...
Gert er ráð fyrir að áhættuskráin verði uppfærði ört þegar nýjar áhættur eru greindar og sendar inn (Ný ógn form) og er hér fyrir neðan hægt að nálgast allar útgáfurnar.
Þær áhættur sem snúa að stofnunum eru í töflunni hér fyrir neðan ásamt tillögu að meðferð. Í viðhengi (Excel skjal) eru auk þess frekari upplýsingar og áhættur sem snúa að öðrum aðilum.
...
Áhætta
...
Tillaga - Stofnun
...
Skýjaþjónusta verður óaðgengileg vegna sambandsleysis við útlönd (allt Ísland)
...
a) Mat á þolmörkum kerfa og vinnuferla vegna sambandsrofs
b) Viðbragðsáætlanir skilgreindar vegna sambandsrofs
...
Skýjaþjónusta verður óaðgengileg vegna netsambandsleysis stofnunar við fjarskiptafélag
...
a) Mat á þolmörkum kerfa og vinnuferla vegna sambandsrofs
b) Viðbragðsáætlanir skilgreindar vegna sambandsrofs
c) Meta þörf á varatengingum
...
AD hjá stofnun hættir að tengjast við skýjageira og uppfærslur t.d. nýir notendur, breytt lykilorð, lokaðir notendur hætta að uppfærast í skýjageira.
...
a) Setja vöktun á AD samþættingarþjónustum sem keyra í umhverfi stofnunar, skilgreina ábyrgðaraðila og viðbragð ef þjónustur hætta að virka.
b) Reglubundið eftirlit með atburðaskrám samþættingar (event logs)
...
Breytingar í AD hjá stofnun eru lengi að endurspeglast í skýjageira. Lykilorð sem breytt er taka ekki gildi og notendur geta læst sig úti (Duress Lockout).
...
Upplýsa og þjálfa kerfisstjóra og starfsfólk um eðlilegan biðtíma vegna breytinga.
...
Tilkynningar um nýja og hætta starfsmenn hjá stofnunum sem ekki eru með AD berast ekki til ábyrgðaraðila skýjageira. Hættir starfsmenn gætu því haft áfram aðgang að skýjaþjónustu og gögnum stofnunarinnar.
...
Stofnun þarf að hafa verklag vegna starfsmannabreytinga sem tryggir upplýsingaflæði til rekstraraðilans.
...
Skýjaþjónusta verður óaðgengileg vegna bilunar í netbúnaði hjá stofnun
...
a) Mat á þolmörkum kerfa og vinnuferla vegna sambandsrofs
b) Viðbragðsáætlanir skilgreindar vegna sambandsrofs
c) Meta þörf á tvöföldum búnaði
...
Sjálfvirkar uppfærslur á Office pakka (Word, Outlook, o.fl.) brýtur samhæfni við önnur kerfi hjá stofnun (t.d. addins, málakerfi) sem eru ekki sjálfkrafa uppfærð með sama hætti og skýjalausnirnar.
...
a) Meta tengsl Office uppfærslu við annan hugbúnað
b) Ákveða uppfærslutíðni (Channel) í samræmi við a)
...
Glataður eða skemmdur farsími (hluti af 2FA) gerir að verkum að ekki er hægt að auðkenna notenda.
...
Nýtt tæki er fengið og innleitt samkvæmt leiðbeiningum. Auðkenning fer í SMS sem er tengt SIM korti svo ef númer helst er hægt að virkja nýtt tæki.
...
Breytingar á netsamböndum (þ.m.t. IP tölum) eða rekstrarumhverfi stofnana hafa áhrif á stillingar sem rekstraraðili ber ábyrgð á t.d. undanþága frá 2FA byggt á IP tölum.
...
Tryggja að vinnulag við breytingastjórnun í netlagi taki á að hagsmunaaðilar séu upplýstir og tryggja að rekstraraðili skýjageira sé skilgreindur hagsmunaaðili.
...
Álag eða álagsárás hefur áhrif á starfssemi skýjaþjónustu og veldur skertri þjónustu við stofnanir.
...
a) Mat á þolmörkum kerfa og vinnuferla vegna sambandsrofs
b) Viðbragðsáætlanir skilgreindar vegna skertrar afkastagetu
...
Breytingar á virkni skýjaþjónustu er breytt án vitundar stofnunar sem gæti haft áhrif notkunarmöguleika stofnana.
...
Stofnanir þurfa að tilgreina hverjir eigi að fá upplýsingar um breytingar og hvernig eigi að meðhöndla þær.
...
Óviðkomandi aðili kemst inn án tveggja þátta auðkenningar í gegnum VPN tengingu hjá stofnun
...
a) Innleiða sterka auðkenningu fyrir fjartengingar inn á net stofnunar og aðrar yfirtökuleiðir
...
