Informationssäkerhet på Prion

av Eskil Andreen Rydberg på Prion - CTO, CIPP/E

Inbyggt dataskydd

En viktig princip inom EU:s dataskyddsförordning är den om inbyggt dataskydd. Det innebär att nya tjänster som tas fram ska ha ett tillfredsställande dataskydd och att dataskyddet inte är något som ska göras hastigt i sista stund. För oss på Prion innebär det att dataskydd är något som vi beaktar genom hela utvecklingsprocessen, från idé till färdig produkt och vidare i drift och underhåll.

Vad är ett tillfredsställande dataskydd? Svaret på den frågan varierar beroende på produkt, behandlingens art liksom känsligheten i de personuppgifter som behandlas. På Prion använder vi en process för riskhantering som hjälper oss att identifiera de risker som kan tänkas uppstå till följd av våra behandlingar så att vi kan vidta lämpliga åtgärder för att förhindra dem.

Det finns huvudsakligen två typer av åtgärder: tekniska och organisatoriska. Det förra handlar om att använda ny teknik för att förbättra dataskyddet medan det senare innebär att ta fram nya och säkrare rutiner för hur personalen ska utföra behandlingen.

Vi testar regelbundet de åtgärder som vi har beslutat om för att försäkra oss om att de fungerar som de ska och förhindrar de risker som de är tänkta att förhindra. När det kommer till organisatoriska och tekniska åtgärder så lutar vi oss också mot en annan viktig princip hämtad från informationssäkerheten. Det är den så kallade flerlagersprincipen, som innebär att man bör sträva efter att ha flera åtgärder för att bemöta varje identifierad risk. På så vis kan risken förhindras även om någon av åtgärderna skulle upphöra att fungera eller visa sig vara ineffektiv.

Tekniska och organisatoriska åtgärder

Här följer ett axplock av de tekniska och organisatoriska åtgärder som vi har vidtagit för att säkerställa att våra produkter har ett tillfredsställande dataskydd.

Regelbundna utbildningar i dataskyddsfrågor

Vår personal genomgår regelbundet en utbildning i dataskyddsfrågor. Utbildningen omfattar den relevanta lagstiftningen och knyter an till vilka behandlingar vi utför. Den tar även upp sådant som varje medarbetare behöver veta för att kunna arbeta säkert i vår miljö: till exempel säker lösenordshantering, e-posthygien, vart man kan vända sig om man är osäker kring dataskyddsfrågor och hur man bör agera om man misstänker att det har skett en personuppgiftsincident.

Personal som arbetar med utveckling och drift av Prions tjänster får utöver denna utbildning även fördjupningar inom tekniska områden som berör dataskyddet. Dessa fördjupningar sker regelbundet med olika teman och handlar om hur våra system är uppbyggda, hur man bygger säkra nätverk, applikationer och system, djupdykningar i nya tekniska säkerhetslösningar, med mera.

Behörighetsstyrning

Vi följer principen om lägsta behörighet, en välkänd princip inom informationssäkerheten. Den innebär att personal bara ska ha sådana behörigheter till information och system som är nödvändiga för att kunna genomföra sina arbetsuppgifter. Till exempel har Prions kundtjänstpersonal tillgång till de system som används för att hantera kundärenden, men de har inte tillgång till applikationsservrarna eller produktionsdatabaserna.

Det är endast vår driftpersonal som har tillgång till våra produktionsmiljöer, där riktig data finns. All åtkomst till dessa miljöer skyddas av stark behörighetskontroll och all tillgång loggas och övervakas.

Vi dokumenterar alla behörigheter inom våra system. Vi granskar dem regelbundet och drar in åtkomst som inte längre behövs.

Säkra datacenter

Vår produktionsmiljö, där vi lagrar och behandlar data, tillhandahålls av Amazon Web Services som är världsledande när det kommer till säkra datacenter och som används av företag och banker så väl som verksamheter inom offentlig sektor.

Vi använder oss av tre geografiskt skilda men i övrigt identiska datacenter. Varje datacenter är omgivet av staket och har kameraövervakning över hela området. Vakter finns på området dygnet runt. In- och utgångar kräver identifiering och larmar om någon försöker bryta upp dem eller om de hålls öppna. Personal som arbetar i datacentret har endast tillgång till de delar som är nödvändiga för deras arbete. Åtkomstlistor granskas regelbundet och åtkomst dras in för dem som inte längre behöver den. I övrigt släpps enbart i förväg godkända besökare in, och de som får tillåtelse får det under en förbestämd tid och enbart till de delar av datacentret som är nödvändiga för deras ändamål. Alla besök till datacentret loggas och granskas regelbundet.

