Informationssäkerhet handlar om att säkra konfidentialitet, integritet och tilgänglighet på informationen som vi har och målet är att skydda våra egna och våra kunders data.
Detta gör vi genom att reducera antalet sårbarheter på våra enheter och undvika säkerhetsrisker knutna till programvaror som inte hör hemma på en maskin hos Bouvet.
Nedan får du information om våra rutiner och vad du behöver tänka på gällande utrustning och säkerhet, samt en översikt över vilka krav som ställs på enheter som synkroniserar data från Bouvet.
Läs också:
OBS!
I de fall kunden har en strängare säkerhetspolicy än Bouvets så följer du kundens policy.
Lösenord och två-faktorinloggning
Vi använder lösenord på minst 12 teckens längd för inloggning på Bouvets datorer och nätverk. Till detta krävs två-faktorsautentisering till diverse system såsom MinSida, Office 365 (Mail, Sharepoint o.s.v.). De flesta andra system inom Bouvet använder samma inloggning.
Använd inte Bouvet-lösenord till andra tjänster utanför Bouvet, som t.ex. LinkedIn, FaceBook o.s.v. Vi har Keeper-licens till alla anställda för att underlätta lösenordshantering. Den ska användas till kund- och projektrelaterade lösenord och andra inloggningsuppgifter, om inte kunden själv valt en annan lösning.
Lösenord får inte lagras i klartext, exempelvis i t.ex wiki, kodrepositorier, o.s.v.
Avtalet vi har med Keeper ger oss också en Familje-licens för privat bruk och vi rekommenderar alla anställda att använda den.
När du lämnar din dator är det viktigt att låsa den. Vi rekommenderar att du använder fingeravtryck som autentisering, så låser du upp på en sekund igen, och du behöver inte fundera på om någon har varit inne i den under tiden.
För mer info om byte av lösenord, och uppsättningen av två-faktor, se här (norska).
För att koppla surfplattor och mobiler mot Bouvets system, som t ex. Microsoft 365, ska de vara krypterade och skyddas med minst 6 tecken lång pinkod eller starkare autentisering.
Vi behöver också tänkta på vilka appar vi installerar och vilka rättigheter vi ger dessa appar.
Bouvet följer NSMs (Nasjonal Sikkerhetsmyndighet i Norge) rekommendationer och råder alla anställda att inte installera TikTok och Telegram på neheter som har tillgång till Bouvet- eller kunddata.
Så kallade «phishing-mail/SMS» (bedrägeri-mail/SMS) blir ständigt mer avancerade och är i dag den mest använda och framgångsrika angreppsformen. De kan vara skräddarsydda för mottagare och deras organisation, så de kan vara svåra att avslöja. Tiden när du kunde känna igen dem på dåligt formulerat språk är även det förbi.
Dessa e-postmeddelanden, telefonsamtal eller sms skickas för att lura dig till att ge ifrån dig upplysningar på ett eller annat sätt, exempelvis användarnamn och lösenord till diverse tjänster.
Bedrägeriförsöken spelar ofta på impuls. De försöker till exempel att framkalla rädsla och/eller upplevelsen av att man måste svara eller utföra en handling snabbt.
Var uppmärksam på:
Där man vet eller misstänker att man har gått i fällan så ska rutinen här följas (norska)
Du får gärna jobba hemifrån eller från andra ställen med din dator, men ha god uppsikt över den och använd VPN om du är på främmande nätverk, speciellt public WIFI.
Läs mer om Bouvets VPN och hur du installerar det.
Se till att du alltid har uppsikt över din dator. Det är inte tillåtet att resa med Bouvet-datorn i incheckat bagage, den ska vara i handbagaget.
Var medveten om att varje enskilt land har lagar som kan medföra att du behöver visa information du har på elektronisk utrustning eller sociala medier. Du får inte under några omständigheter dela lösenord eller hemligheter med andra, oavsett om de är från Bouvet eller kunden.
Bouvets riktlinjer för användning av utrustning på resa finns här (norska).
Kundens eventuella resepolicy ska alltid följas.
Om utrustning med lagrad information som tillhör Bouvet eller våra kunder (laptops, andra lagringsmedier, mobiler) försvinner, ska det omedelbart anmälas som en säkerhetsincident på https://sir.bouvet.no.
