Sjekkliste for vurdering av skytjenester

Disse punktene er ment som hjelp til miljøer som vurderer å ta i bruk en skytjeneste. Punktene kan f. eks. brukes som utgangspunkt for en ROS-analyse. Det finnes en egen, korresponderende utgave med spørsmål en leverandør skal kunne svare på før man inngår en avtale.

Vi minner om at ROS-analyse og databehandleravtale er to viktige deler av en slik prosess. Det samme er vurdering av behandlingsgrunnlaget.

Av Chris Watterston (www.chriswatterston.com)

Hvorfor trenger du en skytjeneste?

Hvilke behov skal løsningen dekke?
Finnes det allerede egnede løsninger på UiO eller i UH-sektoren?
Har du snakket med Lokal IT eller USIT om dine behov?
TIlbyr UNINETT allerede en liknende løsning?
Kan løsninger som allerede finnes dekke behovene dine hvis det gjøres tilpasninger?

Hvem skal bruke løsningen?

  • UiO-brukere?
  • Brukere i UH-sektoren i Norge?
  • Akademikere i andre land?
  • Studenter? Ansatte?
  • Hvilke grupper av ansatte eller studenter?
  • Allmenheten? Publikum?
  • Deltagere i forskningsprosjekter?
  • Er bruken frivillig for brukerne, eller er brukerne pålagt å bruke systemet?
  • Er bruken f. eks. en del av et obligatorisk undervisningsopplegg?

Hvilke opplysninger skal overføres?

Ulike typer data har ulike krav til lagring og sletting. Du må selv sørge for å sette deg inn i de regler som til enhver tid gjelder for dataene som er aktuelle i ditt tilfelle.

Hvordan flyter data?

Hvilke data overføres hvordan? Og når?
Er overføringen kryptert? Kvalitet på kryptering? Hvilken score har serveren på SSLabs?
Flyter data tilbake?

  • Kan dette påvirke integriteten til våre egne lokale data?
  • Kan dette indirekte påvirke sikkerheten på lokale løsninger?

Overføres informasjon om brukerne?

  • Brukernavn, fullt navn, e-post, telefonnummer?
  • Hvordan lagres denne informasjonen? Hvordan og når slettes den?
  • Provisjonering – ved bruk, eller i bulk.

Hva benyttes data til?

De vanlige kommersielle skyløsningene har ofte standard vilkår. Disse selskapene forbeholder seg ofte retten til å bruke dataene til mer enn UiO ønsker eller aksepterer. Ikke trykk på «akseptér» uten å vite hva du sier ja til.

Benyttes dataene kun til ditt formål, og innenfor det avtalene tillater?

  • Er dette spesifisert godt nok?
  • Kan det skje endringer over tid?
  • Har alle parter den samme oppfatningen av avtalen?

Kan leverandøren benytte data til eget formål? Du må vurdere om dette er lov.

  • Forbedring av tjenestene?
  • Til reklame / markedsføring?
  • Kan data selges til tredjepart?
  • Til profilering av brukerne? Brukes systemer som f. eks. Google Analytics?

Brukerhåndtering og tilganger

Autentisering av brukerne

  • Er brukerne lokale for løsningen?
  • Synkroniserer løsningen passord fra UiO? Hvordan lagres disse?
  • Bruker løsningen en form for autentiseringsløsning - SAML2, FEIDE, Dataporten, LDAP, Active Directory?

Autorisasjon og tilgangsstyring

  • Hvordan håndteres grupper?
  • Opprettes disse manuelt, eller brukes UiO sine kildesystemer?
  • Hvordan oppdateres disse?
  • Har man et rollebegrep?

Innrullering, avslutning og sperring

  • Hvordan gis tilgang? Av hvem?
  • Hvordan fjernes tilganger?
  • Kan en sperre en bruker ved tap av passord, eller mistanke om misbruk?

Hvem har gjort hva når?

  • Hvordan lagres historikken?
  • Sporing av endringer
  • Sporing av bruk
  • Kan man avdekke uautorisert bruk?
  • Tilgang for leverandørens driftspersonell
  • Tilgang for vårt eget driftspersonell

Merkantile forhold

Eierstrukturer hos leverandør - hvor er firmaet etablert?
Hvilke underleverandører brukes av hovedleverandøren? Brukes disse i flere ledd og over landegrenser?
Hvilke rutiner gjelder for bytte av underleverandører? Blir kunden varslet? Påvirker dette avtalen?
Lisenser

  • gratis er ikke alltid gratis
  • må det ut på anbud?

