mótað hlutverk sitt og nýtt sér reynslu og þekkingu annarra fulltrúa.

Hópurinn samastendur af einstaklingum sem starfa sem persónuverndarfulltrúar hjá opinberum aðilum, félagasamtökum og einkafyrirtækjum svo og ráðgjöfum á sviði persónuverndar og upplýsingatækni.

Viðburðir

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efnir til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis. 

 

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.

 

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki.

 

Persónuvernd

Nánari upplýsingar síðar

GDPR - 508 dögum síðar og Tæknikökur, hvernig kökur eru það?

Næsti viðburður á vegum faghóps um persónuvernd verður tvíþættur.

Alma Tryggvadóttir mun flytja erindið "GDPR - 508 dögum síðar. Hugleiðingar um úrskurðarframkvæmd evrópskra persónuverndaryfirvalda". 

Talsverður tími er nú liðinn frá því að ný Evrópureglugerð um persónuvernd tók gildi hérlendis. Í kynningunni verður greint frá því hvernig evrópsk persónuverndaryfirvöld hafa túlkað og beitt reglugerðinni og hvaða sviðum rekstrar er mikilvægast að huga að í því sambandi. Sjónum verður beint að sektarákvörðunum evrópskra persónuverndaryfirvalda, hvaða tegundir brota þær varða og hvaða vísbendingar megi finna í nýlegum úrskurðum Persónuverndar um stjórnvaldssektir.

Elfur Logadóttir mun flytja erindið "Tæknikökur? Hvernig kökur eru það? Hún mun fjalla um persónuvernd á sviði markaðsmála. Fjallað verður um notkun tæknikaka, öflun samþykkis og nýlega þróun á vettvangi Evrópusambandsins þeim tengdum. 

Alma Tryggvadóttir er persónuverndarfulltrúi Landsbankans og hefur áralanga reynslu af túlkun og beitingu persónuverndarlöggjafar. Alma starfaði áður hjá Persónuvernd frá 2008-2017 sem skrifstofustjóri upplýsingaöryggis og lögfræðingur auk þess sem Alma var settur forstjóri stofnunarinnar hluta árs 2015. Alma er stundakennari í persónurétti í Háskóla Íslands og hjá Háskólanum í Reykjavík og hefur haldið fjölda fyrirlestra um málefni tengd persónuvernd á innlendum og erlendum vettvangi.

Elfur Logadóttir er sérfræðingur í tæknirétti með áherslu á rafræn viðskipti og persónuvernd. Elfur er lögfræðingur og viðskiptafræðingur með framhaldsgráðu í tæknirétti frá Háskólanum í Osló. Elfur starfaði hjá Auðkenni í 8 ár þar til 2015 þegar hún stofnaði sitt eigið fyrirtæki, ERA, sem ráðleggur fyrirtækjum um lögfræðitengda upplýsingatækni, reglustjórn og rafrænum viðskiptum

 

Fréttir

Upplýsingaöryggi á nýjum áratug

Faghópur um Upplýsingaöryggi var nýlega endurvakinn og efndi til fyrsta viðburðar með tveimur fyrirlestrum og fyrirlesurum með ólíka nálgun á upplýsingaöryggi. Markhópur fyrirlestranna eru upplýsingaöryggisstjórar og aðrir ábyrgðar- og umsjónaraðilar upplýsingaöryggis.  

1) Innsýn í gagnaflutnings öryggi um netkerfi.

Farið var ofan í saumana á ferðalagi gagna og hvernig er hægt að stuðla að öryggi á flutningsleiðum. Hvað þurfa vörsluaðilar gagna að hafa í huga? Hvert stefnum við?

