4 Huskeregler til at Håndtere Sikkerhedsbrud

Over de sidste år er mængden af IT-angreb steget, hvilket betyder, at vi bliver nødt til at have en plan for hvordan vi håndterer sikkerhedsbrud. Derfor vil vi i denne blogpost gennemgå, hvordan i skal forholde jer til begrebet sikkerhedsbrud og hvordan i som organisation kan forberede jeres medarbejdere på sådanne brud. 



Hvad er et sikkerhedsbrud egentlig? 


Et sikkerhedsbrud er helt kort en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret. Det er altså et brud, så snart vi ved, at nogen uvedkommende har haft adgang til vigtige data eller systemer. Et sikkerhedsbrud er altså ikke kun de store skandaler vi kender fra medierne, men også situationer hvor der f.eks. er forsvundet en mappe med vigtige papirer eller en e-mail, der er blevet sendt til den forkerte modtager. Ofte rapporteres disse mindre sikkerhedsbrud ikke, hvilket kan skabe en sårbarhed i jeres virksomhed.  Dette er bekymrende, da antallet af IT-angreb er stigende, hvilket ses på grafen herunder.


 

4 Vigtige Huskeregler 


Det er selvfølgelig altid målet helt at undgå sikkerhedsbrud, men når uheldet er ude, er det vigtigt at have etableret en proces til at håndtere sådanne brud. Til at håndtere sådanne sikkerhedsbrud sikkert har vi lavet disse fire huskeregler:  



  1. Et sikkerhedsbrud er en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret.  

  2. Hvis sikkerhedsbruddet involverer persondata, stiller persondataforordningen krav om, at organisationen skal følge bestemte regler.  

  3. Du skal altid indberette et sikkerhedsbrud. Så kan hændelsen stoppes og sikkerheden forbedres.  

  4. Det er vigtigt, at du ved, hvem du skal rapportere et sikkerhedsbrud til. Det kan være en DPO (Data Protection Officer), den IT-ansvarlige eller lignende.  


Hvorfor rapporteres disse brud ikke? 


I nogle situationer rapporteres sådanne brud ikke af den simple grund, at medarbejderen ikke ved, at det de står overfor, kvalificerer sig som et sikkerhedsbrud. Sådanne situationer, hvor det er viden der er mangelvaren, kan løses igennem undervisning. Her er awareness-træning et åbenlyst bud.  



I andre situationer rapporteres et brud ikke af den simple grund, at medarbejderen er bange for de konsekvenser, det kan have. Disse situationer er sværere at undgå, da de kræver, at organisationen skaber en kultur, hvor ærlighed i sådanne situationer vægtes tungere end fejlen i sig selv.  



Til sidst ses også situationer, hvor en organisation administrativt vælger ikke at rapportere for ikke at undgå den dårlige omtale, som sådan et brud fører med sig. Udover at man her risikerer endnu dårligere omtale, hvis det opdages, at man har forsøgt at feje et brud under måtten, er der med den nye persondatalov også mulighed for store bøder.  



Konsekvenser ved et sikkerhedsbrud 


Som vi lige har pointeret, dækker begrebet sikkerhedsbrud bredt og derfor er det også naturligt at et sikkerhedsbrud kan have mange forskellige konsekvenser. Et sikkerhedsbrud kan f.eks. godt være helt uden konsekvenser i situationer, hvor uvedkommende har haft adgang til data, men ikke har udnyttet det. Dette har dog ændret sig efter GDPR, hvilket vi kommer ind på senere. I sådanne situationer er det dog stadig vigtigt at rapportere bruddet, da sikkerheden derved kan forbedres, og fremtidige sikkerhedsbrud kan undgås. I mindre heldige situationer kan konsekvenser være alt fra dårligt omdømme til store finansielle tab. Når uheldet er ude og vi oplever et sikkerhedsbrud kan ordentlig håndtering hjælpe os med at minimere disse konsekvenser.  



