29 Það er mikilvægt að einfalda viðfang og skilning fólks þegar kemur að upplýsingum á upplýsingaöld sem þessari. Þetta er kjarni málsins þegar fjallað er um upplýsingaöryggi. Þessi skilningur er ekki meðfæddur og skal það ekki tekið sem sjálfsagður hlutur að hver og einn eigi eða þurfi á þessum skilningi að halda. Hins vegar kemur það í verkahring þeirra sem meðhöndla upplýsingar á einn eða annan hátt að öðlast þessa kunnáttu, sem felur í sér hvernig rétt sé að meðhöndla tiltekna tegund upplýsinga í þeim tilgangi að vernda þær frá illgjörnum tilgangi. Það er mikill misskilningur að „rétt“ meðhöndlun og verndum upplýsinga sé eingöngu ábyrgð þeirra sem starfa í tölvudeildum fyrirtækja eða hafa upplýsingaöryggi í starfsheiti sínu. Rétt meðhöndlun í þessu samhengi stýrist af því hverjar upplýsingarnar eru og hversu mikilvægar þær eru í samhengi við þá notkun sem á sér stað. Þetta ábyrgðarhlutverk fellur í garð notenda; hvort sem talað er um almennt [starfs­] fólk sem býr til upplýsingarnar, notar þær eða kerfisfræðinga (af óskilgreindum toga). KERFIS- OG UPPLÝSINGAÖRYGGIS SÉRFRÆÐINGAR Að sama skapi er ekki síður mikilvægt fyrir kerfis­ og upplýsingaöryggisfræðinga að vera í stakk búnir að greina hvernig best er að vernda upplýsingarnar, út frá því hversu mikilvægar þær eru stofnunum og einstaklingum sem kunna að hafa aðgang að þeim. Sömuleiðis þarf að vernda upplýsingarnar svo að þær komist ekki í hendur þeirra sem gætu misnotað þær á einhvern hátt, t.d. til fjársvika. Oft skapast mikill misskilningur á milli þessara tveggja flokka, þ.e.a.s. þeirra sem búa til upplýsingar og nota þær og þeirra sem hafa það í sínum verkahring að vernda þær í tölvukerfum og víðari netkerfum. HEFÐBUNDIN MEÐHÖNDLUN UPPLÝSINGA Grunnmeðhöndlun upplýsinga hefur hinsvegar ekki breyst svo mikið að það valdi okkur sem meðhöndlum þær erfiðleikum þegar kemur að skilningi okkar á mikilvægi þeirra í okkar vinnu. En það getur vafist fyrir þeim einstaklingum sem eru síður tæknivæddir og gera sér ekki grein fyrir líklegum hættum sem upplýsingum stafar af í nútíma samfélagi. Ætluð notkun upplýsinga hefur hins vegar aldrei fyrr verið eins víðtæk og breytileg sem og nú, með tilkomu stórra gagnasafna, skýjum af ýmsum toga, vélrænu námi, gervigreind, tækni og nýsköpun af ýmsum toga og ýmissa nýs búnaðar í persónulegri tækni á borð við tölvuúra o.s.frv. Upplýsingar „fljóta“ alstaðar um og margfaldast á degi hverjum. Hraði margföldunar eykst að sama skapi með hverjum deginum. Á áhugi illræmdra einstaklinga vex á sama hraða, ef ekki hraðar. Erfiðara verður að vernda upplýsingar þegar kemur að nýrri tækni og breyttri hegðun notenda við upptöku nýrrar tækni. Í því samhengi má einnig nefna persónulega notkun snjallsíma, tölvuúra, spjaldtölva, nettengdra ísskápa, bíla o.s.frv. Listinn er óendanlegur, ef meðtalin er sú tækni sem notuð er í faggeirum fyrirtækja. TRAUST OG ÞEKKING Hluti af vandanum við að vernda upplýsingar felst í vanþekkingu og notkun á úreldum stöðlum og aðferðum við upplýsingavernd. Ásamt því að taka ekki til greina fyrirætlanir fyrirtækja við notkun og vistum