Denna artikel är del av en serie av artiklar som diskuterar rättsliga krav och risker med Office 365 utifrån GDPR, OSL och annan relevant lagstiftning. Läs de andra delarna i serien här.
Microsoft Office 365 har blivit en populär molntjänst bland myndigheter, regioner, kommuner och andra offentliga verksamheter. Men användning av Office 365 kan leda till säkerhetsrisker om tjänsten används i sin standardkonfiguration. Samtidigt ställer dataskyddsförordningen (“GDPR”) och annan lagstiftning höga krav på säkerhetsåtgärder, inte minst vid användning av molntjänster.
Office 365 gör det möjligt för medarbetare att genomföra sina arbetsuppgifter vart som helst och på valfria digitala enheter. Vissa verksamheter ser detta som en möjlighet för ett friare arbetssätt som avskaffar begränsningar. Enligt dessa verksamheter blir det lättare för medarbetare att komma åt information och delar denna med kollegor, kunder och andra som behöver den, en process som frigör kreativa krafter och skapar innovation. Andra verksamheter har en mer återhållsam inställning enligt vilken avsaknaden av begränsningar för informationsutbyte kan leda till informationsläckage och säkerhetsincidenter som skadar verksamhetens ekonomi och rykte.
Begränsning av åtkomst
Office 365:s standardkonfiguration tillåter användarna att komma åt samtliga tjänster via webbapplikationer oavsett vart de befinner sig i världen. Detta gör det exempelvis möjligt för medarbetare att läsa sina mejl från en publik dator på ett hotell i Thailand eller på ett internetcafé i Indien. Det finns säkert situationer när detta är motiverat och nödvändigt. Samtidigt innebär denna globala åtkomstmöjlighet en öppning för externa angripare som försöker att komma åt verksamhetens data. Åtkomsten till Office 365 kan dock begränsas till specifika länder och till IP-intervaller. Om det inte finns en specifik anledning varför en medarbetare ska kunna logga in från ett annat land bör denna möjlighet begränsas.
Vidare tillåter standardinställningarna i Office 365 att användare loggar in i tjänstens appar från vilken digital enhet som helst. En medarbetare kan till exempel synkronisera sin OneDrive till familjens surfplatta som även används av andra familjemedlemmar. Eller så kan medarbetaren skapa privata säkerhetskopior av filer, e-post, adresser och annan information som lagras i tjänsten. Detta innebär en ökad risk för att obehöriga kan komma åt verksamheters skyddade informationstillgångar. Samtidigt blir det lättare för medarbetaren att ta med sig information till nästa jobb eller lämna ut den till obehöriga tredje parter. Denna risk kan begränsas genom att endast tillåta på förhand registrerade digitala enheter att logga in i tjänsten.
Begränsning av datadelning
Ytterligare en risk med OneDrive är att medarbetare som utgångspunkt kan dela filer och mappar med individer utanför verksamheten utan några begränsningar. Processen är enkel. Allt som krävs är att skicka en inbjudan till den som mappen eller filen ska delas med. Denna enkelhet innebär samtidigt en risk för att inbjudan skickas till fel person, som exempelvis en kontakt i adressboken som har ett liknande namn som kollegan som inbjudan egentligen var riktad till. En felaktig inbjudan kan leda till avslöjande av konfidentiell eller sekretessbelagd information, eller till personuppgiftsincidenter. Verksamheter behöver vanligtvis inte dela filar eller mappar med utomstående. Office 365 kan konfigureras på ett sätt som begränsar delningar med utomstående. Det är också möjligt att definiera policyer som möjliggör delningar i en begränsad omfattning.
