Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

When Cyber Security threatens the values we aim to protect

PublisertOlaf Ødegaard Endret for 5 år siden

Liknende presentasjoner

Presentasjon om: "When Cyber Security threatens the values we aim to protect"— Utskrift av presentasjonen:

1 When Cyber Security threatens the values we aim to protect
Helge Veum, Director, The Norwegian Data Protection Authority ISACA Norway member meeting, Oslo 9th of February 2016

2 Privacy and cybersecurity
Topics Privacy and cybersecurity Local information security with privacy implications The New Data Protection Regulation GDPR Topics that cries for your attention

3 What is data protection all about?
Greatest possible degree of self-determination and control of personal data Least interfering way of processing Information about what is registered Right to access the same information Good internal procedures for handling the information. and good information security Respect for the autonomy of the person Thinkstock.com

4 What is data protection all about? …
Information security is a prerequisite for privacy Good information security alone is not good privacy The dilemma: Good information security will in many cases involve a form of control operations and interfere with privacy And good information security may be an excuse to not attend to other important privacy considerations.

5 Privacy and cybersecurity

6 A challenging world of today
We do have challenging security issues 9/11, Madrid, London, 22th July, Paris … We strive for actions at national and international level Monitoring procedures Terror laws Interception and backdoors Anti-encryption Data retention Mass surveillance shown by the Snowden affair All with a cost of reduced privacy

7 The effect Does this affect us negatively?
Are we afraid to communicate? Are we afraid to send an to our psychologist or old girlfriend Are we afraid to communicate with a little weird political organization or an organization for those with the different sexual attitude. The day we say YES to these questions, we have lost a very significant social value.

8 The effect Those voices first silenced are those that are most important to protect in a free and democratic society

9 The answer – a balanced approach
That’s why we must constantly strive for a balance between privacy and surveillance, …and between privacy and information security. We must secure our society, but we must not create a society that is so safe that we lose our freedom

10 Your responsibility We need research, academic voices and engineering expertise that calls for this balance … and gives us the tools to obtain this balance The money and drive often comes from justice, police and military and those with high need of security Security research will have greater legitimacy and greater impact if the interests of privacy and civil society are listened to. Herein also included privacy

11 Etter at du fikk høre om den amerikanske overvåkingen, passer noen av følgende påstander for deg?
Tallene viser ingen dramatisk nedkjølingseffekt. Seks av ti oppgir at Snowden-saken ikke har påvirket deres handlinger. Dette til tross for at majoriteten av de spurte i undersøkelsen mener at overvåkingen enten er uakseptabel eller bekymringsverdig. Dette kan skyldes flere forhold: For det første gjenspeiler nok svarprosenten hvor vanskelig det er å legge om på sine digitale vaner selv om man føler ubehag knyttet til hvordan etterretningstjenestene arbeider. For det andre tenker nok mange at dette ikke angår dem selv direkte – de føler seg ikke rammet på et rent personlig nivå. De fleste i Norge tenker nok at overvåkingen er rettet mot grupper de har befatning med selv Dette til tross for at Snowden-avsløringene nettopp har vist at dagens etterretningsmyndigheter samler inn data om folk flest, ikke kun bestemte grupper. For det tredje har nordmenn generelt høy tillitt til myndighetene. Folk har tillitt til at etterretningstjenestene ikke vil misbruke informasjonen som samles inn, og at det derfor er trygt å fortsette som før. 11% av de spurte har svart på én eller flere av de tre siste kategoriene – som er uttrykk for endring i oppførsel. Det er med andre ord indikasjoner på nedkjølingseffekt etter Snowden-saken. Åtte prosent av de spurte har tenkt seg om en ekstra gang før de brukte visse ord i sin korrespondanse og i internettsøk og fem prosent har endret bruk av visse tjenester. Ser vi på tallene fordelt på alder, slår nedkjølingseffekten mer ut blant de yngre (aldersgruppen år): 12 prosent i denne gruppen har tenkt seg om en ekstra gang før de brukte visse ord i sin kommunikasjon. Åtte prosent av yngste har endret bruken av visse tjenester At det er flere blant de unge som har endret på sine kommunikasjonsvaner, kommer antageligvis av at denne gruppen består av de mest aktive og allsidige brukerne av digitale tjenester. De lever store deler av sine liv på nett og føler seg kanskje derfor i større grad utsatt og sårbare for overvåkingstrykket enn de som er eldre. Unge mennesker bryr seg om sitt personvern. At nedkjølingstendensene er størst her skal vi ta på stort alvor.

