Cloud i et juridisk og sikkerhedsmæssigtperspektiv for offentlige og private virksomheder

Advokat Anne Ermose

Teknologidirektør Ole Kjeldsen

-

-

-

-

-

Et ekstremt dynamisk teknologilandskab

CloudSocial Big dataMobilitet

57% afenterprises vilhave investeret i enterprise social i 2014

>70% af CIOs viladoptere en cloud-first strategi i 2016

af organisationerøgede public cloud forbrug i 2013

54%

af CIOs ser mobile som den mestdisruptive teknologi de næste 10år

70%

Social networking vilfølge ikke blot mennesker, men også husholdningsenhederdevices og andreprodukter

Forbrugpå Big Data:

af alle ny

applikations-

udvikling havde en

mobil form factor

som mål1/3I 2013

IP enheder:

10 mia

(2020)

400%

(idag)

$10 milliarder 2013 > $20 milliarder 2016

zettabytes i

2013

450% Fra

2012

Totalt

digitalt

indhold

vil gro

=

57% afenterprises vilhave investeret i enterprise social i 2014

>70% af CIOs viladoptere en cloud-first strategi i 2016

af organisationerøgede public cloud forbrug i 2013

54%

af CIOs ser mobile som den mestdisruptive teknologi de næste 10år

70%

Social networking vilfølge ikke blot mennesker, men også husholdningsenhederdevices og andreprodukter

Forbrugpå Big Data:

af alle ny

applikations-

udvikling havde en

mobil form factor

som mål1/3I 2013

IP enheder:

10 mia

(2020)

400%

(idag)

$10 milliarder 2013 > $20 milliarder 2016

zettabytes i

2013

450% Fra

2012

Totalt

digitalt

indhold

vil gro

=

Et ekstremt dynamisk teknologilandskab

CloudSocial Big dataMobilitetCybersikkerhed

Skadelig software AvanceredeTargeted angreb

Data tyveri & insider leaks

Cyber terrorisme & hacktivisme

…. skaber behov for ny risikovurdering

'Risks and rewards' ved cloud adoption

FOR

DEL

complianceprivacysikkerhedpålidelighed

skalerbarhedmere omstillingsparat

fleksibilitetIT infrastruktur omkostning

BEKYM

RIN

G

Bekymring før adoption

60%Udtrykte bekymringer

omkring data sikkerhed

som en barrier for at

flytte til cloud

45%Bekymrede for at det

ville betyde tab af

control hvis man

flyttede til skyen

Faktisk realiserede fordele

94%Oplevede

sikkerhedsfordele de

ikke tidligere havde

on-premise

62%sagde at privacy

beskyttelsen faktisk

blevet øget som følge at

at adoptere en cloud

strategi

Cloud innovation MULIGHED FOR AT HØSTE SIKKERHEDS & COMPLIANCE FORDELE

Barriers to Cloud Adoption study, ComScore, September 2013

tillidsvækkende fundament

BYGGET PÅ Microsoft ERFARING MED DRIFT OG UDVIKLING

Trustworthy Computing

Initiative

Security Development

LifecycleGlobal Data Center

Services

Malware Protection

Center

Microsoft SecurityResponse Center

Windows Update

1st

Microsoft Data

CenterActive

DirectorySOC 1

CSA Cloud Controls Matrix

PCI DSS Level 1

FedRAMP/FISMA

UK G-Cloud Level 2

ISO/IEC 27001:2005

HIPAA/HITECH

Digital Crimes

Unit

SOC 2

E.U. Data Protection Directive

Sikkerhed bygger på tillid og partnerskabKunder er ultimativt ansvarlige for at sikre compliance (citat: DPA, CfCS og DigiStyr)

Microsoft er gennemsigtige om certificeringer, revisionsrapporter etc.

Ansvar:

Data Klassifikation & Accountability

Kontroller på applikationsniveau

Kontroller på OS niveau

Kontroller på Host niveau

Identitets & Adgangsstyring

Netværkskontroller

Fysisk Sikkerhed

CLOUD UDBYDER

CLOUD KUNDE

PublicPrivate

compliance & gennemsigtighed

Datacenter drift

Grundlæggende persondataretlig ramme

Principper for persondatalovgivningen

Principper for persondatalovgivningen

Typisk en cloud kundes

ansatte eller kundeCloud kunde og/eller cloud

partner

Microsoft og/eller cloud

partner

Overførsel af persondata ud af EU/EØS

http://export.gov/safeharbor/

Overførsel af PII to et land

uden for EU/EØS er forbudt

medmindre behandlingen

dér er tilstrækkelig sikker

(EU

databeskyttelsesdirektivet)

