Sådan sikrer du data, så misbrug forhindres

Efterhånden som personfølsomme data indsamles i større omfang af mange forskellige organisationer, er der flere personer - eksempelvis systemadministratorer, databaseadministratorer og superbrugere - som får adgang til personfølsomme data. For at forhindre at personer med de jobroller fristes til at sælge oplysningerne til medier, fremmede magters efterretningstjenester, terrororganisationer og andre med interesse for følsomme oplysninger om enkeltpersoner, er det foreslået, at datasikkerheden kan forbedres ved at lave sikkerhedsscreeninger af folk. En sikkerhedsscreening, hvor personens økonomiske forhold, eventuelle familie- og/eller venne-relationer til kriminelle bander og andre forhold, indgår i en vurdering af, hvorvidt personen udgør en sikkerhedsrisiko.

Få styr på data

Men er sikkerhedsscreeninger virkelig løsningen?

– Nej, der er flere lag af sikkerhed, hvoraf medarbejderscreening kun er en del af det, siger Jakob Holm Hansen.

Han har arbejdet med sikkerhed i mange år hos Deloitte, KMD og Neupart med fokus på governance, risk og compliance. Han nævner en lang liste af foranstaltninger, som enhver sikkerhedsansvarlig formentlig kender til: Håndtering af brugeridentifikation og -rettigheder, logning af systemadgang, firewalls, data loss protection, analyse af netværkstrafik og andre sikkerhedsteknikker, der alle kan være med til at forbedre sikkerheden.

Men inden man kaster sig over den slags systemer og sikkerhedsteknologier, er der en helt anden lavpraktisk ting, som skal være på plads: Der skal være styr på, hvilke data virksomheden har, og hvor de er gemt. Det lyder indlysende, men i mange virksomheder er der ikke det nødvendige overblik over data. Specielt med henblik på at sikre personfølsomme data gælder det om at identificere, hvad det er præcist, som skal beskyttes.

– Hvis vi ikke kender grundlaget for det hele - hvilke data vi har, hvor de er henne, og hvilke der er fortrolige eller personfølsomme - så giver det ikke mening at anvende de værktøjer, siger Jakob Holm Hansen.

Persondataforordning kan hjælpe

Desværre er det langtfra alle danske virksomheder, der er klar til at overholde EU-persondataforordningen, som træder i kraft i 25. maj i år. Eksempelvis viste en undersøgelse fra marts måned i år, gennemført af brancheorganisationen Dansk Erhverv, at 15 procent af de adspurgte virksomheder ikke kendte reglerne, 15 procent mente ikke, at persondataforordningen vedrørte dem, og endelig svarede 12 procent 'ved ikke' til, om de kendte reglerne.

– Nogle virksomheder er langt fremme, mens andre virksomheder har taget det mere stille og roligt. Det er fem minutter i tolv, siger Jakob Holm Hansen.

Han mener, at persondataforordningen kan skabe det nødvendige fundament for god datasikkerhed.

– Der er sikkert mange, som ikke når at komme i mål med hele deres compliance-program 25. maj, men om ikke andet er de godt i gang, siger Jakob Holm Hansen.

Han mener, at virksomhedernes interesse for og arbejde med persondataforordningen er kommet i to bølger.

– Første bølge kom, da forordningen blev offentliggjort. Der var så en anden bølge, der begyndte i efteråret 2017, hvor en række virksomheder begyndte at tage det seriøst, siger han. 

Virksomhederne i første bølge har fået overblik over deres data, hvilket har givet dem mulighed for at besvare en række spørgsmål relateret til datasikkerhed, mens virksomhederne i anden bølge er i gang med at finde svar på de spørgsmål, der rejser sig:

– Hvor har vi personfølsomme oplysninger? Har vi begrænset adgangen til data? Har de medarbejdere, der har adgang, et arbejdsbetinget behov for den adgang? Hvor længe skal data opbevares? Arbejdet med at implementere persondataforordningen afklarer, hvor god datasikkerheden er, siger Jakob Holm Hansen.