12 Mange initiativer fra justis- og forsvar
Sikkerhetsloven, både hasteendringene og selve utvalgsarbeidet Datakrimstrategien – og oppfølging Lokalisering, dataavlesing og IP - adresser Det digitale sårbarhetsutvalget Mobilregulerte soner Digitalt grensevern? Andre initiativer på gang?

13 Varierende erfaring med utredning av personvernkonsekvenser
Datalagringsdirektivet Ytterligere kriminalisering av forberedelseshandlinger Endringer i sikkerhetsloven Mobilregulerte soner

14 Personvernkommisjon De små skritts vei Fragmentering av ansvar
Justissektoren ble ikke analysert av personvernkommisjonen i 2009

15 Mulige tema for en kommisjon
Personvernets status, og personvernutfordringer i sektoren Hvordan kan personvernet avveies mot andre, tungtveiende interesser Viktige prinsipper for personvern i justissektoren Målrettet, proporsjonalitet, rettslig grunnlag mv Analysemodell for personvernutredninger på justissektoren

16 Local information security with privacy implications

17 Short version Don’t create bad privacy when you work hands-on with information security

18 Tools with negative implications
Logging Log analysis MDM DLP DPI Etc. The use can either be balanced, unbalanced, or just plain terrible

19 Way to go Respect the right of privacy at the work place
Use your technical strength to choose, configure or even create tools that both respect privacy and give sufficient information security At a technical level and at an organisational level PIA, DPIA, PbD, PETs PIA & PBD is soon to be requirements

20 The future The security specialist without understanding of privacy is as useless as … …the engine engineer with no understanding of environmental issues Sell security – but sell it with privacy safeguards

21 General Data Protection Regulation – and information security

22 CHAPTER IV CONTROLLER AND PROCESSOR
SECTION 1 GENERAL OBLIGATIONS Article 22 Responsibility of the controller Article 23 Data protection by design and by default Article 24 Joint controllers Article 25 Representatives of controllers not established in the Union Article 26 Processor Article 27 Processing under the authority of the controller and processor Article 28 Records of processing activities Article 29 Co-operation with the supervisory authority SECTION 2 DATA SECURITY Article 30 Security of processing Article 31 Notification of personal data breach to the supervisory authority Article 32 Communication of personal data breach to the data subject SECTION 3 DATA PROTECTION IMPACT ASSESSMENT AND PRIOR AUTHORISATION Article 33 Data protection impact assessment Article 34 Prior consultation SECTION 4 DATA PROTECTION OFFICER Article 35 Designation of the data protection officer Article 36 Position of the data protection officer Article 37 Tasks of the data protection officer SECTION 5 CODES OF CONDUCT AND CERTIFICATION Article 38 Codes of conduct Article 38b Monitoring of approved codes of conduct Article 39 Certification Article 39a Certification body and procedure

23 Key changes Accountability Privacy by design and by default
Still a risk based approach Strict regulation on personal data breach-handling Data protection impact assessment Use of Code of conducts and Certifications Most articles refer to CoC/Seal/Certifications as possible ways to demonstarte compliance Current text – not finalised

24 Privacy by design and by default
Article 23 - Data protection by design and by default

25 Still a risk based approach
Article 30 - Security of processing “….shall implement appropriate technical and organisational measures to ensure a level of security appropriate to the risk …” confidentiality, integrity, availability and resilience of systems Detailed regulations? No national detailed regulation can be given Ikke svært eksplisitt på dokumentasjonsplikten

26 Personal data breach-handling
Article 31 - Notification of a personal data breach to the supervisory authority Article 32 - Communication of a personal data breach to the data subject 72h time limit Breaches that represent a risk

27 SECTION 5 CODES OF CONDUCT AND CERTIFICATION
Article 38 Codes of conduct Article 38a Monitoring of approved codes of conduct Article 39 Certification Article 39a Certification body and procedure

28 Codes of conducts & Certifications
Encouragement for Code of Conducts, Privacy seals and certifications The supervisory authority shall give an opinion on draft codes Establishment of a monitoring body accredited for this purpose by the DPA. We will se more of them! The different proposals varies in form an depth, and how these arrangements can be approved.

