4 Huskeregler til at Håndtere Sikkerhedsbrud

Over de sidste år er mængden af IT-angreb steget, hvilket betyder, at vi bliver nødt til at have en plan for hvordan vi håndterer sikkerhedsbrud. Derfor vil vi i denne blogpost gennemgå, hvordan i skal forholde jer til begrebet sikkerhedsbrud og hvordan i som organisation kan forberede jeres medarbejdere på sådanne brud. 



Hvad er et sikkerhedsbrud egentlig? 


Et sikkerhedsbrud er helt kort en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret. Det er altså et brud, så snart vi ved, at nogen uvedkommende har haft adgang til vigtige data eller systemer. Et sikkerhedsbrud er altså ikke kun de store skandaler vi kender fra medierne, men også situationer hvor der f.eks. er forsvundet en mappe med vigtige papirer eller en e-mail, der er blevet sendt til den forkerte modtager. Ofte rapporteres disse mindre sikkerhedsbrud ikke, hvilket kan skabe en sårbarhed i jeres virksomhed.  Dette er bekymrende, da antallet af IT-angreb er stigende, hvilket ses på grafen herunder.


 

4 Vigtige Huskeregler 


Det er selvfølgelig altid målet helt at undgå sikkerhedsbrud, men når uheldet er ude, er det vigtigt at have etableret en proces til at håndtere sådanne brud. Til at håndtere sådanne sikkerhedsbrud sikkert har vi lavet disse fire huskeregler:  



  1. Et sikkerhedsbrud er en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret.  

  2. Hvis sikkerhedsbruddet involverer persondata, stiller persondataforordningen krav om, at organisationen skal følge bestemte regler.  

  3. Du skal altid indberette et sikkerhedsbrud. Så kan hændelsen stoppes og sikkerheden forbedres.  

  4. Det er vigtigt, at du ved, hvem du skal rapportere et sikkerhedsbrud til. Det kan være en DPO (Data Protection Officer), den IT-ansvarlige eller lignende.  


Hvorfor rapporteres disse brud ikke? 


I nogle situationer rapporteres sådanne brud ikke af den simple grund, at medarbejderen ikke ved, at det de står overfor, kvalificerer sig som et sikkerhedsbrud. Sådanne situationer, hvor det er viden der er mangelvaren, kan løses igennem undervisning. Her er awareness-træning et åbenlyst bud.  



I andre situationer rapporteres et brud ikke af den simple grund, at medarbejderen er bange for de konsekvenser, det kan have. Disse situationer er sværere at undgå, da de kræver, at organisationen skaber en kultur, hvor ærlighed i sådanne situationer vægtes tungere end fejlen i sig selv.  



Til sidst ses også situationer, hvor en organisation administrativt vælger ikke at rapportere for ikke at undgå den dårlige omtale, som sådan et brud fører med sig. Udover at man her risikerer endnu dårligere omtale, hvis det opdages, at man har forsøgt at feje et brud under måtten, er der med den nye persondatalov også mulighed for store bøder.  



Konsekvenser ved et sikkerhedsbrud 


Som vi lige har pointeret, dækker begrebet sikkerhedsbrud bredt og derfor er det også naturligt at et sikkerhedsbrud kan have mange forskellige konsekvenser. Et sikkerhedsbrud kan f.eks. godt være helt uden konsekvenser i situationer, hvor uvedkommende har haft adgang til data, men ikke har udnyttet det. Dette har dog ændret sig efter GDPR, hvilket vi kommer ind på senere. I sådanne situationer er det dog stadig vigtigt at rapportere bruddet, da sikkerheden derved kan forbedres, og fremtidige sikkerhedsbrud kan undgås. I mindre heldige situationer kan konsekvenser være alt fra dårligt omdømme til store finansielle tab. Når uheldet er ude og vi oplever et sikkerhedsbrud kan ordentlig håndtering hjælpe os med at minimere disse konsekvenser.  



GDPR og Sikkerhedsbrud 


Med den nye persondataforordning, GDPR, følger der også nye krav til hvordan sikkerhedsbrud håndteres. Hvis persondata er blevet kompromitteret i et sikkerhedsbrud, har man som organisation 72 timer til at rapportere det. Hvis rapporteringen sker senere end dette, skal man som organisation kunne argumentere for hvorfor dette er sket. Udover dette skal der vurderes, hvorvidt de kompromitterede data skaber en risiko for persondataens ejere. Hvis dette er sagen, skal disse underrettes så hurtigt som muligt. Et eksempel på dette er hvis jeres brugeres passwords eller kontooplysninger er blevet kompromitteret. Her skal denne datas ejere have denne information så hurtigt som muligt, så de kan sikre sig selv. Hvis man ikke når at rapportere et sikkerhedsbrud indenfor 72 timer og ikke kan argumentere tilfredsstillende for hvorfor dette ikke skete, kan man ende med at få en bøde på op til 2% af organisationens årlige globale omsætning. At have en plan for hvordan man håndterer sikkerhedsbrud er altså vigtigere end 

nogensinde før. 



