Dataklassificering i Microsoft 365 – en översikt

Med den ökande cyberbrottsligheten så är det svårt att hålla jämna säkerhetssteg. It-säkerhetsbolaget Truesec uppger bland annat att ransomware-attacker ökat med 26 % under 2021 jämfört med 2020, enligt en artikel av svt. Bara i Sverige så finns det flera uppmärksammade exempel. Däribland anfallet mot leverantören av livsmedelskedjan Coops kassasystem, men även intrånget i Kalix kommuns it-system som utelåste användarna.

Nu när 2022 kommit så är det inte utan att en fundering uppstår om vad som är en säker väg framåt. Trenden med ökande mängd cyberanfall, mer instabilitet, och större brister i it-infrastrukturen är problematisk. På NetNordic så tycker vi det är viktigt att involvera organisationsanställda och it-slutanvändare i större grad. Även om ogenomträngliga it-skydd är på plats så spelar det ingen roll om känslig information skickas inifrån organisationen och ut.

Dataklassificering som koncept

Som en del av ett svar på it-säkerhetsproblemen så kommer ämnet dataklassificering in. Dataklassificering är ett välkänt uttryck som innebär precis vad det låter som. Det handlar om att klassificera information i olika fack, ofta beroende på hur känslig eller öppen informationen är. Till skillnad från kategorisering så handlar klassificering om att ange endast en nivå för dokumentet eller information, medan kategorisering kan involvera flera etiketter på samma gång.

I videon här under tar NetNordics medarbetare Rasmus och Henrik upp stora delar av blogginläggets innehåll. Vi rekommenderar därför att antingen se presentationen eller att fortsätta läsa inlägget under videon. Längst ner i inlägget finns en till videodemonstration av uppsättningen av dataklassificeringspolicyer i Microsoft 365.

4 huvudskäl att klassificera data

NetNordic menar att det finns 4 huvudskäl till att implementera dataklassificering inom en organisation. Det är medvetenhet, effektivitet, efterlevnad samt riskhantering.

Dataklassificeringens informerande roll

Att ha en policy på plats för dataklassificering är en start. Det hjälper att skapa ett sätt för användare att medvetet reflektera över den information som de hanterar. Vare sig det handlar om att en användare behöver ange vilken säkerhetsklassificering som ett dokument har när det skapas eller om ”konfidentiellt” finns vattenstämplat i ett mejl så hjälper det till att skapa förståelse. Användarna blir medvetna och påminda om vad som är känslig information. Det blir en direkt koppling till riskerna och en indirekt påminnelse om de säkerhetsrutiner som finns på plats.

Helt enkelt så är det viktigt att uppmärksamma för användare att information av känslig eller hemlig natur behöver hanteras med varsamhet. Det motverkar också tankesätt av karaktären ”bara den här gången”, ”vad spelar det för roll” eller ”det är så omständligt i systemet”. Det är perspektiv som inte nödvändigtvis är illvilliga, men konsekvenserna kan bli förödande ändå.

Med lagstiftning som till exempel allmänna dataskyddsförordningen (GDPR) så ökar kraven även där; vissa data får inte lagras hur som helst, den måste kunna raderas och den måste kunna redogöras för. Delar som alla blir långt mycket enklare med systematik. Inte i huvudsak för att skydda informationen från hot utifrån, utan för att öka medvetenheten och i förlängningen det interna skyddet.

Dataklassificering effektiviserar informationshanteringen

Den andra grundstenen kallar NetNordic för effektivitet, vilket i stort kan delas upp i två punkter. Den första är att det förenklar när revisioner eller granskningar tar plats. Det gör att organisationen enklare kan redogöra för vilken data som finns var och varför. När sådana kontroller genomförs så kommer en dataklassificeringspolicy att göra livet mycket enklare för alla inblandade.

Den andra punkten handlar om interna sök- och lagringsprocesser. En klassificeringsstrategi kan göra det tydligare för användare var, varför och hur dokument ska sparas samt hittas till följd av att ha klassificerats på vissa sätt. Kopplingen till förbättrat samarbete är därför tydlig, samtidigt som säkerheten och medvetenheten också följer.