En modelaftale mellem en dataansvarlig og en (tredjeplands)

databehandler, som er forhåndsgodkendt af EU Kommissionen

Skal ikke anmeldes til Datatilsynet

Datatilsynets udtalelser om cloud og jura

Datatilsynets konkrete afgørelse af 10. juli 2012 om IT-

Universitetets anmeldelse af brug af Office 365 til

lønadministration og administration af medarbejdere og

studerende

Datatilsynets udtalelse af 6. juni 2012 til Microsoft Danmark om

Office 365

e

Datatilsynets udtalelse af 15. januar 2014 om brug af dansk

databehandler og cloudbaseret underdatabehandler (samt

tredjelandsoverførsel)

Generel validering fra EUs datatilsyn

• 28 medlemsstater repræsenteret i Artikel 29

Arbejdsgruppen er alle enige

• Microsoft er den første og eneste cloud

leverandør der modtager denne form for

validering

• Dette understreges af, at EUs

databeskyttelsesdirektiv sætter “den højeste

barre” for databeskyttelses

• Gælder for Microsoft Azure, Office 365,

Dynamics CRM Online, og Windows Intune

Microsoft’s kontraktsfastsatte

databeskyttelsebestemmelser

opfylder EUs krav til overførsel af

data ud af EU/EØS

Områder med mulige særregler

Privacy og Gennemsigtighed

Microsoft Online Services Trust Center & Uafhængige certificeringer –

Gennemsigtighed om up-to-date cloud infrastruktur og ops infomation

Safe Harbor Certification – Overførsel til og adgang fra certificerede selskaber

EU Model Clauses – Overførsel til og adgang fra tredjelande

Microsoft Online Services Terms eller Databehandleraftale – Skriftlig, fuld

instruktion mellem dataansvarlig og databehandler

“In short, when governments

seek information from Microsoft

relating to customers, we strive

to be principled, limited in what

we disclose, and committed to

transparency.”

Myndigheders adgang til data

Myndigheders adgang til data

- Law Enforcement Requests Reports

- US National Security Orders Reports

http://www.microsoft.com/about/corporatecitizenship/en-

us/reporting/transparency/

Myndigheders adgang til data

Microsoft fører aktuelt retssager mod navnlig amerikanske

myndigheder for at beskytte kunders data

Microsoft sætter handling bag ord for at beskytte kunders data veddomstolene:

• Microsoft - Warrant Sag

• National Security Letters

• Government Requests Transparency

Microsoft Cloud … opsummering”…begrundet tillid til Cloud”

Det er jeres dataI ejer dem, I kontrollerer dem

Vi kører tjenesten for jer

Vi er ansvarlige overfor jer

OpsummeringTrustworthy Cloud for Business

Anne Ermose

aermose@microsoft.com

Ole Kjeldsen

olek@microsoft.com

TAK!

yderligere ressourcer

Generelt: http://aka.ms/danmark-skyen

Cloud Security Readiness Tool: http://www.microsoft.com/trustedcloud

Microsoft Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf

Microsoft Azure Security, Privacy, and Compliance Whitepaper: http://www.windowsazure.com/en-us/support/trust-center/

Windows Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf

Windows Azure Security, Privacy, and Compliance Whitepaper: http://go.microsoft.com/fwlink/?LinkId=392408

Windows Azure Trust Center: http://www.windowsazure.com/en-us/support/trust-center/

10 ting om Azure Sikkerhed: http:/technet.microsoft.com/en%20-us/cloud/gg663906.aspx

Officiel Blog om Article 29 Working Group – post

Microsoft Azure

Establish release criteria & sign-off as part of FSR

IncidentResponse (MSRC)

Guide product teams to meet SDL requirementsAdminister and track security training

Training Requirements Design Implementation Verification Release Response

Education Process Accountability

Ongoing Process Improvements

security development lifecycle model

Microsoft Azure

fysisk, ID & adgang

Perimeter mm.

Microsoft Azure 32

service sikkerhed starter med fysisk DC

Cameras

24X7 security staff

Barriers

Fencing

Alarms

Two-factor access control: Biometric readers & card readers

Security operations center

Days of backup power

Seismic bracing

BygningerPerimeter ‘rummene’

Microsoft Azure

netværks sikkerhed

Microsoft Azure

data beskyttelse

Microsoft Azure

threat defense

Microsoft Azure 36

Event Detected

Security TeamEngaged

Security Event Confirmed

EventStart

DevOps Engaged

Incident Assessment

Determine Customer Impact

Azure CustomerNotification

Customer ProcessStep 1

Determine Affected

Customers

Customer Notification

• 9-trins incident response proces

• Fokus på afgrænsning & genskabelse

• & giver kontraktuelle forpligtelser omkring kunde

notifikation

Incident response

www.microsoft.com/trustedcloud.

