Brud 6

Tab/tyveri af transportable enheder med ukrypteret data

Beskrivelse af brud

USB-pinde, bærbare computere, mobiltelefoner, tablets og eksterne harddiske, der indeholder ikke-krypterede personoplysninger, kan mistes som følge af f.eks. tab eller tyveri. Det kan ske under transport, postforsendelse, anvendelse uden for kontoret, herunder på rejse, eller ved at de bliver stjålet fra biler, private hjem mv. I sådanne tilfælde kan personoplysningerne tilgås af uvedkommende, og der vil derfor være tale om et brud på persondatasikkerheden.

Tiltag, der kan overvejes

  • Sørg for at kryptere enhederne. Kryptering er normalt en let tilgængelig teknisk understøttelse, idet alle gængse styresystemer kan sættes op til at kryptere harddiske og lagringsmedier.
  • Indfør procedurer som sikrer, at alle organisationens enheder administreres ens og dermed f.eks. altid krypteres og beskyttes af adgangskoder. Dette kan I supplere med en jævnlig manuel eller automatiseret kontrol af, at beskyttelsen stadig er aktiv.

 

  • Sørg for at beskytte de kryptografiske nøgler, I anvender. Kryptografiske nøgler er ikke det samme som adgangskoder. Kryptografiske nøglers funktion er at kryptere og dekryptere data, mens adgangskoder typisk skal indtastes for at kunne ”åbne for” anvendelsen af kryptografiske nøgler.
  • Uden tilstrækkelig beskyttelse af de kryptografiske nøgler, har de ingen værdi. Hvis nøglerne kan tilgås af uvedkommende, vil krypteringen nemlig ikke længere i sig selv være en beskyttelse imod, at uvedkommende kan læse de krypterede data
  • Etablér et teknisk set-up, hvor medarbejdere som udgangspunkt ikke kan lagre dokumenter, filer mv. med personoplysninger lokalt på bærbare computere, mobiltelefoner eller tablets. Dette kan være et alternativ til kryptering. Vær dog opmærksom på, at hvis der ikke kan sikres fuldstændigt imod lokal lagring af personoplysninger, så er krypteringen det bedste udgangspunkt – især fordi kryptering ofte er nemt at anvende.
  • At forhindre brugeren i at lagre dokumenter lokalt kan således være et supplement til kryptering. Det indebærer den ekstra fordel, at det kan tvinge brugerne til at lagre dokumenter et sted, hvor der bliver taget backup af dem.
  • Hvis I anvender medier, der ikke kan krypteres, f.eks. hukommelseskort i et kamera, skal I sikre, at mediet beskyttes fysisk – dvs. opbevares sikkert. Fysisk sikring kan f.eks. bestå af sikringsskabe, dørlåse, nøgleadministrering, alarmer og tv-overvågning. I skal desuden lave en procedure, som sikrer, at data fra hukommelseskortet hurtigt overføres til et internt it-system, hvorefter kortet formateres eller om muligt slettes/overskrives.