Dataklassificering förenklar efterlevnaden

Inträdet av dataskyddsförordningen (GDPR) samt andra initiativ för integritet på internet, exempelvis CCPA, NIST med flera, har förändrat it-landskapet påtagligt. Vilken information som behandlas, var den lagras, hur den hanteras och mer omfattas av lagar och regelverk där bristande efterlevnad kan få kostsamma konsekvenser.

Stora bötessummor för GDPR-brister har krävts, och de nationella tillsynsorganen lär knappast sakta ner sökandet efter bristande efterlevnad. En dataklassificeringspolicy är ett steg mot bättre efterlevnad. Det gör att dokument innehållande personuppgifter, eller annan känslig information, direkt kan få lämplig klassificering och därmed minska risken för läckor eller otillåten behandling.

Dataklassificering tar kontrollen över it-risker

Den sista huvudanledningen till att etablera en dataklassificeringspolicy är att säkerhetsrisker minskar. Med klassificering så kan skyddsåtgärder etableras för särskilt klassad information, vilket kan hindra eller varna användare som försöker visa, skicka eller hämta viss information.

Det går även att ange att vissa data, eller vissa klasser, ska omfattas av andra säkerhetsåtgärder. Exempel på åtgärder är kryptering, varningsmeddelanden och blockeringar. I vissa fall handlar det alltså om att medvetandegöra rutiner för känslig information, ibland att hindra informationen från att skickas, och ibland att se till att läckt information inte kan nyttjas. Och i alla tre av fallen så är dataklassificering en säkerhetsåtgärd som hjälper med resan till en säkrare organisation.

7 steg mot att införa dataklassificering

Som hjälp för att komma till skott med att utforma och införa en dataklassificeringspolicy så har NetNordic samlat 7 steg som vi med vår erfarenhet anser centrala för att lyckas.

1. Ta fram en policy

Det första steget är att ta fram det teoretiska runt dataklassificeringen; vilka informationsklasser behövs, vilka konsekvenser skulle det ge av att intrång eller avbrott sker?

CIA-triaden

Vi rekommenderar att tänka utifrån den så kallade CIA-triaden. Bokstaven c står för confidentiality, alltså konfidentialitet. Andra bokstaven, i, står för integrity – det vill säga integritet. Den sista bokstaven, a, står för accessibility, eller tillgänglighet.

Konfidentialitet

Konfidentialitet kan göras synonymt med säkerhet, alltså vilka verktyg eller processer som ser till att information hålls konfidentiell. Här är yttre och inre säkerhetsåtgärder relevanta. Som tumregel så gäller att ju striktare säkerhetsåtgärder, desto sämre tillgänglighet.

Integritet

Integritet handlar dels om att datan är korrekt. Korrekt klassificerad, korrekt lagrad, korrekt utformad, valid, och så vidare. Rapporter och dokument som innehåller felaktig information eller är felklassificerade fyller knappast sina syften. Vilka verktyg eller åtgärder finns för att försäkra dataintegritet inom organisationen? Hur påverkar det användarupplevelsen och tillgängligheten?

Integritet handlar också om vilka kontrollåtgärder som finns för att upprätthålla individers integritet. Hög användarintegritet kan vara svår att kombinera med hög säkerhet, men fler kontrollerande och övervakande åtgärder har samband till lägre användarmotivation.

Tillgänglighet

Den sista delen är tillgängligheten, synonymt med användbarhet. Om det är svårt för användare att komma åt informationen de söker så kanske hittar andra vägar. För invecklade rutiner får snabbt motstånd och användarna kommer då att hitta alternativ. Sådana inofficiella vägar kan involvera skugg-it-lösningar, vilka är förknippade med användarfrustration, säkerhetsrisker och bristande struktur.

Idén med triad-modellen är att varje del påverkar de andra delarna. Är säkerhet så viktigt att det får vara på bekostnad av tillgängligheten? Eller är tillgängligheten så viktig att uppoffringar i dataintegritet och konfidentialitet är befogade?

