Sikkerhetsmakulering

Innhold

Trusler

Krav til sikkerhetsmakulering

Tiltak

       Risikovurdering

       Valg av metode

       Valg av ekstern leverandør

Lenker

Trusler

Det har vært flere eksempler i media på hva som kan skje når brukte lagringsmedier kastes eller avhendes. Er det ikke gjort tiltak for å hindre uvedkommende i å lese informasjonen på lagringsmediet, så er det trivielt å hente den fram. Dette er hendelser som både har skjedd offentlige institusjoner, private virksomheter og privatpersoner.

Såkalt  "dumpster diving" ^[1] er en metode målrettede angripere ofte benytter seg av. I avfallet til en virksomhet kan de finne alt fra backuptaper, CD-er, DVD-er, disketter, minnepinner, papirdokumenter, post-it lapper med mer. Alt dette kan inneholde akkurat de opplysningene en angriper er ute etter. Enten direkte i avfallet eller informasjon som hjelper angriper til å gjennomføre angrepet på det endelige målet på en mer effektiv måte.

Media kan også, indirekte eller direkte skaffe seg slik informasjon, og deres bruk av informasjonen kan medføre tap av anseelse for virksomheten.

Krav til sikkerhetsmakulering

Både sikkerhetsloven, beskyttelsesinstruksen og personopplysningsloven stiller krav til sikker sletting av gradert eller sensitiv informasjon. Mange virksomheter har også andre opplysninger som er kritiske, selv om de faller utenom disse lovene.

I dag finnes det bare klare regler for hvordan sikkerhetsmakulering skal utføres for sikkerhetsgradert informasjon i henhold til sikkerhetsloven. Lov og forskrift forvaltes av Nasjonal sikkerhetsmyndighet (NSM) og kan finnes på Lovdata.

Sensitive personopplysninger skal i følge forskriften slettes fra lagringsmediet så snart lagringsmediet ikke lenger skal brukes til å oppbevare sensitive personopplysninger lengre. Personopplysningsloven med tilhørende forskrifter stiller ingen spesielle krav til hvordan en slik sletting eller sikkerhetsmakulering skal skje, men legger i stedet hele ansvaret for å gjøre dette på en tilfredsstillende måte på den som behandler opplysningene.

I tillegg kommer andre typer sensitiv informasjon en virksomhet har. I mange tilfeller kan sikkerhetsmakulering være beskrevet i bransjenormer. Dette vil vanligvis være et meget godt utgangspunkt for egne rutiner.

Tiltak

Rent teknisk vil metoden for sikkerhetsmakulering variere med hvilken type lagringsmedium som skal makuleres. Det viktige blir uansett:

• En rutine for hvordan en skal kvitte seg med lagringsmedier som det ikke lengre er behov for

• Gjøre det enkelt for ansatte å følge rutinen

Før en rutine kan skrives så bør det foretas en risikovurdering for å avgjøre i hvilken grad det er behov for sikkerhetsmakulering. Ut fra risikovurderingen bestemmer en så metoder for makulering og avgjør om det er ønskelig å bruke en ekstern leverandør til all eller deler av sikkerhetsmakuleringen.

Risikovurdering

Hvis virksomheten din ikke er underlagt juridiske krav om sikkerhetsmakulering, så bør det gjennomføres en enkel risikovurdering. En risikovurdering vil hjelpe deg til å avgjøre om dere trenger sikkerhetsmakulering og gi en indikasjon på hvor mye som bør sikkerhetsmakuleres.

En enkel metode er å vurdere et utvalg av papirer i papirkurver, resirkuleringsesker og lignende og så se gjennom disse dokumentene. Når du går gjennom dokumentene bør du stille deg spørsmålene:

• Hvordan kan uvedkommende få tilgang til denne informasjonen? Tenk over hvordan dette er mulig
  • internt i virksomheten
  • umiddelbart rundt virksomheten
  • når det har forlatt virksomheten som avfall
• Vil informasjonen lett kunne knyttes til din bedrift eller personer knyttet til bedriften?
• Vil informasjonen være interessant for enkeltpersoner, media eller konkurrerende virksomheter?
• Dersom informasjonen blir eksponert i media, vil dette kunne skade virksomhetens eller personers omdømme?
• Vil utnyttet informasjon få konsekvenser for deres forsikringsforhold, konsesjoner eller deres forhold til myndighetene?
• Dersom informasjonen blir utnyttet kriminelt, vil dette få økonomiske konsekvenser for virksomheten eller person?
• Hva er risikoen for at noen aktivt vil gå til verks for å skaffe seg denne informasjonen?

