Sådan Håndterer Du Sikkerhedsbrud Med 4 Simple Huskeregler

Et sikkerhedsbrud er helt kort en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret. Det er altså et brud, så snart vi ved, at nogen uvedkommende har haft adgang til data eller systemer. Så er det underordnet, hvor lidt data, der reelt er tale om.

Et sikkerhedsbrud er altså ikke kun de store skandaler, vi kender fra medierne, men også situationer hvor der f.eks. er forsvundet en mappe med vigtige papirer eller en e-mail, der er blevet sendt til den forkerte modtager. Faktisk er små fejl og “uheld” skyld i de fleste sikkerhedsbrud. Ofte rapporteres disse mindre sikkerhedsbrud ikke, hvilket kan skabe en sårbarhed i jeres virksomhed, hvis I ikke opdager disse brud. I kan på Datatilsynets hjemmeside se statistik om anmeldte sikkerhedsbrud.

Det er selvfølgelig altid målet helt at undgå sikkerhedsbrud, men når uheldet er ude, er det vigtigt at have etableret en proces til at håndtere brud. Derfor har vi lavet disse 4 huskeregler, der har til formål at definere sikkerhedsbrud, og hvad der skal ske, når de spottes:

1. Et sikkerhedsbrud er en hændelse, hvor der er vished om eller reel risiko for, at systemer eller data er blevet kompromitteret.

2. Hvis sikkerhedsbruddet involverer persondata, stiller persondataforordningen krav om, at organisationen skal følge bestemte regler.

3. Du skal altid indberette et sikkerhedsbrud. Så kan hændelsen stoppes og sikkerheden forbedres.

4. Det er vigtigt, at du ved, hvem du skal rapportere et sikkerhedsbrud til. Det kan være en DPO (Data Protection Officer), den IT-ansvarlige eller lignende.

Udover disse 4 huskeregler er det også værd at dykke ned i de 15 tilsyn, som Datatilsynet udførte i efteråret 2020. Disse tilsyn giver indsigter i, hvad der kræves af dokumentationen af sikkerhedshændelser- og brud.

I nogle situationer rapporteres sikkerhedsbrud ikke af den simple grund, at medarbejderen ikke ved, at det de står overfor, kvalificerer sig som et sikkerhedsbrud. Sådanne situationer, hvor det er viden, der er mangelvaren, kan løses gennem undervisning. Her er awareness-træning et åbenlyst bud. Hvis alle medarbejdere f.eks. kender ovenstående huskeregler, højnes chancen for at spotte et brud.

I andre situationer rapporteres et brud ikke af den simple grund, at medarbejderen er bange for de konsekvenser, det kan have. Disse situationer er sværere at undgå, da de kræver, at organisationen skaber en kultur, hvor ærlighed i sådanne situationer vægtes tungere end fejlen i sig selv. Det er vigtigt at kommunikere, at det er ok at begå fejl så længe, at man indrømmer dem. Der skal skabes en åben kultur, hvor folk tør rapportere sikkerhedsbrud uden frygt for personlige konsekvenser.

Til sidst ses også situationer, hvor en organisation administrativt vælger ikke at rapportere for ikke at undgå den dårlige omtale, som sådan et brud fører med sig. Udover, at man her risikerer endnu dårligere omtale, hvis det opdages, at man har forsøgt at feje et brud under måtten, er der med den nye persondatalov også mulighed for store bøder.

Som vi lige har pointeret, dækker begrebet sikkerhedsbrud bredt, og derfor er det også naturligt, at et sikkerhedsbrud kan have mange forskellige konsekvenser. Et sikkerhedsbrud kan f.eks. godt være helt uden konsekvenser i situationer, hvor uvedkommende har haft adgang til data, men ikke har udnyttet det. Det har dog ændret sig efter GDPR, hvilket vi kommer ind på senere.

I situationer, hvor der umiddelbart ikke har været konsekvenser, er det stadig vigtigt at rapportere bruddet, da sikkerheden derved kan forbedres, og fremtidige sikkerhedsbrud kan undgås.

I mindre heldige situationer kan konsekvenser være alt fra dårligt omdømme til store finansielle tab. Når uheldet er ude og vi oplever et sikkerhedsbrud kan ordentlig håndtering hjælpe os med at minimere disse konsekvenser. Det er derfor altid essentielt, at medarbejdere tør at indberette sikkerhedsbrud, og at man får det rapporteret til de rigtige steder.

Med den nye persondataforordning, GDPR, følger der også nye krav til hvordan sikkerhedsbrud håndteres. Hvis persondata er blevet kompromitteret i et sikkerhedsbrud, har man som organisation 72 timer til at rapportere det. Hvis rapporteringen sker senere end dette, skal man som organisation kunne argumentere for, hvorfor man er forsinket. Udover dette skal der vurderes, hvorvidt de kompromitterede data skaber en risiko for persondataens ejere. Hvis dette er sagen, skal disse underrettes så hurtigt som muligt. Et eksempel på dette er hvis jeres brugeres passwords eller kontooplysninger er blevet kompromitteret. Her skal denne datas ejere have denne information så hurtigt som muligt, så de kan sikre sig selv.

Hvis man ikke når at rapportere et sikkerhedsbrud indenfor 72 timer og ikke kan argumentere tilfredsstillende for hvorfor, kan man ende med at få en bøde på op til 2% af virksomhedens årlige omsætning. At have en plan for hvordan man håndterer sikkerhedsbrud er altså vigtigere end nogensinde før.

Medarbejdernes viden og opmærksomhed er afgørende for jeres IT- sikkerhed. CyberPilot tilbyder awareness-træning, som træner medarbejderne i IT-sikkerhed og god databehandling. Igennem implementering af awareness-træning opnår man et højere sikkerhedsniveau og et godt grundlag til at sikre overholdelse af persondataforordningen.