Triaden är dels ett tankeexperiment som tvingar fram vilka prioriteringar som väger tyngst. Det är också en bra referenspunkt som kan användas för att utvärdera vilka konsekvenser som en policy kan få.

Informationsklasser

En central del i vilken dataklassificeringspolicy som helst är vilka informationsklasser som används. Informationsklasserna syftar alltså till de fack som dokument kan placeras i. Klasserna bör utformas för att ha en stigande nivå som reflekterar hur kritiska dokument kan vara för verksamheten. Klasserna bör också vara tydliga och begränsade i antal. Ju fler klasser och ju otydligare de är, desto större är risken att dokument klassificeras fel och att det blir mer komplext att båda skapa och hitta.

Beroende på behoven i organisationen så kan olika många klasser och underklasser behövas. Katergoriseringsetiketter kan också hjälpa till vid exempelvis sökningar efter dokument. En utgångspunkt till informationsklasserna är dock att använda den mycket klassiska indelningen:

Öppen/Public

Här samlas information som är publikt tillgänglig. Exempelvis innehåll till webbsidor eller vissa typer av marknadsföringsmaterial.

Organisationsdata/General

I den här klassen återfinns dagligt arbete som skapas inom organisationen. Information som inte är direkt tillgänglig för allmänheten men som inte skulle orsaka någon omfattande skada om det läckte.

Konfidentiell/Confidential

Sekretessklassad information som endast ska nyttjas av personer som har skäl att besöka dokumenten. Konfidentiell information är verksamhetskritisk som rör exempelvis strategiska mål.

Strängt konfidentiell/Highly confidential

Den striktaste klassificeringen. Information med den här klassningen är den allra mest känsliga informationen som organisationen har. Den får inte delas med andra än namngivna mottagare. Exempel är kund-/leverantörsuppgifter och avtalsdokument.

2. Definiera behov utifrån policyn

När en första policy har utformats så kan organisationens behov utvärderas. NetNordic rekommenderar tre grundläggande typer av analyser.

Datatyper

Den första handlar om vilka datatyper som organisationen behandlar, och i förlängningen behöver klassificera. Det kan bland annat gälla Office-dokument, e-post, CAD-filer, hela databaser, specialiserade filer för organisationsspecifika lösningar, eller andra typer av dokument.

En inventering av vad organisationen hanterar är viktigt, och kommer påverka val i senare steg. Det är inte ett steg att ignorera eller skynda igenom.

Relevans

Ett annat övervägande är huruvida klassificeringen gäller gamla och/eller nya data. Att gå tillbaka för att klassificera historiska data, vare sig manuellt eller via automatiserade verktyg, är en utmaning. Med det sagt så slutar det inte vara viktigt för det, så organisationen behöver antagligen planera hur och när samt för vad som policyn ska gälla.

Men eftersom klassificering av historiska data antagligen är mycket omfattande så kan en policy i stället implementeras för nyskapade dokument. De redan skapade filerna kan då med fördel klassificeras över tid i ett eget projekt.

Lagringsytor

Den sista punkten handlar om var informationen finns. Handlar det om att införa dataklassificering för dokument i molnet eller på lokala servrar? Beroende på var informationen finns så kan det påverka valet av bland annat den tekniska lösningen.

3. Utvärdera och implementera en teknisk lösning

Det tredje steget handlar om att jämföra och utvärdera tekniska verktyg, men även att välja och implementera lösningen. Vi rekommenderar att titta på verktyg från tre perspektiv, nämligen lösningens kapacitet, användarvänlighet samt dess analys- och styrningsmöjligheter.

Kapacitet

Under rubriken kapacitet faller det in överväganden om lösningens möjligheter och stöd. Vilka filformat stöds? Vilka databastyper? Finns stöd för kryptering? Finns det möjlighet att automatisera klassificering? Går det att massklassificera filer? Alla dessa är frågor som får olika svar för olika lösningar. Förarbetet är därför kritiskt.

Det är även extremt viktigt att inte välja en lösning utan att ha verifierat huruvida det finns stöd för de behov som organisationen har. Att välja exempelvis Microsofts verktyg för dataklassificering och senare upptäcka att alla filerna i organisationen inte stöds kan äventyra hela projektet.

