IT-sikkerhed anno 2019

2018 har været et stort år indenfor IT-sikkerhed. Meget har ændret sig, især på grund af persondataforordningens implementering, som vi stadig ikke har set enden af. På samme tid skaber teknologiens udvikling konstant nye sårbarheder, som IT-kriminelle kan udnytte. For at undgå disse trusler er det vigtigt, at vi holder os opdaterede på deres udvikling. Derfor vil vi i denne blogpost gennemgå, de udfordringer, som vi forventer, vil kendetegne IT-sikkerhed i 2019.



Persondataforordningen anno 2019 


Persondataforordningens indførelse i år har allerede påvirket den globale IT-sikkerhed, og det kommer ikke til at stoppe. Den nye lovgivning har skabt en større opmærksomhed omkring behandling af persondata, men det har for mange virket utydeligt, hvad der præcist skulle til for at overholde lovens krav. Dette bliver dog tydeligere i takt med at der udstedes de første GDPR-relaterede bøder rundt omkring i Europa. Dette har vi allerede set i bl.a. Østrig, hvor de udstedte deres første bøde på baggrund af, at en butiks overvågningskamera fangede for meget af det omkringliggende område. Et andet eksempel er i Portugal, hvor et hospital har fået en bøde på €400.000 på baggrund af, at patienters persondata var tilgængelig for uvedkommende i deres IT-system.  

Her forventer vi at se mange flere af disse bøder i 2019. Disse bøder og afgørelser tydeliggør, hvad der forventes af de europæiske virksomheder og mere konkret, hvad der skal til for at undgå disse massive bøder. Herhjemme i Danmark har Datatilsynet endnu ikke udstedt nogle bøder, men det forventer vi sker i løbet af 2019. Vi forventer, at disse kommende bøder både vil skabe en større motivation for at leve op til lovens krav og en større forståelse for, hvad dette egentlig vil sige.  


Vi forventer også, at lovgivningen fortsat vil skabe opmærksomhed omkring persondata og sikker behandling deraf. Dette forventer vi vil komme til udtryk ved, at forbrugerne i større grad vil bedømme virksomheder på deres databehandling. Usikker databehandling og læk af persondata gav selvfølgelig også et dårligt omdømme inden persondataforordningen, men med den øgede opmærksomhed vil det have større konsekvenser end tidligere.  



Cloud-tjenester 


Vi har tidligere snakket om cloud-tjenester og deres implikationer i forhold til IT-sikkerhed på denne blog, men dette emne fortjener at nævnes igen, for denne udfordring forventer vi vil udvikle sig i det kommende år. I takt med at vi implementerer ”skyen” i mere af vores hverdag både i forbindelse med arbejde og i det private, bliver det også en større sårbarhed i vores sikkerhed. Her er det vigtigt at huske, at der ikke findes nogen “sky” som ens data opbevares i, men at det altid bare er en anden computer. På baggrund af dette forventer vi, at IT-kriminelle i 2019 vil fokusere på at finde og angribe svagheder i disse cloud-tjenester. Vi bliver altså nødt til at være særligt opmærksomme på, hvordan vi benytter disse services, især når vi i vores brug af dem også behandler persondata. 



Vores forventninger opsummeret 


For at opsummere forventer vi, at 2019 vil blive året, hvor vi vil blive klogere på, hvilken effekt persondataforordningen egentlig vil få for de europæiske virksomheder. Dette vil ske i takt med, at vi ser flere og flere GDPR-relaterede bøder blive udstedt. På samme tid vil den stigende brug af cloud-tjenester skabe nye sårbarheder, som IT-kriminelle vil prøve at udnytte.  

 
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.   

Data i “skyen”

 Flere og flere organisationer benytter sig af Cloud-tjenester til at opbevare og behandle deres data.  Dette er sket på grund af Cloud-tjenesters mange fordele, men det skaber også nye trusler inden for IT-sikkerhed. I denne blogpost vil der blive gennemgået, hvad man indenfor IT-sikkerhed skal være opmærksom på, når man benytter sig af en Cloud-tjeneste.



Helt kort kan en Cloud-tjeneste beskrives som en IT-service, der lader dig gemme data på servere, som en udbyder stiller til rådighed. Du kan herefter tilgå disse servere fra alle dine godkendte enheder, som hvis din data altid hang i en ”sky” over dig. Denne tanke om at din data er i en ”sky” kan dog let skabe en falsk følelse af sikkerhed i forhold til din datas sikkerhed, så det er vigtigt at huske, at dine data i virkeligheden bare er gemt på en computer i et datacenter.


Der er primært tre grunde til at bruge en Cloud-tjeneste:


  • Det gør det let for jeres medarbejdere at tilgå deres filer og samarbejde om fælles filer

  • Det gør det muligt for jer, som organisation, at styre hvordan jeres filer og data kan behandles og tilgås

  • Der bliver automatisk lavet backup af filerne, i tilfælde af at filerne kompromitteres lokalt


Med disse grunde kan man godt forstå at mange benytter Cloud-tjenester, men der er også udfordringer, som f.eks.:


  • I situationer uden internet er jeres data utilgængelig, med mindre den er blevet synkroniseret med jeres enheder

  • Uopmærksomme medarbejdere som tilgår filerne fra forskellige enheder kan kompromittere jeres data

  • Eftersom at alt jeres data er i én kurv, er et sikkerhedsbrud en endnu større trussel end ellers


Modsat hvad mange tror, er det faktisk i langt de fleste situationer brugerens og ikke udbyderens ansvar at holde sin data sikker, når de benytter en Cloud-tjeneste. Dette skyldes at sikkerhedsbrud kun i få situationer skyldes en sårbarhed i Cloud-tjenesten system, men oftest skyldes forkert håndtering fra administrator eller brugerens side.

Konsekvenserne af forkert brug af Cloud-tjenester kan være mange, som f.eks. tab af data eller usikker håndtering af persondata, som går i strid med persondataloven. Generelt er Cloud-tjenester udfordrende i forhold til at overholde persondatalovens krav om sikker håndtering af personoplysninger, da mange forskellige brugere håndterer disse personfølsomme data og derved kan håndtere dem usikkert. Hvis du er i tvivl om, hvordan du skal håndtere persondata, skal du spørge den IT-ansvarlige i din organisation.



Disse sikkerhedsbrud og brud på persondataloven kan undgås, så længe man er opmærksom på hvordan man benytter Cloud-tjenester og har sikre retningslinjer for brugen fra organisationens side. Her er tre gode tips til at bruge skyen sikkert:

  • Benyt aldrig din private Cloud-tjeneste til arbejdsrelaterede data

  • Tilgå aldrig din arbejdsrelaterede Cloud-tjeneste fra et usikkert netværk

  • Benyt kun den Cloud-tjeneste, som dit arbejde anbefaler

Cloud-tjenester kan være et godt arbejdsværktøj, så længe man bruger det med omtanke og forstår dets udfordringer og begrænsninger. Her er endnu et klart eksempel på, at medarbejdernes kunnen er lige så stor en del af IT-sikkerhed som det tekniske aspekt.  


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.