Kontakt_oss
 
Du er her: Forside Nyhetsbrev Nyhetsbrev for SMO Nyhetsbrev om sikkerhet for SMO, oktober 2008

Nyhetsbrev om sikkerhet for SMO, oktober 2008

Beskytt din bærbare PC

Det selges nå flere bærbare PC-er enn stasjonære. Dette medfører nye trusler for brukerne, som mange kanskje ikke har tenkt over. I dette nyhetsbrevet tar vi opp noen av disse truslene og foreslår risikoreduserende tiltak for bærbar PC.

Det er knyttet risiko til all bruk av PC. Bærbar PC er et effektivt verktøy, og bruken av denne har mange fordeler. Det medfører imidlertid også spesifikke trusler om ødeleggelse og tyveri. Bærbar PC er ofte benyttet utenfor virksomhetens vegger, og dette øker trusselen fra utenforstående personer som ikke har grunnleggende
omtanke for virksomhetens utstyr.

Bærbar PC er spesielt sårbar for fysisk skade, tap eller tyveri, der motivet er salg av enheten eller den informasjonen som er lagret. Vi har etter hvert blitt avhengige av våre PC-er for å vedlikeholde virksomhetskritisk informasjon. Konsekvensen av at uvedkommende får tilgang til kritisk forretningsinformasjon, er ofte en kostnad som langt overgår verdien av det utstyret som er tapt.

Fysiske sikkerhetstiltak ved bærbar PC

  • Enhver bruker må ta et personlig ansvar for fysisk sikring av PC.
  • Sørg for å ha kontroll over PC-en, spesielt når du oppholder deg på offentlige steder som flyplass, konferanselokaler, restauranter og lignende. Det tar kun et øyeblikk å stjele en PC.
  • Dersom PC forlates midlertidig, bør en benytte tiltak, som for eksempel sikkerhetslås/-lenke, for å redusere mulighetene for tyveri.
  • Legg PC ute av syne når den ikke er i bruk.
  • Oppbevar PC i polstret bæreveske når den fraktes. Dette for å unngå fysisk skade.
  • Ta vare på informasjon om modell og serienummer på PC, og lagre dette sikkert. Dette er informasjon som umiddelbart må overleveres politi ved tyveri.

Beskyttelse mot virus og annen malware

  • Virus er fortsatt en alvorlig trussel, og bærbar PC er spesielt sårbar dersom antivirusprogramvare ikke holdes oppdatert. Den beste måten å holde seg oppdatert på er gjennom oppkopling til virksomhetens nettverk. Bruk av Norsk Helsenetts hjemmekontorløsning krever for eksempel at antivirusprogramvaren er oppdatert før tilkobling godkjennes.
  • Mange virus kommer som vedlegg til e-post. Unngå derfor å åpne vedlegg i e-post som ikke er forventet, selv om det kommer fra personer du kjenner.
  • Ikke bruk automatisk forhåndvisning i e-post programmet. Dette kan aktivisere virus.
  • Søk etter virus i alle filer som lastes inn på PC-en, uansett kilde (CD/DVD, USB harddisker eller minnepinner, filer fra lokalnettet, vedlegg i e-post eller filer fra Internett). Normalt blir slike filer automatisk scannet, men sjekk med IKT-ansvarlig hvordan du kan gjøre dette manuelt.
  • Rapporter alle sikkerhetshendelser (for eksempel virusangrep) raskt til IKTansvarlig.
  • Dersom du har mistanke om virusinfeksjon, ikke send noen filer fra deg til andre.
  • Vær spesielt oppmerksom på å sjekke for virus i alle filer som du sender ut fra virksomheten. Bruk installert antivirusprogram for å kontrollere.

Kontroll mot uautorisert tilgang til data på bærbar PC

  • All informasjon på bærbar PC bør være kryptert på harddisken. Dette gjøres med eget krypteringsprogram som kan kjøpes.
  • Bruker av bærbar PC er ansvarlig for alle nettverkstilganger PC-en har. Beskytt derfor brukeridentitet og passord, og ikke del dette med andre.
  • Jobb-PC er et verktøy som den enkelte er tildelt fra virksomheten for å gjøre en jobb. Man bør ikke dele verktøyet med familie og venner til annen aktivitet.
  • Unngå å forlate PC-en pålogget og uten tilsyn. Du bør alltid ta ”Avslutt”, logge av eller aktivere skjermsparer med passord før du forlater PC-en.

Andre sikkerhetstiltak for bærbar PC

  • Ikke last ned, installer eller bruk programvare fra ukjente eller tvilsomme leverandører.
  • Sørg for at all software har gyldig lisens. Vær obs på at mye gratis programvare kun er gratis når det er snakk om privat bruk.
  • Er du vanligvis tilsluttet et nettverk, er det viktig å være oppmerksom på at det kun blir tatt periodisk backup av data som lagres i nettverket. Den enkelte bruker vil normalt være ansvarlig for backup av data som lagres på den enkelte PC.

Praktiske tips til etterlevelse av ”Norm for informasjonssikkerhet i helsesektoren”

Normens avsnitt 4.5 Oversikt over behandlinger av helse- og
personopplysninger:

Det kreves en samlet og oppdatert oversikt over alle behandlinger av helse- og personopplysninger i virksomheten. Oversikten kan f.eks. utarbeides som en database, eller et regneark, med oversikt over de systemer og registre for behandling av helse- og personopplysninger som til enhver tid er i bruk i virksomheten. Dette kan omfatte IT-systemer, databaser, prosjekter (forskningsprosjekter etc.), medisinsk teknisk utstyr og manuelle registre mv. På et overordnet nivå skal oversikten inneholde følgende opplysninger:

  • Kategorier av helse- og personopplysninger
  • Formålet med behandlingene
  • Juridisk hjemmelsgrunnlag for behandlingene
  • Angivelse av system/register/utstyr, og om det er elektronisk eller manuelt
  • Grunnlaget for behandlingene
  • Om opplysningene er sensitive eller ikke-sensitive
  • Konsesjonsplikt/meldeplikt/hjemmel for unntak
  • Ev. partnere, databehandlere eller leverandører
  • Internt ansvarlig for det enkelte system/register/utstyr

 

På et mer detaljert nivå kan oversikten inneholde nærmere opplysninger og kommentarer relatert til punktene ovenfor, samt informasjon om hvilke sikkerhetstiltak som er iverksatt for det enkelte system, register eller utstyr, og dato for siste gjennomførte risikovurdering.

Denne oversikten vil danne et viktig redskap for arbeidet med
informasjonssikkerheten. En blir bevisst de ressurser en forvalter, samt hvilke beskyttelseskrav som finnes for disse.

 

Side-alternativer