O365 - Risiko-,sårbarhetsvurdering og beskyttelsestiltak

Informasjonssikkerhet handler om sikring av konfidensialitet, integritet og tilgjengelighet på informasjon.

Å sikre konfidensialitet innebærer å hindre uautorisert innsyn i informasjon som ikke kan være åpent tilgjengelig for alle. Å sikre integritet innebærer å hindre uautorisert endring og sletting av informasjon. Å sikre tilgjengelighet innebærer å sikre tilgang til informasjon for alle som skal ha tilgang.

Risiko- og sårbarhetsanalyse (ROS-analyse) handler om at virksomheten selv setter seg ned og analyserer svakhetene (sårbarhetene) ved et system opp mot risikoelementene konfidensialitet, integritet og tilgjengelighet, og iverksetter tiltak på de områdene hvor svakhetene anses som kritiske.

Det er anbefalt å gjennomføre en ROS-analyse før man tar i bruk skytjenester som Office 365. Dette gjøres hovedsakelig for å sikre overholdelse av regelverk i forhold til lagring av sensitive data, men også for å identifisere og klassifisere eventuelle sårbarheter og feil som kan oppstå i forbindelse med implementering og bruk av Office 365. Risikoer graderes og eventuelle tiltak for å redusere disse beskrives. Dette er en teoretisk tilnærming for å kartlegge om identifiserte risikoer er akseptable eller ikke. Dette settes ut fra forhåndsgitte kriterier og vekting av disse.

Datatilsynet anbefaler at man gjennomfører ROS-analyse før man tar i bruk tjenester fra skytilbydere som Office 365, Amazon og Google Apps.

Sekretariat for informasjonssikkerhet i UNINETT tilbyr facilitering av ROS-analyse for UH-institusjonene. De har utviklet en egen mal for ROS-analyse av kritiske IT-systemer. Denne er benyttet ved gjennomføring ROS-analyse for innføring av O365 ved NTNU. Rapport fra denne ROS-analysen finnes her:

ROS-analyse rapport NTNU

Hvilken metode man benytter for gjennomføring av ROS-analyse er ikke det viktigste. Hovedsaken er at man i fellesskap setter seg ned og avdekker svakheter, vurderer sannsynlighet, kritikalitet og konsekvens, og iverksetter tiltak. I ytterste konsekvens kan kombinasjonen sannsynlighet/kritikalitet og konsekvens være så omfattende at det ikke er mulig å iverksette realistiske tiltak innenfor akseptable kostnadsrammer (Det handler ofte til sjuende og sist om økonomi). Da kan resultatet være at innføringen av nytt system utsettes inntil det er kommet opp andre alternativer eller grunnleggende forutsetninger er endret.

I de aller fleste tilfellene vil tiltak for å etablere tilfredsstillende informasjonssikkerhet handle om bevisstgjøring og opplæring av brukere.

For mange universiteter og høgskoler er skytjenester attraktive alternativer til selv å drifte IT-systemer og -tjenester som anvendes i forskning, undervisning, administrasjon eller formidling. Samtidig er det usikkerhet knyttet til hvilke lover og regler som gjelder for bruk av skytjenester: «hvilke rettslige krav stilles og hvordan kan vi overholder de lover og regler som gjelder»?

UNINETT har satt sammen en veileder der det gjøres rede for de viktigste lovene og reglene for bruk av skytjenester. Veilederen retter seg spesielt mot ansatte ved universiteter og høyskoler som har ansvaret for valg og forvaltning av skytjenester.

Personopplysningsloven med forskrift krever at virksomheten gjennomfører en risikovurdering før driften av IT-tjenester eller lagring av informasjonsverdier settes ut i skyen. Tilsvarende risikovurderinger skal gjentas med jevne mellomrom (for eksempel årlig) så lenge virksomheten benytter seg av tjenesten, og risikovurderingene skal dokumenteres. Det er informasjonssikkerheten som skal risikovurderes, det vil si om leverandørens tjeneste og virksomhetens egen bruk av tjenesten oppfyller de kravene som virksomheten stiller til sikring av personopplysningenes konfidensialitet, integritet og tilgjengelighet. Risikovurderingen skal derfor ikke bare fokusere på sikkerhetsutfordringer som kan oppstå hos virksomheten, men bør omfatte hele driftsløsningen. Hvis risikovurderingen viser at sikringen av personopplysningene ikke er tilfredsstillende, kan ikke virksomheten ta tjenesten i bruk (eller fortsette å anvende tjenesten) uten at dette er i strid med reglene i personopplysningsloven med forskrift.

