Efterhånden som personfølsomme data indsamles i større omfang af mange forskellige organisationer, er der flere personer - eksempelvis systemadministratorer, databaseadministratorer og superbrugere - som får adgang til personfølsomme data. For at forhindre at personer med de jobroller fristes til at sælge oplysningerne til medier, fremmede magters efterretningstjenester, terrororganisationer og andre med interesse for følsomme oplysninger om enkeltpersoner, er det foreslået, at datasikkerheden kan forbedres ved at lave sikkerhedsscreeninger af folk. En sikkerhedsscreening, hvor personens økonomiske forhold, eventuelle familie- og/eller venne-relationer til kriminelle bander og andre forhold, indgår i en vurdering af, hvorvidt personen udgør en sikkerhedsrisiko.
Få styr på data
Men er sikkerhedsscreeninger virkelig løsningen?
– Nej, der er flere lag af sikkerhed, hvoraf medarbejderscreening kun er en del af det, siger Jakob Holm Hansen.
Han har arbejdet med sikkerhed i mange år hos Deloitte, KMD og Neupart med fokus på governance, risk og compliance. Han nævner en lang liste af foranstaltninger, som enhver sikkerhedsansvarlig formentlig kender til: Håndtering af brugeridentifikation og -rettigheder, logning af systemadgang, firewalls, data loss protection, analyse af netværkstrafik og andre sikkerhedsteknikker, der alle kan være med til at forbedre sikkerheden.
Men inden man kaster sig over den slags systemer og sikkerhedsteknologier, er der en helt anden lavpraktisk ting, som skal være på plads: Der skal være styr på, hvilke data virksomheden har, og hvor de er gemt. Det lyder indlysende, men i mange virksomheder er der ikke det nødvendige overblik over data. Specielt med henblik på at sikre personfølsomme data gælder det om at identificere, hvad det er præcist, som skal beskyttes.
– Hvis vi ikke kender grundlaget for det hele - hvilke data vi har, hvor de er henne, og hvilke der er fortrolige eller personfølsomme - så giver det ikke mening at anvende de værktøjer, siger Jakob Holm Hansen.
Persondataforordning kan hjælpe
Desværre er det langtfra alle danske virksomheder, der er klar til at overholde EU-persondataforordningen, som træder i kraft i 25. maj i år. Eksempelvis viste en undersøgelse fra marts måned i år, gennemført af brancheorganisationen Dansk Erhverv, at 15 procent af de adspurgte virksomheder ikke kendte reglerne, 15 procent mente ikke, at persondataforordningen vedrørte dem, og endelig svarede 12 procent 'ved ikke' til, om de kendte reglerne.
– Nogle virksomheder er langt fremme, mens andre virksomheder har taget det mere stille og roligt. Det er fem minutter i tolv, siger Jakob Holm Hansen.
Han mener, at persondataforordningen kan skabe det nødvendige fundament for god datasikkerhed.
– Der er sikkert mange, som ikke når at komme i mål med hele deres compliance-program 25. maj, men om ikke andet er de godt i gang, siger Jakob Holm Hansen.
Han mener, at virksomhedernes interesse for og arbejde med persondataforordningen er kommet i to bølger.
– Første bølge kom, da forordningen blev offentliggjort. Der var så en anden bølge, der begyndte i efteråret 2017, hvor en række virksomheder begyndte at tage det seriøst, siger han.
Virksomhederne i første bølge har fået overblik over deres data, hvilket har givet dem mulighed for at besvare en række spørgsmål relateret til datasikkerhed, mens virksomhederne i anden bølge er i gang med at finde svar på de spørgsmål, der rejser sig:
– Hvor har vi personfølsomme oplysninger? Har vi begrænset adgangen til data? Har de medarbejdere, der har adgang, et arbejdsbetinget behov for den adgang? Hvor længe skal data opbevares? Arbejdet med at implementere persondataforordningen afklarer, hvor god datasikkerheden er, siger Jakob Holm Hansen.
Teknologiske kæpheste
Når der er styr på, hvilke data virksomheden eller organisationen har, kan man derefter begynde at bygge oven på fundamentet med diverse teknologiske løsninger som eksempel data loss prevention-systemer, der kan scanne ind- og udgående data på virksomhedens netværk. Den slags systemer kan eksempelvis opfange forsøg på at sende cpr-numre eller kreditkortoplysninger ud af virksomhedens netværk, ligesom mere ustrukturerede data i form af forretningsdokumenter kan scannes for nøgleord og sensitive oplysninger, eksempelvis årsregnskaber, der endnu ikke er blevet meldt ud til Fondsbørsen.
Jakob Holm Hansen pointerer, at ligesom etablering af et fundament for datasikkerhed kræver hårdt arbejde, så kræver det også en indsats at få de teknologiske sikkerhedsløsninger til at give værdi.
– Det er nemt at købe noget sikkerhedsteknologi, men man skal passe på, at det ikke bliver sådan lidt af en teknologisk kæphest, man rider. Forarbejdet skal være på plads, inden vi køber os fattige i al mulig teknologi. Jeg har oplevet mange gange, at man ikke lige har tænkt over, hvordan det præcist skulle bruges, hvem der skulle drive det, og hvad man reelt skulle få ud af det, siger Jakob Holm Hansen.
Vær realistisk
Sikkerhed handler også om mennesker, og her kolliderer den danske tillidskultur med en digital verden, hvor lande- og kulturgrænser er udviskede.
– Vores samfund er interconnected. Vi kan ikke sige, at sådan gør vi i Danmark, og sådan ser det ud uden for landets grænser. Mange virksomheder har ansatte uden for landets grænser, ligesom de har ansatte fra andre lande med anden kultur end den danske, og systemerne kan nås uden for Danmark. Det strider imod vores tillidskultur at være sikkerhedsbevidste, men det er den vej, verden bevæger sig, siger han.
Den positive side af de danske sager om datalæk og nedbrud er, at de trods alt er med til at skærpe fokus på sikkerhed.
– Den danske sikkerhedsdebat var i lang tid præget af, at det var noget, der foregik i USA eller i amerikanske film. Det skete ikke her. Men eksempelvis viser Se&Hør-sagen, at det sker i Danmark, siger Jakob Holm Hansen, der også peger på nødvendigheden af at forberede sig på, hvad man skal gøre, når et datalæk, nedbrud eller sabotage indtræffer.
– Alle kan blive ramt. Man kan ikke sikre sig hundrede procent. Det er vigtigt at forberede sig på, hvad der kan ske, hvis de her data lækkes, eller man bliver ramt af den ene eller anden type hændelse. Hvad kan vi så gøre for at håndtere hændelsen?, siger han.
Så når din arbejdsplads har skabt et overblik over, hvilke data der håndteres i systemerne og gemmes i databaserne, skal I overveje, hvad I gør, hvis data lækkes.