Datatilsynet har som et led i deres strategi for en data- og risikobaseret indsats valgt at præsentere statistikker om sikkerhedsbrud. Disse statistikker bliver opdateret månedligt og skal hjælpe virksomheder med at træffe gode risikobaserede beslutninger. For at evaluere dine egne sikkerhedshændelser, anbefaler jeg at bruge vores risikovurderings skabelon. Jeg vil i denne blogpost tage dig igennem, hvad statistikkerne siger lige nu.
Typer af GDPR sikkerhedsbrud der er blevet rapporteret
Datatilsynet har udformet en rapport baseret på anmeldelser af brud på GDPR, som de modtager. Statistikkerne, som Datatilsynet præsenter, viser, hvilke typer af sikkerhedsbrud der oftest bliver anmeldt til dem. De fem hyppigste typer sikkerhedsbrud er:
-
Rigtige oplysninger til forkert modtager = 46%
-
Andet = 14%
-
Offentliggørelse = 12,0%
-
Brevpost bortkommet = 9%
-
Forkerte oplysninger til rigtig modtager = 9%
Umiddelbart er det ikke kategorier, som omhandler it-kriminalitet/hackere, men derimod hændelser, der opstår ved hverdagsfejl. Det er faktisk kun 2% af anmeldelserne bliver klassificeret som hacking.
Det viser vigtigheden af at træne ens medarbejdere, og skabe awareness, så de ikke begår disse fejl i deres hverdag.
Anmeldelser af sikkerhedsbrud bliver inddelt i kategorier
Før jeg dykker mere grundigt ned i de fem mest hyppige GDPR brud, tager jeg lige et skridt tilbage, for hvad består Datatilsynets statistik egentlig af? Når Datatilsynet modtager en anmeldelse om et sikkerhedsbrud, så kategoriserer de anmeldelserne ud fra, hvad der er sket i bruddet. Anmeldelsen kan ende i enten en eller flere kategorier baseret på, hvad der er sket i GDPR bruddet, men der er også en “Andet” kategori, for de brud der ikke passer ind i standardkategorierne.
Kategoriseringen og fordelingen ser således ud:
Har du lyst til at se hvad der ellers er blevet anmeldt? Du kan se mere på Datatilsynets hjemmeside
Datatilsynet har i alt registreret 19,087 sikkerhedsbrud i kategorierne.
Hvordan de forskellige kategorier præcist er defineret, fortæller Datatilsynet ikke. Det betyder, at det er op til fortolkning, hvad kategorierne præcist indeholder, og hvornår de overlapper mellem hinanden. En phishing-mail kan f.eks. både klassificeres som hacking, social engineering og ransomware alt afhængig af, hvad der er sket i situationen.
Det største brud er rigtige oplysninger til den forkerte modtager
For at vende tilbage til de mest forekomne typer sikkerhedsbrud, så er den klart hyppigste type sikkerhedsbrud ”Rigtige oplysninger/forkert modtager”.
Hele 46 procent af alle anmeldelser bunder i, at de rigtige oplysninger er endt hos den forkerte modtager. Det virker som et banalt problem, men hele 8,863 ud af 19,087 anmeldelser passer i denne kategori. Det viser, hvor let man kan komme til at dele oplysninger med forkerte modtagere, når man står i en travl hverdag. Måske tilføjer man den forkerte modtager til en mail eller giver en bruger for mange rettigheder i et system. En enkelt lille klik-fejl kan forårsage et sådan sikkerhedsbrud.
Det er derfor vigtigt, at man lærer sin medarbejdere at tjekke alt igennem en ekstra gang, inden man trykker send, eller inden man tildeler en person rettigheder til data. Lige så banalt, som det virker at undgå, lige så nemt er det at falde i.
Awareness omkring disse simple faldgruber er vigtigt for at undgå dem. Tekniske løsninger kan løse mange problemer, men det hjælper ikke imod, at personer sender oplysninger til forkerte modtagere.
De mest udbredte GDPR sikkerhedsbrud er IKKE hacking
Som nævnt er de 5 mest forekomne sikkerhedsbrud:
-
Rigtige oplysninger til forkert modtager = 46%
-
Andet = 14%
-
Offentliggørelse = 12,0%
-
Brevpost bortkommet = 9%
-
Forkerte oplysninger til rigtig modtager = 9%
Disse kategorier involverer ikke hacking eller komplicerede angreb. I stedet er det nærmere almindelige hverdagssituationer, hvor man ved et uheld kommer til at lave en lille fejl.
Det er lidt utydeligt, hvad en kategori som ”Offentliggørelse” indeholder, udover at persondata bliver offentliggjort. Man kan ikke udelukke, at en hacker har fået fat i persondata, som hackeren så har offentliggjort, hvilket derfor går i kategorien ”Offentliggørelse”. Men kun 2% af anmeldelserne bliver klassificeret som hacking, så det er kun et fåtal af alle sagerne i kategorien ”Offentliggørelse”, der består af hacking. Vi må derfor gå ud fra, at størstedelen af hændelserne består af fejl hos en medarbejder. Det kan f.eks. være, at en medarbejder kommer til at lægge persondata ud på en hjemmeside, hvor alle kan tilgå det. Der er utallige måder, hvor man kan komme til at offentliggøre data, der ikke skulle være offentliggjort.
