Datatilsynet har som et led i deres strategi for en data- og risikobaseret indsats valgt at præsentere statistikker om sikkerhedsbrud. Disse statistikker bliver opdateret månedligt og skal hjælpe virksomheder med at træffe gode risikobaserede beslutninger. For at evaluere dine egne sikkerhedshændelser, anbefaler jeg at bruge vores risikovurderings skabelon. Jeg vil i denne blogpost tage dig igennem, hvad statistikkerne siger lige nu.
Typer af GDPR sikkerhedsbrud der er blevet rapporteret
Datatilsynet har udformet en rapport baseret på anmeldelser af brud på GDPR, som de modtager. Statistikkerne, som Datatilsynet præsenter, viser, hvilke typer af sikkerhedsbrud der oftest bliver anmeldt til dem. De 10 typiske brud på persondatasikkerheden er:
-
Data til forkerte modtagere fordi forkert adressat flettes ind i udgående post
-
Beskyttet adresse eksponeres fejlagtigt efter ændring i it-system
-
Fejludlevering af data ved sagsbehandling
-
Manglende sletning af data ved brug af digitale værktøjer
-
Auto-complete medfører, at e-mails bliver sendt til forkerte modtagere
- Tab/tyveri af transportable enheder med ukrypteret data
- For bred adgang til data på netværksdrev mv.
- Uautoriseret adgang til data grundet dårligt design, kodefejl og utilstrækkelige tests
- Videregivelse af data gemt i skabelon- og blanketløsninger
- Ondsindet software (ransomware) medfører tab og misbrug af data
Umiddelbart er det ikke kategorier, som omhandler it-kriminalitet/hackere, men derimod hændelser, der opstår ved hverdagsfejl.
Kun 2 af de 10 mest hyppige GDPR- og sikkerhedsbrud skyldes ondsindede aktører.
Det viser vigtigheden af at træne ens medarbejdere, og skabe awareness, så de ikke begår disse fejl i deres hverdag.
Anmeldelser af sikkerhedsbrud bliver inddelt i kategorier
Før jeg dykker mere grundigt ned i de 10 mest hyppige GDPR brud, tager jeg lige et skridt tilbage, for hvad består Datatilsynets statistik egentlig af? Når Datatilsynet modtager en anmeldelse om et sikkerhedsbrud, så kategoriserer de anmeldelserne ud fra, hvad der er sket i bruddet. Anmeldelsen kan ende i enten en eller flere kategorier baseret på, hvad der er sket i GDPR bruddet, men der er også en “Andet” og "ukendt" kategori, for de brud der ikke passer ind i standardkategorierne.
Kategoriseringen og fordelingen ser således ud:
Har du lyst til at se hvad der ellers er blevet anmeldt? Du kan se mere på Datatilsynets hjemmeside
Datatilsynet har i alt registreret 32557 sikkerhedsbrud i kategorierne.
Forklaring på de typer af hændelse der leder til GDPR-brud
Datatilsynet screener alle de rapporterede brud og kategoriserer dem afhængigt af hvilken type trussel eller risiko, der er relevant for bruddet. Her er, hvordan de kategoriserer bruddene.
Fysiske og forsætlige hændelser
Brud på persondatasikkerheden, der skyldes forsætlige fysiske aktiviteter, såsom trusler, indbrud, tyveri af enheder, sabotage eller bevidst uberettiget deling, offentliggørelse eller fjernelse af data.
Utilsigtede hændelser
Brud på persondatasikkerheden, der primært skyldes menneskelige fejl. Fx manglende anonymisering eller pseudonymisering, fejljournalisering, aktering, offentliggørelse af personoplysninger, fejl forårsaget af leverandører eller gæster.
Ulykker
Brud på persondatasikkerheden grundet ulykker såsom brand, skybrud eller lignende.
Fejl og funktionsfejl
Brud på persondatasikkerheden, som skyldes utilsigtede fejl i programmer eller udstyr, herunder fejl i forsyning af fx køl eller strøm eller fejl hos leverandører.
Afbrydelser
Brud på tilgængeligheden af persondata, som skyldes at underliggende aktiver, fx at personale eller internet ikke er tilgængeligt.
Aflytning/opsnapning
Brud på fortroligheden af persondata, der skyldes at information er opsnappet, fx usikre e-mails, usikker internettrafik eller aflytning.
