Sikkerhet i Legal 365 og Microsoft 365

1. Generelt

Data tilhørende Legal 365 og Microsoft 365 er lagret og driftet i Microsoft sine verdensklasse datasentre, med datasenteret i Irland som primære datasenter. Microsoft har nylig etablert Azure datasentre i Oslo og Stavanger (2019/2020), og så snart alle tjenester er tilgjengelig i disse datasentrene og Microsoft har etablert rutiner for migrering av data fra ett datasenter til et annet, vil data og tjenestene kunne flyttes til de norske datasentrene.

Microsoft innehar svært mange sertifiseringer og ISO standarder etter de strengeste sikkerhetsytelse tester som finnes. I tillegg er brukerdata beskyttet ved at Microsoft har avtaler med EU, Privacy Shield (arvtaker til Safe Harbor) og Standard Contractual Clauses (SSC) https://blogs.microsoft.com/eupolicy/2020/07/16/assuring-customers-about-cross-border-data-flows/.

Microsoft er eneste globale SaaS leverandør som har finansiell støttet SLA opptidsgaranti på sine tjenester ovenfor sine kunder.

2. Microsoft 365

Microsoft 365 Business Premium (Tidligere Office 365 Business Premium) er nå en sammensatt pakke av tidligere Office 365, Advance Threat Protection og Microsoft Intune. Sammen gir dette en rekke viktige sikkerhetsfunksjoner og sentralisert styring og overvåking av status av brukere og enheter i organisasjonen, påtvunget sikkerhets innstillinger og policy om lagring og bruk av selskapsdata.

Les: https://docs.microsoft.com/nb-no/microsoft-365/business/security-features?view=o365-worldwide

2.1 Antivirus

Dagens Windows maskiner inneholder standard antivirusprogramvare fra Microsoft. Den er kjent for å kreve svært lite ressurser av maskinen, noe som ofte kan oppleves som problem med andre antivirus programvarer. Med Microsoft 365 har man et sentralisert admin grensesnitt for å overvåke at alle enheter er oppdatert med siste virussignaturer og påtvinge fullt virusscann ved definerte intervaller. Microsoft er ledende på sofistikert AI drevet antivirus og e-post sikkerhetsfunksjoner for å oppdage nye type trusler som ikke er registrert i sikkerhetsprogramvaren enda. Microsoft har enorme mengder data i sine globale datasentre, og har derfor en unik posisjon til å utarbeide AI drevet sikkerhetsprogramvare og funksjoner for sine kunder.

2.2 Generelt om e-post sikkerhet

All e-post behandles i Exchange Online Protection for trusler som spam, malware, pishing og ransomeware (løsepengevirus). Dette utføres av en sofistikert AI drevet vedlegg scanning og analyse av øvrige skjulte trusler, samt at hyperlinker i e-posten analyseres om det er del av phishing-skjema eller utrygg nettside.

Microsoft 365 Business Premium har funksjon for å sende kryptert e-post, noe som kan være viktig i kommunikasjon over e-post med klient, motparter og andre aktører i en sak.

2.3 Advance Threat Protection

Advance Threat Protection er inkludert i Microsoft 365 Business Premium og inneholder en rekke sikkerhetsfunksjoner og mekanismer:

Beskyttelse mot sofistikerte skjulte trusler i e-post vedlegg og linker, og «cutting edge» beskyttelse mot såkalte 0-dagers trusler

Fjern slette selskapsdata på enheter som er mistet eller stjålet

Konfigurere restriksjoner hvor å kopiere eller lagre selskapsdata til uautoriserte apper eller lokasjoner med app protection for Office mobile apps

Information Rights Management for å kontrollere eksempelvis kopiere og videresende adganger i en e-post

Exchange Online Archiving av e-post for langsiktig og planlagt oppbevaring av e-poster utenfor Exchange Online. Sletting av e-post i Outlook blir dermed ikke slettet i Exchange Online Archive

Sentral konfigurering og utrulling av sikkerhetsinnstillinger på pc og mobile enheter, eksempelvis passord, kryptering av data og automatisk sletting av data ved enheter som ikke benyttes lenger. Angi om selskapsdata kan lagres på private enheter i tillegg til bedriftsregistrerte enheter.

Sentral utrulling og oppdatering av Windows og Office oppdateringer.

BitLocker datakryptering lokalt på enhet slik at dersom uvedkommende får tilgang enhet kan ikke data uten videre lastes ut og leses da de er kryptert med unik krypteringsnøkkel pr maskin

2.4 2-faktor

Det er sterkt anbefalt at alle brukere har aktivert 2-faktor autentisering, som enten forgår via en app installert på sin mobile enhet eller SMS-kode. Avant IT kan sentralt påtvinge dette på alle brukere i tenant (organisasjonen). Her er det også viktig å påpeke at alle våre integrasjonsprosesser benytter moderne Oauth2 autentisering, f.eks. mellom Legal 365 og økonomisystemet, slik at det ikke er nødvendig med noen unntak for 2-faktor autentisering på brukere i organisasjonen. Utover dette har de forskjellige integrasjonsprosessene kun minimum av rettigheter til hva den kan lese, opprette og skrive av data opp mot integrasjonsfunksjon de utfører.