Användarvänlighet

Under användarvänlighet så faller överväganden som gör det lättare för slutanvändare – de som i huvudsak kommer nyttja samt omfattas av verktyget. Graden av komplexitet vid användningen är ett exempel som kan försvåra den användarmässiga implementationen.

Fler saker att hålla utkik efter är bland annat huruvida verktyget har skrivbords- och webbläsarbaserade klienter, om det finns en integrationer direkt med datorns filhanterare samt om det finns stöd för mobila enheter.

Analys och styrning

För att få reda på om incidenter skett, för att kunna sätta upp regler samt för att kunna analysera och följa upp så behövs insiktsfunktionalitet. Analyser är viktiga för att se hur verktyget nyttjats och vad som gått bra, om det finns anledning att ändra något i policyn eller implementationen.

Beslut om att ändra eller skapa nya regler påverkas direkt av vilken insikt som finns om policyn. Det kan gälla att ta nästa steg i att implementera policyn, eller så kanske vissa regler är överflödiga eller för strikta. Utan analysvyer så är det svårare att få reda på den typen av information.

4. Tillämpa skydd och begränsningar

Att se över åtgärderna för de klassificerade filerna rekommenderar NetNordic som nästa steg.

Transportregler

Vilka regler som gäller för transport och vila behöver utformas. Vilka transportregler finns; kan dokument bifogas och skickas fritt? Reglerna för dokument som är under transport eller vilande sker i det här steget.

Kryptering

Behöver några dokument eller någon klass krypteras? Kryptering kan innebära stor påverkan på system och dokumenthanteringen, och är inte något som bör införas om det inte krävs. Men kryptering är ett av de bästa sätten att minska risken för läckt information, och kan därför vara väl värt att använda.

Vattenstämplar

Visuella hjälpmedel i dokument och mejl kan införas. Funktionen är främst tänkt att vara vägledande för slutanvändaren, men kan nyttjas tillsammans med hindrande åtgärder.

5. Etablera förvaltning

Nästa steg är att skapa en förvaltningsstrategi. Kopplat till förvaltning är att ha verktyg och rutiner för att analysera användningen. Ett sätt att bygga upp analysarbetet är via fyra leduttryck från Microsoft:

Know your data

Det första uttrycket fokuserar på att förstå organisationens data. Att lära känna den data som skapas och skickas inom, från och till organisationen. Det handlar om att förstå flöden, beroendeförhållanden och den allmänna it-strukturen i molnet och på lokala servrar.

Protect your data

Det andra uttrycket fokuserar på strategin som omfattar skyddet för datan. Huruvida det rör sig om tvingande och begränsande åtgärder eller vägledande och informerande åtgärder beror på verksamheten. Strategin bör vara flexibel och kontinuerligt formas av it-organisationens uppbyggnad och utveckling.

Prevent data loss

Uttryck nummer tre är analyserande. Översiktsverktyg och -rutiner behöver finnas för att förstå om och när användare riskerar att dela, radera eller ändra viktiga dokument. Det gäller vare sig handlingen är omedveten eller medveten. För även med skyddande och begränsande åtgärder på plats så kan användare ändå råka eller vilja skada organisationen. Se över delar som versionsåterställning och säkerhetskopiering, åtkomsträttigheter samt verktygen som överblickar användningen.

Govern your data

Det sista uttrycket fokuserar på åtgärder som gör organisationens datahantering stabil över tid. Automatiserade hjälpmedel som effektiviserar i it-strukturen kan vara till stor hjälp. Bland annat så kan det innefatta de varaktighetsperioder innan information arkiveras eller tas bort, eller översiktsverktyg som fokuserar på till exempel GDPR-efterlevnad.

Data Loss Prevention

Data loss prevention förkortas vanligen till DLP, och översätts till svenska som dataförlustskydd. Dataförlustskydd är en viktig del av dataklassificeringen – det är de verktyg som gör det möjligt att identifiera, spåra och skydda känslig information. Via Microsoft så kan DLP-verktyget använda maskininlärning och artificiell intelligens för att förstå vilken information som är känslig samt var den finns. Läs mer om dataförlustskydd på den här Microsoft-sidan.

