Sådan beskytter OneDrive dine data
Microsoft-ingeniører administrerer OneDrive ved hjælp af en Windows PowerShell-konsol, der kræver to-faktor-autentifikation. Vi udfører daglige opgaver ved at køre workflows, så vi hurtigt kan reagere på nye situationer. Ingen ingen ingeniører har stående adgang til tjenesten. Når ingeniører har brug for adgang, skal de anmode om det. Det kontrolleres, om de er berettigede, og hvis ingeniørernes adgang godkendes, er det kun for en begrænset periode.
Dertil kommer, at OneDrive og Office 365 investerer kraftigt i systemer, processer og personale for at reducere sandsynligheden for brud på persondatasikkerheden og for hurtigt at opdage og afbøde konsekvenserne af et brud, hvis det alligevel sker. Nogle af vores investeringer på dette område omfatter:
Adgangskontrolsystemer: OneDrive og Office 365 har en politik om “nul stående adgang”, hvilket betyder, at ingeniører ikke har adgang til tjenesten, medmindre der udtrykkeligt gives adgang som reaktion på en specifik hændelse, der kræver forhøjelse af adgangen. Når der gives adgang, sker det i henhold til princippet om mindste privilegier: Tilladelse til en specifik anmodning giver kun mulighed for et minimumsæt af handlinger, der er nødvendige for at kunne behandle den pågældende anmodning. For at gøre dette opretholder OneDrive og Office 365 en streng adskillelse mellem “elevationsroller”, hvor hver rolle kun giver mulighed for at udføre visse foruddefinerede handlinger. Rollen “Adgang til kundedata” adskiller sig fra andre roller, der mere almindeligvis bruges til at administrere tjenesten, og den undersøges mest grundigt, før den godkendes. Tilsammen reducerer disse investeringer i adgangskontrol i høj grad sandsynligheden for, at en ingeniør i OneDrive eller Office 365 får uhensigtsmæssig adgang til kundedata.
Sikkerhedsovervågningssystemer og automatisering: OneDrive og Office 365 opretholder robuste sikkerhedsovervågningssystemer i realtid. Disse systemer giver bl.a. advarsler om forsøg på ulovlig adgang til kundedata eller forsøg på ulovlig overførsel af data ud af vores tjeneste. I forbindelse med de punkter om adgangskontrol, der er nævnt ovenfor, fører vores sikkerhedsovervågningssystemer detaljerede optegnelser over de anmodninger om forhøjelse, der er indgivet, og de handlinger, der er foretaget i forbindelse med en given anmodning om forhøjelse. OneDrive og Office 365 har også investeringer i automatisk løsning, der automatisk handler for at afbøde trusler som svar på problemer, som vi opdager, og dedikerede teams til at reagere på advarsler, der ikke kan løses automatisk. For at validere vores sikkerhedsovervågningssystemer gennemfører OneDrive og Office 365 regelmæssigt red-team-øvelser, hvor et internt penetrationstestteam simulerer angriberadfærd mod det levende miljø. Disse øvelser fører til regelmæssige forbedringer af vores sikkerhedsovervågnings- og reaktionsmuligheder.
Personale og processer: Ud over den automatisering, der er beskrevet ovenfor, har OneDrive og Office 365 processer og teams, der er ansvarlige for både at uddanne den bredere organisation om processer for beskyttelse af privatlivets fred og hændelseshåndtering og for at udføre disse processer under et brud. Der vedligeholdes f.eks. en detaljeret Standard Operating Procedure (SOP) for brud på privatlivets fred, som deles med teams i hele organisationen. Denne SOP beskriver i detaljer de roller og ansvarsområder, som både de enkelte teams i OneDrive og Office 365 og de centraliserede sikkerhedshændelsesreaktionsteams har. Disse omfatter både, hvad teams skal gøre for at forbedre deres egen sikkerhedstilstand (foretage sikkerhedsgennemgange, integrere med centrale sikkerhedsovervågningssystemer og andre bedste praksis), og hvad teams skal gøre i tilfælde af et egentligt brud (hurtig eskalering til incidentrespons, vedligeholde og levere specifikke datakilder, der vil blive brugt til at fremskynde responsprocessen). Teamene bliver også regelmæssigt uddannet i dataklassificering og korrekt håndtering og opbevaringsprocedurer for persondata.
Den vigtigste pointe er, at OneDrive og Office 365, både for forbruger- og virksomhedsabonnementer, investerer kraftigt i at reducere sandsynligheden for og konsekvenserne af brud på persondatasikkerheden for vores kunder. Hvis der sker et brud på persondatasikkerheden, er vi forpligtet til hurtigt at underrette vores kunder, når bruddet er bekræftet.