Fyrirlesari: Áki Hermann Barkarson er með 20 ára reynslu sem sérfræðingur í gagnaflutningskerfum og netöryggi.  Áki sagði að aðilar sem þurfa að taka ákvarðanir varðandi gagnaöryggi þyrftu að huga að 1. Geymslu gagna, öruggar diskastæður í gagnaverum, dulkóða gögn í ferðavélum. 2. Aðgengi að gögnum, notendanöfn o.fl.  3. Samskipti frá a-ö.  Hverju tengist hvað.  Áki hefur sinnt kennslu sl.10 ár.  Það eru aðallega fjórar tegundir tækja sem tengja okkur við gögn; þráðlausir aðgangspunktar, switchar, routerar og eldveggir. Besta líkingin á tengingum er að það lítur út eins og eitt stórt brokkolí.  En hvernig tengist Ísland umheiminum?  Með Farice-1, Danice og Greenland Connect. En hverju þurfum við að hafa áhyggjur af?  Hvað með að einhver sé að sniffa þráðlausa umferð frá client? Er einhver að hakka tækin í fyrirtækjanetið mitt? Er einhver að sniffa umferð milli mín og þjónustuaðila? Eru Kínverjar að stela gögnunum mínum með Huawei búnað? Eða er Norður Korea að færa sig inn á Farice að sniffa okkur með kafbát?   Og svo er það spurning um gagnaverið?  Ef þetta er einfaldað þá er ekki möguleiki að vera að hafa áhyggjur af öllu.  Ekki er hægt að tryggja öryggi á öllum stöðum.  Algengasta leiðin er að keyra TLS 1.2. og session to https://einkabanki.is þá erum við búin að dulkóða gögnin okkar og þetta er það besta sem er í boði .  Hægt er að sjá það á litla lásnum sem birtist uppi á slóðinni á síðunni okkar.  Ef gögnin eru dulkóðuð er það þá það eina sem þarf?  Ef einhver sendir okkur plattölvupóst og við smellum á það þá förum við inn á einkabanki.is og þá erum við plötuð inn á ranga síðu.  Eldveggur gæti mögulega stoppað þetta en kannski ekki.  Eitt sem gleymist í öruggum samskiptum er að gögnin verða að komast á leiðarenda og því þurfa samskiptaleiðirnar að vera öruggar og virka vel.  Það skiptir engu máli hve örugg gögnin eru ef þau komast ekki á staðinn.  Allt þarf að vera tengt.  Oft gleymist í umræðunni hvort hægt er að afhenda keflið ef tæknimaður er ekki á staðnum eða hættir.  Gott að spyrja sig er auðvelt að senda keflið áfram.  Algengustu hætturnar sem gæði sambanda líður fyrir ef fýsískur búnaður bilar, spennubreytar eru algengasta bilunin, ljósbreytur og ljósleiðarar eru næst algengasta bilunin, eintengingar, tvítengingar, hugbúnaðarvillur og mannleg mistök o.m.fl.

Áki sagði mikilvægt að setja fókus á áhættumat.  Þurfum við vírusvarnir, spam varnir, þurfum við tvöfaldan búnað og tengingar, eldveggi með next-gen features, netvarnir, 24/7/365 þjónustu á öll kerfi. Hef ég hugbúnað eða þjónustur sem þurf internet til að vika? Geta DoS árásir tekið þessi kerfi út? Hvaða áhætta og hagsmunir liggja fyrir vegna niðritíma á þessum þjónustum?  Dæmi er um fyrirtæki þar sem fyrirtæki fékk árásir í 11 daga samfellt.  Mikilvægast er að tvítengja, nota tæki sem hafa tvöfalda spennubreyta (dual PSU), alltaf tvítengja skrifstofur (amk með 4G vara -sambandi), Mikilvægt er að tryggja og prófa, netvarnir er ekki hægt að setja inn eftir á, prófa vara-sambönd, varabúnað, prófa allt reglulega og hafa jákvæð samskipti við birgja og þjónustuaðila.  Mikilvægt er að vera í mjög góðu sambandi við birgja.  Jákvæð samskipti stuðla að öryggi og trausti.  IPv6 væðing er byrjuð, skipta þarf um tölur á öllu alnetinu okkar, nú er byrjað að bjóða allar þjónustur IPv4 og IPv6. Dulkóðun er að koma á allar samskiptaleiðir, gerir mönnum erfiðara fyrir að sjá miðlægt hvaða umferð er að fara um kerfin þeirra, öryggi er að færast í aukan yfir á tæki endanotenda.    