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.     

IT-sikkerhed anno 2019

2018 har været et stort år indenfor IT-sikkerhed. Meget har ændret sig, især på grund af persondataforordningens implementering, som vi stadig ikke har set enden af. På samme tid skaber teknologiens udvikling konstant nye sårbarheder, som IT-kriminelle kan udnytte. For at undgå disse trusler er det vigtigt, at vi holder os opdaterede på deres udvikling. Derfor vil vi i denne blogpost gennemgå, de udfordringer, som vi forventer, vil kendetegne IT-sikkerhed i 2019.



Persondataforordningen anno 2019 


Persondataforordningens indførelse i år har allerede påvirket den globale IT-sikkerhed, og det kommer ikke til at stoppe. Den nye lovgivning har skabt en større opmærksomhed omkring behandling af persondata, men det har for mange virket utydeligt, hvad der præcist skulle til for at overholde lovens krav. Dette bliver dog tydeligere i takt med at der udstedes de første GDPR-relaterede bøder rundt omkring i Europa. Dette har vi allerede set i bl.a. Østrig, hvor de udstedte deres første bøde på baggrund af, at en butiks overvågningskamera fangede for meget af det omkringliggende område. Et andet eksempel er i Portugal, hvor et hospital har fået en bøde på €400.000 på baggrund af, at patienters persondata var tilgængelig for uvedkommende i deres IT-system.  

Her forventer vi at se mange flere af disse bøder i 2019. Disse bøder og afgørelser tydeliggør, hvad der forventes af de europæiske virksomheder og mere konkret, hvad der skal til for at undgå disse massive bøder. Herhjemme i Danmark har Datatilsynet endnu ikke udstedt nogle bøder, men det forventer vi sker i løbet af 2019. Vi forventer, at disse kommende bøder både vil skabe en større motivation for at leve op til lovens krav og en større forståelse for, hvad dette egentlig vil sige.  


Vi forventer også, at lovgivningen fortsat vil skabe opmærksomhed omkring persondata og sikker behandling deraf. Dette forventer vi vil komme til udtryk ved, at forbrugerne i større grad vil bedømme virksomheder på deres databehandling. Usikker databehandling og læk af persondata gav selvfølgelig også et dårligt omdømme inden persondataforordningen, men med den øgede opmærksomhed vil det have større konsekvenser end tidligere.  



Cloud-tjenester 


Vi har tidligere snakket om cloud-tjenester og deres implikationer i forhold til IT-sikkerhed på denne blog, men dette emne fortjener at nævnes igen, for denne udfordring forventer vi vil udvikle sig i det kommende år. I takt med at vi implementerer ”skyen” i mere af vores hverdag både i forbindelse med arbejde og i det private, bliver det også en større sårbarhed i vores sikkerhed. Her er det vigtigt at huske, at der ikke findes nogen “sky” som ens data opbevares i, men at det altid bare er en anden computer. På baggrund af dette forventer vi, at IT-kriminelle i 2019 vil fokusere på at finde og angribe svagheder i disse cloud-tjenester. Vi bliver altså nødt til at være særligt opmærksomme på, hvordan vi benytter disse services, især når vi i vores brug af dem også behandler persondata. 



Vores forventninger opsummeret 


For at opsummere forventer vi, at 2019 vil blive året, hvor vi vil blive klogere på, hvilken effekt persondataforordningen egentlig vil få for de europæiske virksomheder. Dette vil ske i takt med, at vi ser flere og flere GDPR-relaterede bøder blive udstedt. På samme tid vil den stigende brug af cloud-tjenester skabe nye sårbarheder, som IT-kriminelle vil prøve at udnytte.  

 
Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.   

GDPR’s effekt på din IT-sikkerhed

Siden EU’s GDPR trådte i kraft i maj, har den været et uundgåeligt emne i enhver snak om IT-sikkerhed og organisationsprocesser. Her bliver der oftest snakket om den ekstra arbejdsbyrde som persondataforordningen har forårsaget og ikke dens mulige positive effekter. I denne blogpost vil vi derfor fokusere på og udforske hvordan GDPR indtil videre har påvirket IT-sikkerhed, og hvorvidt dette har været positivt eller negativt.  

  

Eftersom at både GDPR og IT-sikkerhed i sidste ende handler om behandling af data, er det klart, at indførelsen af den nye lovgivning har haft en effekt på den globale IT-sikkerhed. Denne effekt har indtil videre været både positiv og negativ. Et eksempel på en negativ effekt er IT-kriminelle, som udnyttede forvirringen omkring GDPR til at lokke folk i fælder, de normalt ikke ville falde i. Her har vi f.eks. set phishing-forsøg, hvor bagmændene udnytter den store mængde GDPR-relaterede e-mails til at lokke informationer ud af deres ofre. Det er dog en smule uretfærdigt at give GDPR skylden for phishing, da det jo allerede var et stort problem inden. Hvis du er mere interesseret i phishing kan du læse mere om denne udfordring i denne blogpost.  