GDPR og Sikkerhedsbrud 


Med den nye persondataforordning, GDPR, følger der også nye krav til hvordan sikkerhedsbrud håndteres. Hvis persondata er blevet kompromitteret i et sikkerhedsbrud, har man som organisation 72 timer til at rapportere det. Hvis rapporteringen sker senere end dette, skal man som organisation kunne argumentere for hvorfor dette er sket. Udover dette skal der vurderes, hvorvidt de kompromitterede data skaber en risiko for persondataens ejere. Hvis dette er sagen, skal disse underrettes så hurtigt som muligt. Et eksempel på dette er hvis jeres brugeres passwords eller kontooplysninger er blevet kompromitteret. Her skal denne datas ejere have denne information så hurtigt som muligt, så de kan sikre sig selv. Hvis man ikke når at rapportere et sikkerhedsbrud indenfor 72 timer og ikke kan argumentere tilfredsstillende for hvorfor dette ikke skete, kan man ende med at få en bøde på op til 2% af organisationens årlige globale omsætning. At have en plan for hvordan man håndterer sikkerhedsbrud er altså vigtigere end 

nogensinde før. 



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.     

4 huskeregler til at undgå Social Engineering

Langt de fleste falder ikke længere for de gamle klassiske svindelnumre, som f.eks. den nigerianske prins som SÅ gerne vil dele sin formue. Det bliver straks sværere at spotte disse forsøg, når de bliver skræddersyet til at snyde netop os. En af metoderne IT-kriminelle bruger til at gøre dette hedder ”Social Engineering”, og i denne blogpost vil vi gennemgå, hvordan i kan undgå, at jeres organisation bliver et offer.  

 

 

Social engineering – helt kort 

 

Helt kort kan social engineering beskrives som forsøg på svindel, hvor afsenderen prøver at udnytte modtagerens sociale sider, som f.eks. tillid. Et klassisk eksempel er, at man modtager en e-mail fra sin chef, som vil have én til at overføre et beløb til en konto, man ikke har overført til før. Man har tillid til, at en e-mail fra ens chef er troværdig, og man overfører derfor pengene. Dette kunne undgås, hvis man dobbelttjekkede igennem et andet medie, som f.eks. telefonen, men dette gør man oftest ikke, da man har tillid til sin chef og gerne vil undgå at skabe unødigt bøvl.   

 

 

Hvor får de deres data fra? 

 

Disse skræddersyede angreb kræver selvfølgelig, at de IT-kriminelle har personlige oplysninger at arbejde med. Oftest kan de dog finde disse på enten jeres organisations hjemmeside, sociale medier eller bare simple søgninger på søgemaskiner. Jo flere personlige oplysninger der inkluderes, jo lettere er det at falde i fælden. At få fat i disse personlige oplysninger er blevet lettere over de senere år, især pga. sociale medier, og dette er muligvis en af grundene til stigningen i social engineering.  

 

 

Hvor skal jeg passe på? 

 

Disse forsøg på svindel vil jeres medarbejdere oftest møde i tekstform – enten over e-mail, SMS eller over sociale medier, men i sjældne tilfælde også over telefonsamtaler eller ved personlig kontakt. Det vigtigste værktøj, som jeres medarbejdere skal bruge til at håndtere disse angreb, er en kritisk indstilling. Med en kritisk indstilling menes der, at de ikke tager alt for gode varer. Et eksempel på dette, er at man stiller spørgsmålstegn ved de mails, som man får. Giver det mening, at man får denne mail på dette tidspunkt? Sådanne spørgsmål vil ofte kunne afsløre et forsøg på social engineering, men i yderst sofistikerede tilfælde på social engineering vil de ikke være nok. Så hvad gør man så? 

 

 

Better safe than sorry 

 

Hvis man vil være ét hundrede procent sikker på ikke at blive offer for social engineering, er det altså ikke nok bare at have en kritisk indstilling. Det kræver, at man sørger for at få bekræftet de oplysninger og instrukser man modtager. Det vil sige, at hvis man får en mail med instrukser, skal man søge bekræftelse igennem et andet medie eller ansigt til ansigt. Dette kan være svært at gøre, da man kan være bange for at blive set som besværlig. Det er derfor vigtigt, at hele organisationen implementerer denne kritiske kultur, så at jeres medarbejdere ved, at det ikke skaber besvær, men derimod et sikkert digitalt miljø.  

 

 

Undskyld, kan jeg hjælpe dig med noget? 

