T Ö LV U M Á L | 3 13 1 | T Ö LV U M Á L Upplýsingaleki er það þegar trúnaðarupplýsingar einstaklinga eða fyrirtækja komast í hendur óviðeigandi aðila. Slíkt getur gerst af ýmsum ástæðum, hvort heldur sem er viljandi eða óviljandi, af völdum innri eða ytri aðila og óháð því hvort upplýsingar séu á rafrænu formi eða ekki. Mörg nýleg dæmi eru um upplýsingaleka og hefur slíkum dæmum fjölgað mikið á síðustu árum. Skemmst er að minnast á samantekt úr lánabók Kaupþings banka sem birt var á uppljóstrunarvefnum Wikileaks, óvarlegar sendingar stjórnmálamanna, týndra farsíma og nýlegan leka óritskoðaðra sendiráðspósta hjá Wikileaks. Trúnaðarupplýsingar geta verið af ýmsu tagi, svo sem viðkvæmar persónuupplýsingar um einstaklinga, greiðslukortanúmer, upplýsingar um afsláttargjöf eða aðrar viðskiptaáætlanir, hönnunarskjöl eða annað hugverk sem skapar þeim sem komast yfir slíkar upplýsingar samkeppnisforskot. Leki á trúnaðarupplýsingum getur líka haft fleiri óæskilegar afleiðingar í för með sér, svo sem beint fjárhagslegt tjón vegna tapaðra viðskipta eða minna trausts, auk þess sem slíkt getur varðað bæði lög og ákvæði í samninga við t.d. viðskiptavini eða samstarfsaðila. Hvernig er hægt að bregðast við þessum áhættum á skilvirkan og markvissan hátt? Þegar búið er að skilgreina hvaða upplýsingar séu trúnaðarmál þarf að huga að því hvar þær eru geymdar, hvernig þær eru fluttar á milli staða, hverjir eru notendur og hvernig þær eru notaðar. Upplýsingar á rafrænu formi eru t.a.m. geymdar á netdrifum eða í tölvupósti, skjalastjórnunarkerfum, fjárhagsupplýsingakerfum og víðar. Slíkar upplýsingar eru oft fluttar yfir ýmis konar netkerfi sem sum hver eru vel varin en gagnvart öðrum gæti þurft að grípa til frekari úrræða, svo sem dulritunar. Notkun upplýsinga er orðin fjölbreyttari með aukinni útbreiðslu fjarvinnu og stóraukinni notkun á spjaldtölvum og snjallsímum. Allt gerir þetta þeim sem bera ábyrgð á að verja upplýsingar fyrirtækja erfiðara fyrir. Byggt á áhættumati og eftir greiningu á geymslu, flutningi og notkun upplýsinga þarf að grípa til viðeigandi úrbóta til að bregðast við þeim áhættum sem taldar eru óásættanlegar. Slíkar úrbætur geta verið af ýmsu tagi og ekki allar tæknilegar. Nauðsynlegt er að til staðar séu reglur um meðferð upplýsinga og þær kynntar starfsmönnum og að þeir hljóti þjálfun í viðeigandi meðferð upplýsinga hvort heldur sem er að senda upplýsingar eða hvernig eigi að farga þeim með öruggum hætti að notkun lokinni. Stærstan hluta upplýsingaleka má rekja til óvarlegrar eða óviðeigandi hegðunar starfsmanna eða annarra, svo sem þjónustuaðila, hvort heldur sem er viljandi eða af ásetningi. Auðvelt er að senda óviðeigandi aðila trúnaðarupplýsingar í tölvupósti án ásetnings eða setja til bráðabirgða skrá með viðkvæmum upplýsingum inn á vefsvæði fyrirtækisins, sem mögulega eru opið almenningi. Auk þess að huga að þætti þeirra einstaklinga sem koma að geymslu, notkun eða flutningi upplýsinga þarf að tryggja að þeir hafi þau tæki, kerfi og lausnir sem gera þeim mögulegt að meðhöndla trúnaðarupplýsingar á öruggan hátt. Slíkt getur verið vandasamt t.d. ef hluti af vinnslu eða notkun upplýsinga er í höndum þjónustuaðila (svo sem útvistuð upplýsingatækniþjónusta eða önnur sérfræðiþjónusta, t.d. launavinnsla eða lögfræðiaðstoð). Tryggja þarf að þjónustuaðilinn sé virkur þátttakandi í þeirri vernd upplýsinga sem við teljum nauðsynlega og oft er æskilegt að slíkt sé tilgreint í samningum milli aðila. Einnig þarf að huga sérstaklega að aukinni notkun snjallsíma og spjaldtölva því slík tæki hafa oft sama aðgang að upplýsingum okkar og önnur tæki. Gera þarf sömu kröfur til öryggis slíkra tækja og annarra sem notuð eru til að vinna með eða geyma trúnaðarupplýsingar okkar. Þetta gæti t.d. verið gert með sérstökum öryggiskröfum til stýrikerfis slíks búnaðar, sérstökum hugbúnaði sem t.d. sækir ekki upplýsingar og geymir á tækinu sjálfu heldur vinnur með upplýsingarnar á öðrum búnaði þar sem auðveldara er að viðhafa öryggisráðstafanir til að verja trúnað upplýsinganna. Að mörgu er að hyggja til að takmarka áhættu vegna upplýsingaleka. Þótt úrræðin séu mörg þarf að forgangsraða og velja réttu úrræðin til að auka skilvirkni og verja fjármunum á sem hagkvæmastan hátt. Svo slíkt sé mögulegt þarf að liggja til grundvallar heilstæð greining á gagnaflæði sem tekur til geymslu, flutnings og notkunar trúnaðarupplýsinga sem og áhættumat til að forgangsraða aðgerðum í samræmi við þær áhættur sem eru til staðar. Varasamt getur verið að innleiða öryggisúrræði án slíks undirbúnings þar sem illa ígrunduð og takmarkandi öryggisúrræði geta valdið því að notendur fari að leita nýrra og enn óöruggari leiða til að komast hjá þeim öryggisúrræðum sem eru til staðar. Upplýsingaleki getur haft mjög alvarlegar afleiðingar fyrir rekstrarhæfi fyrirtækja og því er nauðsynlegt að bregðast við þeim með viðeigandi og ábyrgum hætti. Upplýsingaleki: orsakir og afleiðingar Tryggvi R. Jónsson, CISA, liðsstjóri Áhættuþjónustu Deloitte á Íslandi og sérfræðingur í upplýsingaöryggi Trúnaðarupplýsingar geta verið af ýmsu tagi, svo sem viðkvæmar persónuupplýsingar um einstaklinga, greiðslukortanúmer, upplýsingar um afsláttargjöf eða aðrar viðskiptaáætlanir, hönnunarskjöl eða annað hugverk sem skapar þeim sem komast yfir slíkar upplýsingar samkeppnisforskot. Að mörgu er að hyggja til að takmarka áhættu vegna upplýsingaleka. Þótt úrræðin séu mörg þarf að forgangsraða og velja réttu úrræðin til að auka skilvirkni og verja fjármunum á sem hagkvæmastan hátt.

Page 1
Page 2
Page 3
Page 4
Page 5
Page 6
Page 7
Page 8
Page 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Page 16
Page 17
Page 18
Page 19
Page 20
Page 21
Page 22
Page 23
Page 24
Page 25
Page 26
Page 27
Page 28
Page 29
Page 30
Page 31
Page 32
Page 33
Page 34
Page 35
Page 36
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43
Page 44
Page 45
Page 46
Page 47
Page 48