Valg av metode

Mengden av og sensitiviteten til materiale som må sikkerhetsmakuleres er avgjørende for valg av metode. Metoden må også tilpasses virksomhetens økonomi og tidsforbruk på sikkerhets­makulerings­arbeidet.

Er det snakk om små mengder avfall så kan det enkleste ofte være å makulere alt. Etter hvert som mengden avfall øker, må en sortere ut det som bør makuleres fra ufarlig informasjon.

Digitale medier som disker, minnepinner, CD-er og DVD-er bør som oftest alltid makuleres. De kan ofte inneholde mer informasjon enn en venter. Som oftest gjelder dette filer som er slettet, men ikke overskrevet ennå. Hvis mediet er gjenbrukbart så kan en også vurdere om det er mer hensiktsmessig å på en forvarlig måte slette innholdet på mediet for å senere kunne gjenbruke det.

Produkter for makulering og sletting leveres i mange kvaliteter og prisklasser. Ved å velge anerkjente leverandører så kan du få god hjelp til å velge produkter som passer din virksomhet. Ved makulering av papir bør resultatet etter makulering være enten strimler som er 2 mm eller smalere, eller biter som er maksimum 4 x 80 mm. Såkalt krysskutting gir generelt bedre beskyttelse enn såkalt strimmelkutting.

Valg av ekstern leverandør

Mange vil fortrekke og sette ut arbeidet med sikkerhetsmakulering til en ekstern leverandør. Dette forenkler de interne rutine til å sortere ut sensitivt materiale og legge det i beholdere satt ut av leverandøren. Noen leverandører håndterer bare noen få ulike typer medier, mens andre tar i mot de fleste.

Beholderne bør være plombert eller låsbare, slik at du enkelt kan verifisere at de overtas av leverandøren uåpnet. Transport av medier til sikkerhetsmakulering bør foregå lukket og låst. Det er viktig at sjåføren har instruks som klart sier at beholderne med innhold ikke skal eksponeres for uvedkommende. Leverandørene bør også ha dokumenterte rutiner for hvordan de varsler og håndterer beholdere som kommer på avveie.

Ved henting av beholdere bør sjåføren alltid melde seg for deg. Du bør også kontrollere at sjåføren faktisk jobber for leverandøren du bruker. Du bør sjekke med leverandøren om hvilke rutiner de bruker for å sjekke at deres ansatte er egnet til å håndtere sikkerhetsmakulering på en tillitsverdig måte.

Forhør deg også om selve makuleringsprosessen:

• Hvordan foregår makuleringen?

• • Skjer den på eget område med egen adgangskontroll?

  • Er området innbruddssikret?

• Hvor mange er til stede under makuleringen?

• Er det personer fra andre virksomheter involvert i makuleringsprosessen?

• Hvor lenge blir informasjonen din liggende før den blir makulert?

• • Blir informasjonen oppbevart forsvarlig inntil den er makulert?

• Hvordan er makuleringsanlegget sikret?

• • Er det en vaktordning?

  • Er anlegget videoovervåket?

• Finnes det garantier mot utilsiktede hendelser?

• • Er det mulig å få avtalefestet en garanti for at din informasjon ikke avsløres?

• Hvilke sertifiseringer har leverandøren?

• • Har leverandøren et kvalitetssystem i henhold til ISO 9001?

  • Har leverandøren et miljøstyringssystem i henhold til ISO 14001?

• Hva skjer med makulaturen etterpå?

• • Går den til gjenvinning?

  • Går den til forbrenning?

Leverandøren bør praktisere papirgjenvinning av makulert materiale. Dette vil både ivareta miljøhensyn og oppmaling av papiret for gjenvinning innebærer at papiret blir fullstendig destruert.

Be også om å få være med en eller flere ganger leverandøren skal gjøre en makuleringsjobb for dere. Gjør notater og still kritiske spørsmål underveis. Dette gjør deg i stand til å avgjøre om leverandøren gjør en tilfredsstillende jobb på dine vegne.

Lenker

NSM    

Sikkerhetsloven  

Forskrift om informasjonssikkerhet   

Datatilsynet      

Personopplysningsloven                      

Personopplysningsforskriften