Er personopplysningene sikre hos Lånekassen?

Vi arbeider kontinuerlig for å beskytte personopplysninger og annen konfidensiell informasjon. For å gjøre dette må vi ha en helhetlig tilnærming til informasjonssikkerhet.

I Lånekassen jobber vi på flere måter for å beskytte dine rettigheter og dine opplysninger:

  • Ansatte - vi jobber målrettet for å sikre kunnskap, holdninger og bevissthet og gjennom det redusere menneskelige sårbarhetsfaktorer.
  • Teknologisk – vi jobber for å sikre at systemene er robuste mot eksterne cybertrusler og å redusere sårbarheter som oppstår gjennom samhandling med tredjeparter og gjennom ansattes bruk av systemene.
  • Organisatorisk – vi jobber for å sikre at ansvar blir plassert, at risikostyring blir en del av Lånekassens virksomhet, og at det utarbeides rutiner og retningslinjer for sikker informasjonsforvaltning.

Sikkerhetsarbeidet innebærer også at vi jevnlig gjennomgår ulike faktorer som risikoeksponering, tilgjengelig teknologi, forretningsbehov og lovkrav. I sum bidrar dette til at vi har tidsriktige og effektive sikkerhetstiltak som skal forhindre at dine opplysninger og rettigheter blir truet.

Under følger en mer konkret beskrivelse av hvordan vi jobber og hva vi har etablert av tiltak for å beskytte dine opplysninger.

Informasjonsbeskyttelse

Når dine data fra våre tjenester transporteres over internett, beskyttes de med kryptering enten dette er mellom din nettleser og Lånekassens tjenester eller på tvers av Lånekassens fysiske lokasjoner. Dette forhindrer muligheten for uautorisert tilgang til disse dataene mens de er under transport.

Når vi behandler dine opplysninger (eksempelvis prosesserer og lagrer), skjer dette i én dedikert og adskilt nettverkssone i våre datasenter kalt sikker sone. Dette er i tråd med Datatilsynets veileder for sikkerhetsarkitektur. I sikker sone isoleres dine personopplysninger fra internett og fra andre administrative løsninger som Lånekassen benytter. Under beskrives noen av de viktigste sikringsmekanismene som understøtter denne isolasjonen.

Tilgangskontroll

Både ansatte, innleide konsulenter og eksterne samarbeidspartnere av Lånekassen er underlagt lovbestemt taushetsplikt. I tillegg skal det foreligge et tjenstlig behov før tilganger tildeles. Dette praktiseres ved at det er etablert en rekke ulike roller som gir ulike typer tilganger. Ved anmodning om en ny tilgang, blir tjenstlig behov vurdert i forkant av tildelingen. Dersom tilgangen det anmodes om gir adgang til skjermingsverdig informasjon vil to uavhengige personer kontrollere at det foreligger et reelt tjenstlig behov.

Lånekassen har også etablert årlig kontroll av tilganger for å fange opp og eventuelt korrigere avvik.

Teknologiske tiltak

I Lånekassens IT-infrastruktur er det etablert tre sikkerhetssoner; sikker-, intern, og ytre sone. I ytre sone finnes alle tjenester eksponert på internett. I intern sone ligger alle administrative tjenester, nettverk og PCer, mens alle kundeopplysninger og Lånekassens kjerneløsninger ligger i sikker sone. Sikker sone er beskyttet lagvis med flere sikringsnivåer:

  • Sikker sone er ikke eksponert direkte mot eller direkte fra internett
  • Kun forhåndsgodkjente PCer kan koble seg til Lånekassens nettverk
  • Kun autoriserte brukere får tilgang til sikker sone
  • Flere ulike nettverksbarrierer og -teknologier forhindrer at data kan flyte utilsiktet eller ukontrollert fra sikker sone til andre soner
  • Saksbehandlere og andre autoriserte brukere har som standard ikke mulighet til å kopiere kundedata eller annen informasjon fra saksbehandlingsløsningen i sikker sone til en av de andre sonene, f.eks. til en arbeidsstasjon i intern sone
  • To-faktorautentisering er innført for å redusere risiko for brukernavn og passord på avveie
  • Det er etablert fysisk skallsikring for adgang til våre lokaler
  • PCer og servere er konfigurert etter beste praksis med hensyn til sikkerhet (eksempelvis: skadevarebeskyttelse, krypterte harddisker, styrt og administrert gjennom sikkerhetspolicyer, applikasjonskontroll-løsninger og lignende)

Monitorering, deteksjon og feilsøking

Lånekassen har etablert mekanismer for å monitorere, detektere og forhindre innbrudd og misbruk av våre løsninger og tjenester. Disse mekanismene tjener flere formål, å beskytte dine data fra eksterne trusselaktører, samt å forhindre at interne ressurser misbruker tilliten.

Alle logger som benyttes i forbindelse med monitorering, deteksjon og feilsøking, og som kan være direkte eller indirekte identifiserende, er lagret i sikker sone og beskyttet tilsvarende som personopplysningene.

Hendelseshåndtering og kontinuitet

Selv med gode forebyggende sikringstiltak, vil det alltid være en gjenværende risiko for at noe uønsket kan oppstå. Lånekassen har derfor etablert rutiner for håndtering av slike uønskede hendelser. Hensikten er at vi så raskt som mulig skal kunne forstå, begrense, håndtere og gjenopprette situasjonen dersom en slik hendelse skulle oppstå.

Du som kunde har også rett på tilgang til dine data. Vi har derfor etablerte prosesser for sikkerhetskopiering, slik at tjenester så raskt som mulig kan gjenopprettes ved driftsrelaterte hendelser uten tap av data.

Innbruddstesting

For å kontrollere at de teknologiske sikringstiltakene som implementeres fungerer som tiltenkt, gjennomfører Lånekassen blant annet jevnlige innbrudds-tester. Disse gjennomføres av profesjonelle tredjeparter og gir Lånekassen en god rettesnor på hvorvidt vi er sårbare for eksterne trusselaktører.