Informasjonssikkerhet handler om å sikre konfidensialitet, integritet og tilgjengelighet til informasjonen vår og målet vårt er å beskytte våre egne og våre kunders data.

Dette gjør vi ved å redusere antall sårbarheter på maskiner, og unngå sikkerhetshendelser knyttet til programvare som ikke hører hjemme på en maskin fra Bouvet.  

Her finner du informasjon om våre rutiner og hva du må tenke på vedrørende utstyr og sikkerhet, samt oversikt over hvilke krav som stilles til enheter som synkroniserer data fra Bouvet.

Les også 

Husk! 
Dersom kunden har en strengere policy, må denne følges. 

Sammendrag – Dette skal ikke gjøres på enheter som synkroniserer data fra Bouvet 

  • Ikke installer eller koble opp mot privat VPN. 

  • Det er kun Bouvet, og evt kunden sin VPN som skal benyttes. 

  • All form for P2P fildeling, piratkopiering og kryptomining er forbudt. 

  • Det skal ikke legges til rette for fjernaksess mot maskinen hvor formålet er å jobbe eller utføre arbeidsoppgaver fra en annen PC. 
    Fjernaksess for support du selv har bedt om er tillat. Vi ønsker at slike tilfeller rapporteres, men du trenger ikke å vente på godkjenning. 

  • Det skal ikke installeres eller kjøres spill eller spill-platformer (som for eksempel Steam, Epic Games Launcher, og Origin). 

  • Det skal ikke installeres andre sikkerhetsprogrammer enn de som administreres av IT. 

  • Du skal ikke forsøke å omgå Bouvets sikkerhetstiltak, for eksempel ved å installere programvare som holder maskinen ulåst, gi deg selv permanente administratorrettigheter eller deaktivere andre sikkerhetskontroller som UAC osv. 

  • Ettersom enkelte retningslinjer gjelder brukere og ikke maskiner, er det viktig at vi bruker Bouvet-brukeren, og IKKE oppretter egne, lokale brukere på våre maskiner.

  • Det skal ikke gjennomføres eksamen som benytter såkalt "remote proctoring", til slikt skal en dedikert eksamen-PC benyttes. 

  • Vi bruker ikke Mimikatz, nmap og andre "red team"-verktøy. 

  • Vi har retningslinjer for offensiv testing på Min Side. 

Viktig om utstyr og informasjon 

Passord og tofaktor innlogging

Ikke bruk Bouvet-passordet til andre tjenester utenfor Bouvet, som f.eks LinkedIn, Facebook osv.  
Vi tilbyr passordhånteringsløsning til alle. Den skal benyttes til kunde- og prosjektrelaterte passord og andre credentials, med mindre kunden har valgt en annen løsning. 

Passord skal aldri lagres utenfor løsninger som er dedikert til håntering av ”secrets”! 

Når du forlater maskinen din, er det viktig at den låses. Vi anbefaler at du bruker biometrisk autentisering, da kan den låses opp igjen på ett sekund, og du behøver ikke lure på noen har vært på den i mellomtiden. 

Mer informasjon om bytting av passord finner du på Min side.

Nettbrett og mobiler 

For å koble nettbrett og mobiler mot Bouvets systemer, som f.eks. Microsoft 365, må de være krypterte og beskyttet med pinkode eller bedre autentisering. 

Du skal være bevisst på hva du installerer for å minimere angrepsflaten – for eksempel råder vi alle ansatte til å ikke installere unødvendige apper på enheter som har tilgang til Bouvet- eller kundedata. 

For eksempel på slike applikasjoner se - https://nsm.no/aktuelt/anbefaler-ikke-tiktok-eller-telegram-pa-tjenesteenheter 

Pass deg for Phishing! 

Såkalt «phishing» blir stadig mer avansert og er i dag den mest brukte og vellykkede formen for angrep. Disse angrepene kan være vanskelige å avsløre da de kan være skreddersydde for mottaker (deg) og din organisasjon. Tiden hvor du kunne kjenne dem igjen på hjelpeløst språk er forbi. 

Formålet er å lure deg til å gi fra deg opplysninger på en eller annen måte, eksempelvis brukernavn og passord til diverse tjenester, eller informasjon om Bouvet eller Bouvets kunder. 
Phishingen spiller ofte på impuls. De forsøker for eksempel å fremkalle frykt og/eller opplevelsen av at du må svare på tiltale eller utføre en handling raskt. 

Vær oppmerksom på: 

  • Hvem er egentlig avsender? 

  • Forventer du meldingen / er den til deg? 

  • Hvor peker eventuelle lenker? 

  • Er det vedlegg med, hvorfor? 

Dersom du vet eller mistenker at du har gått i fellen skal du følge rutinen for kompromittert enhet på Min side. 

På farten eller skal du til utlandet? 

Du kan gjerne jobbe hjemmefra eller fra andre steder med Bouvet-maskin, men pass godt på den og benytt alltid Bouvets, eller kunden sin VPN. Veiledning for å sette opp Bouvet sin VPN finner du på Min Side. 

