Information Security by Design
Under senare tid har jag liksom många andra ägnat mig åt dataskyddsförordningen och hur man ska förena den med det övriga informationssäkerhetsarbetet – en fråga som jag återkommer till i en senare blogg. Nu ska jag istället skriva om min nya förälskelse; privacy by design.
Privacy by design, inbyggt integritetsskydd, är ju ett av de krav som ställs i förordningen som träder i kraft i maj nästa år. Förmodligen är detta också ett av de krav som kommer att ställa störst krav på de personuppgiftsansvariga både organisatoriskt och tekniskt. Att inte samla in mer personuppgifter än nödvändigt, att se till att åtkomsten till dem är strikt, att skydda dem genom pseudonymisering eller liknande, att säkerställa att de inte används för något annat ändamål än det ursprungliga samt att gallra dem när de inte längre behövs är några aktiviteter som kommer att sätta hård press på många verksamheter. Inte minst inom hälso- och sjukvården kommer det att bli nödvändigt med omfattande åtgärder eftersom man där länge eftersatt integritetsaspekterna.
När jag började läsa in mig litet mer på privacy by design var det dock inte de konkreta åtgärderna som intresserade mig mest. Istället vad det de sju grundprinciper som formulerats av Information and Privacy Commissioner of Ontario på 1990-talet. De är:
- Proactive not Reactive; Preventative not Remedial. Förebygga incidenter – inte enbart agera i efterhand.
- Privacy as the Default Setting. Utgångsläget att personuppgifterna är skyddade. Inga extra åtgärder nödvändiga för användaren – alla standardinställningar skyddar integriteten.
- Privacy Embedded into Design. Tekniker för att skydda personuppgifter ska vara integrerade i systemet redan från början – inte läggas till i efterhand.
- Full Functionality — Positive-Sum, not Zero-Sum. Skydd av personuppgifter inte en negativ aspekt för utvecklaren, inte förlust av funktionalitet – integritetsskydd kan skapa en win-win situation.
- End-to-End Security — Full Lifecycle Protection. Skydd inbäddat i systemet innan personuppgifterna samlas och sedan i hela livscykeln.
- Visibility and Transparency – Keep it. Användaren ska ha överblick och kunna kontrollera att hens personuppgifter behandlas på det sätt hen samtyckt till.
- Respect for User Privacy – Keep it User-Centric. Individens intresse i centrum vid hantering av personuppgifter.
När jag tittar på principerna så tänker jag att samtliga skulle kunna vara tillämpliga i ett vidare perspektiv, som grunden för ett koncept för information security by design. Den sista skulle kunna bytas ut mot en princip som handlar om användaren, något i stil med:
Respekt för användaren – utforma processen/systemet/tjänsten så att användaren har överblick och kan agera med rätt säkerhet.
Det skulle till exempel kunna innebära att standardiserade skyddsnivåer finns inbyggda utifrån den informationsklassning som informationsägaren gjort. Självklart måste de organisatoriska aspekterna lyftas fram mycket tydligare, till exempel gällande ansvar.
Jag är medveten om att begreppet security by design redan finns och till och med i snabb tillväxt men är då endast i ett it-perspektiv – inte i ett informationssäkerhetsperspektiv.
Här finns mycket att arbeta vidare med. Det som slår mig är hur litet uppmärksamhet det proaktiva säkerhetsarbetet får för närvarande. Istället är det återkommande temat i bland annat dataskyddsförordningen och NIS-direktivet incidentrapportering. Och självklart är det de inträffade incidenterna som gör sig i media oavsett om det hackerattacker eller större driftstopp. Kanske kan man också rent teknikhistoriskt se det som en mognadsprocess. När järnvägen introducerades runt mitten av 1800-talet var insamlandet av incidenterna också ett första steg i ett begynnande säkerhetsarbete.
Att det reaktiva säkerhetsarbetet kommer att dominera synfältet under det närmaste året med alla krav på och den stora tilltron till incidentrapportering är det nog ingen tvekan om, oavsett dess betydelse i förhållande till det proaktiva. Själv kan jag därför i trygg visshet om att denna aspekt kommer att bli väl omhändertagen fundera vidare på hur information security by design kan användas som ett organisatoriskt koncept.