I veiledningen ”Sikker håndtering av personopplysninger i skolen”(2011), utgitt av Senter for IKT i utdanningen, forklares det hva risikovurderinger er og hvordan de kan gjennomføres:

https://iktsenteret.no/ressurser/sikker-handtering-av-personopplysninger-i-skolen

Det er virksomheten som er hovedansvarlig for at det gjennomføres risikovurderinger og at det foreligger en skriftlig avtale med leverandøren av IT-tjenester som oppfyller kravene skissert ovenfor. Leverandøren har samtidig et selvstendig ansvar for at kravene som virksomheten stiller i databehandleravtalen, spesielt når det gjelder sikring av opplysningenes konfidensialitet, integritet og tilgjengelighet, blir ivaretatt. Dette fremgår av personopplysningsloven § 13, 1. ledd.

Dersom Datatilsynet gjennomfører tilsyn hos virksomheten og oppdager manglende overholdelse av reglene om informasjonssikkerhet, risikovurderinger og databehandleravtaler, vil Datatilsynet fatte vedtak om at avvikene fra regelverket må rettes.

Ved alvorlige brudd på reglene kan Datatilsynet ilegge følgende sanksjoner:

  • For det første kan virksomheten straffes med bøter (overtredelsesgebyr) av Datatilsynet hvis personopplysninger overføres til leverandører uten at det er inngått en skriftlig avtale som oppfyller vilkårene i personopplysningsloven med forskrift.
  • For det andre kan virksomheten straffes med bøter av Datatilsynet hvis det foreligger en databehandleravtale med leverandøren, men uten at skoleeier har sikret seg muligheter til å kontrollere at leverandøren overholder vilkårene i avtalen.
  • For det tredje kan leverandøren straffes med bøter av Datatilsynet hvis vilkårene i databehandleravtalen ikke følges opp i praksis. Ved spesielt alvorlige regelbrudd kan Datatilsynet anmelde forholdet til politiet. I tillegg kan den registrerte (ansatte, pasient, student, elev) kreve erstatning fra virksomheten og leverandøren hvis bruken av eksterne IT-tjenester fører til krenkelser av hans eller hennes personvern.

http://o365datacentermap.azurewebsites.net

Office 365 Moduler som ikke er lokalisert i Europa:

  • Yammer
  • Sway

Forms og Video er ikke listet opp og det er derfor usikkerhet rundt disse.

Vilkårene for databehandling (inkludert EUs standard kontraktvilkår) og vilkårene i Microsofts HIPAA-avtale for forretningsforbindelser er inkludert i Online Services-vilkårene, som er en del av abonnementsavtalen din for Microsoft Online.

https://portal.office.com/Commerce/Supplements.aspx

Dersom du ønsker å få en utskrift av databehandleravtalen til Office 365 finner du denne på Online Services Terms (OST). Logg på her og velg språk:

http://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=31

Denne wordfilen som blir lastet ned er ferdig signert av Microsoft og du trenger ikke gjøre noe mer med Microsoft.

Det finnes et sett av tiltak som kan gjøres for å redusere sannsynligheten for uønskede hendelser (risikoelementer). Brukeropplæring, informasjon og «kultur» . Klassifisering av data er et tiltak som kan være med å redusere risiko.

I tillegg er det mulig å implementere tekniske beskyttelsestiltak:

https://securescore.office.com/

Mulighet til to-faktor autentisering (MFA – Multi-Factor Authentication) er inkludert i Office 365 og kan aktiveres per bruker. Dette fungerer sammen med FEIDE-pålogging. Det vil være anbefalt å aktivere to-faktor autentisering for brukere med Office 365 rollen «Global Administrator».

https://support.office.com/en-us/article/Set-up-multi-factor-authentication-for-Office-365-users-8f0454b2-f51a-4d9c-bcde-2c48e41621c6

Azure Information Protection - AIP (Tidligere Rights Management - RMS) er en løsning for å beskytte informasjon (IRM) i organisasjoner som har behov for å samhandle. Det være seg intern eller ekstern (med andre organisasjoner) samhandling.