Ondsindet aktivitet/misbrug
Brud på persondatasikkerheden grundet IT-kriminalitet, fx ved identitetstyveri (herunder misbrug af konti til login), phishing, svindelforsøg, manipulation af data med uautoriseret adgang, målrettede angreb, DDOS, udnyttelse af betroede rettigheder, certifikatsvindel.
Juridisk
Brud på persondatasikkerheden, der skyldes overtrædelse af gældende forskrifter og brud på indgåede kontrakter.
Andet
Hændelsestypen vælges, når ingen af de øvrige hændelsestyper er beskrivende for hændelsen.
Ukendt
Hændelsestypen vælges, når det anmeldte brud ikke er klassificeret med en hændelsestype.
Det største problem er utilsigtede hændelser
For at vende tilbage til de mest forekomne typer sikkerhedsbrud, så er den klart hyppigste type sikkerhedsbrud "utilsigtede hændelser".
80,62% af alle meldinger er baseret på utilsigtede hændelser forårsaget af menneskelige fejl. Det virker måske som et banalt problem, men hele 26.248 ud af de 32.557 meldinger passer ind i denne kategori. Det viser, hvor let man kan komme til at lave fejl, når man står i en travl hverdag. Måske tilføjer man den forkerte modtager til en mail eller giver en bruger for mange rettigheder i et system. En enkelt lille klik-fejl kan forårsage et sådan sikkerhedsbrud.
Det er derfor vigtigt, at man lærer sin medarbejdere at tjekke alt igennem en ekstra gang, inden man trykker send, eller inden man tildeler en person rettigheder til data. Lige så banalt, som det virker at undgå, lige så nemt er det at falde i.
Awareness omkring disse simple faldgruber er vigtigt for at undgå dem. Tekniske løsninger kan løse mange problemer, men det hjælper ikke imod, at personer sender oplysninger til forkerte modtagere.
De mest udbredte GDPR sikkerhedsbrud er IKKE hacking
Som nævnt er de 10 mest forekomne sikkerhedsbrud:
-
-
Data til forkerte modtagere fordi forkert adressat flettes ind i udgående post
-
Beskyttet adresse eksponeres fejlagtigt efter ændring i it-system
-
Fejludlevering af data ved sagsbehandling
-
Manglende sletning af data ved brug af digitale værktøjer
-
Auto-complete medfører, at e-mails bliver sendt til forkerte modtagere
- Tab/tyveri af transportable enheder med ukrypteret data
- For bred adgang til data på netværksdrev mv.
- Uautoriseret adgang til data grundet dårligt design, kodefejl og utilstrækkelige tests
- Videregivelse af data gemt i skabelon- og blanketløsninger
- Ondsindet software (ransomware) medfører tab og misbrug af data
-
Langt størstedelen af disse kategorier involverer ikke hacking eller komplicerede angreb. I stedet er det nærmere almindelige hverdagssituationer, hvor man ved et uheld kommer til at lave en lille fejl og hører ind under kategorien "utilsigtede hændelser".
Vi må derfor gå ud fra, at størstedelen af de typiske GDPR-brud består af fejl hos en medarbejder. Det kan f.eks. være, at en medarbejder kommer til at lægge persondata ud på en hjemmeside, hvor alle kan tilgå det. Der er utallige måder, hvor man kan komme til at offentliggøre data, der ikke skulle være offentliggjort.
De fleste sikkerhedsbrud er pga. menneskelige fejl
Det er ikke muligt at se, hvor mange procent hver af de mest almindelige GDPR-overtrædelser fylder i hver af deres respektive kategorier - men fælles for alle de 10 mest almindelige overtrædelser er, at fejlene ofte skyldes menneskelige fejl. Det viser, at sikkerhedshændelser ofte handler om adfærd.
Utilsigtede hændelser udgør over 80% af de rapporterede overtrædelser, som Datatilsynet har modtaget. Det giver derfor ud fra en risikovurdering mening at fokusere på, hvordan man kan undgå alle disse GDPR-brud. Vi kan af gode årsager ikke bedømme, hvad kategorien ”Andet” indeholder. Når det kommer til de andre kategorier, er vores vurdering, at man kan nedsætte risikoen for sikkerhedsbrud markant, hvis man underviser sine medarbejdere i GDPR og gør dem opmærksomme på, hvordan disse fejl kan opstå, og hvordan de kan undgås. Du kan læse mere om, hvordan du sikrer, at din virksomhed overholder GDPR her.
