Øget politisk pres på virksomhedernes sikkerhedsberedskab

En række belastende sager fra både ind- og udland har demonstreret, hvor sårbare personer, organisationer og hele samfund er, hvis virksomhedskritiske eller personfølsomme data falder i de forkerte hænder. Det politiske system i Danmark og EU er på vej med tiltag, der stiller nye og høje krav til dataejernes sikkerhedsberedskab.
Malene Amini

Malene Amini

15. juni 2015

Lad os begynde med den gode nyhed. Da Se & Hør-skandalen i foråret 2014 afslørede en grov tilsidesættelse af god it-sikkerhedspraksis i omgangen med personfølsomme data, fik man for alvor virksomhederne og politikernes opmærksomhed.

For ingen kunne leve med, at dybt personlige kortoplysninger tilsyneladende kunne blive misbrugt og solgt videre af en betroet medarbejder. Og ingen kunne leve med, at der ikke blev ført tilsyn med medarbejderen, så misbruget kunne være blevet stoppet tidligere.
Retsudvalgets sikkerhedsberetning
På blandt andet den baggrund reagerede Folketinget og nedsatte en arbejdsgruppe under Retsudvalget, som skulle undersøge, hvordan offentlige og private organisationer kunne beskytte personfølsomme oplysninger bedre og føre et mere effektivt opsyn med datasikkerheden.

Det kom der en ”Beretning om datasikkerhed” ud af i begyndelsen af 2015. Beretningen udstikker de fremtidige rammer for højnelsen af datasikkerheden i Danmark og illustrerer, at datasikkerhed har stor politisk bevågenhed i øjeblikket.

Bøde på 100 mio. euro
Derudover kommer, at EU har en forordning om persondata på vej, som vi endnu ikke kender de eksakte detaljer i. En forordning levner mindst muligt rum til national tilpasning, og vi kan dermed forvente, at rammerne bliver ens i hele EU. Overordnet set lægger EU op til, at alle dataejere fremover skal have meget bedre styr på datasikkerheden. Ellers falder den økonomiske hammer hårdt.

I dag er det ikke ualmindeligt, at danske organisationer får en bøde af Datatilsynet i størrelsesorden 25.000-50.000 kr. for eksempelvis at lække personfølsomme oplysninger.

Når EU Persondataforordningen bliver vedtaget, taler man pt. om bødeniveauer på op til 100 mio. euro eller op til 5 pct. af virksomhedens årlige, globale omsætning, hvis reglerne i forordningen forsætligt eller uforsætligt bliver overtrådt.

Carsten Challet

I dag er det ikke ualmindeligt, at danske organisationer får en bøde af Datatilsynet i størrelsesorden 25.000-50.000 kr. for eksempelvis at lække personfølsomme oplysninger

Kræver flere ressourcer
Og det er her, at den dårlige nyhed som følge af det øgede politiske fokus på it-sikkerhed kommer, siger Carsten Challet, direktør for TDC Sikkerhed.

“For der er god grund til at begynde at kigge sin egen organisation efter i sømmene og finde ud af, hvordan man egentlig håndterer især personfølsomme oplysninger. Hvis ikke man har styr på de processer i dag og kan dokumentere, at man har styr på de processer, kan det vise sig at blive dyrt i fremtiden, når nogle af de politiske tiltag bliver til virkelighed.”

Carsten Challet forklarer, at danske virksomheder generelt prioriterer it-sikkerhed højere i dag end for få år siden. Men med de politiske initiativer in mente, så kommer det rette beredskab til at kræve flere ressourcer i fremtiden, end virksomhederne afsætter i dag.

Krav om Data Protection Officer
EU Persondataforordningen arbejder eksempelvis med en obligatorisk Data Protection Officer (DPO) for større virksomheder, offentlige myndigheder og mindre virksomheder, som har databehandling som deres kerneområde.

DPO’en skal sikre, at organisationen overholder reglerne i forordningen og skal derudover underrette og rådgive ledelsen, overvåge sikkerhedspolitikker og kontrollere anmeldelser vedrørende sikkerhedsbrud. Alt sammen under potentielt strafansvar.

“Der vil være mange virksomheder, for hvem det her stiller helt nye krav til deres beredskab. De er slet ikke organisatorisk eller økonomisk gearet til at varetage den opgave selv. Derfor gør de klogt i at finde en partner, som kan varetage funktionen på deres vegne,” siger Carsten Challet og tilføjer, at DPO’en ikke behøver at være ansat i selve organisationen, men godt kan hyres ind udefra.

Klassifikation og prioritering af data
Som det første skridt i en analyse af egen sikkerhedspraksis foreslår Carsten Challet, at man som virksomhed får et komplet overblik over, hvilke data man håndterer, og hvordan disse data er opbevaret.

“Man skal klassificere sine data, så man kan begynde at prioritere sine data. Nogle typer af data er enten personfølsomme eller dybt forretningskritiske. De data skal selvfølgelig beskyttes efter alle kunstens regler. Omvendt kan analysen godt pege på, at man ligger inde med eksempelvis harmløse logdata, som ville være ubrugelige for en it-kriminel. De data behøver ikke samme form for beskyttelse. Sådan gennemgår man sine data, bid for bid,” siger Carsten Challet og slutter:

“Et godt it-sikkerhedsberedskab handler i bund og grund om at være på forkant og have styr på sine ting. På forkant med sine analyser, på forkant med sine politikker, på forkant med sin dokumentation og på forkant med sine investeringer i de nødvendige sikkerhedsløsninger. Denne form for proaktive tilgang til it-sikkerhed er i det lange løb markant mindre omkostningstung end en reaktiv tilgang.”

5-punktsplan om sikkerhed

Politisk pres sikkerheds beredskab

5-punktsplan om sikkerhed