Tillitsåtgärder

Att distribuera åtkomsträttigheter och ange vilka parter som är betrodda är också en del av förvaltningen. Det innefattar inte minst att utse vilka externa personer eller organisationer som ska ha vilken åtkomst. Till exempel så hade regler kunnat begränsa möjligheten att bifoga dokument i e-post för externa konsulter. Vattenmärken kan hjälpa till att synliggöra känslig eller konfidentiell information för att sprida medvetenhet bland externa samarbetspersoner och -organisationer.

6. Informera och utbilda

En av de allra viktigaste delarna återfinns som det sjätte steget. Det handlar om att utbilda och informera slutanvändare. Varför har nya rutiner införts, vad innebär dessa i praktiken, vad får organisationen samt användarna ut av det?

Kommunicera förändringarna

Att kommunikationen går ut på rätt sätt – att det är en stegvis övergång och att fokus ligger på förtroendeaspekten – är några delar som kommer hjälpa implementationen och användningen. Slutanvändare som motsätter sig rutinerna kommer alltid att hitta omvägar (även om de inte godkänts av organisationen), så det är viktigt att användare förstår både hur och varför rutinerna införs. Om introduktionen handlar mer om att införa kontroll och tvång så ökar snabbt risken för frustration.

Utbilda slutanvändarna

Microsofts metod med att ha ”champions” är ett sätt att hjälpa till med implementationen bland slutanvändare. Champions är i förväg utsedda slutanvändare som i förväg fått mer träning. De kan därför kan hjälpa sina kollegor med övergången till nya rutiner och bland nya verktyg, vilket minskar mängden ärenden och samtalen till support. Läs om Microsofts Champion-program här.

Support och förvaltning

Förvaltningspersonal samt supportpersonal är två andra delar som behövs för att lösa problem när de uppstår. Förvaltningspersonalen kan se över analytiska delar och anpassa regler och det tekniska utförandet. Supportpersonalen, å andra sidan, är mer till för att möta användare som stöter på problem av olika slag. Båda delarna behöver finnas redo för att åtgärda problem och för att hjälpa användare som vill ha stöd. Beroende på hur stor it-avdelningen är så kan det vara bättre att överlåta den här delen till externa parter för att minska den interna belastningen.

7. Lansera

Det sjunde och sista steget handlar om lanseringen. Inför en lansering så bör en kom-ihåg-checklista skapas för att de nya initiativen inte ska rullas ut för tidigt. Några av delarna att komma ihåg är:

Early Life Support

Ha tillgång till ”early life support” (ofta förkortat ELS). ES syftar till den beräknade ökningen av supportärenden som kommer att finnas i början av lanseringen. Att uppmuntra användare till att fråga om hjälp, och att de snabbt får utförlig hjälp ökar sannolikheten att användare vill utforska och lära sig det nya arbetssättet. Därför behöver det finnas större mängd supportpersonal i början, gärna i kombination med ett digitalt hjälpcenter där manualer och introduktionsdokument samlas.

Klienter och konfiguration

Installera och konfigurera desktop-klienter i förväg. Att eventuella nya programvaror redan finns installerade och redo för användning kommer att förbättra upplevelsen. Eller snarare, om lanseringen sker innan enheterna konfigurerats så kommer det knappast se bra ut. För att inte tala om avbrottet eller den fördröjda starten som det också innebär.

Aktivera policyer

Aktivera policyerna i plattformen. För Microsoft 365 så aktiveras dataklassificeringspolicyer och DLP-policyer i efterlevnadscentret. När de aktiveras så bör det finnas en första version som är lite mjukare och mer introducerande. Det får användare att utforska och förstå vad ändringarna innebär, och att gradvis övergå till det nya arbetssättet.

Aktivera tvingande policyer. Det sista steget är att aktivera tvingande policyer. Exempelvis gällande att nyskapade dokument måste tilldelas en klass, i stället för att det är en rekommendation. Det kan även handla om att dokument inte kan bifogas, i stället för att en varning visas.