Ef spurningar vakna, þá hvetjum við starfsfólk til að hafa samband við þjónustuborð Umbru tolvudeild@rfs.is eða fyrirspurnarsíðu á innri vef sinnar stofnunar.
Efnisyfirlit
- Hlutverk Umbru og tilgangur Intune og Defender
- Hver er raunverulegur aðgangur Umbru?
- Upplýsingar um aðgang Umbru að aðgerðaskrám (audit logs) í Microsoft 365
- Algengar spurningar
Umbra – þjónustumiðstöð stjórnarráðsins rekur sameiginlegt Microsoft 365 umhverfi (skrifstofuumhverfi ríkisins) fyrir margar ríkisstofnanir. Innleiðing umhverfisins er áfangaskipt og hafa ríkisaðilar möguleika á því að innleiða 2. og 3. áfanga sem bæta við lausnum sem ætlað er að tryggja öryggi, stöðugleika og gæðastjórn á stafrænum vinnuumhverfum. Meðal annars er verið að ræða um lausnir eins og Microsoft Intune og Microsoft Defender for Endpoint.
Eðlilegt er að vera tortryggin gagnvart slíkum lausnum – því er mikilvægt að vera skýr um hvað Umbra getur gert, hvað ekki, og hvaða gögn eru í raun aðgengileg.
Hlutverk Umbru og tilgangur Intune og Defender
| Lausn | Tilgangur | Dæmi um virkni |
|---|---|---|
| Microsoft Intune | Umsjón og öryggisstýring tækja | Setja öryggisstillingar, virkja dulkóðun, auðkenning tækja, læsa tæki ef það glatast |
| Microsoft Defender for Endpoint | Greina og bregðast við öryggishættum | Varnir gegn spilliforritum, óæskilegum keyrslum og greining á óvenjulegri hegðun í kerfum |
Bæði Intune og Defender nýta gervigreind og hegðunargreiningu til að greina:
- Impossible travel (t.d. ef innskráning kemur frá tveimur löndum á svipuðum tíma).
- Risky sign-ins (t.d. ef notandi skráir sig inn frá óþekktri IP-tölu).
- Óvenjulegar keyrslur á vefþjónum eða álag á netþjónustum.
Ef tæknin greinir eitthvað af ofangreindu, þá birtast ábendingar um slíkt í stjórnborðum Umbru en upplýsingar eru ekki notaðar til að „fylgjast með einstaklingum“, heldur til að bregðast við mögulegum öryggisógnum á kerfisstigi.
Hver er raunverulegur aðgangur Umbru?
| Atriði | Umbra getur, að beiðni ríkisaðila | Umbra getur ekki |
|---|---|---|
| Stillingar á vinnuhlutum | Stjórnað öryggiskröfum (t.d. skjálás, dulkóðun) | Farið inn á skjöl notenda eða breytt efni á skjá |
| Uppfærslur og hugbúnaður | Dreift hugbúnaði og uppfærslum miðlægt | Keyrt hugbúnað án samþykkis notanda |
| Greining og viðbrögð | Séð hvort veira fannst á tæki og brugðist við (læsing á tæki þar til hreinsað) | Skoðað vafrasögu, skjöl eða skjámyndir |
| Eyðing/læsing tækis | Eytt gögnum tækis (útstöð, símtæki) ef það glatast | Eytt gögnum tækis án beiðni frá tengilið ríkisaðila |
| Samskiptagögn | Afhent umbeðin gögn til persónuverndarfulltrúa ríkisaðila að undangenginni réttmætri beiðni | Skoðað tölvupóst, gögn, aðgerðarskrár án skriflegs samþykkis notanda og persónuverndarfulltrúa ríkisaðila |
Upplýsingar um aðgang Umbru að aðgerðaskrám (audit logs) í Microsoft 365
Sem umsjónaraðili Microsoft 365 umhverfisins hefur Umbra aðgang að ákveðnum annálum/aðgerða-skráningum (e. audit logs) sem Microsoft skráir sjálfkrafa um virkni notenda og kerfa. Þeim er m.a. ætlað að tryggja gagnsæi, rannsaka öryggisatvik og uppfylla lagalegar kröfur.
Hvað er skráð?
- Innskráningar, t.d. hvenær notandi skráir sig inn og hvaðan.