  

En anden meget omdiskuteret effekt ved persondataforordningen er introduktionen af massive bøder ved usikker behandling af persondata. Selvom, at vi endnu ikke har set en af disse bøder blive udstedt, forventes det, at de første bøder kommer inden dette år er omme. Det er blandt andet disse bøder, og især deres størrelser, som har motiveret virksomheder til at stræbe efter compliance. Inden GDPR havde usikker behandling af data også konsekvenser, som f.eks. tab af omdømme, tab af data og i nogle tilfælde økonomiske tab, men denne nye konsekvens, GDPR’s massive bøder, var åbenbart det der skulle til for, at virksomheder tog sikker databehandling alvorligt.  


  

GDPR har altså tvunget virksomhederne til at tage behandling af vores data alvorligt, og det må man sige er en positiv effekt. Denne jagt på compliance har dog også haft nogle negative konsekvenser. I en rapport af McKinsey fra Maj 2018 nævnes det, at mange virksomheder i deres forsøg på at nå at blive compliant inden GDPR’s indførelse, har benyttet sig af manuelle systemer. Her konkluderes der, at virksomhederne for at forblive compliant, bliver nødt til at udskifte disse manuelle systemer med automatiske systemer, da de manuelle kræver for mange ressourcer på lang sigt. Lovgivningens stramme krav og skarpe deadline har altså tvunget virksomhederne til at bruge manuelle ”lappeløsninger”, som på lang sigt potentielt kan skade deres IT-sikkerhed og compliance. 


  

For at opsummere har indførelsen af persondatafordningen indtil videre haft disse effekter: 

  • Forvirring omkring hvad loven egentligt kræver, som er blevet udnyttet af IT-kriminelle  

  • Et øget fokus på IT-sikkerhed, som nogen mener vil forårsage et generelt løft indenfor IT-sikkerhed 
     

  • Større motivation for at behandle data sikkert igennem truslen om massive bøder  

  • Stress omkring at opnå compliance, som i nogen tilfælde har gjort at organisationer har benyttet sig af lappeløsninger 

Alt i alt kan man konkludere at GDPR indtil videre har skabt et større fokus på IT-sikkerhed i det offentlige rum, hvilket i sig selv er en positiv udvikling. 


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.  

 

Kend dine persondata

Siden persondataforordningens indførelse i maj har persondata været et populært buzzword. Jeres medarbejdere ved derfor nok godt, hvor vigtigt det er at håndtere persondata sikkert, men måske ikke hvordan man egentligt gør det? I vores tidligere blogpost ”Persondata for begyndere” fortalte vi lidt om, hvordan man sikkert håndterer persondata, og i denne blogpost vil vi uddybe, hvad persondata er for noget, hvilke typer der er og hvordan man håndterer situationer, hvor typerne blandes.   


Persondata helt kort 


Persondata kan helt kort forklares som oplysninger, der kan bruges til at identificere en specifik person. Det kan altså være informationer som f.eks. navn, adresse, nummerplade, en jobansøgning eller et billede af en tatovering. Det bliver derfor en meget bred betegnelse og derfor er disse oplysninger kategoriseret som enten almindelige eller følsomme persondata.  



Følsomme persondata 


Hvis en personoplysning kategoriseres som følsom, kræver persondataforordningen en langt strengere håndtering og derfor også en større konsekvens ved usikker håndtering. Derfor er det vigtigt at jeres medarbejdere kan identificere følsomme persondata og udvise ekstra forsigtighed. Alle følsomme persondata indgår under en af de følgende kategorier: 


  • Race eller etnisk oprindelse 

  • Politisk, religiøs eller filosofisk overbevisning 

  • Fagforeningsmedlemsskab 

  • Genetiske data/Biometriske data (F.eks. fingeraftryk) 

  • Helbredsoplysninger 

  • Seksuelle forhold/orientering 


For mange vil disse kategorier virke åbenlyse, men på samme tid er der også overraskende eksempler, som f.eks. at et CPR-nummer ikke anses for at være følsom. CPR-nummeret hører til en tredje kategori nemlig fortrolige personoplysninger, som selvom de ikke anses for følsomme persondata ofte har særskilte regler for, hvordan de skal behandles.   


Blandet persondata 


Med to kategorier af persondata og en ekstra med særskilte regler kan det virke uoverskueligt at leve op til kravene i persondataforordningen. Ofte kan man dog, hvis man er god til at genkende følsomme persondata, hurtigt finde ud af hvordan oplysningerne skal behandles. Her kan man tage et CV som eksempel. Størstedelen af informationerne i et CV kan kategoriseres som almindelige personoplysninger. Dette er oplysninger som f.eks. navn, adresse, telefonnummer, alder, erhvervserfaring. På samme tid kan nogle uddannelses- og ansættelsesmæssige forhold også anses som fortrolige oplysninger. En huskeregel til jeres medarbejdere er, at man i en sådan situation skal starte med at lede efter følsomme persondata. Hvis man finder bare et enkelt eksempel på en sådan information, skal hele CV’et behandles som følsomme persondata, og man undgår derved at skulle forholde sig til hver personoplysning for sig.  