 2) Svipmyndir af innlendum upplýsingaöryggisvettvangi

Hraðyfirlit yfir innlendar fréttir um upplýsingaöryggisatvik í þeim tilgangi að sýna fram á hversu vítt svið stjórnun upplýsingaöryggis nær yfir. Hverju mega öryggisstjórar búast við? Hvað geta þeir haft áhrif á?

Fyrirlesari: Ebenezer Þ. Böðvarsson er með 10 ára reynslu sem upplýsingaöryggisstjóri hjá fjármálafyrirtæki. 

Ebenezer sagði að sama ár og Vodafone var hakkað voru 1000 íslenskar síður hakkaðar.  Visir.is og DV.is hafa lent í að borðar beri með sér vírusa og einnig er mikiðe um DDoS árásir.  Ráðist hefur verið á vef fjölmargra íslenskra fyrirtækja. Ebenezer ræddi um upplýsingaleka af vef.  Óvart hafa verið gerð þau mannlegu mistök að símanúmer alþingismanna birtust, ferilskrár hafa orðið sýnilegar, o.fl.  öryggisvitund er því mikilvæg.  Enn ríkir skeytingarleysi gagnvart uppfærslum á vefum.  Forritunarmistök geta verið mjög dýr.  Lykilorð eiga alltaf að vera dulkóðuð.  Skráningarmistök eru upplýsingaöryggi. 

Ebenezer ræddi um innri ógn.  Sameiginleg drif vaxa og vaxa og enginn veit hvað er þarna inni, því er rekjanleiki mjög mikilvægur.  Fólk á aldrei að hafa meiri aðgang en það þarf starfa sinna vegna. 

Þegar nýir starfsmenn koma inn er mikilvægt að fræða þá um cc og bcc og not reply to all.  Þegar menn senda viðhengi.  Algengasta leiðin fyrir upplýsingaleka er rangt netfang.  Mikilvægt er að fræða fólk um gagnagíslingu.  Mikilvægt er að gera prófanir aftur og aftur.  Rafmagnsleysi veldur miklum usla í tölvukerfi.  Í langvarandi rafmagnsleysi hættir kalt vatn að streyma.  Sæstrengjasambandið hangir á bláþræði og við erum ljónheppin að hafa ekki orðið sambandslaus.  Öll fyrirtæki eru með einhvern einn ómissandi starfsmann og ef hann er ekki í vinnu hvað þá?  Að lokum ræddi Ebenezer um krísustjórnun og ítrekaði mikilvægi þess að segja alltaf satt og rétt frá.  Mikilvægt er að læra af atvikum sem aðrir lenda í og ræða þau. 

 

GDPR - 508 dögum síðar og Tæknikökur, hvernig kökur eru það?

Í dag hélt faghópur um persónuvernd vel sóttan hádegisfund í Háskólanum í Reykjavík þar sem flutt voru tvö áhugaverð erindi.  Elfur Logadóttir fjallaði um „Tæknikökur? Hvernig kökur eru það?  Alma Tryggvadóttir flutti erindið „GDPR - 508 dögum síðar. Fundinum var streymt af Facebooksíðu Stjórnvísi. 

Alma fjallaði um úrskurðarframkvæmd evrópskra persónuverndaryfirvalda og beindi sjónum sínum að sektarfjárhæðum sem lagðar hafa verið á fyrirtæki og stofnanir. Einnig fjallaði Alma um þau viðmið sem persónuverndaryfirvöld horfa til við ákvörðun sekta.

Það sem skiptir máli sagði Elfur er að ekki er nægjanlegt að fá samþykki notenda og þar með setja tæknikökur inn á vél notanda. Óheimilt er að koma fyrir búnaði á vél notanda nema með sérstöku samþykki.  Borðinn neðst þar sem segir „við notum kökur“ er ekki nægjanlegt í dag. 

