De mest hyppige GDPR sikkerhedsbrud

Datatilsynet har præsenteret statistik om, hvilke typer sikkerhedsbrud der oftest bliver anmeldt til dem. De fem hyppigste typer sikkerhedsbrud er:

1. Rigtige oplysninger til forkert modtager = 50,2%

2. Offentliggørelse = 13,6%

3. Andet = 10,4%

4. Brevpost bortkommet = 7,1%

5. Forkerte oplysninger til rigtig modtager = 7%

Umiddelbart er det ikke kategorier, som omhandler it-kriminalitet/hackere, men derimod hændelser, der opstår ved hverdagsfejl. Det er faktisk kun 2% af anmeldelserne bliver klassificeret som hacking.

Det viser vigtigheden af at oplyse og træne medarbejdere, så de ikke begår disse fejl i deres hverdag.

Datatilsynet har i alt registreret 4856 sikkerhedsbrud i kategorierne.

Hvordan de forskellige kategorier præcist er defineret, fortæller Datatilsynet ikke. Det betyder, at det er op til fortolkning, hvad kategorierne præcist indeholder, og hvornår de overlapper mellem hinanden. En phishing-mail kan f.eks. både klassificeres som hacking, social engineering og ransomware alt afhængig af, hvad der er sket i situationen.

For at vende tilbage til de mest forekomne typer sikkerhedsbrud, så er den klart hyppigste type sikkerhedsbrud ”Rigtige oplysninger/forkert modtager”.

Hele 50 procent af alle anmeldelser bunder i, at de rigtige oplysninger er endt hos den forkerte modtager. Det virker som et banalt problem, men hele 2437 ud af 4856 anmeldelser passer til denne kategori. Det viser, hvor let man kan komme til at dele oplysninger med forkerte modtagere, når man står i en travl hverdag. Måske tilføjer man den forkerte modtager til en mail eller giver en bruger for mange rettigheder i et system. En enkelt lille klik-fejl kan forårsage et sådan sikkerhedsbrud.

Det er derfor vigtigt, at man lærer sin medarbejdere at tjekke alt igennem en ekstra gang, inden man trykker send, eller inden man tildeler en person rettigheder til data. Lige så banalt, som det virker at undgå, lige så nemt er det at falde i.

Awareness omkring disse simple faldgruber er vigtigt for at undgå dem. Tekniske løsninger kan løse mange problemer, men det hjælper ikke imod, at personer sender oplysninger til forkerte modtagere.

Som nævnt er de 5 mest forekomne sikkerhedsbrud:

1. Rigtige oplysninger / forkert modtager = 50,2%

2. Offentliggørelse = 13,6%

3. Andet = 10,4%

4. Brevpost bortkommet = 7,1%

5. Forkerte oplysninger til rigtig modtager = 7%

Disse kategorier lugter ikke af hacking og komplicerede angreb. I stedet er det nærmere almindelige hverdagssituationer, hvor man ved et uheld kommer til at lave en lille fejl.

Det er lidt utydeligt, hvad en kategori som ”Offentliggørelse” indeholder, udover at persondata bliver offentliggjort. Man kan ikke udelukke, at en hacker har fået fat i persondata, som hackeren så har offentliggjort, hvilket derfor går i kategorien ”Offentliggørelse”. Men kun 2% af anmeldelserne bliver klassificeret som hacking, så det er kun et fåtal af alle sagerne i kategorien ”Offentliggørelse”, der består af hacking. Vi må derfor gå ud fra, at størstedelen af hændelserne består af fejl hos en medarbejder. Det kan f.eks. være, at man kommer til at lægge persondata ud på en hjemmeside, hvor alle kan tilgå det. Der er utallige måder, hvor man kan komme til at offentliggøre data, der ikke skulle være offentliggjort.

Brevpost bortkommen udgør hele 7,1% af alle sikkerhedsbrud. Det viser meget godt, at der altid vil ske menneskelige fejl, og at det ikke kan undgås. Brevpost kan forsvinde mange steder i en proces – både hos afsenderen, virksomheden der står for leveringen og hos modtageren, men fælles for alle tre led er, at det ofte vil være en menneskelig fejl. Det viser, at sikkerhedshændelser ofte handler om adfærd.

Forkerte oplysninger til rigtig modtager minder på mange måder om rigtige oplysninger/forkert modtager. Den mest oplagte årsag til denne type hændelse er, at man ved et uheld vedhæfter den forkerte fil til en mail, og giver personer adgang til data, de ikke skulle have haft. Der er altså igen tale om kategori, der formentlig består mest af menneskelige fejl frem for hacking og tekniske fejl.