Normalt sett konfigureres det unntak for 2-faktor når man er på kontornettverket.

2.5 Backup/restore

Det utføres daglig og regelmessig backup av kundens data i Microsoft datasenter. Det er i tillegg replikert til backup datasentre i Holland. Evt restore av datalagringsområder og e-post bestilles og utføres av Avant IT, eller sentral Microsoft Support dersom det er nødvendig. Det er funksjoner i det skybasert fillagringstjenesten (Sharepoint Online) som automatisk legger slettede filer i en brukerkontrollert søppel kasse. Dersom brukeren også sletter filene der, legges det i en «firma søppelkasse» som kun administrator her mulighet til å tømme, evt ved automatiske dataoppbevaringer policy. Sharepoint Online har også automatisk versjonering av dokumenter slik at man enkelt kan gå tilbake og åpne tidligere versjoner av et dokument.

Avant IT tilbyr 3-part backup/restore som en tilleggstjeneste fra en 3-parts leverandør innlemmet i Microsoft 365 tjenestene. Dette gir større fleksibilitet og funksjonalitet rundt backup/restore av data, større mengder backupdata og lagring av backup over lengre tid, samt større adgang til selfservice uten å kontakte Microsoft Support for å utføre en restore.

2.6. SLA

Kunden er beskyttet av Microsoft standard SLA for Microsoft Online services. Last ned norsk versjon på https://www.microsoftvolumelicensing.com/DocumentSearch.aspx?Mode=3&DocumentTypeId=37

Historisk sett er opptiden mellom 99,97 og 99,99% siste 3-4 år. Se https://docs.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/service-health-and-continuity

3. Legal 365

3.1 Tilgangsroller

I Legal 365 har man et sofistikert tilgangssystem med forskjellige brukerroller som gir ulike adganger til både data som kan leses av bruker og hva som kan opprettes/redigeres. Dette konfigureres normalt sett på overordnet tabell nivå, men kan også konfigureres helt ned på feltnivå på felter som er definert som enten person sensitive eller sensitiv av annen årsak.

3.2 Audit logg

Det er en fullstendig audit log på både hvem som har opprettet og endret på data, inkludert hvem endret, når ble det endret, fra hvilken verdi til hvilke verdi ble det endret. I tillegg er det en sentral audit logg på at en bruker har lest tilhørende data til en oppføring, f.eks. om en bruker har åpnet en sak blir det logget at vedkommende har lest den saken og tilhørende informasjon som notater til sak.

3.3 Inaktivitet/reautentisering

Legal 365 har konfigurerbar tid for at bruker blir automatisk logget ut av systemet ved enten inaktivitet, eller at bruker må angi brukernavn og passord på nytt f.eks. hver 12 time selv om brukeren har vært aktiv hele tiden.

 3.4 Backup/restore Legal 365

I Microsoft Dynamics infrastruktur plattformen som Legal 365 baserer seg på, går det kontinuerlig backup slik at det er mulig å utføre en restore av databasen til hvilket som helst tidspunkt på døgnet inntil 28 dager bak i tid. Det er også mulig å lengre bak i tid enn 28 dager ved å kontakte Microsoft support. Restore prosedyrene kan utføres av Avant IT eller annen Global Admin in Office 365 tenanten via et self service grensesnitt. Vi kan da enten restore tilbake til PROD basen eller til en annen midlertidig database slik at man kan overføre utvalgte data fra restoret base til Prod base. Se link til beskrivelse under.

Sikkerhetskopiering og gjenoppretting av miljøer – Power Platform | Microsoft Docs

Selve databasen er en Azure Microsoft SQL database og er underlagt backup og disaster recovery policy til Microsoft for Microsoft Azure Managed SQL services. Det går full backup en gang i uka og differential backup for alt som er endret siden forrige fulle backup hver 12-24 time. I tillegg benyttes transactionslog som igjen tas backup av hvert 5-10 minutt. I praksis betyr det at backup utføres hvert 5-10 minutt. Se link under for ytterligere beskrivelse.

Automatic, geo-redundant backups – Azure SQL Database & Azure SQL Managed Instance | Microsoft Docs

3.5 Legal 365 klientportal

Legal 365 tilbyr som eneste aktør i bransjen en tilhørende klientportal til bruk for advokat og klient for å utveksle informasjon og dokumenter i stedet for e-post. Dette tilrettelegger på en langt bedre måte for klient å kunne utveksle informasjon med sin advokat på en enkel og sikker måte.

3.6 Legal 365 Teams

Legal 365 tilbyr som eneste aktør i bransjen integrasjon mot Microsoft Teams og automatisk provisjonering av en Team site tilhørende en sak. Dette gjøres gjerne i større saker hvor det er mange aktører, mye dokumentutveksling og møtevirksomhet mellom advokat og klient, eller ved behov for Datarom. Ved bruk av Microsoft Teams kan dette foregå på en enkel og trygg måte slik at man unngår å sende sensitiv klient/saksinformasjon på e-post.

3.7 Microsoft SLA

Legal 365 benytter Microsoft Dynamics infrastruktur som plattform og er derfor beskyttet av standard Microsoft SLA og generelt av hvordan Microsoft skytjenester blir driftet i Microsoft verdensklasse datasentre.