Pass på at du alltid har maskinen under oppsyn. Det er ikke tillatt å reise med Bouvetutstyr i innsjekket bagasje, det skal være i håndbagasjen. 

Vær klar over at enkelte land har lovgivning som kan medføre at du må vise frem informasjonen på elektronisk utstyr eller sosiale medier 
Du skal ikke under noen omstendigheter dele passord og/eller konfidensiell informasjon med andre, enten de er fra Bouvet eller kunde. 

Bouvets retningslinjer for bruk av utstyr på reise finner du på Min Side. 

Kundens evt. policy for fjernarbeid eller reise skal alltid følges. 

Mistet maskinen din? 

Hvis utstyr med lagret informasjon tilhørende Bouvet eller våre kunder (pc’er, andre lagringsmedier, mobiler) blir borte, skal du umiddelbart melde en sikkerhetshendelse på https://sir.bouvet.no

Oppdaget noe mistenkelig? 

Oppdager du ting som kan utgjøre en sikkerhetsrisiko så rapporterer du det som en sikkerhetshendelse på https://sir.bouvet.no

Dette kan være alt fra brudd på, eller manglende rutiner, til mistanke om angrep, som f.eks. at du har trykket på akkurat den linken du ikke skulle ha trykket på. 

Lagring av informasjon 

I sikkerhetsinstruksen står det: 

5. Lagring 

Alt materiale, som f.eks. dokumenter, kildekode, design, data osv.som produseres i oppdrag for Bouvet eller Bouvets kunder, skal lagres på Bouvet-administrerte eller kunde-administrerte IT-løsninger. Du skal ikke lagre slikt materiale på tredjepartsløsninger der Bouvet eller kunden ikke har administrativ kontroll på tilganger og innhold. Eksempler på dette kan være privat Dropbox og Google Drive. 

Det betyr at du ikke skal lagre data på maskiner, medier eller tjenester som Bouvet eller kunden ikke kontrollerer. Dvs. du SKAL anvende tjenester godkjent av Bouvet. 

I Bouvet graderer vi informasjonen vi håndterer i tre hovedkategorier: 

  • Åpen 

Åpen informasjon er informasjon som er åpent tilgjengelig for alle, også utenfor Bouvet 

  • Bedriftsintern 

Informasjon som, hvis den kommer på avveie, til en viss grad kan skade Bouvet, ansatte eller kunder. Dette er default gradering på all informasjon vi har.        

  • Sensitivt 

Informasjon som, hvis den kommer på avveie, i stor grad kan skade Bouvet, ansatte eller kunder. Skal kun lagres i dedikerte systemer eller i dokumentbiblioteker med egen sikkerhetsregime 

For mer informasjon se: «Klassifisering av Informasjon i Bouvets ISMS» 

Backup av data 

Vi kjører regelmessige sikkerhetskopier av både SharePoint-rom og ansattes OneDrive-kontoer. 

Du får gjerne bruke din personlige OneDrive til backup av private data, feriebilder, osv. men husk: Hvis du laster opp sensitive private data havner dette i backupen vår. 

Sikkerhetskopiene av OneDrive-kontoer blir slettet 180 dager etter at ansettelsen opphørte 

Tilgangsrettigheter og utstyr i oppdrag 

Det er prosjektleders ansvar å gi deltakere i prosjektet tilstrekkelige tilganger når de kommer inn i prosjekt og å fjerne tilgangene når deltakere ikke lenger trenger disse.   
Dette gjelder overalt, eksempelvis områder som: Current, Jira, Wiki, kildekodesystemer og andre prosjektrelaterte områder. 

Hvis det er eksterne som går ut av prosjektet, skal prosjektleder også sørge for at pc’er og annet utstyr som er Bouvets eller Kundens eiendom blir innlevert. 

Hvis det ikke er en dedikert prosjektleder, så har leveranseansvarlig dette ansvaret. 

På kontoret

Alle besøk skal registreres og besøkende skal bære besøkslapp synlig på brystet. 

Besøkende skal ikke etterlates uten tilsyn i lokalene. 

For å hindre informasjonslekkasje er fotografering, video og lydopptak for publiseringsformål kun tillatt på anviste steder. Vær ellers varsom når du tar bilder, video og lyd, at du ikke uforvarende “lekker” kundedata, persondata eller fotograferer folk som ikke vil være med på bildet. 

Ta kontakt med vår CISO dersom du har spørsmål. 

Alle Bouvetansatte skal, så lenge de oppholder seg i Bouvets lokaler, til enhver tid bære Bouvet ID-kort med bilde og navn godt synlig rundt halsen. Dette for at vi effektivt skal kunne identifisere evt ikke-ansatte som oppholder seg i lokalene, og gjøre nødvendige tiltak overfor disse. 

Dersom du mister ID-kortet skal du melde det å https://sir.bouvet.no snarest. 