Til sammen udgør de fem mest udbredte årsager til anmeldelser hele 88,3% af anmeldelserne. Det giver derfor ud fra en risikovurdering mening at fokusere på, hvordan man kan undgå disse. Vi kan af gode årsager ikke bedømme, hvad kategorien ”Andet” indeholder. Når det kommer til de andre kategorier, er vores vurdering, at man kan nedsætte risikoen markant, hvis man underviser sine medarbejdere i GDPR og gør dem opmærksomme på, hvordan disse fejl kan opstå, og hvordan de kan undgås. Du kan læse mere om, hvordan du sikrer, at din virksomhed overholder GDPR her.

Tallene understøtter i høj grad, hvad vi har skrevet om i vores e-bog (psst.. den er gratis). I e-bogen fokuserer vi på, hvordan den største risiko for sikkerhedsbrud ligger hos medarbejderne. Derfor er træning af medarbejdere en vigtig grundsten i at skabe en god it sikkerhedskultur.

De kategorier, som tydeligvis omhandler hackere/IT-kriminelle, er: ”Ransomware”, ”Social Engineering”, ”Bruteforce/credential stuffing” og ”Hacking”. Disse fire kategorier står dog kun for 4,7% af de anmeldte sikkerhedshændelser. Det svarer til 227 anmeldelser, der passer i minimum en af disse kategorier. Sandsynligheden, for at blive ramt af disse typer angreb, er altså ikke store.

Det betyder dog ikke, at disse typer angreb er uvæsentlige at forsvare sig imod, da konsekvenserne i disse situationer ofte vil være store. Sidste år, så vi flere virksomheder tabe millioner kroner grundet ransomware. Så selvom disse typer sikkerhedshændelser ikke sker så ofte, så er konsekvenserne så store, at man bliver nødt til at tage dem alvorligt.

Essensen af en risikobaseret tilgang, som Datatilsynet anbefaler, er netop, at man laver en risikoanalyse. Analysen indeholder, hvor stor en risiko der er for, at en situation opstår, og hvor stor en konsekvens situationen vil have. Ud fra dette kan man vurdere, hvor man bør lægge sine kræfter. Det handler om at undgå, at fokusere sin energi på en type hændelse, hvor konsekvenserne er lave eller sandsynligheden er ikkeeksisterende. Hvis ransomware slet ikke var sket det sidste år, så kan det godt være, at konsekvenserne er store, men sandsynligheden vil være så minimal, at man ikke behøver at fokusere på det. Det er desværre ikke tilfældet, da ransomware er en reel risiko. Risikoen er dog stadig utrolig lav, da kun 23 af 2437 sikkerhedshændelser kan kategoriseres som ransomware. Derfor giver det heller ikke mening at fokusere alt sin it-sikkerhedsarbejde efter dette.

Vi har lavet en skabelon til at lave risikoanalyser, som du kan hente her.

Som nævnt viser Datatilsynets tal, at størstedelen af alle sikkerhedsbrud sker, når vi begår småfejl i vores hverdag. Vi sender persondata til de forkerte personer, og nogle gange de forkerte data til de rigtige personer. Derfor kan et øget fokus på awareness træning gøre meget for ens it-sikkerhed og reducere risikoen for sikkerhedshændelser. Hvis man kan få trænet sine medarbejdere til at tænke sig om en ekstra gang, inden de klikker, så er man nået langt.

Risikoen for at blive ramt af ondsindede aktører og derigennem opleve et sikkerhedsbrud som f.eks. ransomware er ikke lige så stor. Men konsekvenserne ved at blive ramt af disse typer af angreb er så store, at man ikke bare kan tage skyklapper på og sige, at det ikke sker for os. Hvor tekniske løsninger som firewalls og anti-virus kan hjælpe, så er der også brug for årvågne medarbejdere, når det kommer til trusler som hacking, social engineering og ransomware. Center for Cybersikkerhed nævner, at langt de fleste hackerangreb starter med en simpel phishing-mail. Det starter med en medarbejder, der klikker på et link. Derfor kan awareness og phishing-træning være et værktøj til at sikre, at det ikke bliver jeres medarbejdere, der klikker.

Datatilsynets statistikker bliver løbende opdateret, og vi vil derfor anbefale, at man følger med.