Cloud Security Readiness Tool

The Cloud Security Readiness Tool• Was released in October 2012 by Microsoft

Trustworthy Computing

• Is based on the Cloud Security Alliance’s (CSA) Cloud Control Matrix (CCM)

• Is used to help organizations assess their current IT environment with regard to systems, processes, and productivity so you can improve your IT investment and realize the potential of cloud computing

• Includes 27 survey questions designed to identify the maturity level of a surveyee’scurrent IT infrastructure.

Federal Office for Information Security

European Network and Information Security Agency

• Getting Started.

• Making Progress.

• Almost There.

• Streamlined.

• Q5. Legal. Nondisclosure Agreements

• Q9. Operations Management. Equipment Maintenance

• Q10. Data Governance. Classification

• Q16. Facility Security. Asset Management

• Q18. Risk Management. Program

• Q19. Information Security. Incident Reporting

• Q20. Resiliency. Management Program

• Q22. Resiliency. Equipment Location

40,1% 43,2% 47,2%41,3% 42,1% 45,1% 41,1% 41,4%

0%

20%

40%

60%

80%

100%

1 2 3 4 5 6 7 8

Serie1 Serie2 Serie3 Serie4

There is potential benefit in adopting a cloud computing solution from a vendor who has implemented best practices across the CSA’s CCM.

-26,9%-26,5%

-22,8%

-15,7%

-41,0%

-5,8%

-24,0%-24,2%

-39,4%

-34,9%

-52,4%

-12,7%

-31,6%

-25,3%

-9,0%

-31,7%-30,6%

-35,6%

-42,8%

-25,7%

-44,3%

-28,7%

-32,8%

-16,4%

14,7%

-12,6%

-0,4%

-60%

-50%

-40%

-30%

-20%

-10%

0%

10%

20%

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27

The data shows that most organizations are relatively immature across almost all of the control areas represented in the CSRT.

• Information security through deployment ofantivirus/antimalware software

• Security architecture through clock synchronization of networked PCs

• Facility security through controlling user access to data

INFORMATION SECURITY

antivirus/antimalware software

clocksynchronizationSECURITY ARCHITECTURE

FACILITY SECURITY

controlled user access to data

• Human resources security through prudent hiring practices

• Operations management through effective capacity planning

• Information security through consistent incident reporting

• Legal protection through use of nondisclosure agreements (NDA)

• Operations management through effective equipment maintenance

HUMAN RESOURCES SECURITY

prudent hiring practices

OPERATIONS MANAGEMENT

effective capacityplanning

OPERATIONS MANAGEMENT

effective equipment maintenance

INFORMATION SECURITY

consistent incidentreporting

LEGAL PROTECTION

nondisclosureagreements

Microsoft Azure 47

Anerkendt for vore commitments

https://www.eff.org/who-has-your-back-government-data-requests-2014

1. Begrænse statens autorisation til at indsamle

borgeres data

2. Sikre tilsyn & rettidig gennemsigtighed

3. Skabe gennemsigtighed om statens krav om data

4. Respektere fri bevægelighed for lovlige digitale data

5. Sikre internationale rammer for løsning af juridiske

konflikter

giver ikke blanco adgang til hverken

egne eller kunders data

udleverer ikke krypteringsnøgler og

assisterer ikke myndigheder med at

bryde krypteringer

udleverer ikke data på baggrund af ‘bulk’

forespørgsler

bruger ikke & tillader ikke bagdøre i

vores software eller software vi anvender

er ikke en del af nogen form for

overvågnings- eller efterretnings-

netværk i USA eller andre lande

Øger konstant kryptering af data både i transport og i lagring

& driver derudover alle vores Datacentre med ISO27001

certificering

Fortsætter juridisk arbejde. Udfordrer

bl.a.lovligheden i forespørgsler med såkaldte ‘gag

orders’

Fortsætter lovligt & reguleret

efterforskningssamarbejde rettet mod pirateri,

pædofili, ID tyveri etc.

Øger gennemsigtigheden ved at• involvere ejeren af data som efterspørges af myndigheden

•oprette flere code Review Centers

•udgive Law Enforcement Request Reports

•dele guidance baseret på sikker drift og udviklingserfaringer

Tager initiativ til industrisamarbejde på området for

at sikre bedst muligt fundament for ‘Cloud Trust’