Teknologiske kæpheste

Når der er styr på, hvilke data virksomheden eller organisationen har, kan man derefter begynde at bygge oven på fundamentet med diverse teknologiske løsninger  som eksempel data loss prevention-systemer, der kan scanne ind- og udgående data på virksomhedens netværk. Den slags systemer kan eksempelvis opfange forsøg på at sende cpr-numre eller kreditkortoplysninger ud af virksomhedens netværk, ligesom mere ustrukturerede data i form af forretningsdokumenter kan scannes for nøgleord og sensitive oplysninger, eksempelvis årsregnskaber, der endnu ikke er blevet meldt ud til Fondsbørsen.

Jakob Holm Hansen pointerer, at ligesom etablering af et fundament for datasikkerhed kræver hårdt arbejde, så kræver det også en indsats at få de teknologiske sikkerhedsløsninger til at give værdi.

– Det er nemt at købe noget sikkerhedsteknologi, men man skal passe på, at det ikke bliver sådan lidt af en teknologisk kæphest, man rider. Forarbejdet skal være på plads, inden vi køber os fattige i al mulig teknologi. Jeg har oplevet mange gange, at man ikke lige har tænkt over, hvordan det præcist skulle bruges, hvem der skulle drive det, og hvad man reelt skulle få ud af det, siger Jakob Holm Hansen.

Vær realistisk

Sikkerhed handler også om mennesker, og her kolliderer den danske tillidskultur med en digital verden, hvor lande- og kulturgrænser er udviskede.

– Vores samfund er interconnected. Vi kan ikke sige, at sådan gør vi i Danmark, og sådan ser det ud uden for landets grænser. Mange virksomheder har ansatte uden for landets grænser, ligesom de har ansatte fra andre lande med anden kultur end den danske, og systemerne kan nås uden for Danmark. Det strider imod vores tillidskultur at være sikkerhedsbevidste, men det er den vej, verden bevæger sig, siger han.

Den positive side af de danske sager om datalæk og nedbrud er, at de trods alt er med til at skærpe fokus på sikkerhed.

– Den danske sikkerhedsdebat var i lang tid præget af, at det var noget, der foregik i USA eller i amerikanske film. Det skete ikke her. Men eksempelvis viser Se&Hør-sagen, at det sker i Danmark, siger Jakob Holm Hansen, der også peger på nødvendigheden af at forberede sig på, hvad man skal gøre, når et datalæk, nedbrud eller sabotage indtræffer.

– Alle kan blive ramt. Man kan ikke sikre sig hundrede procent. Det er vigtigt at forberede sig på, hvad der kan ske, hvis de her data lækkes, eller man bliver ramt af den ene eller anden type hændelse. Hvad kan vi så gøre for at håndtere hændelsen?, siger han.

Så når din arbejdsplads har skabt et overblik over, hvilke data der håndteres i systemerne og gemmes i databaserne, skal I overveje, hvad I gør, hvis data lækkes.


Læs også...

På grund af den nye lov om registrering af arbejdstid, har PROSAs juridiske team hen over sommeren fået mange henvendelser omkring tidsregistrering og…

Forestående ferietid betyder desværre også fyringstid og ”oprydning” i en del virksomheder. Det fortæller jurist Camilla Winter, som her giver et par…

Vi kan ligeså godt se det i øjnene - juli vejret er lunefuldt og rammer ofte sommerdrømmene som en våd karklud. Men fortvivl ikke! PROSAs egen film-…

Internettet og computerbranchen var engang det vilde vesten, et sted, hvor man kunne gøre, hvad man ville uden nogen form for ansvar for almindelige…

Hvad er op og ned i junglen af sundhedstrends? PROSAbladet har spurgt Martin Grønne Jensen, som er dataingeniør, holder foredrag om longevity og er…

Vil du gerne leve længere, så bør du måske give longevity escape velocity-teorien lidt opmærksomhed. Tilhængerne af teorien mener nemlig, at vi kan…

Ny image-analyse fra Computerworld rykker ikke ved, hvem de danske it-professionelle sætter ind på en førsteplads. Til gengæld må Apple se sig slået…

XZ Utils-angrebet havde potentialet til at blive det mest alvorlige supply chain attack til dato, men angrebet blev (heldigvis) spottet i tide, fordi…

JA, siger Isak, Amanda, Lea, Martha og Hannibal. De er mellem 16-26 år og bruger dagligt flere timer på at scrolle gennem de sociale medier for at…

Er du en af de mange dimittender, som står med et nytrykt eksamensdiplom i hånden og er på vej ud på arbejdsmarkedet? Så er Kasper Bach manden, du…