Persónuvernd - áhættumat og sjálfvirk ákvarðanataka

Faghópur um persónuvernd hélt einstaklega áhugaverðan fund í Háskólanum í Reykjavík í hádeginu í dag.  Þar var einblínt á  áhættumat við vinnslu persónuupplýsinga, persónusnið og sjálfvirka ákvarðanatöku.

Hjördís Halldórsdóttir lögmaður og einn af eigendum LOGOS fjallaði í erindi sínu um persónusnið og sjálfvirka ákvarðanatöku, sem einnig mætti nefna persónugreiningu og gervigreindarákvarðanir. Ný persónuverndarreglugerð tekur á þessu hvoru tveggja og gerir tilteknar kröfur til fyrirtækja sem mikilvægt er að þekkja, ekki síst ef ætlunin er að sjálfvirknivæða viðskiptaferla og nýta sér gervigreind í rekstrinum. Það er ekkert persónusnið í hraðasekt en ef tryggingarfélög færu að nýta sér þessar upplýsingar væri það hins vegar persónusniðið.  Elon Musk segir að gervigreindin sé stærsta ógn framtíðarinnar vegna þess að hún muni yfirtaka ákvörðunarferla.  Algoritmar eru mannanna verk og eru mismiklir að gæðum.  Deilingaraðferðir eru allt algoritmar og til eru margar aðferðir mismunandi góðar.  Mikilvægt er að vinna ekki á úreltum gagnasöfnum.   Mannleg íhlutun er t.d. þegar sjálfvirk tækni er notuð til að fá meðmæli en manneskja tekur endanlegt vald yfir ákvörðuninni.  Raunverulegt vald verður að vera hjá manneskju, ekki sjálfvirkri tækni.  Algoritmar velja t.d. hvaða auglýsingar birtast þér.  Einstaklingur á alltaf rétt á að fá mannlega íhlutun.  Dæmi var nefnt um banka sem hafnar yfirdrætti eða láni hjá viðskiptavini.  Skylda er að bankinn bjóði upp á að viðskiptavinur geti komið í bankann og rætt sín mál við manneskju í bankanum.  

Oddur Hafsteinsson upplýsingaöryggisstjóri hjá TRS og Sigríður Laufey Jónsdóttir lögfræðingur og forstöðumaður þjónustu-og lögfræðisviðs Creditinfo fóru yfir hvernig Creditinfo nálgaðist áhættumat við vinnslu persónuupplýsinga innan fyrirtækisins. Tekin var ákvörðun um að setja vinnsluskrár fyrir hverja vöru.  Varðandi áhættumat á vinnsluskrá þá er farið í gegnum ákveðnar spurningar. Hver er vinnslan? Hver eru verðmætin? Hver er ógnin? Hvað getur gerst? Hverjar eru afleiðingarnar? Hver eru áhrifin og hverjar eru líkurnar? Hvert er áhættumatið? Til hvaða ráðstafanna verður greipið til?  Nú er allt skjalfest og allir starfsmenn búnir að fara í gegnum ISO og persónuvernd.  Formfestan kom með ISO og seinna með persónuverndinni.  

Stjórn

Hildur Georgsdóttir
Sérfræðingur - Formaður - Ríkiskaup
Daði Heiðar Kristinsson
Annað - Stjórnandi - Umbra-þjónustumiðstöð Stjórnarráðsins
Elfur Logadóttir
Framkvæmdastjóri - Stjórnandi - ERA
Oddur Hafsteinsson
Sérfræðingur - Stjórnandi - Oddur Hafsteinsson
Ragna Haraldsdóttir
Framkvæmdastjóri - Stjórnandi - Tryggingastofnun ríkisins
Ragna Pálsdóttir
Sérfræðingur - Stjórnandi - Íslandsbanki
Sigríður Laufey Jónsdóttir
Sérfræðingur - Stjórnandi - Creditinfo
Thelma Cl. Þórðardóttir
Annað - Stjórnandi - Thelma Cl. Þórðardóttir
Fannst þér efnið á síðunni hjálplegt?