Tilgang til sensitiv informasjon skal begrenses til de som trenger opplysningene for å utføre sine oppgaver. 
Du må derfor fjerne/slette slik informasjon som kan være tilgjengelig for flere enn de som behøver tillgang till informasjonen. Dette gjelder spesielt tavler/flipper når møtet/arbeidet er avsluttet og før et nytt møte starter i samme rom. 

Innlevering av utstyr 

PC’er og annet utstyr med lagring, som du ikke skal bruke mer, skal leveres inn til IT for sletting. 

Før utstyret bytter eier, må enhetens data slettes, dette gjelder selv om utstyret skal gå fra en ansatt til en annen. 

Automatisk videresending av E-post 

Automatisk videresending av E-post til andre domener er ikke tillatt. 

På Min Side kan du lese mer om bruk av e-post i Bouvet. 

Krav som stilles til enheter som synkroniserer data fra Bouvet 

Programvare på maskiner fra Bouvet 

Bouvet eller kunden skal stille med lisens til de programmene du trenger. Finner du programvare på internett som er gratis må du gjøre noen undersøkelser på forhånd. Dette må sjekkes:  

  • Tillater utgiver at du bruker programvaren på en firmaeid maskin uten å betale lisens? 

  • Det er ditt ansvar å lese lisensvilkårene ("EULA"). 

  • Eksempler på programvare som bare kan brukes på private maskiner - selv om de er gratis: 

  • CCleaner 

  • Malwarebytes 

  • Følger det med uønsket programvare når du installerer gratis versjonen? 

  • Her anbefaler vi at du laster opp installasjonsfilen til virustotal.com for å sjekke etter malware. 

  • Eksempel på program som har med uønsket programvare: 

All programvare som du installerer på maskinen skal oppdateres jevnlig. 

Alle programmene som installeres på en enhet øker angrepsflaten, og du bør derfor tenke på om du virkelig trenger å installere programmet. Er det en nettleserversjon som har samme funksjonalitet? 
IT oppfordrer alle til å avinstallere programvare som ikke brukes, og heller installere dette igjen når du eventuelt får bruk for det. 

Det er ikke tillatt å installere spill eller spill-plattformer (som for eksempel Steam, Epic Games Launcher og Origin). Det skal ikke installeres andre sikkerhetsprogrammer enn de som administreres av IT. Du får ikke bruke din maskin til "mining" eller P2P-fildeling. 

Programvare på maskiner fra Bouvet: Ettersom enkelte retningslinjer gjelder brukere og ikke maskiner, er det viktig at vi bruker Bouvet-brukeren, og IKKE oppretter egne, lokale brukere på våre maskiner.

Mimikatz, nmap, malware og andre "red-team"-verktøy hører ikke hjemme på maskinen. Hvis våre overvåkningstjenester avdekker slike programmer, vil det gå en alarm i våre interne systemer og maskinen vil bli isolert fra nett. Har du behov for å kjøre verktøy som normalt ikke hører hjemme på maskinen, ta kontakt med IT i forkant, så finner vi en løsning. 

Arbeid fra privat maskin? 

Du får aldri jobbe fra en privat PC/Mac, da vi ikke kan gå god for at sikkerheten til enheten lever opp til våre standarder. 

Vi er nødt til å etterleve våre kunders krav om å ikke tillate bruk av maskiner som ikke er under Bouvets eller kundens kontroll. Vi har tidligere hatt hendelser knyttet til arbeid fra private enheter, et eksempel finner du beskrevet på Min Side. 

Du kan heller ikke melde inn en privat maskin inn i Bouvets sikkerhetssystemer, da disse samler inn mye data fra aktiviteten på maskinene. Det skaper i tillegg mye unødvendig støy i loggene og ekstra arbeid for IT. 

Regler for bruk av VPN 

Det er kun Bouvets, og eventuelt kunden sin, VPN som skal benyttes. 

Du skal altså aldri logge på noe som helst sted med kontoen fra Bouvet når du er tilkoblet en privat VPN-tjeneste, f.eks NordVPN, ExpressVPN, ProtonVPN. 
Dette gjelder alle typer enheter, mobil, privat PC osv. 

Husk at apper på telefonen hele tiden synkroniserer data. Du kan derfor ikke ha en privat VPN-tjeneste på telefonen når du har satt opp synkronisering av e-post f.eks. 

Ved pålogging fra en slik tjeneste sperres din konto automatisk. 

Høyrisikoutstyr 

Høyrisikoutstyr som offentlig tilgjengelig PCer (lobby-PC, bibliotek-PC, etc.) har hverken du som bruker eller Bouvet kontroll på, om trafikken er overvåket eller ikke, om tastetrykk blir logget eller overvåket, eller om noen står bak og ser på.  

Samlet sett er det veldig høy risiko ved bruk av slikt utstyr. 

Det er derfor ikke tillatt å logge inn på Bouvet- eller kunde-kontoen fra denne typen utstyr. 

Har du spesielle behov?

Dersom du har spesielle behov, vennligst ta kontakt med IT.