Tallene understøtter i høj grad, hvad vi har skrevet om i vores e-bog (psst.. den er gratis). I e-bogen fokuserer vi på, hvordan den største risiko for sikkerhedsbrud ligger hos medarbejderne. Derfor er træning af medarbejdere en vigtig grundsten i at skabe en god IT-sikkerhedskultur.
IT-kriminelle står kun for en lille andel, men konsekvensen er større
Sikkerhedsbrud forårsaget af kriminelle udgør kun 3,89% af de rapporterede sikkerhedsbrud. Det svarer til 1268 brud (ud af 32557 samlede meldinger om brud), der passer ind i denne kategori, som omfatter
- Social Engineering
- DDos angreb
- Identitetstyveri
Sandsynligheden, for at blive ramt af disse typer angreb, er altså ikke store.
Det betyder dog ikke, at disse typer angreb er uvæsentlige at forsvare sig imod, da konsekvenserne i disse situationer ofte vil være store. i 2020, så vi flere virksomheder tabe millioner kroner grundet ransomware, hvilket også landede dem nogle store bøder, fordi de brød GDPR-reglerne. Så selvom disse typer sikkerhedshændelser ikke sker så ofte, så er konsekvenserne så store, at man bliver nødt til at tage dem alvorligt. I vores blogpost om prisen på et databrud, kan du læse mere om, hvor dyre sikkerhedsbrud faktisk kan være.
Brug en risikovurdering til at beskytte dig selv fra potentielle brud
Essensen af en risikobaseret tilgang, som Datatilsynet anbefaler, er netop, at man laver en risikoanalyse. Analysen indeholder information om, hvor stor en risiko der er for, at en situation opstår, og hvor stor en konsekvens situationen vil have. Ud fra dette kan man vurdere, hvor man bør lægge sine kræfter. Det handler om at undgå, at fokusere sin energi på en type hændelse, hvor konsekvenserne er lave eller sandsynligheden er ikkeeksisterende.
Hvis ransomware slet ikke var sket det sidste år, så kan det godt være, at konsekvenserne er store, men sandsynligheden vil være så minimal, at man ikke behøver at fokusere på det. Det er desværre ikke tilfældet, da ransomware er en reel risiko. Risikoen er dog stadig utrolig lav, da kun 93 af 19,087 sikkerhedsbrud kan kategoriseres som ransomware. Derfor giver det heller ikke mening at fokusere alt sin it-sikkerhedsarbejde efter dette.
Vi har lavet en skabelon til at lave risikoanalyser, som du kan hente her.
IT-sikkerhed kræver fokus på adfærd og mennesker
Som nævnt viser Datatilsynets tal, at størstedelen af alle sikkerhedsbrud sker, når vi begår småfejl i vores hverdag. F.eks. kan vi komme til at sende persondata til de forkerte personer, og nogle gange de forkerte data til de rigtige personer. Derfor kan et øget fokus på awareness træning gøre meget for ens IT-sikkerhed og reducere risikoen for sikkerhedsbrud. Hvis man kan få trænet sine medarbejdere til at tænke sig om en ekstra gang, inden de klikker, så er man nået langt.
Hvor tekniske løsninger som firewalls og anti-virus kan hjælpe, så er der også brug for årvågne medarbejdere, når det kommer til trusler som hacking, social engineering og ransomware. Center for Cybersikkerhed nævner, at langt de fleste hackerangreb starter med en simpel phishing-mail. Derfor kan awareness-træning og phishing-træning være værktøjer til at sikre, at det ikke bliver jeres medarbejdere, der klikker og laver en fejl.
Utilsigtede hændelser er hovedårsagen til GDPR-overtrædelser
at over 80% af GDPR-brud skyldes utilsigtede hændelser viser vigtigheden af det menneskelige aspekt af databeskyttelse. Det, at de er utilsigtede, kan dog gøre det svært at gøre noget ved dem, da der ikke er nogen dårlige intentioner fra dine kollegaer. En ting, du kan gøre for at forsøge at afbøde disse hændelser, er at skabe et generelt bevidsthedsniveau omkring disse problemer ved at skabe en stærk sikkerhedskultur.
Datatilsynets statistikker bliver løbende opdateret, og vi vil derfor anbefale, at man følger med og holder sig opdateret om de seneste trends inden for sikkerhedsbrud.
