En særlig aktuell skytjeneste de fleste virksomheter benytter seg av, er Microsoft 365 og Azure Active Directory. Microsoft har iverksatt en rekke gode sikkerhetstiltak på sin skyplattform. Microsoft har også et tilsynelatende stort fokus på å tilby kundene sine innebygget personvern. Etter BDOs erfaring har mange virksomheter likevel ikke tilstrekkelig bevissthet rundt risikoene ved bruk av skytjenester. Mange stoler også blindt på Microsofts standardinnstillinger.
I denne artikkelen skal vi se nærmere på de vanligste sikkerhets- og personvernrisikoene ved bruk av Microsoft 365 og Azure Active Directory. Vi vil også nevne noen eksempler på de vanligste feilene virksomheter gjør når det kommer til sikkerhetsinnstillingene, og hva du kan gjøre for å tette de igjen.
1. Ikke god nok oversikt over risikobildet
Når det kommer til personvern, har flere store aktører de siste årene uttrykt stor usikkerhet knyttet til bruk av Microsoft 365. Skyleverandører som Microsoft er gjerne assosiert med nye former for risiko, som mer overskuddsinformasjon som behandles for Microsofts egne formål, stor usikkerhet knyttet til geografisk lokasjon for Microsofts databehandling og en uoversiktlig kjede av underleverandører.
For å kunne identifisere og håndtere disse risikoene er det viktig å skaffe seg en god og dokumentert oversikt over både egen og Microsofts databehandling. Oversikten bør blant annet inneholde beskrivelser av hvilke behandlingsaktiviteter Microsoft gjør på vegne av virksomheten, hvilke formål Microsoft behandler personopplysninger for, nærmere beskrivelser rundt dataflyt og geografisk lokasjon, samt hvilken sammenheng behandlingen utføres i. Oversikten bør også inneholde en beskrivelse av hvordan virksomheten ivaretar personvernprinsippene og de registrertes rettigheter, samt en beskrivelse av det overordnede risikobildet i virksomheten ved bruk av Microsoft 365.
2. Manglende etterlevelse av de alminnelige kravene til personvern
Mange virksomheter har frem til nå brukt mye tid og ressurser på å få gjennomført krevende Schrems II-vurderinger for deres bruk av globale skyleverandører som Microsoft. Dette arbeidet har for mange virksomheter gått på bekostning av det generelle personvernarbeidet i virksomheten, som å fastsette hvilke personopplysninger som skal behandles for hvilke formål, identifisere lovlig behandlingsgrunnlag, samt gjennomføre risikovurderinger og vurderinger knyttet til dataminimering. Ikke minst erfarer vi at opplysninger lagret på SharePoint-rom og Teams-områder ikke slettes. Avhengig av hvilke personopplysninger som ligger lagret der, kan risikoen for enkeltpersoner være stor.
Nå som EU-kommisjonen for en periode fremover har sikret virksomheter et gyldig overføringsgrunnlag med en adekvansbeslutning for USA etter GDPR art. 45, bør virksomheter fremover prioritere å dokumentere hvordan de oppfyller de alminnelige kravene til etterlevelse av GDPR ved bruk av Microsoft 365. Mens noe av denne dokumentasjonen forhåpentligvis inngår som en del av virksomhetens behandlingsprotokoll, kan dette også inntas i en større oversikt over databehandlingen i Microsoft 365 som nevnt over.
3. Sikkerhet i skyen
Vi ser ofte at organisasjoner som bruker skyløsninger som SharePoint og Azure Active Directory lar sikkerhetsinnstillingene stå på standardinnstilling med forventning om at standardinnstillingene er synonymt med god sikkerhet. Dette er ikke alltid tilfellet. For eksempel er standardinnstillingen for ekstern deling i SharePoint satt til at informasjon kan deles med alle, også til mottakere som ikke krever innlogging. En slik innstilling vil ofte kunne medføre at en organisasjon blir unødvendig sårbar for at sensitiv informasjon kommer på avveie.
Et annet eksempel er muligheten for gjestebrukere i Microsoft 365 til å invitere nye gjestebrukere, uten krav om godkjennelse fra virksomheten først. Har du ikke gjennomgått denne standardinnstillingen, øker dette sannsynligheten for at uautoriserte brukere får tilgang til din organisasjons systemer.
Dette er bare et par eksempler på konfigureringer som stort sett er relevant for alle organisasjoner, både store og små. Antallet konfigureringer i ulike systemer kan virke overveldende å forholde seg til, men samtidig kan ikke informasjonssikkerheten neglisjeres. Center for Internet Security (CIS) har utviklet beste praksis benchmarks for hvordan en bør konfigurere sikkerhetsinnstillingene i både Microsoft 365 og Azure. Vår erfaring tilsier at en slik benchmark er et godt utgangspunkt for både små og store organisasjoner til å gå over sine konfigureringer. Samtidig må benchmarkene ikke betraktes som en uttømmende liste over alle relevante konfigurasjoner, men som et utgangspunkt for å evaluere sine spesifikke risikoer og forretningsbehov opp mot anbefalte beste-praksis.
BDO Risk Advisory Services har gjennomført en rekke risikovurderinger for både små og store organisasjoner relatert til sikring av personvern og sikkerhet i Microsoft 365 og Azure. Ta gjerne kontakt for en uforpliktende prat om hvordan vi kan bistå deg med å ivareta personvern og sikkerheten i sky.
Les mer om hvordan dere kan håndtere personvern her, og sikkerhet og IT-risiko her.