Innofactor Blog

Beskyt jeres virksomhed mod datatab, før det er for sent!

Skrevet af Lars Olsen | 26.10.2018

Har du også kigget i kalenderen og med gru indset, at vi snart nærmer os den 1/1-2019, hvor Datatilsynets skærpede regler om kryptering for private virksomheder træder i kraft? I min tidligere blog ”Kryptering af e-mails behøver ikke at være besværligt - sådan gør I!” – beskriver jeg, hvordan man hurtigt og let kan kryptere data med Office 365 Message Encryption (OME), som er gratis inkluderet i jeres Office 365 licens.

Sidder du som IT-chef, eller på dansk CIO, og får røde knopper over udfordringen med kryptering?

Prøv engang at se udfordringen fra en anden vinkel. Lad være med at se det som kun at være et krypteringsprojekt, men som et klassifikationsprojekt. For hvad er det vi reelt vil beskytte? Det er fortrolige oplysninger. Og hvordan identificerer vi fortrolige oplysninger? I gamle dage ville man have sat alle de fortrolige oplysninger i ringbind, og markeret dem med Fortroligteller Interntalt efter følsomhed, men i IT-verdenen kan fortrolige dokumenter ligge blandet i en mappe med offentlige og interne dokumenter. Og det er svært at identificere indholdet af et dokument ud fra filnavnet. Disse dokumenter og informationer sendes, både eksternt og internt, frem og tilbage mellem kunde og virksomhed. Og informationerne kan falde i de forkertes hænder, enten ved en menneskelig fejl, eller ved en kriminel handling.

Derfor bør man arbejde med at klassificere sine dokumenter og filer, så disse kan opfanges af regler, som automatisk kan påtrykke den beskyttelse indholdet kræver. Hvis alle dokumenter er klassificeret rigtigt, behøver du slet ikke tænke på, at dine mails skal krypteres, for der er allerede sat regler op, som fanger, krypterer og beskytter dokumenter og mails på baggrund af deres klassifikation. Derved løfter du ansvaret væk fra medarbejdernes skuldre.

”Jamen er det ikke hamrende besværligt at klassificere alle dokumenter?”

Ikke nødvendigvis. Med Microsofts Azure Information Protection (AIP) kan du faktisk klassificere hele mapper på en gang. Benytter du SharePoint, kan du oprette en standard klassifikation for en liste, og derved klassificeres alle dokumenter i listen ved oprettelse, eller næste gang de åbnes. Alt dette – klassificering (AIP), kryptering (OME), og e-mail regler (DLP), kan gøres med en almindelig E3 licens.

Microsoft tilbyder også en AIP scanner, som kan gennemsøge dine mapper og filer – hvad enten de befinder sig på SharePoint on-premise eller på et netværksdrev. Med E3 licensen afleverer scanneren en rapport med de opdagelser, den har lavet. Med en AIP P2 licens kan scanneren automatisk klassificere filer fra Office-pakken.

Selvom vi gerne vil, er det vigtigt at indse, at vi ikke altid kan stole på at medarbejderne får klassificeret dokumenter korrekt. Man kan derfor konfigurere Azure Information Protection, så AIP-klienten kommer med forslag til en klassifikation baseret på indholdet af dokumentet, imens det skrives. På den måde advares eller oplyses medarbejderen om, at der potentielt er noget fortroligt indhold i dokumentet. Man kan også vælge at alle dokumenter, der bliver oprettet, som standard er klassificeret som Internt– derved kan man oprette en DLP-regel, der blokerer mails med vedhæftede filer klassificeret som Internt, hvis disse sendes ud af organisationen.

Har din virksomhed et partnerselskab, kan det konfigureres således at mails eller dokumenter, der er klassificerede, kun kan læses af de to organisationer – og der kan selvfølgelig tilføjes mere end én virksomhed til listen.

Er det endnu en byrde for medarbejderne?

Lyder klassificering som en uoverkommelig byrde for dine ansatte – som i forvejen har rigelig travlt, og dine ønsker om at introducere endnu et system, kan knække selv den stærkeste ansatte, så har jeg et tip til dig. Undgå at introducere Azure Information Protection som et 100 procent klassifikationsprojekt af alle dokumenter i organisationen til at starte med, fordi så tænker medarbejderne automatisk på den kæmpe bunke dokumenter, som skal klassificeres. Og det kan virke uoverkommeligt for selv den mest velorganiserede medarbejder.

Gør i stedet dine medarbejdere opmærksomme på de nye regler fra Datatilsynet, og informér dem gennem en oplysningskampagne på intranettet om de nye krypteringsmuligheder, der ligger i AIP-klienten i Outlook.

Du kan evt. sætte en DLP-regel op, som kigger mailen igennem imens den skrives, og som kan oplyse medarbejderen hvis evt. fortrolige oplysninger forefindes i mailen eller det vedhæftede dokument. Bloker for mailen hvis den sendes uden at blive klassificeret – derved lærer du dine medarbejdere at tage stilling til niveauet af klassifikation. Og med tiden kan du introducere dem for flere og flere klassifikationstyper.

På nedenstående billede kan du se et eksempel på en medarbejder der forsøger at sende en mail med et CPR-nummer (1) ud af virksomheden. DLP-reglen identificerer CPR-nummeret (2), og e-mailen vil blive blokeret, hvis ikke den klassificeres som Fortrolig(3).



Når e-mailen afsendes, identificerer endnu en DLP-regel at e-mailen, er klassificeret som Fortrolig, og krypterer e-mailen med OME. Husk at OME-krypterede e-mails kan sendes til alle – det er altså ikke nødvendigt at udveksle nøgler eller certifikater inden afsendelse, hvilket er ideelt til virksomheder, der sender mange fortrolige mails til private.

Denne lille test er meget simpel, men reelt er det alt, der skal til for at kryptere en e-mail. DLP-reglen er endda så smart, at hvis et vedhæftet dokument er klassificeret som fortroligt, så vil e-mailen også blive krypteret.

Som du kan se på billedet ovenover, er der også en knap i båndet der hedder Do Not Foward. Hvis den aktiveres, kan mailen ikke videresendes til tredjeparter. På Protectknappen ved siden af, kan individuel beskyttelse tildeles – bl.a. om hvornår mailen må slettes, og om den må læses i offline tilstand.

Klassifikation af dokumenter, opsætning af e-mail regler, og kryptering af e-mails og dokumenter går hånd i hånd, og virker bedst sammen. Der er ingen tvivl om, at der skal ske en transformation i din virksomhed, hvis alle dokumenter skal klassificeres, men med den rigtige vejledning og et blødt skub, og med medarbejdernes viden om den højere sikkerhed, skal det nok gå.

Husk at kunderne også vil sætte pris på, at deres data er godt beskyttet.

Note: Du kan meget mere med Azure Infomation Protection, end jeg har beskrevet i denne blog, men jeg har besluttet at skære det ud i små bidder, så emnet fokuserer på de udfordringer, mange private virksomheder har i forbindelse med de skærpede krypteringskrav fra Datatilsynet.

Vi står klar til at hjælpe – både med rådgivning og konsulentbistand til konfiguration.