Håndtering af persondata 


Alt efter hvilken kategori en personoplysning tilhører, indeholder persondataforordningen også regler for, i hvilke situationer de må behandles. I denne blogpost vil vi ikke gå i dybden med disse regler, men hvis du er interesseret, kan du læse meget mere om dem på Datatilsynets hjemmeside. Ansvaret for at disse regler følges ligger i udgangspunktet hos jeres organisations dataansvarlige, og det er også derfor den person, jeres medarbejdere skal spørge om råd, hvis de er i tvivl om, hvorvidt de må behandle en specifik personoplysning. Det kan dog være en god idé for alle at besøge Datatilsynets hjemmeside og læse reglerne både for at sikre, at man ikke selv bryder reglerne, men også så man kan genkende, hvis andre behandler ens persondata i en situation, hvor de ikke har ret til det.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

5 trin til et stærkt password du kan huske

Hver dag bruger vi passwords til at logge ind på alt fra borger.dk til Facebook. Dette skaber et stort behov for, at man håndterer sine passwords sikkert, hvilket mange desværre ikke gør. Derfor vil vi i denne blogpost gennemgå, hvordan du kan lære dine brugere at bruge passwords sikkert, og hvorfor det er vigtigt.  



Hvorfor skal jeg have et stærkt password? 


Mange af os har nok ét password, som bliver brugt i lidt for mange forskellige situationer. Måske bliver det endda både brugt på arbejdet og i det private, men hvad er egentligt også problemet i det? Det har jo både tal, bogstaver og tegn, det er da et stærkt password? Måske er det rent faktisk et stærkt password, men når vi genbruger vores passwords, forøger vi risikoen for at blive ofre for IT-kriminalitet. IT-kriminelle ved nemlig godt, at mange genbruger deres passwords, så hvis de formår at trænge ind i bare én database, som f.eks. din lokale filmklub, prøver de sig frem med passwordet andre steder. Hvis man i en sådan situation har brugt det samme password til både arbejde og det private, har filmklubbens dårlige IT-sikkerhed, altså sat både dit arbejdes data og din egen persondata på spil. At genbruge passwords forværrer også konsekvenserne, hvis man f.eks. bliver offer for phishing, da den IT-kriminelle derved både har din e-mail og dit password.  


Ud fra en sådan situation virker det åbenlyst, at man ikke må genbruge passwords, men der er stadig mange der gør det. Der er endda mange som genbruger et password, som ikke engang er stærkt i sig selv, men hvorfor? Fordi det er let, og det er virker uoverskueligt at huske 16 passwords.  



Et stærkt password du kan huske 


For at gøre det lidt lettere har vi lavet en lille trinvis guide til, hvordan du kan lave stærke passwords, som på samme tid er lette at huske. 


Trin 1: 

Find på en sætning du kan huske, som f.eks: 

Jeg elsker at sejle 


Trin 2: 
Skriv første bogstav med stort: 

Jeg Elsker At Sejle 


Trin 3:  

Fjern mellemrummene: 

JegElskerAtSejle 


Trin 4: 

Indsæt et par tal: 

J3g3lskerAtSejle 


Trin 5: 

Insæt et specialtegn: 

J3g3lskerAtSejle! 



Voila! Et styks stærkt password er hermed lavet. Dette password må selvfølgelig ikke genbruges, men et godt tip til at kunne bruge det flere steder er, at indsætte noget i passwordet, som passer til siden hvor det bruges. F.eks. kunne man indsætte “FB” inden det sidste tegn, hvis man brugte koden på Facebook eller “GM” for Gmail. Så kunne koden altså se sådan ud: 


Facebook: J3g3lskerAtSejleFB


Gmail: J3g3lskerAtSejleGM


Med sådan et system er det mere overskueligt at håndtere sine passwords sikkert og samtidig kunne huske dem. Her kan det være en rigtig god idé at lave en sætning til arbejdsrelaterede logins og en anden til private logins, da det altid er god IT-sikkerhedskutyme at holde arbejdet og det private adskilt.  



Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Phishing – Den største digitale trussel

Phishing er blevet vurderet til at være den største aktuelle IT-sikkerhedsrelaterede trussel for virksomheder. I denne blogpost vil du lære både hvordan phishing har udviklet sig og hvordan I kan undgå at jeres medarbejdere falder i fælden. 

Phishings udvikling 

 

Igennem de sidste 10 år er phishing gået fra at være en fælde, som kun de mest uopmærksomme faldt i, til at være en udfordring, som enhver virksomhed er tvunget til at tage seriøst.  Phishing har udviklet sig fra gennemskuelige masseproducerede e-mails fyldt med stavefejl til e-mails, som er skræddersyede til at snyde lige netop dine medarbejdere. 