Upptäcker du saker som kan utgöra en säkerhetsrisk så rapporterar du det som en säkerhetsincident till https://sir.bouvet.no.
Detta kan vara allt från brott eller rutiner som fattas till misstanke om angrepp, som, t ex. att du har tryckt på precis den länken du inte skulle ha tryckt på.
I säkerhetsinstruktionen står det:
5. Lagring
"Alt materiale, som f.eks. dokumenter, kildekode, design, data osv.som produseres i oppdrag for Bouvet eller Bouvets kunder, skal lagres på Bouvet-administrerte eller kunde-administrerte IT-løsninger. Det skal ikke lagres slikt materiale på tredjepartsløsninger der Bouvet eller kunden ikke har administrativ kontroll på tilganger og innhold. Eksempler på dette kan være privat Dropbox og Google Drive."
Det betyder att du inte ska lagra data på maskiner, medier eller tjänster som Bouvet eller kunden inte har kontroll över. Du bör istället använda OneDrive.
Bouvet graderar informationen vi hanterar i tre huvudkategorier:
För mer information se:
Vi kör regelbundna säkerhetskopieringar av både SharePoint-rum och anställdas OneDrive-konton.
Kom ihåg: Om du lagrar känslig privat data hamnar detta i våra backuper.
Säkerhetskopiorna av OneDrive-konton tas bort 180 dagar efter att anställningen har upphört.
Rättigheter och utrustning i projekt
Det är projektledarens ansvar att ge deltagare i projektet rättigheter när de kommer in i projekt och att ta bort rättigheter när deltagare går ur projekt.
Detta gäller inom områden som exempelvis:
Om det är externa som går ut ur projektet, ska projektledaren även ansvara för att laptops och annan utrustning som är Bouvets egendom blir återlämnad.
Om det inte finns en utpekad projektledare, så har leveransansvarig ansvaret.
Alla besök ska registreras och besökare ska bära besöksbricka.
Besökare får inte lämnas utan uppsikt i lokalerna på ett sätt som medför att de obehörigen kan ta del av uppgifter om kunder eller Bouvet.
För att förhindra informationsläckage så är fotografering, bild- och ljudupptagning i publiceringssyfte endast tillåten på anvisade platser.
Var försiktig när du tar bilder, videos eller ljudupptagningar så att du inte "läcker" kunddata.
Ta kontakt med säkerhetsansvarig om du har frågor.
Passerkort ska bäras synliga och en eventuell förlust ska snarast anmälas som en säkerhetsincident på sir.bouvet.no samt anmälas till närmsta ledare.
Åtkomst till känslig information ska så långt som möjligt begränsas till de som har behov av uppgifterna för att utföra sina arbetsuppgifter. Därför ska du plocka undan/radera sådan information. Det gäller i synnerhet whiteboards/blädderblock när möte/arbete avslutats och innan nytt möte påbörjas i samma lokal. Det kan mycket väl vara utomstående/konkurrenter inbjudna till nästa möte i den lokal du nyss varit.
Laptops, och annan utrustning med lagring, som du inte ska använda längre, ska lämnas in till IT-Drift för radering.
Innan utrustningen byter ägare måste enhetens data raderas, detta gäller även om utrusningen ska gå från en anställd till en annan.
Automatisk vidaresändning av e-post
Automatisk vidaresändning av Bouvetmailen till andra domäner är inte tillåtet.
Här kan du läsa mer om e-post i Bouvet (på norska)
Programvara på maskiner från Bouvet
Bouvet eller kunden tillhandahåller licens för de program du behöver. Hittar du programvara på internet som är gratis måste du göra lite kolla upp några saker först.
Detta måste kontrolleras:
All programvara som du installerar på datorn ska uppdateras regelbundet.
Alla program som installeras på en enhet ökar angreppsrisken, så du bör tänka på om du verkligen behöver installera programmet. Finns det en webbläsarversion som har samma funktionalitet? Intern IT och säkerhet uppmuntrar alla att avinstallera programvara som inte används och hellre installera den igen vid behov.