Aukinn hætta á að starfsfólk falli fyrir veiðipóstum þar sem innskráning er á almennari síður (t.d. Portal.Office.com)
...
a) Þjálfun og öryggisvitund starfsfólks.
...
Ytri aðili villir á sér heimildir sem starfsmaður rekstraraðila og blekkir starfsmann til að veita aðgang eða uppljóstra.
...
a) Þjálfun og öryggisvitund starfsfólks.
...
Að óviðkomandi gögnum sé deilt til allra innan skýjageira er það meiri fjöldi en ef um aðskylda skýjageira væri að ræða og aðilar hjá ótengdum aðilum innan þess hóps.
...
a) Þjálfun og öryggisvitund
b) Uppsetning á aðgangstakmörkunum í skýjageira.
...
Kerfisstjórar rekstraraðila hafi aðgang að gögnum sem þeir eiga ekki að hafa aðgang að hjá öðrum stofnunum.
...
Trúnaðaryfirlýsing og rekstrarsamningur milli stofnunar og rekstraraðila þarf að taka á aðgengi að gögnum stofnunar.
...
Stofnun hafi ekki nægjanlega yfirsýn yfir þá þjónustu sem rekstraraðilinn er að veita og ábyrgð á framkvæmd öryggisúrræða sé óljós.
...
Stofnun fylgir eftir ákvæðum um birgjaeftirlit í þjónustusamningi um þjónustustig.
...
Stofnun hefur ekki úrræði til að taka á frávikum í þjónustu rekstraraðila.
...
Taka þátt í árlegum þjónustukönnunum á vegum fjármála- og efnahagsráðuneytisins.
...
Geta rekstraraðila skýjageira til að veita stofnunum þjónustu getur verið ófullnægjandi og valdið töfum eða truflunum á veittri þjónustu.
...
Gerð þjónustusamninga og þjónustuskilgreininga milli stofnunar og rekstraraðila.
...
Flokkun og meðhöndlun gagna þarf að taka tillit til nýrra aðferða, geymslustaða og tækifæra og ógna sem opnast við innleiðingu á skýjaþjónustum.
...
a) Flokka núverandi gögn eftir mikilvægi, viðkvæmni og aðgengiskröfum
b) Aðlaga verklagsreglur m.v. notkun á skýjalausnum.
...
Gögn tapast vegna gagnagíslaárásar þar sem gögn í skýjaþjónustu eru læst vegna spilliforrita sem starfsfólk heimilar vegna mistaka.
...
a) Þjálfun og öryggisvitund starfsfólks.
b) Meta þörf á öryggisafritunartöku út fyrir skýjaþjónustu
...
Gögn tapast vegna ásetning hjá starfsmanni í tölvupósti og ekki lengur hægt að endurheimta úr afritum stofnunar.
...
Bakgrunnsathuganir starfsfólks og ákvæði í ráðningarsamningum um viðurlög gegn brotum á verklagsreglum og lögum.
...
Gögn tapast vegna mistaka hjá starfsmanni í tölvupósti og eru ekki varðveitt í öðrum kerfum stofnunar og ekki unt að endurheimta úr afritum stofnunar.
...
Verklagsreglur og þjálfun starfsfólk í varðveislu og geymslu skjala í viðeigandi kerfi hverrar stofnunar.
...
Gögn á skráasvæðum (Onedrive,Teams,Sites) glatast í gagnagíslaárás eða vegna mannlegra mistaka hjá kerfisstjóra eða notanda.
...
a) Þjálfun og öryggisvitund starfsfólks.
b) Meta þörf á öryggisafritunartöku út fyrir skýjaþjónustu
c) lágmörkun á aðgangsheimildum starfsfólks
...
Gögn tapast vegna mistaka hjá starfsfólki rekstraraðila
...
Stofnun þarf að fylgja eftir öryggisúræðum sem hluta af birgjasambandi/samningi.
...
Gögn tapast vegna vísvitandi aðgerða hjá starfsfólki rekstraraðila.
...
Stofnun þarf að fylgja eftir öryggisúræðum sem hluta af birgjasambandi/samningi.
...
Gögn spillast milli gagnavera hjá skýjaþjónustuaðila, t.d. fyrir mistök eða ásetning innri eða ytri aðila.
...
Meta þörf á öryggisafritunartöku út fyrir skýjaþjónustu
...
Öryggisúrræði í skýjageira virka ekki í samræmi við formlegar eða óformlegar kröfur stofnunar þar sem upplýsingar eru ekki flokkaðar og meðhöndlaðar í samræmi við kröfur stofnunar.
...
Stofnun þarf að flokka upplýsingar sínar m.t.t. mikilvægis og miðla upplýsingum um öryggisstig með stöðluðum hætti til rekstraraðila.
...
Gögn sem tengd eru með "Sync" yfir á ótryggð tæki verða fyrir tapi eða spillingu.