Det kræver kun én fejl fra én medarbejder 

For at beskytte din virksomhed er det selvfølgelig essentielt at have styr på de tekniske aspekter af IT-sikkerheden, da det sorterer størstedelen af de skadelige e-mails fra, men det er lige så essentielt at jeres medarbejdere er trænet til at håndtere de få der kommer igennem filteret. Det kræver kun at én medarbejder falder i fælden, før jeres virksomhed mærker konsekvenserne. 

 

Vær særlig opmærksom på phishing af persondata 

 

Den nye persondataforordning sætter endvidere fokus på brud på it-sikkerheden, særligt når et brud involverer læk af persondata. Dette betyder, at et phishing-angreb ikke blot kan have konsekvenser for virksomhedens egne fortrolige oplysninger, men at man også risikerer at komme i problemer ift. persondataforordningen. 


Nødvendigt med kontinuerlig træning 


Det er vigtigt at træning af medarbejderne i IT-sikkerhed er kontinuerlig, da truslerne konstant udvikler sig. Et eksempel på dette er, at man engang nemt kunne spotte phishing på de mange stavefejl og den dårlige grammatik. I dag har de kriminelle dog lavet om på dette, hvilket betyder at man sjældent ser dårligt skrevne forsøg på phishing. Det gør de falske mails væsentlig sværere at spotte.  

Nu er der altså andre ting, som medarbejderne skal være opmærksomme på for at være i stand til at håndtere e-mails sikkert, hvilket øger behovet for
kontinuerlig IT-sikkerheds træning.  


Huskeregler for phishing 


Vi har opstillet tre gode huskeregler, som kan hjælpe dine medarbejdere: 

  • Vær forsigtig med at åbne vedhæftede filer.
     

  • Klik ikke på links i e-mails. 

  • Send aldrig følsomme oplysninger via e-mail. 

Huskeregler er gode at have, men en trussel så stor som phishing kræver kontinuerlig træning enten i form af undervisning eller tests. 

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og sikker databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen. 

  

Se her for mere information omkring vores awareness-træning. 

Persondata for begyndere

Siden godkendelsen af persondataforordningen er brugen af ordet ”persondata” eksploderet. Ordet har floreret i både nyhederne og på de sociale medier, men på dit arbejde har du nok også oplevet, at der stilles nye krav til, hvordan du behandler persondata. På samme tid har du også fået en masse e-mails fra firmaer, som oplyser dig om, hvordan de behandler din persondata. Alle disse ting kan være svære at forholde sig til, hvis man er lidt usikker på, hvad persondata egentlig er for noget. Derfor kommer her en lille gennemgang af hvad persondata egentlig er og en forklaring på, hvorfor det er vigtigt, at du kender til begrebet.

 

 

Persondata forklaret

 

Datatilsynet definerer persondata som:

 

”… Enhver form for information om en identificeret eller identificerbar fysisk person”[i]

 

Det vil altså sige, at hvis en oplysning siger noget om en person eller leder til en person, så er det persondata. Her er det vigtigt at huske, at det ikke kun gælder informationer i form af tekst, men også i form af videoer, lydoptagelser eller billeder af en person. For at pointere, hvor bredt begrebet persondata favner, får du her lige en liste over nogle af de informationer som er persondata:

 

  • Fornavn og efternavn

  • Køn

  • CPR-nr.

  • Adresse

  • Skostørrelse

  • E-mailadresse

  • Helbredsoplysninger

  • Religiøs overbevisning

  • Politisk overbevisning

  • Telefonnummer

  • Fødselsdato

  • IP-adresse

  • Interesser

  • Fysiske kendetegn

  • Bankoplysninger

  • Online adfærd

  • Og meget meget mere…

Persondata kan altså være utrolig mange forskellige ting. Dog er det ikke alle personoplysninger som prioriteres lige højt i forhold til IT-sikkerhed. Derfor skelner man mellem almindelige persondata og følsomme persondata.



Almindelige persondata vs. Følsomme persondata

 

Informationer som f.eks. navn, køn, adresse og e-mail hører ind under kategorien ”almindelig”, hvor informationer som f.eks. politisk eller religiøs overbevisning, oplysninger om etnisk baggrund eller tilhørsforhold til fagforening hører under kategorien ”følsom”. Hvilke informationer der hører til hvilken kategori, vil for nogen virke indlysende, men i nogle situationer kan det være ret svært at tyde. En sådan situation er i forhold til CPR-numre, som faktisk bliver kategoriseret som almindelige person data, selvom mange nok ville tro det var følsom persondata. Det viser sig dog, at lige præcis CPR-numre er underlagt nogle specifikke regler, som er lidt strammere end reglerne for almindelige persondata. Så man kan lige så godt behandle dem som følsomme persondata.

 

Når du beskæftiger dig med persondata, skal du være særligt opmærksom på, hvornår du bevæger dig fra almindelige til følsomme persondata. At skelne imellem de to kan være svært, men det er meget vigtigt, da der er meget strengere regler i den nye GDPR for behandlingen af den følsomme variant. Hvis du er i tvivl om hvilken kategori et stykke persondata tilhører, er det bedste at gøre, at snakke med den i din organisation, der er ansvarlig for området. I nogle tilfælde kræver den nye lov, GDPR, at firmaet udvælger en til at være ”DPO”, som også kaldes en databeskyttelsesrådgiver. Er der ikke en DPO i din virksomhed kan du spørge den IT-ansvarlige eller datakyndige kolleger.