De fleste sikkerhedsbrud er pga. menneskelige fejl
Brevpost bortkommen udgør hele 9% af alle GDPR sikkerhedsbrud. Det viser meget godt, at der altid vil ske menneskelige fejl, og at det ikke kan undgås. Brevpost kan forsvinde mange steder i en proces – både hos afsenderen, virksomheden der står for leveringen og hos modtageren, men fælles for alle tre led er, at det ofte vil være en menneskelig fejl. Det viser, at sikkerhedshændelser ofte handler om adfærd.
“Forkerte oplysninger til rigtig modtager” minder på mange måder om “rigtige oplysninger/forkert modtager”. Den mest oplagte årsag til denne type hændelse er, at man ved et uheld vedhæfter den forkerte fil til en mail, og giver personer adgang til data, de ikke skulle have haft. Der er altså igen tale om kategori, der formentlig består mest af menneskelige fejl frem for hacking og tekniske fejl.
Til sammen udgør de fem mest udbredte årsager til brud på GDPR hele 90% alle de anmeldte sikkerhedsbrud. Det giver derfor ud fra en risikovurdering mening at fokusere på, hvordan man kan undgå alle disse GDPR-brud. Vi kan af gode årsager ikke bedømme, hvad kategorien ”Andet” indeholder. Når det kommer til de andre kategorier, er vores vurdering, at man kan nedsætte risikoen for sikkerhedsbrud markant, hvis man underviser sine medarbejdere i GDPR og gør dem opmærksomme på, hvordan disse fejl kan opstå, og hvordan de kan undgås. Du kan læse mere om, hvordan du sikrer, at din virksomhed overholder GDPR her.
Tallene understøtter i høj grad, hvad vi har skrevet om i vores e-bog (psst.. den er gratis). I e-bogen fokuserer vi på, hvordan den største risiko for sikkerhedsbrud ligger hos medarbejderne. Derfor er træning af medarbejdere en vigtig grundsten i at skabe en god IT-sikkerhedskultur.
IT-kriminelle står kun for en lille andel, men konsekvensen er større
De kategorier, som tydeligvis omhandler hackere/IT-kriminelle, er:
- Ransomware
- Social Engineering
- Bruteforce/credential stuffing
- Hacking
Disse fire kategorier står dog kun for 4,5% af de anmeldte sikkerhedsbrud. Det svarer til 765 (ud af 19,087 totalt rapporterede anmeldelser) sikkerhedsbrud der passer i minimum en af disse kategorier. Sandsynligheden, for at blive ramt af disse typer angreb, er altså ikke store.
Det betyder dog ikke, at disse typer angreb er uvæsentlige at forsvare sig imod, da konsekvenserne i disse situationer ofte vil være store. i 2020, så vi flere virksomheder tabe millioner kroner grundet ransomware, hvilket også landede dem nogle store bøder, fordi de brød GDPR-reglerne. Så selvom disse typer sikkerhedshændelser ikke sker så ofte, så er konsekvenserne så store, at man bliver nødt til at tage dem alvorligt. I vores blogpost om prisen på et databrud, kan du læse mere om, hvor dyre sikkerhedsbrud faktisk kan være.
Brug en risikovurdering til at beskytte dig selv fra potentielle brud
Essensen af en risikobaseret tilgang, som Datatilsynet anbefaler, er netop, at man laver en risikoanalyse. Analysen indeholder information om, hvor stor en risiko der er for, at en situation opstår, og hvor stor en konsekvens situationen vil have. Ud fra dette kan man vurdere, hvor man bør lægge sine kræfter. Det handler om at undgå, at fokusere sin energi på en type hændelse, hvor konsekvenserne er lave eller sandsynligheden er ikkeeksisterende.
Hvis ransomware slet ikke var sket det sidste år, så kan det godt være, at konsekvenserne er store, men sandsynligheden vil være så minimal, at man ikke behøver at fokusere på det. Det er desværre ikke tilfældet, da ransomware er en reel risiko. Risikoen er dog stadig utrolig lav, da kun 93 af 19,087 sikkerhedsbrud kan kategoriseres som ransomware. Derfor giver det heller ikke mening at fokusere alt sin it-sikkerhedsarbejde efter dette.
Vi har lavet en skabelon til at lave risikoanalyser, som du kan hente her.
IT-sikkerhed kræver fokus på adfærd og mennesker
Som nævnt viser Datatilsynets tal, at størstedelen af alle sikkerhedsbrud sker, når vi begår småfejl i vores hverdag. F.eks. kan vi komme til at sende persondata til de forkerte personer, og nogle gange de forkerte data til de rigtige personer. Derfor kan et øget fokus på awareness træning gøre meget for ens IT-sikkerhed og reducere risikoen for sikkerhedsbrud. Hvis man kan få trænet sine medarbejdere til at tænke sig om en ekstra gang, inden de klikker, så er man nået langt.
Hvor tekniske løsninger som firewalls og anti-virus kan hjælpe, så er der også brug for årvågne medarbejdere, når det kommer til trusler som hacking, social engineering og ransomware. Center for Cybersikkerhed nævner, at langt de fleste hackerangreb starter med en simpel phishing-mail. Derfor kan awareness-træning og phishing-træning være værktøjer til at sikre, at det ikke bliver jeres medarbejdere, der klikker og laver en fejl.
Datatilsynets statistikker bliver løbende opdateret, og vi vil derfor anbefale, at man følger med og holder sig opdateret om de seneste trends inden for sikkerhedsbrud.