Stark autentisering
En viktig åtgärd för att förebygga phishing-attacker och andra former av dataintrång, särskilt när data är åtkomlig via internet, är två-faktors autentisering eller någon annan form av stark autentisering. I Office 365:s standardkonfiguration kräver tjänsten inte två-faktors autentisering eller någon annan form av stark autentisering för inloggning. Detta leder till olika typer av risker. Avsaknaden av stark autentisering gör det exempelvis enklare för medarbetare att dela sina inloggningsuppgifter med kollegor och på detta sätt kringgå organisationens regler för åtkomst till informatoin. Detta innebär en ökad risk för konfidentialitetsbrott och personuppgiftsincidenter (även interna brott mot regler för behörighetsstyrning räknas). Därutöver är det lättare för externa angripare att komma åt information som lagras i tjänsten när stark autentisering saknas. Stark autentisering är således ett effektivt skydd mot en extern angripare som har kapat en medarbetares inloggningsuppgifter exempelvis via en phishing-attack. Även om angriparen känner till medarbetarens lösenord kan denne inte logga in i tjänsten. För detta krävs att angriparen har tillgång till en annan autentiseringsfaktor som till exempel medarbetarens telefon som genererar engångslösenord. Office 365 erbjuder omfattande stöd för flera olika metoder av stark autentisering. Mot bakgrund av den ökade hotbilden (phishing attacker har blivit allt vanligare) kan det nästan betraktas som vårdslöst att inte aktivera Office 365:s stöd för stark autentisering.
Kryptering och Customer Lockbox
De risker som redovisas ovan avser hot som härrör från verksamhetens medarbetare och externa angripare. Användning av Office 365 aktualiserar dock även ett annat hot, att leverantörens medarbetare kan komma åt verksamhetens information och nyttja den för egna ändamål. Då Office 365 är en amerikansk molntjänst aktualiseras även risken att USA:s brottsbekämpande myndigheter kan komma åt information som hanteras i tjänsten inom ramen av den omfattande övervakningen som bedrivs av dessa myndigheter. Office 365 krypterar som standard data som överförs och lagras i tjänsten. Utöver detta erbjuder Office 365 avancerade möjligheter för kryptering som till exempel bring your own key. Men även om en verksamhet skapar sina egna krypteringsnycklar kan Microsoft använda nycklarna för att dekryptera data som hanteras i tjänsten. Detta krävs för att tjänsten ska kunna fungera. Den avancerade kryptering som erbjuds av Office 365 är således ingen end-to-end kryptering som gör det omöjligt för leverantören att dekryptera verksamheters data.
Microsoft erbjuder därutöver en tjänst som kallas för Customer Lockbox. Om en verksamhet beställt denna tjänst förpliktar sig Microsoft att inte tillåta åtkomst till verksamhetens data utan att en representant från denna verksamhet godkänt åtkomsten. Tjänsten är intressant och marknadsförs som ett verktyg för compliance. En intressant fråga är dock hur Microsoft hanterar tillgång kunddata som inte omfattas av Customer Lockbox.
Rättsliga risker kvarstår
Det är viktigt att notera att samtliga av ovanstående åtgärder inte avhjälper risken att användning av Office 365 innebär en tredjelandsöverföring som efter EU-domstolens beslut i Schrems II-målet kan leda till överföring av personuppgifter till USA som är i strid med GDPR (läs mer om detta här). Användning av Office 365 kan också innebära att sekretessbelagda uppgifter röjs i strid med offentlighets- och sekretesslagen (läs mer om detta här).
Sammanfattning
Office 365 erbjuder omfattande stöd säkerhetsåtgärder. Ett flertal säkerhetsåtgärder är dock avstängda i tjänstens standardkonfiguration. Verksamheter som vill använda Office 365 rekommenderas att konfigurera tjänsten på ett ändamålsenligt sätt som leder till en önskad säkerhetsnivå. Säkerhetsåtgärderna som kan konfigureras varierar beroende på vilken licens som köpts av Microsoft, något som kan leda till ökade kostnader. Avsaknaden av lämpliga säkerhetsåtgärder kan leda till personuppgiftsincidenter och tillsyn av dataskyddsmyndigheter som även kan utfärda sanktionsavgifter. Därutöver kan enskilda kräva skadestånd från verksamheter i samband med personuppgiftsincidenter. Efter EU-domstolens avgörande i Schrems II-målet är det i dagsläget nästintill omöjligt att använda Office 365 utan att bryta mot GDPR.
Vill du lära dig mer om GDPR, molntjänster och informationssäkerhet kan du läsa om våra aktuella kurser här.
Vill du ha hjälp med rådgivning i frågor om IT och dataskydd kan du läsa mer här.