 

 

Hvorfor er det vigtigt?

 

I forbindelse med den nye lovgivning er indsatsen for at fange forkert håndtering af persondata steget. Det samme er størrelsen på bøderne. Disse bøder kan være op imod 4% af virksomheden eller organisationens globale omsætning. Det skaber selvfølgelig et stort incitament til at have orden i sagerne, men bøder er ikke den eneste mulige konsekvens ved usikker behandling af persondata. Usikker behandling af persondata kan også føre til identitetstyveri, økonomisk svindel, brud på privatliv og et dårligt omdømme for din organisation eller virksomhed.

 

 

Hvad kan jeg gøre?

 

Det var et lille indblik i, hvorfor du skal være forsigtig, når du behandler persondata, og hvad det egentlig går ud på. Selvom det kan virke uoverskueligt at ændre på sine vaner og arbejdsrutiner kan man nå rigtig langt med tre simple huskeregler.

  1. Vær bevidst om, hvornår du behandler almindelige eller følsomme persondata. Når det er følsomme persondata, bør du være særligt opmærksom.

  2. Behandl persondata som noget, du låner. Pas på det, aflever det tilbage og lån det ikke ud. Det vil sige at man skal opbevare det sikkert, slette det når du er færdig og aldrig videregive det til andre.

  3. Er du i tvivl om, hvordan persondata skal håndteres i jeres organisation, så forhør dig hos den ansvarlige, f.eks. jeres DPO.


Hvis du følger disse huskeregler, er du godt på vej. Det er vigtigt at forstå, at når man vil løse udfordringer indenfor IT-sikkerhed er tekniske løsninger vigtige, men det er mindst ligeså vigtigt, hvordan medarbejderne bærer sig ad.


Medarbejdernes viden og opmærksomhed er afgørende for jeres IT-sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.

Se her for mere information omkring vores awareness-træning.

 

[i] http://www.privacy-regulation.eu/da/4.htm

Persondataforordningen = Panik?

Panikker I ved udsigten til meget skrappere regler ift. persondata? Synes du, at det er virker uoverskueligt at få overblik over, hvad der egentlig skal til for, at jeres IT-sikkerhed når et tilfredsstillende niveau ift. persondataforordningen? Fortvivl ikke! I mangler bare en plan at arbejde ud fra, og den kommer jeg med et bud på her. Overordnet set handler det om at få taget nogle simple økonomisk hensigtsmæssige skridt, så i kommer godt i gang med processen. Lad os starte med at kaste et tilbageblik…


Datatilsynet har ikke kunnet følge med


Ingen kan citere mig for at sige, at persondataforordningen ikke er et fantastisk tiltag. Men jeg oplever, at forordningen skaber en voksende panik rundt omkring i de danske organisationer. Denne panik udspringer af, at Datatilsynet ikke har haft de fornødne ressourcer til at være sin opgave voksen.

Datatilsynet har til opgave at håndhæve den gældende danske persondatalov. Gør man status er virkeligheden at Datatilsynet:


1.    Ikke har formået at opdrage danske organisationer tilstrækkeligt ift. at opnå et tilfredsstillende IT-sikkerheds niveau.


2.
    Ikke har haft de fornødne ressourcer eller straffene til at håndhæve loven.


Min påstand er, at situationen ville have set anderledes ud, såfremt Datatilsynet havde haft de fornødne ressourcer til at gøre det bedre end bare godt nok. Man har haft et for stort fokus på at sætte turbo på udviklingen af IT-arbejdsgangene, og i den forbindelse forsømt den gode forberedelse og oplysningen af de danske organisationer ift. IT-sikkerhed.



Husk: Man straffer ikke de uskyldige


Det er vigtigt at huske grunden til, at persondataforordningen overhovedet er blevet lavet:


Loven er lavet for at beskytte borgernes privatdata mod læk, som kunne være undgået, hvis organisationerne havde vist rettidig omhu.


Intentionen er dermed at straffe de organisationer hårdt, der behandler personhenførbare data og ikke passer tilstrækkeligt på det.


Hvis man ser på hvordan de danske organisationer burde være stillet i dag jf. den dansk persondatalov, så ville skridtet ift. den nye europæiske persondataforordning ikke være så stort. Ser man ud over Danmarks grænser, har man i flere lande været vant til et aktivt datatilsyn, der med de fornødne ressourcer gav store bøder for databrud. Mange europæiske organisationer er således allerede ”opdraget” til at have den grundlæggende IT-sikkerhed på plads, og derfor skaber den nye persondataforordning ikke den store panik hos dem.



Hvad kan du så gøre, mens Datatilsynet stadig mangler ressourcer?