Ansatte deler sensitiv informasjon med viktige samarbeidspartnere ved bruk av e-post og nettskytjenester. BYOD (Bring your own device) gjør at ansatte alltid har tilgang til bedriftens data. På jobb, hjemme og «i farta». I disse scenariene har tradisjonelle sikkerhetskontroller (for eksempel brannmurer og operativsystem rettigheter) begrenset effektivitet hvis du ønsker å beskytte bedriftens data, samtidig som du ønsker at ansatte skal kunne arbeide effektivt.

https://docs.microsoft.com/en-us/information-protection/

https://www.microsoft.com/en-us/cloud-platform/azure-information-protection

Se WhitePaper om Azure RMS:

https://www.microsoft.com/en-us/download/details.aspx?id=40333

Begrepsforvirring: IRM og RMS/AIP er i praksis et akronym/forkortelse for det samme. Ofte vil en se IRM bli brukt i Office 365 (https://docs.microsoft.com/en-us/information-protection/understand-explore/aka).

Vær oppmerksom på at all data er kryptert «at rest» i OneDrive og SharePoint Online uavhengig av om IRM/RMS er aktivert eller ikke:

https://technet.microsoft.com/en-us/library/dn905447.aspx

IRM/RMS har først sin funksjon når dokumenter/data flyttes ut av Office 365 og/eller deles med andre personer (i eller utenfor egen organisasjon).

Office 365 inkluderer RMS/AIP funksjonalitet:

https://technet.microsoft.com/nb-no/dn858608

https://www.microsoft.com/en-us/cloud-platform/azure-information-protection-features

For å kunne utnytte all funksjonalitet i AIP vil det være behov for å kjøpe ekstra lisenser. Enten som frittstående lisens, som en del av Azure AD Premium eller som en del av Enterprise Mobility Suite (EMS).

Vær oppmerksom på at Office Online (Word, Excel, PowerPoint Online) ikke har funksjonalitet for å håndtere IRM eller passordbeskyttelse.

https://support.office.com/en-us/article/Differences-between-using-a-document-in-the-browser-and-in-Word-3e863ce3-e82c-4211-8f97-5b33c36c55f8?ui=en-US&rs=en-US&ad=US

Dersom IRM aktiveres på et SharePoint Online TeamSite dokument-bibliotek eller på et personlig OneDrive For Business lagringsområde, vil en ikke kunne høyreklikke i nettleseren og lage et nytt Word, Excel eller PowerPoint dokument. Office Online kan vise dokumenter som ligger i SharePoint dokument bibliotek med IRM beskyttelse, men dokumentene må opprettes/redigeres i Office Desktop applikasjonene. Unntak er dersom du IRM beskytter et dokument ved bruk av RMS desktopapplikasjonen (2.2.2.2) og laster opp dokumentet i et OneDrive/SharePoint dokument bibliotek. Da vil du ikke kunne lese dokumentet med Office Online. Vær også oppmerksom på at det ikke er supportert å flytte dokumenter mellom forskjellige SharePoint dokumentbibliotek med IRM beskyttelse aktivert.

For å ta i bruk IRM beskyttelse må du først sette opp «Rights Management». SharePoint Online er avhengig av Microsoft Active Directory Rights Management (Microsoft Azure AD RMS) tjenesten for å kryptere og tildele bruksbegrensninger.

Fra Administrator modulen i Office 365 velge Administrasjonssentre -> SharePoint -> Innstillinger -> IRM (Information Rights Management) -> Bruk IRM-tjenesten som er angitt i konfigurasjonen.

https://support.office.com/en-us/article/Set-up-Information-Rights-Management-IRM-in-SharePoint-admin-center-239ce6eb-4e81-42db-bf86-a01362fed65c

Når dette er gjort har eier av en SharePoint Online Teamsite tilgang til å aktivere IRM på dokument bibliotek, for å beskytte filer som blir lastet ned.