- Breytingar á stillingum í SharePoint, Teams, Outlook.
- Aðgerðarskrár skjalanotkunar, opnun skjala, eyðing, deiling o.s.frv.
- Áskriftir á gögnum, sendur póstur, samræður o.fl. eftir kerfum.
Hver er tilgangurinn?
- Að geta rannsakað hvort innskráning sé á réttum forsendum.
- Að styðja við öryggisgreiningar ef grunur leikur á ógn.
- Að tryggja sögu um breytingar og hver gerði hvað.
Hver má skoða þessar skrár?
- Ákveðnir starfsmenn Umbru með sértæk tímabundin réttindi og beiðni frá forráðamönnum ríkisaðila.
- Réttmætir beiðendur ríkisaðila.
- Öll vinnsla og skoðanir aðgerðaskráa eru skráðar og rekjanlegar.
- Umbra vinnur ávallt í samstarfi við stofnun við skoðun aðgerðaskráa.
Má Umbra nota aðgerðarskrár til að „fylgjast með" notanda?
- Nei. Aðgerðarskrár eru einungis ætlaðar til notkunar við rannsóknir, atvikagreiningar og viðbragða ef ógn er til staðar.
- Öll vinnsla og skoðanir aðgerðaskráa eru skráðar og rekjanlegar.
- Umbra vinnur ávallt í samstarfi við stofnun við skoðun aðgerðaskráa.
Hversu lengi eru þessar skrár geymdar?
- Almennt eru aðgerðarskrár geymdar í 90 daga fyrir flestar Microsoft þjónustur.
- Hægt er að lengja þann tíma ef stofnun óskar sérstaklega eftir því.
Algengar spurningar
Hefur Umbra aðgang að tölvunni minni?
✅ Ef tæki í eigu stofnunar er skráð í Intune, þá getur Umbra, í samráði við óskir ríkisaðila, beitt öryggisstillingum eins og að krefjast lykilorðs, virkja dulkóðun og tryggja öryggisstaðla.
❌ Umbra getur ekki skoðað skjöl, tölvupósta, vafrasögu eða önnur persónuleg gögn beint á tölvunni þinni.
Getur Umbra „farið inn“ á tölvuna ef þau vildu?
➡️ Tæknilega séð er hægt að framkvæma stjórnunarverkefni ef tæki er í Intune, en það er aðeins gert samkvæmt skriflegum verkferlum og í samráði við stofnunina. Það er ekki hægt að „sneiða framhjá“ notanda eða rekjanleika.
Getur Umbra séð hvað ég geri á netinu?
❌ Nei. Umbra rekur ekki vefvöktun og hefur ekki aðgang að vafraferli eða netnotkun nema slíkt hafi verið sérstillt af stofnun – og þá aðeins samkvæmt lögum.
Getur Umbra lesið tölvupóstana mína?
❌ Nei. Umbra hefur ekki aðgang að pósthólfi notenda. Aðeins ef um sérstaka öryggisrannsókn væri að ræða og stofnun óskaði eftir aðstoð, gæti slíkur aðgangur farið í formlegt ferli.
Getur Umbra skoðað skjöl á OneDrive?
❌ Nei, nema skjölin séu sérstaklega samnýtt af stofnuninni með stjórnunarheimildum og Umbra fái beiðni í samráði við stjórnanda viðkomandi stofnunar.
Getur Umbra eytt eða læst tæki?
✅ Já, ef tæki glatast og það er skráð í Intune, þá er hægt að fjarlægja gögn og læsa tæki – aðeins að beiðni stofnunar. Notendur geta sjálfir eytt út öllum gögnum úr farsímum (straujað) í gegnum vefpóstinn sinn.
Hvernig tryggir Umbra gagnsæi í starfsemi sinni?
✅ Allar stjórnunarathafnir eru skráðar, rekjanlegar og framkvæmdar í samræmi við verkferla. Umbra vinnur í nánu samstarfi við stofnanir og samkvæmt íslenskum lögum um persónuvernd og upplýsingarétt.
Er hægt að forðast að Umbra hafi nokkurn aðgang að tækinu mínu?
➡️ Ef tækið er í eigu þín sjálfs og ekki tengt við Microsoft 365-umhverfi stofnunarinnar (t.d. ekki í Intune), þá hefur Umbra engan aðgang eða stjórn yfir því.