Hvis jeg f.eks. var en tidspresset IT-chef i en mindre eller mellemstor organisation, så ville jeg begynde at fokusere mere på IT-sikkerhed, da det er VIGTIGT for virksomhedens fremtid. Hvis ikke I allerede har en god metode til at tænke IT-sikkerhed ind i organisationens arbejde, så er realiteten, at I kan stå foran en meget brat opvågning i den nærmeste fremtid.


Alt imens Datatilsynet er begrænset, må organisationerne selv tage affære. Og hvis man som IT-medarbejder eller -ansvarlig føler, at man mangler en plan, så kan man med fordel tage udgangspunkt i mit forslag:



Ressource-anbefalet prioriteringsliste mhp. at optimere IT-sikkerheden


·         65% af min tid ville gå med at få ledelsen/bestyrelsen overbevist om, at persondataforordningen (og generel IT-sikkerhed) ikke kun er et projekt for IT-chefen. Det er derimod et organisationsprojekt, som dermed kræver deltagelse på tværs af hele organisationen.


·         5% af min tid ville jeg bruge på at identificere, hvor organisationens kritiske data befinder sig (og det er ikke kun data, der direkte har noget med forordningen at gøre).


·         5% af min tid ville jeg bruge på at identificere, hvordan jeg kunne hæve sikkerheden omkring de kritiske data uden øgede udgifter for virksomheden.


·         5% af min tid ville jeg bruge på at få iværksat IT-sikkerheds-awareness-træning til medarbejderne.


·         5% af min tid ville jeg bruge på at indføre tekniske sikkerhedsinitiativer på arbejdscomputerne (udfra filosofien: ”Mange bække små gør en stor å”)


·         5% af min tid ville jeg bruge på at lave en beredskabsplan inklusiv pressetræning til direktøren.


·         De sidste 10% har jeg så til mine driftsopgaver og kaffe.


Når jeg var i mål med ovenstående, ville jeg få lidt mere langsigtet hjælp til at:


1.
    Begynde at se på, hvad der sker på netværket.


2.    Implementere simple tests/kontroller af IT-sikkerheden løbende.


Følger i planen er i godt på vej til at opfylde den kommende persondataforordning, uden det har kostet organisationen alt for mange ressourcer. Panikniveauet falder en smule, og det samme gør tidspresset. Derudover er det vigtigt at huske, at det endnu ikke er helt på plads, hvordan persondataforordningen præcis indføres i Danmark. Det bliver først helt klart sidst i 2017.



Sæt i gang og kom i mål


Kom i gang nu. Lad være med at tro på dem, der vil sælge dig ’fix-it-all’-vidunderløsninger (de findes ikke!). Se på helheden af virksomheden. Hav fokus på kritiske data. Træk 75% overdrivelse fra de mest højtråbende IT-sikkerhedsvirksomheders trusler og tag det så ellers roligt. Tag de små skridt nu, og inden I har set jer om, så vil I været nået helt i mål.


Kenneth er medstifter af CyberPilot. CyberPilot fokuserer på at hjælpe de virksomheder, som allerede har indset at IT-sikkerhed = risiko og håndtering heraf. Det gør vi ved at fokusere på de tiltag, som har størst værdi ift. de investerede ressourcer. Og vi gør det på en pragmatisk måde, så det kommer til at virke i praksis!

Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.

Hvorfor er IT-sikkerhed underprioriteret i de danske virksomheder?

IT-sikkerhed er på mange måder et ”hot topic”. Medierne har stor interesse for sager, hvor nogle af de største danske virksomheder og organisationer er blevet ramt af sikkerhedsbrud. Alligevel er IT-sikkerhed nedprioriteret hos den gennemsnitlige beslutningstager i små og mellemstore danske virksomheder (SMV’er). I dette indlæg kommer jeg med et bud på, hvorfor denne paradoksale virkelighed ser ud, som den gør.



Det er et par år siden, at jeg for alvor begyndte at interessere mig for IT-sikkerhed. Jeg kendte naturligvis til emnet før – men jeg havde vitterligt aldrig forholdt mig til det til trods for, at jeg arbejdede i en branche, hvor IT-sikkerhed er vital for forretningens overlevelse.


Jeg gjorde IT-sikkerhed til en del af min forretning, da jeg var med til at stifte CyberPilot for godt et år siden. Og det seneste års erfaring med dette område har fået mig til at spekulere over, hvorfor IT-sikkerhed ikke nyder større interesse eller højere prioritet hos de danske ledere? 


Jeg er stor modstander af at “smøre blod på væggene”. Altså komme med en masse dommedagslignende udtalelser om hvor store apokalyptiske konsekvenser både IT-kriminalitet og den kommende Persondataforordning vil få (denne kommer jeg til at skrive mere om på et senere tidspunkt). Denne overdramatisering har efter min mening kun et formål: mere salg.


Men faktum er bare, at IT-sikkerhed er underprioriteret i langt de fleste virksomheder i SMV-segmentet.