 

Denne kritiske indstilling hører ikke kun til i det digitale, men også på det helt fysiske kontor. Ser du en person, som du ikke har set før gå rundt på kontoret, så henvend dig og spørg om, hvem de leder efter. Husk bagefter at følge dem helt hen til denne person. Dette kan virke aggressivt og mistroisk, men man skal huske, at det netop er denne trang til at vise tillid, som de kriminelle udnytter.  

 

 

4 huskeregler til at undgå social engineering 

 

For at opsummere, hvordan man bedst undgår at falde for social engineering har vi lavet disse fire huskeregler: 

 

  1. Er du i tvivl om, hvorvidt en e-mail fra en organisation er reel, så kontakt dem via et andet medie og få en bekræftelse på validiteten af e-mailen.
     

  2. Overvej grundigt, om det giver mening, at du modtager en given forespørgsel. Er der forskel på tidligere forespørgsler af samme type? Eller er det den første af sin slags? Hvis det er den første af sin slags, skal du være ekstra opmærksom.  

  3. Møder du en person ved indgangen, som du ikke kender, så bed høfligt vedkommende om at anvende deres eget adgangskort. Hvis du lukker en gæst ind, burde du også følge dem hen til den relevante medarbejder.  
     

  4. Ser du en person gå uledsaget rundt i din afdeling, så spørg ind til personens ærinde, og følg ham/hende hen til den relevante medarbejder.  


 

Med mindre at organisationen som en helhed adopterer disse regler og den inkluderede kritiske holdning, vil jeres medarbejdere ofte ikke følge disse regler, i frygt for at virke mistroiske. Det kræver altså en fælles indsats.  

 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.    

 

 

IT-sikkerhed anno 2019

2018 har været et stort år indenfor IT-sikkerhed. Meget har ændret sig, især på grund af persondataforordningens implementering, som vi stadig ikke har set enden af. På samme tid skaber teknologiens udvikling konstant nye sårbarheder, som IT-kriminelle kan udnytte. For at undgå disse trusler er det vigtigt, at vi holder os opdaterede på deres udvikling. Derfor vil vi i denne blogpost gennemgå, de udfordringer, som vi forventer, vil kendetegne IT-sikkerhed i 2019.



Persondataforordningen anno 2019 


Persondataforordningens indførelse i år har allerede påvirket den globale IT-sikkerhed, og det kommer ikke til at stoppe. Den nye lovgivning har skabt en større opmærksomhed omkring behandling af persondata, men det har for mange virket utydeligt, hvad der præcist skulle til for at overholde lovens krav. Dette bliver dog tydeligere i takt med at der udstedes de første GDPR-relaterede bøder rundt omkring i Europa. Dette har vi allerede set i bl.a. Østrig, hvor de udstedte deres første bøde på baggrund af, at en butiks overvågningskamera fangede for meget af det omkringliggende område. Et andet eksempel er i Portugal, hvor et hospital har fået en bøde på €400.000 på baggrund af, at patienters persondata var tilgængelig for uvedkommende i deres IT-system.  

Her forventer vi at se mange flere af disse bøder i 2019. Disse bøder og afgørelser tydeliggør, hvad der forventes af de europæiske virksomheder og mere konkret, hvad der skal til for at undgå disse massive bøder. Herhjemme i Danmark har Datatilsynet endnu ikke udstedt nogle bøder, men det forventer vi sker i løbet af 2019. Vi forventer, at disse kommende bøder både vil skabe en større motivation for at leve op til lovens krav og en større forståelse for, hvad dette egentlig vil sige.  


Vi forventer også, at lovgivningen fortsat vil skabe opmærksomhed omkring persondata og sikker behandling deraf. Dette forventer vi vil komme til udtryk ved, at forbrugerne i større grad vil bedømme virksomheder på deres databehandling. Usikker databehandling og læk af persondata gav selvfølgelig også et dårligt omdømme inden persondataforordningen, men med den øgede opmærksomhed vil det have større konsekvenser end tidligere.  