Det vil være anbefalt å opprette et nytt dokument bibliotek, som konfidensielle dokumenter legges i.

Når dette er laget i Innstillinger -> Innstillinger for bibliotek (Library settings) -> Tillatelser og behandling (Permissions and Management) -> Information Rights Management

Marker «Begrens tillatelser for dette biblioteket ved nedlasting» og sett ett navn og en beskrivelse. For eksempel «IRM_O365_TeamSite-», «IRM beskyttelse på TeamSite for »

Etter at IRM er aktivert av Office 365 Administrator i SharePoint administrasjonssenteret, kan hver bruker aktivere IRM på personlig OneDrive For Business lagringsområde.

I OneDrive For Business -> Innstillinger -> Nettstedinnstillinger

Naviger til Områdeadministrasjon (Site Settings) -> Områdebibliotek og -lister (Site Libraries and lists) -> Tilpass «Dokumenter» (Customize «Documents») -> Tillatelser og behandling (Permissions and Management) -> IRM (Information Rights Management).

Marker «Begrens tillatelser for dette biblioteket ved nedlasting» og set ett navn og en beskrivelse. For eksempel «IRM_O365_User-», «IRM beskyttelse på OneDrive for »

For å beskytte enkeltfiler må AIP applikasjonen installeres:

https://portal.azurerms.com/#/download

I Office applikasjonene vil en finne AIP under «Hjem»:

Eller høyreklikk på fil du ønsker å beskytte:

For å aktivere IRM i Exchange Online, verifiser først at Azure RMS er aktivert.

  • Administrator -> Innstillinger -> Apper -> Microsoft Azure Rights Management -> Administrere Microsoft Azure Rights Management-innstillinger
  • Aktiver

https://docs.microsoft.com/nb-no/rights-management/deploy-use/activate-service

Benytt deretter PowerShell til å aktivere IRM for Exchange Online:

https://docs.microsoft.com/nb-no/rights-management/deploy-use/configure-office365

Mobile device management (MDM) er en bransjebetegnelse for administrasjon av mobile enheter, for eksempel smarttelefoner, nettbrett og bærbare datamaskiner.

  • Hva gjør du hvis en ansatt mister sin smarttelefon? Inneholder den informasjon som ikke burde komme på avveie? Er det en konflikt med en ansatt som gjør at man ikke lenger ønsker å gi vedkommende tilgang til bedriftens data? De fleste av oss har en telefon eller et nettbrett som er koblet opp mot mail-kontoer, dropbox, sosiale medier og kanskje også interne applikasjoner. Det kan fort bli kritisk dersom uvedkommende får tilgang. Har man en MDM-løsning kan IT-ansvarlig, eller den som administrerer systemet, enkelt logge seg på og gjøre en rekke tiltak for å unngå at fremmede får tak i bedriftens viktige data. Man kan blant annet sørge for at alle ansatte til enhver tid har på kodelås og har siste programvareoppdatering som er grunnleggende for å ivareta sikkerheten.
  • Med en MDM-løsning får man en mye mer effektiv drift og bedre kontroll over enhetene som tilhører bedriften. IT-ansvarlig kan logge seg på administrasjons-verktøyet og enkelt se alle enheter, og viktig informasjon som: Type enhet, modell, navn, imei og serienummer. Han eller hun kan videre se når enheten sist var koblet opp mot internett, hvor mye ledig plass hver enkelt bruker har, hvilke applikasjoner som er installert og hvilket operativsystem som kjøres. Ut i fra oversikten (dashboard) kan administrator enkelt legge til eller fjerne enheter, kjøre oppdateringer, og etablere ønskede konfigurasjoner som bedriften ønsker på enhetene.

Microsoft sin løsning for MDM er Intune:

Intune inngår ikke i Office 365 lisensieringen og må ved ønske om slik funksjonalitet kjøpes i tillegg. Intune kan kjøpes som en separat lisens eller bundlet med flere funksjoner i Microsoft Enterprise Mobility (EMS):

https://www.microsoft.com/nb-no/server-cloud/enterprise-mobility/overview.aspx