Fællesnævner: ansvaret bliver ikke placeret


Næsten dagligt taler jeg med ledere og beslutningstagere i danske små og mellemstore virksomheder, som er præcist lige så uinteresserede i emnet, som jeg selv var for et par år siden. De er vant til at have fokus på deres forretning og optimeringen heraf. De er vant til at tænke salg, omkostninger, udvikling og håndtering af risici. Men det fremgår tydeligt, at langt de færreste har gjort sig væsentlige overvejelser om og prioriteringer ift. IT-sikkerhed. Det på trods af, at diverse medier det seneste års tid har været plastret til med historier om emnet. 


Bevares. Alle udtrykker, at de har en klar interesse i, at deres forretning ikke bliver ramt af angreb med skade til følge – men der slutter interessen som oftest også. De ”klassiske” svar fra ledere, når man spørger dem om IT-sikkerhed, er:



IT-sikkerhed = teknik = den IT-ansvarliges ansvar


Ansvaret for IT-sikkerhed er outsourcet som en del af vores samlede IT-leverance 

IT-sikkerhed er kun relevant for de store virksomheder – ikke for os

Det er uklart, hvad den reelle risiko er, og hvordan det vil påvirke os

Hvis nogen havde spurgt mig for 2 år siden, så havde mit svar med garanti også været blandt de ovenstående. Men det er da paradoksalt, at virksomhederne har fokus på placering af ansvar inden for økonomi, marketing, forretningsudvikling, produktion osv. – men meget sjældent en placering af ansvar for risikoen og vurdering af risikoniveauet for virksomhedens IT-sikkerhed.



Ledelsen sender Sorteper videre


IT-sikkerhed handler efter min bedste overbevisning helt basalt om ansvar for risiko og selve håndteringen heraf. Risiko er en naturlig del af at drive en profitabel forretning. Det er noget alle virksomheder forholder sig til dagligt. IT-sikkerhed drejer sig derfor om at forholde sig aktivt til hvilket niveau af risiko man vil acceptere – og ikke nødvendigvis forsøge at undgå risiko for en hver pris.



IT-sikkerhed = forretningsrisiko = ledelsens ansvar!


Ansvaret for denne risiko kan ikke uddelegeres til IT-afdelingen eller en ekstern leverandør. Det vil altid være ledelsens. Det betyder ikke, at man ikke kan få medarbejdere eller leverandør til at håndtere denne rent taktisk og operationelt, men det kræver en bevidsthed og klart definerede ansvarsområder. Virkeligheden er bare den, at det oftest ikke er tilfældet i de danske SMV’er. Dette ses igennem manglende IT-sikkerhedspolitikker, hvori ansvar og målsætninger ift. IT-sikkerhed er defineret og afstemt på ledelsesniveau.



Hvorfor er IT-sikkerhed ikke en prioritet?


Mine samtaler med lederne har lært mig, at der er to primære årsager til, at IT-sikkerheden ikke prioriteres.



Årsag #1


Som jeg skrev tidligere, så er en af årsagerne til den lave prioritering hos de danske SMV’er, at det simpelthen er vanskeligt for dem at vurdere, hvad den reelle risiko er. Det er kompliceret at svare på spørgsmålet: ”Hvad er den faktiske risiko, og hvad er de faktiske omkostninger for et sikkerhedsbrud for min virksomhed? ”. Svaret på dette spørgsmål er naturligvis vidt forskelligt fra virksomhed til virksomhed. Og for at finde svaret kræver det, at man arbejder aktivt med risikovurderinger. Virkeligheden er, at dette ofte ikke er en integreret del af virksomhedens processer.


Årsag #2


En anden del af forklaringen skyldes formentligt, at antallet af historier om danske virksomheder, der har mistet betydelig omsætning eller haft andre betydelige tab i forbindelse med angreb, stadig er relativt begrænset. Til trods for mediedækningen. Derfor er IT-sikkerhed uden tvivl et vanskeligt emne at forholde sig til som for lederne og beslutningstagerne derude.



Jamen, hva’ så med fremtiden?


Når først ledelsen indser, at IT-sikkerhed = forretningsrisiko, så bliver IT-sikkerhed en helt ”almindelig” del af at drive virksomhed. Men det bliver interessant at se hvornår dette sker – og hvor mange succesfulde angreb, der skal til, før ledelserne derude vågner op?


Jeg hører meget gerne dit indspark til mit indlæg. Har du den samme oplevelse? Eller sidder du måske i en virksomhed, som er first-mover på dette område? Byd ind.


Rasmus Vinge er medstifter af og CEO i CyberPilot. CyberPilot fokuserer på at hjælpe de virksomheder, som allerede har indset at IT-sikkerhed = risiko og håndtering heraf. Det gør vi ved at fokusere på de tiltag, som har størst værdi ift. de investerede ressourcer. Og vi gør det på en pragmatisk måde, så det kommer til at virke i praksis!

Følg os her på hjemmesiden eller på LinkedIn. Vi kommer løbende med råd og vejledning til, hvordan man som dansk virksomhed med simple skridt kan arbejde med IT-sikkerhed, og hvordan man sørger for at anvende sine ressourcer mest effektivt.