Du får inte installera spel eller spelplattformar (som Steam, Epic Games Launcher och Origin). Andra säkerhetsprogram än de som hanteras av IT ska inte installeras. Du får inte använda din dator för "mining" eller P2P-fildelning.
Mimikatz, nmap och andra "red-team"-verktyg hör inte hemma på maskinen. Om våra övervakningstjänster upptäcker sådana program kommer ett larm att gå i våra interna system och maskinen kommer att isoleras från nätet.
Behöver du köra verktyg som normalt inte hör hemma på maskinen, kontakta IT så hittar vi en lösning
Du får inte jobba från en privat dator, eftersom vi då inte kan garantera att säkerheten lever upp till Bouvets standard.
Vi behöver efterleva våra kunders krav om att inte tillåta användning av datorer som inte är under kontroll av antingen Bouvet eller kunden. Vi har tidigare haft incidenter knutna till arbetet från privata enheter, ett sådant exempel finns här.
Du kan heller inte koppla en privat maskin till Bouvets säkerhetssystem då dessa samlar in mycket data från maskinens aktivitet. Det skapar i tillägg mycket onödig information i loggarna och extra arbete för IT.
Det är enbart Bouvets och eventuellt kundens VPN som får användas.
Du ska alltså aldrig logga in på något Bouvet-konto när du är uppkopplad på en privat VPN-tjänst, t.ex. NordVPN, ExpressVPN, ProtonVPN. Detta gäller alla typer av enheter, mobiler, privata PC o.s.v.
Kom ihåg att apparna på telefonen hela tiden synkroniserar data. Du kan därför inte ha en privat VPN-tjänst på telefonen när du har satt upp synkronisering av t.ex. e-post.
Enheter med hög risk som offentligt tillgängliga datorer (lobby-PC, biblioteks-PC etc.) har varken du användaren eller Bouvet kontroll på, om trafiken ärö övervakad eller inte, om tangenttryckningar blir loggade eller övervakade eller om någon står bakom och ser vad du gör på skärmen.
Sammantaget är det väldigt hög risk att bruka den här typen av datorer. Det är därför inte tillåtet att logga in på Bouvet-konton från den typen av utrustning.
Sammanfattning - Detta för du inte göra på enheter som synkroniserarr data från Bouvet
Om du har speciella behov, ta kontakt med Intern IT & Säkerhet så sätter vi upp en extra Bouvet-dator som du kan ha stående hemma för att ha tillgång till de tjänster du behöver,
Och kom ihåg, tjänsterna kommer fortsatt att kunna nås via mobil och läsplatta.
Ytterligare information från norska nationella källor
Norska polisens säkerhetstjänst (PST) skriver följandes Nasjonal trusselvurdering 2023:
“I året som kommer vil en større del av nettverksoperasjoner utnytte digital infrastruktur i norske hjem. I slike tilfeller går trusselaktøren via hjemmeelektronikk som er koblet til Internett, for eksempel PCer, rutere og SMART TVer, for å benytte disse som hoppepunkter. Slike enheter har som regel meget svak informasjonssikkerhet, noe som gjør at de enkelt kan utnyttes som et ledd i nettverksoperasjoner.”
Nasjonal sikkerhetsmyndighet (NSM) skriver följande i Risiko 2023:
“Hjemmekontor under covid-19-pandemien muliggjorde fortsatt drift for mange virksomheter til tross for samfunnets nedstengning. Selv om mange etter hvert har vendt tilbake til virksomhetens fysiske lokaler, er hjemmekontorløsninger kommet for å bli – og mange vil tidvis fortsatt benytte seg av muligheten til «å koble seg på» hjemmefra.Ansattes tilganger til virksomhetens systemer fra hjemmekontoret, eller fra hvor som helst i verden, har samtidig medført at virksomhetene ikke lenger har kontroll på de fysiske og digitale forutsetningene som omgir virksomhetens verdier. Dette gir økt risiko for uautorisert tilgang til verdiene, eksempelvis gjennom bruk av sårbart privat utstyr, gjennom mangelfull sikring av utstyr eller gjennom tilsiktet eller utilsiktet innsideaktivitet. Dette er utfordringer virksomhetene bør ha en bevissthet rundt det kommende året.”