upplýsinganna. Ekki er lengur hægt að vanrækja þá þekkingu, reynslu og kunnáttu sem þarf til að vernda upplýsingar. Enn fremur má ekki gleyma því að verndun upplýsinga byggist á ýmsum stöðlum, s.s ISO27XXXX, SOC 1/2/3 og fleirum, því oftar en ekki, þrátt fyrir réttu umfangi og beitingu þeirra – er ósennilegt að þeir nái að réttri túlkun við innleiðingu. Upplýsingaöryggi verður, sem fyrr segir, að mótast af ætlaðri notkun fyrirtækja og einstaklinga á upplýsingunum og hugsanlegri hættu sem stafar af misnotkun þeirra. Einnig þarf að taka mið af þeirri tæknikunnáttu sem hefur ekki talist nauðsynleg fram að þessu. Ekki má gleyma því flækjustigi sem felst í því að gangast við kröfum laga eða reglugerðar [svo dæmi séu tekin] á borð við komandi ESB reglugerð (nr. 2016/679 ­ GDPR[1]), sem fjallar sérstaklega um persónuvernd og rétt einstaklinga við almenna meðhöndum persónuupplýsinga. Það hefur ætíð fallið í hendur upplýsingaöryggissérfræðinga að finna tæknileg ráð og stillingar í tölvukerfum sem uppfylla kröfur slíkra reglugerða, og oftar en ekki er sennilegt að slíkar kröfur brjóti í bága við ætlaða notkun fyrirtækja á sömu upplýsingum. NOTKUN OG NÚTÍMA TÆKNI Fyrirtæki af ýmsum toga fjárfesta þessa dagana í tækni sem ætlað er að aðstoða við greiningu á hegðun og þörfum viðskiptavina. Umfram flest, með það að leiðarljósi að greina leiðir til að auka viðskiptin. Þessi stefna felur í sér notkun mikilla upplýsinga sem getur að líkindum auðkennt einstaklinga eða háttsemi þeirra og getur í sumum tilfellum stefnu fyrirtækja. Hvort um sig má telja til viðkvæmra upplýsinga sem hægt er að misnota, svo og bresti í öryggi ef þær komast í hendur rangra aðila. Hér má einnig fjalla um þann mátt þeirra sem vilja ná yfirtökum á stýribúnaði tækja, með þeirri áætlun að valda fyrirtæki eða einstaklingum skaða. Tekið skal fram að þessi staðreynd á ekki eingöngu við um „erlend“ fyrirtæki – heldur líka um Íslensk fyrirtæki. Vanrækt á upplýs ingav ernd slíkra upplýsinga getur í flestum Evrópulöndum haft í för með sér háar sektir, svo ekki sé minnst á minnkandi orðstír fyrirtækja sem verða fyrir brotunum. Í alvarlegum tilfellum má jafnvel gera ráð fyrir mannskaða. NÝ TÆKNI Í SAMHENGI UPPLÝSINGAÖRYGGIS Tækni á borð við ský, vélrænt nám (e. machine learning), gervigreind og vélrænni lífkennagreiningu er ekki ný af nálinni. Aukin notkun þessarar tækni færir upplýsingaöryggissérfræðingum svefnlausar nætur. Hér er átt við upplýsingar sem geymdar eru í „opinberu“ skýi sem stjórnað er af gervigreind, þar sem umsjón og aðgengi að upplýsingum er að flestu leyti í höndum þriðja eða jafnvel fjórða aðila, þ.e. annarra en starfsmanna fyrirtækjanna þar sem upplýsingarnar eiga uppruna sinn. Í þessu samhengi er ekki hægt að verða sér úti um núverandi staðla og ætla sér að greina UPPLÝSINGAÖRYGGI Á TÍMUM BREYTINGA Ragna María Sveinsdóttir, upplýsingaöryggissérfræðingur (Cyber, IT Security, Business continuity, Resilience, Sourcing, Fraud, Legal and Regulatory management)

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44
Blaðsíða 45
Blaðsíða 46
Blaðsíða 47
Blaðsíða 48