...
a) Þjálfun og öryggisvitund starfsfólks.
b) Takmarkanir á notkun sync virkni í skýjageira
...
Notandi setur gögn á geymslustað sem gerir hann óaðgengilegan fyrir stofnun eða eftir hans starfslok, t.d. Onedrive for business.
...
a) Þjálfun og öryggisvitund starfsfólks.
b) Vinnulag við starfslok þarf að taka tillit til skýjaþjónustu.
...
Viðkvæm gögn eru óviljandi gerð aðgengileg óviðkomandi aðilum utan stofnunar en innan skýjageira og gert aðgengilegt t.d. með leit eða í Delve/Profile
...
a) Þjálfun og öryggisvitund
b) Uppsetning á aðgangstakmörkunum í skýjageira.
...
Starfsfólk deilir óviljandi viðkvæmum gögnum með óviðkomandi ytri aðilum af OneDrive, Teams, Sites
...
a) Þjálfun og öryggisvitund starfsfólks.
...
Starfsfólk gerir viljandi viðkvæm gögn aðgengileg ytri aðilum á OneDrive, Files í Meetings/Teams, o.fl.
...
a) Þjálfun og öryggisvitund starfsfólks.
c) Stofnun þarf að samræma notkun/skipulag Teams
...
Starfsfólk heldur áfram að nota aðrar skýjaþjónustur (t.d. Dropbox) eða eldri þjónustur á þjónustuaðila eða í húsi eftir innleiðingu
...
a) Þjálfun og öryggisvitund starfsfólks.
b) Takmarkanir á notkun annarra þjónusta
...
Uppsetning á AD hjá stofnun samræmist ekki stöðluðum kröfum. Röng merking getur valdið því að gögnum sé deilt milli stofnana innan skýjageira.
...
Skilgreina þarf verklag við stofnun notenda og aðgangsstýringar innan stofnunar sem samræmast útgefnum kröfum.
...
Starfsmaður tengir óvarin/óstýrðan búnað við gögn stofnunar í gegnum t.d. Sync á skrám úr Files/OneDrive4Business
...
a) Þjálfun, öryggisvitund starfsfólks og viðurlög.
...
Gögn eru afrituð af útstöð (t.d. í gegnum sync /Onedrive for Business) yfir óvarða miðla þ.m.t. aðrar skýjaþjónustur sem ekki er stýrt af stofnun
...
a) Þjálfun og öryggisvitund starfsfólks
...
Endanotendur geta veitt aðgang að gögnum án samþykkis eða rýni frá öðrum aðila (t.d. guests í Teams, Share with takki í Office).
...
a) Þjálfun og öryggisvitund starfsfólks.
...
Upptökur af fundum (t.d. í Teams) eru vistaðir og dreift.
...
a) Þjálfun og öryggisvitund starfsfólks.
B) aðgangur að upptökum í Stream.
...
Reglur um varðveislu gagna eru ekki uppfylltar eftir færslu á vinnslu til skýjaþjónustuaðila.
...
a) Greina kröfur og hvaða gögn eigi að varðveita
b) Greina hvort afritun/retention innan skýjageira uppfylli kröfur
...
Afritunarreglur á gögnum eru ekki lengur í gildi eftir flutning í skýjaþjónustu
...
a) Greina hvort afritun innan skýjageira uppfylli núverandi kröfur stofnunar
b) Meta þörf á öryggisafritunartöku út fyrir skýjaþjónustu
...
Vegna ytri aðstæðna eru gögn flutt út fyrir lögsögu EES
...
Verklagsreglur þurfa að vera til staðar til að tilkynna Persónuvernd um öryggisbrest og samskipti við rekstraraðila/skýjageira til staðar til að staðfesta að gögn séu innan EES.
...
Persónugreinanlegar upplýsingar um starfsfólk eru skráðar eða unnar með breyttum eða nýjum hætti t.d. með eftirliti á uppsettum hugbúnaði á snjalltækjum eða öðrum öryggisúrræðum.
...
Stofnun þarf að uppfæra upplýsingar sínar í samræmi við nýja tækni, t.d. bæta við vinnsluskrá og upplýsingar til starfsfólks.
Í viðhenginu má finna lýsingu á áhættunni/ógninni, hvort hún hafi áhrif á leynd (C), réttleika (I), tiltækileika/aðgengi(A) eða persónuvernd (P), einfalda fellilista fyrir áhrif og líkur fyrir þá sem ekki hafa eigin áhættumatsaðferðafræði, tillögur að hvernig stofnun getur mætt þessari áhættu og svo upplýsingar um hvar brugðist sé við áhættunni, hjá stofnun, rekstraraðila skýjageirans, í högun og uppsetningu skýjageirans sjálfs eða hjá skýjaþjónustuaðilanum (Microsoft).
...