29 Thank you! (Twitter)

Laste ned ppt "When Cyber Security threatens the values we aim to protect"

Liknende presentasjoner

Gruppemedlemmer Gruppa består av: Magnus Strand Nekstad – s156159

Gruppemedlemmer Gruppa består av: Magnus Strand Nekstad – s156159
Kvalitetssikring av analyser til forskningsbruk

Kvalitetssikring av analyser til forskningsbruk
Men hva mener de som har klart det? Børge Haugset (NTNU&SINTEF)

Men hva mener de som har klart det? Børge Haugset (NTNU&SINTEF)
Når ble pragmatisk slukt av Smidig ? Joachim Haagen Skeie, Smidig 2011.

Når ble pragmatisk slukt av Smidig ? Joachim Haagen Skeie, Smidig 2011.
1 Information search for the research protocol in IIC/IID Medical Library, 2013.

1 Information search for the research protocol in IIC/IID Medical Library, 2013.
UTFORDRINGER I TVERRFAGLIGE ENDRINGSPROSESSER Dagny Stuedahl stipendiat InterMedia.

UTFORDRINGER I TVERRFAGLIGE ENDRINGSPROSESSER Dagny Stuedahl stipendiat InterMedia.
Skriverammer FORSLAG TIL SKRIVERAMME ENGLISH AS A WORLD LANGUAGE

Skriverammer FORSLAG TIL SKRIVERAMME ENGLISH AS A WORLD LANGUAGE
Et samarbeidsprosjekt mellom Åfjord og Rissa videregående skole.

Et samarbeidsprosjekt mellom Åfjord og Rissa videregående skole.
Inger Langseth Program for Lærerutdanning Knyttet til Ny bok om vurdering i alle fag, red. Dobson, Engh.

Inger Langseth Program for Lærerutdanning Knyttet til Ny bok om vurdering i alle fag, red. Dobson, Engh.
Publisering i åpne kanaler Anne Storset Institutt for mattrygghet og Infeksjonsbiologi.

Publisering i åpne kanaler Anne Storset Institutt for mattrygghet og Infeksjonsbiologi.
Planning and controlling a project Content: Results from Reflection for action The project settings and objectives Project Management Project Planning.

Planning and controlling a project Content: Results from Reflection for action The project settings and objectives Project Management Project Planning.
Økonomiske utsikter - med lavere oljepris

Økonomiske utsikter - med lavere oljepris
What is a good text? And how do we get pupils to write them?

What is a good text? And how do we get pupils to write them?
Geografiske informasjonssystemer (GIS) SGO1910 & SGO4930 Vår 2004 Foreleser: Karen O’Brien Seminarleder: Gunnar Berglund

Geografiske informasjonssystemer (GIS) SGO1910 & SGO4930 Vår 2004 Foreleser: Karen O’Brien Seminarleder: Gunnar Berglund
Digital Portfolios – a tool for assessment and learning Asgjerd Vea Karlsen Eli Kari Høihilder.

Digital Portfolios – a tool for assessment and learning Asgjerd Vea Karlsen Eli Kari Høihilder.
Norwegian Ministry of Labour and Social Affairs Engelsk mal: Startside Tips norsk mal Velg ASD mal NORSK under ”oppsett”. Social inclusion for people from.

Norwegian Ministry of Labour and Social Affairs Engelsk mal: Startside Tips norsk mal Velg ASD mal NORSK under ”oppsett”. Social inclusion for people from.
The Thompson Schools Improvement Project Process Improvement Training Slides (Current State Slides Only) October 2009.

The Thompson Schools Improvement Project Process Improvement Training Slides (Current State Slides Only) October 2009.
Primary French Presentation 10 Colours L.I. C’est de quelle couleur?

Primary French Presentation 10 Colours L.I. C’est de quelle couleur?
4. mars 20161Forfatternavn A perspective on Water and Energy- seen from Norway Haakon Thaulow Senior Advisor Norwegian Institute for Water Research, NIVA.

4. mars 20161Forfatternavn A perspective on Water and Energy- seen from Norway Haakon Thaulow Senior Advisor Norwegian Institute for Water Research, NIVA.
On your smartphone, please either locate and bookmark in your browser orhttp://kahoot.it download the Kahoot-app from your app shop (Google.

On your smartphone, please either locate and bookmark in your browser orhttp://kahoot.it download the Kahoot-app from your app shop (Google.

Liknende presentasjoner

Annonser fra Google