Bruksvilkår - «fair use»
Er eierskap til dataene regulert i avtale?
Hva skjer når man vil si opp avtalen og slutte å bruke tjenesten?
Har man en «Exit-strategi»?
Hva skjer med dataene når avtalen avsluttes?
Har man en spesifisert tjenestekvalitet? Finnes det en SLA (Service Level Agreement)?
Hvordan håndteres variasjoner i bruksmønster, f. eks. ved semesterstart? («altinn.no»-effekten)
Hvilke sanksjonsmuligheter har man?
Avvikshåndtering - setter avtalene begrensninger?

Juridiske forhold

Har man inngått de nødvendige databehandleravtaler? Er man allerede dekket av en eksisterende slik avtale?
Blir eventuelle avtaler signert av personer med gyldig signeringsmyndighet? Kan personen signere avtaler på vegne av UiO?
Risikoanalyser

  • Er systemet innenfor akseptabel risiko?
  • Hvem eier denne risikoen? UiO som kunde, eller sluttbruker?

Har man lovlig grunnlag for å overføre data til utlandet?

  •  EU/EØS? USA? Andre land?

Formåls- og hjemmelsvurderinger

  • Har man rettslig grunnlag for behandlingen av dataene?
  • Hva skal systemet brukes til?
  • Er det nødvendig med samtykke fra brukerne?
  • Hvem utformer brukernes samtykke-erklæring? Kunden eller leverandøren?
  • Har brukerne fått nødvendig informasjon? Er bruken frivillig?
  • Finnes det lovhjemmel for å samle inn data, for eksempel personopplysninger eller bedriftshemmeligheter til dette?

Personvern

  • Hvordan oppfyller leverandøren kravene til «Innebygd personvern»?
  • Har systemet trygge standard-innstillinger?

Oppdateringer, endringer og avvik

Hvordan oppdateres tjenesten?

  • Kontinuerlig? Varsles dette? Kan du som kunde styre det?
  • Kan endringer utløse endringer i avtaler eller risikoanalyser?
  • Kan det avtales rammer som det kan endres innenfor?

Sikkerhetshendelser

  • Hvordan vil du som kunde bli varslet om avvik og sikkerhetshendelser?
  • Har du muligheter til å avdekke det selv?
  • Har du tilgang til logger?
  • Når kan du få tak i leverandøren? Er du en liten kunde som lett kan ignoreres av en stor leverandør?

Driftsmiljø

Hvor lagres datene fysisk? Serverhaller? Amazon Web Services? Microsoft Azure?
Hvordan håndteres backup (sikkerhetskopiering) og restore?
Hvordan holdes våre data separat fra andre kunders data?
SLA – oppetid?
Tilgang til data

  • Fra vårt driftspersonell
  • Fra leverandørens driftspersonell
  • Fra utenlandske myndigheter
  • Fra underleverandører

Har du tilgang på logger?

Revisjon og tilsyn

Hvordan sikrer du at leverandøren overholder alle krav?
Kan du føre tilsyn? Kan du teste sikkerheten?
Kan tredjepart utføre tilsyn?

  • Tilgang på rapporter
  • Muligheter ved avvik

Hvilke sertifiseringer er involvert? Hvilke har leverandøren?

  • ISO 27001
  • ITIL
  • Hva er faktisk dekket i hele løsningen? Og hva er «reklame» fordi det bare gjelder en liten del av løsningen?

Rapportering og registering

Systemer som brukes til registrering av personopplysninger skal registreres i UiOs oversikt over slike systemer, den såkalte «meldeappen». Dette gjelder i praksis de aller fleste skytjenestene,

Om bildet i artikkelen: «Copyright Chris Watterston. All rights reserved -- Resale, distribution, intention to gain profit, or usage in or out of context of the artwork 'There Is No Cloud', in any format, is forbidden without written agreement by Chris Watterston.»

Av Ståle Askerød Johansen, Asbjørn Tingulstad Hem
Publisert 29. nov. 2017 11:26 - Sist endret 6. juni 2019 14:47