Cloud-tjenester 


Vi har tidligere snakket om cloud-tjenester og deres implikationer i forhold til IT-sikkerhed på denne blog, men dette emne fortjener at nævnes igen, for denne udfordring forventer vi vil udvikle sig i det kommende år. I takt med at vi implementerer ”skyen” i mere af vores hverdag både i forbindelse med arbejde og i det private, bliver det også en større sårbarhed i vores sikkerhed. Her er det vigtigt at huske, at der ikke findes nogen “sky” som ens data opbevares i, men at det altid bare er en anden computer. På baggrund af dette forventer vi, at IT-kriminelle i 2019 vil fokusere på at finde og angribe svagheder i disse cloud-tjenester. Vi bliver altså nødt til at være særligt opmærksomme på, hvordan vi benytter disse services, især når vi i vores brug af dem også behandler persondata. 



Vores forventninger opsummeret 


For at opsummere forventer vi, at 2019 vil blive året, hvor vi vil blive klogere på, hvilken effekt persondataforordningen egentlig vil få for de europæiske virksomheder. Dette vil ske i takt med, at vi ser flere og flere GDPR-relaterede bøder blive udstedt. På samme tid vil den stigende brug af cloud-tjenester skabe nye sårbarheder, som IT-kriminelle vil prøve at udnytte.  

 
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.   

GDPR’s effekt på din IT-sikkerhed

Siden EU’s GDPR trådte i kraft i maj, har den været et uundgåeligt emne i enhver snak om IT-sikkerhed og organisationsprocesser. Her bliver der oftest snakket om den ekstra arbejdsbyrde som persondataforordningen har forårsaget og ikke dens mulige positive effekter. I denne blogpost vil vi derfor fokusere på og udforske hvordan GDPR indtil videre har påvirket IT-sikkerhed, og hvorvidt dette har været positivt eller negativt.  

  

Eftersom at både GDPR og IT-sikkerhed i sidste ende handler om behandling af data, er det klart, at indførelsen af den nye lovgivning har haft en effekt på den globale IT-sikkerhed. Denne effekt har indtil videre været både positiv og negativ. Et eksempel på en negativ effekt er IT-kriminelle, som udnyttede forvirringen omkring GDPR til at lokke folk i fælder, de normalt ikke ville falde i. Her har vi f.eks. set phishing-forsøg, hvor bagmændene udnytter den store mængde GDPR-relaterede e-mails til at lokke informationer ud af deres ofre. Det er dog en smule uretfærdigt at give GDPR skylden for phishing, da det jo allerede var et stort problem inden. Hvis du er mere interesseret i phishing kan du læse mere om denne udfordring i denne blogpost.  


  

En anden meget omdiskuteret effekt ved persondataforordningen er introduktionen af massive bøder ved usikker behandling af persondata. Selvom, at vi endnu ikke har set en af disse bøder blive udstedt, forventes det, at de første bøder kommer inden dette år er omme. Det er blandt andet disse bøder, og især deres størrelser, som har motiveret virksomheder til at stræbe efter compliance. Inden GDPR havde usikker behandling af data også konsekvenser, som f.eks. tab af omdømme, tab af data og i nogle tilfælde økonomiske tab, men denne nye konsekvens, GDPR’s massive bøder, var åbenbart det der skulle til for, at virksomheder tog sikker databehandling alvorligt.  


  

GDPR har altså tvunget virksomhederne til at tage behandling af vores data alvorligt, og det må man sige er en positiv effekt. Denne jagt på compliance har dog også haft nogle negative konsekvenser. I en rapport af McKinsey fra Maj 2018 nævnes det, at mange virksomheder i deres forsøg på at nå at blive compliant inden GDPR’s indførelse, har benyttet sig af manuelle systemer. Her konkluderes der, at virksomhederne for at forblive compliant, bliver nødt til at udskifte disse manuelle systemer med automatiske systemer, da de manuelle kræver for mange ressourcer på lang sigt. Lovgivningens stramme krav og skarpe deadline har altså tvunget virksomhederne til at bruge manuelle ”lappeløsninger”, som på lang sigt potentielt kan skade deres IT-sikkerhed og compliance. 