Säkert nätverk

Inom datacentret har vi tillgång till ett privat nätverk med egen addressrymd. Datacentrets nätverksinfrastruktur är särskilt framtagen för att göra det omöjligt för obehöriga att avlyssna nätverkstrafiken i vårt nätverk. Alla maskinerna på nätverket skyddas av flera lager av brandväggar som är konfigurerade för att bara släppa igenom trafik från källor och till destinationer som vi uttryckligen tillåter.

All trafik inom nätverket övervakas och det finns automatiska larm som meddelar oss i händelse av intrångsförsök. Vi skannar regelbundet av nätverket för att kontrollera att bara kända, tillåtna servrar finns där och att brandväggar fungerar som de ska.

Säkra servrar

Vi använder virtualiserade servrar med full diskkryptering och som kör operativsystemet Linux. De får regelbundna säkerhetsuppdateringar, ofta inom några timmar från att uppdateringarna blir tillgängliga.

All trafik mellan användares klienter och servrarna sker över en krypterad länk som skyddas av HTTPS, en säker variant av webbprotokollet HTTP som är standard för säker kommunikation över Internet. Av kompatibilitetsskäl tillåter HTTPS att många olika krypteringsmetoder används och vissa, som är lite äldre, är inte längre att betrakta som helt säkra. Våra servrar är inställda att bara tillåta sådana krypteringsmetoder som i nuläget anses vara säkra. Vi uppdaterar listan över godkända krypteringsmetoder regelbundet.

Personal som arbetar med utveckling och drift behöver ibland logga in på servrar för att kunna felsöka. De kan göra det via SSH, Secure Shell, som är ett krypterat protokoll för fjärrinloggning. Personalen använder en kombination av lösenord och säkerhetsnycklar för att logga in på servrarna. Icke-krypterad inloggning är inte tillåten och inte heller inloggning med krypteringsmetoder som inte anses vara säkra.

All åtkomst till servrarna, både från användares klienter och från driftpersonalen, loggas och sparas i ett separat lagringssystem i minst fem år. Lagringssystemet är krypterat och tillåter inte radering eller överskrivning.

Redundans

Vårt datacenter består av tre geografiskt skilda delar som har olika strömkällor och dataförbindelser till Internet. Om en av delarna slås ut fortsätter övriga att fungera. I händelse av en mindre olycka kan nätverkskommunikationen riktas om till de andra, välmående delarna så att behandlingar kan fortsätta ostörda. Kritiska stödsystem som temperaturreglering, brandsläckning och dylikt har egna generatorer som automatiskt slås på i händelse av strömavbrott.

Vi drar nytta av datacentrets redundans när vi tar fram våra applikationer. Våra applikationer kör på servrar som är utspridda i de tre geografiskt skilda delarna. De sparar ingen data lokalt utan bara i någon av våra databaser, så att slutanvändare inte ska drabbas om någon särskild server skulle råka gå ner. Databaserna replikerar i sin tur alla skrivningar till varsin vilande kopia som ligger i en annan del av datacentret. Om en databas skulle gå ner så befordras den vilande kopian automatiskt och blir den nya databasen som applikationerna skriver till.

Säkerhetskopiering

För att kunna återställa data i händelse av dataförlust tar vi säkerhetskopior på våra databaser varje natt. Säkerhetskopiorna gör det möjligt för oss att återställa en eller flera databaser till en tidpunkt innan dataförlusten skedde. Säkerhetskopiorna är krypterade och lagras separat från databaserna.

Kontinuitet

Vi har ett beredskapsteam som står till förfogande dygnet runt ifall olyckan skulle vara framme, till exempel i händelse av ett dataintrång eller ett systemhaveri med stor påverkan för våra kunder. Beredskapsteamet följer en utarbetad beredskapsplan med målen att hantera den akuta krisen, genomföra eventuellt efterarbete och föreslå åtgärder så att liknande olyckor kan undvikas i framtiden.

En viktig del av beredskapsplanen är rutinerna för kommunikation med intressenter. Intressenter är externa parter såsom kunder, användare, myndigheter och andra som behöver informeras om olyckan och som i vissa fall kan behöva bli inblandade i själva arbetet. Exakt vilka som är intressenter beror på vilken typ av olycka det handlar om och på dess omfattning. Om det är fråga om ett dataintrång eller annat dataläckage där personuppgifter kan antas ha spridits till otillbörliga parter, så har Prion en juridisk skyldighet att informera kunder som anlitar Prion som personuppgiftsbiträde, Datainspektionen och i vissa fall även personerna vars personuppgifter omfattades av läckan.

Beredskapsteamet består av personal från olika delar av organisationen, däribland personal från utveckling och drift, och står i direkt förbindelse med ledningsgruppen. Medlemmarna övar regelbundet ihop och varje övningstillfälle ger möjlighet att utveckla och förfina beredskapsplanen.