  

For at opsummere har indførelsen af persondatafordningen indtil videre haft disse effekter: 

  • Forvirring omkring hvad loven egentligt kræver, som er blevet udnyttet af IT-kriminelle  

  • Et øget fokus på IT-sikkerhed, som nogen mener vil forårsage et generelt løft indenfor IT-sikkerhed 
     

  • Større motivation for at behandle data sikkert igennem truslen om massive bøder  

  • Stress omkring at opnå compliance, som i nogen tilfælde har gjort at organisationer har benyttet sig af lappeløsninger 

Alt i alt kan man konkludere at GDPR indtil videre har skabt et større fokus på IT-sikkerhed i det offentlige rum, hvilket i sig selv er en positiv udvikling. 


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Kend dine persondata

Siden persondataforordningens indførelse i maj har persondata været et populært buzzword. Jeres medarbejdere ved derfor nok godt, hvor vigtigt det er at håndtere persondata sikkert, men måske ikke hvordan man egentligt gør det? I vores tidligere blogpost ”Persondata for begyndere” fortalte vi lidt om, hvordan man sikkert håndterer persondata, og i denne blogpost vil vi uddybe, hvad persondata er for noget, hvilke typer der er og hvordan man håndterer situationer, hvor typerne blandes.   


Persondata helt kort 


Persondata kan helt kort forklares som oplysninger, der kan bruges til at identificere en specifik person. Det kan altså være informationer som f.eks. navn, adresse, nummerplade, en jobansøgning eller et billede af en tatovering. Det bliver derfor en meget bred betegnelse og derfor er disse oplysninger kategoriseret som enten almindelige eller følsomme persondata.  



Følsomme persondata 


Hvis en personoplysning kategoriseres som følsom, kræver persondataforordningen en langt strengere håndtering og derfor også en større konsekvens ved usikker håndtering. Derfor er det vigtigt at jeres medarbejdere kan identificere følsomme persondata og udvise ekstra forsigtighed. Alle følsomme persondata indgår under en af de følgende kategorier: 


  • Race eller etnisk oprindelse 

  • Politisk, religiøs eller filosofisk overbevisning 

  • Fagforeningsmedlemsskab 

  • Genetiske data/Biometriske data (F.eks. fingeraftryk) 

  • Helbredsoplysninger 

  • Seksuelle forhold/orientering 


For mange vil disse kategorier virke åbenlyse, men på samme tid er der også overraskende eksempler, som f.eks. at et CPR-nummer ikke anses for at være følsom. CPR-nummeret hører til en tredje kategori nemlig fortrolige personoplysninger, som selvom de ikke anses for følsomme persondata ofte har særskilte regler for, hvordan de skal behandles.   


Blandet persondata 


Med to kategorier af persondata og en ekstra med særskilte regler kan det virke uoverskueligt at leve op til kravene i persondataforordningen. Ofte kan man dog, hvis man er god til at genkende følsomme persondata, hurtigt finde ud af hvordan oplysningerne skal behandles. Her kan man tage et CV som eksempel. Størstedelen af informationerne i et CV kan kategoriseres som almindelige personoplysninger. Dette er oplysninger som f.eks. navn, adresse, telefonnummer, alder, erhvervserfaring. På samme tid kan nogle uddannelses- og ansættelsesmæssige forhold også anses som fortrolige oplysninger. En huskeregel til jeres medarbejdere er, at man i en sådan situation skal starte med at lede efter følsomme persondata. Hvis man finder bare et enkelt eksempel på en sådan information, skal hele CV’et behandles som følsomme persondata, og man undgår derved at skulle forholde sig til hver personoplysning for sig.  



Håndtering af persondata 


Alt efter hvilken kategori en personoplysning tilhører, indeholder persondataforordningen også regler for, i hvilke situationer de må behandles. I denne blogpost vil vi ikke gå i dybden med disse regler, men hvis du er interesseret, kan du læse meget mere om dem på Datatilsynets hjemmeside. Ansvaret for at disse regler følges ligger i udgangspunktet hos jeres organisations dataansvarlige, og det er også derfor den person, jeres medarbejdere skal spørge om råd, hvis de er i tvivl om, hvorvidt de må behandle en specifik personoplysning. Det kan dog være en god idé for alle at besøge Datatilsynets hjemmeside og læse reglerne både for at sikre, at man ikke selv bryder reglerne, men også så man kan genkende, hvis andre behandler ens persondata i en situation, hvor de ikke har ret til det.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.