De vanligaste GDPR-incidenterna 2024

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 23 januari

Den danska datainspektionen har sammanställt statistik över säkerhetsöverträdelser som en del av sin data- och riskbaserade strategi. Statistiken uppdateras varje månad för att hjälpa företag att fatta bra riskbaserade beslut. För att utvärdera dina egna säkerhetsrisker rekommenderar jag att du använder vår mall för riskanalys. I det här blogginlägget kommer jag att gå igenom vad statistiken säger just nu.

Typer av GDPR- och säkerhetsöverträdelser som rapporteras

Datainspektionen har sammanställt en rapport baserad på de rapporter om GDPR-incidenter som myndigheten får in. I statistiken har Datainspektionen presenterat de typer av säkerhetsöverträdelser som oftast rapporteras till dem.De 10 vanligaste GPDPR-överträdelserna är:

  1. Korrekt information går till fel mottagare

  2. Skyddad adress exponeras felaktigt efter förändring i ett IT-system


  3. Felaktig överföring av uppgifter i ärendehantering


  4. Underlåtenhet att radera data vid användning av digitala verktyg


  5. Autokomplettering som gör att e-post skickas till fel mottagare


  6. Förlust/stöld av enheter med okrypterad data

  7. För bred tillgång till data på nätverksenheter etc.


  8. Obehörig åtkomst till data på grund av dålig design, kodfel och otillräcklig testning


  9. Avslöjande av data som lagrats i mallar och formulär


  10. Skadlig programvara (ransomware) som orsakar dataförlust och missbruk

Vid första anblicken verkar ingen av dessa kategorier ha något att göra med cyberbrottslighet/hackning, utan det verkar snarare handla om vanliga vardagsolyckor.Endast 2 av de 10 vanligaste GDPR- och säkerhetsöverträdelserna beror på illvilliga aktörer.

Detta visar på vikten av att utbilda medarbetare och skapa medvetenhet så att de kan undvika att göra dessa misstag i sitt arbete.

Rapporter om säkerhetsöverträdelser kategoriseras

Innan vi dyker djupare in i de tio vanligaste GDPR-incidenterna, låt oss ta ett steg tillbaka och fundera över vad statistiken faktiskt består av. När Datainspektionen får in en rapport om en säkerhetsöverträdelse kategoriserar de rapporten utifrån vad som hände vid incidenten. Rapporten kan placeras i en eller flera kategorier baserat på incidenten, och det finns även en "annan" och "okänd" kategori för incidenter som inte passar in i standardkategorierna. Kategoriseringen ser ut så här:

Graph over the most reported kinds of GDPR breaches

Vill du se vad mer som rapporteras? kolla in Datainspektionen här.

Datainspektionen har placerat 32557 överträdelser i kategorierna ovan.


Förklaring av de olika typerna av GDPR-incidenter

Datainspektionen granskar alla rapporterade överträdelser och kategoriserar dem beroende på vilken typ av hot eller risk som är relevant för överträdelsen. Här är hur de kategoriserar överträdelserna.

Fysiska och avsiktliga incidenter

Personuppgiftsincidenter till följd av avsiktliga fysiska aktiviteter, t.ex. hot, inbrott, stöld av enheter, sabotage eller avsiktlig obehörig delning, utlämning eller borttagning av uppgifter.

Oavsiktlig incident

Personuppgiftsincidenter som i första hand orsakas av mänskliga fel. T.ex. brist på anonymisering eller pseudonymisering, felaktig journalföring, arkivering, publicering av personuppgifter, fel som orsakas av leverantörer eller gäster.

Olyckshändelser

Personuppgiftsincidenter till följd av olyckor såsom brand, kraftigt regn eller liknande.

Fel och funktionsstörningar

Personuppgiftsincidenter orsakade av oavsiktliga fel i program eller utrustning, inklusive fel i försörjningen av t.ex. kyla eller ström eller fel hos leverantörer.

Avbrott

Brister i tillgängligheten av personuppgifter som orsakas av att underliggande tillgångar, t.ex. personal eller internet, inte är tillgängliga.

Tjuvlyssning/avlyssning

Brott mot sekretessen för personuppgifter på grund av att information fångas upp, t.ex. osäkra e-postmeddelanden, osäker internettrafik eller avlyssning.

Illvillig aktivitet/missbruk

Brott mot personuppgiftssäkerheten på grund av cyberbrottslighet, t.ex. identitetsstöld (inklusive missbruk av konton för inloggning), nätfiske, bedrägeriförsök, manipulation av data med obehörig åtkomst, riktade attacker, DDOS, utnyttjande av betrodda rättigheter, certifikatbedrägeri.

Juridiska frågor

Personuppgiftsincidenter till följd av brott mot gällande bestämmelser och avtalsbrott.

Övrigt

Incidenttypen väljs när ingen av de andra incidenttyperna är beskrivande för incidenten.

Okänd

Händelsetypen väljs när det rapporterade intrånget inte klassificeras med någon händelsetyp.

Det största problemet är oavsiktliga incidenter

Om vi går tillbaka till de vanligaste typerna av säkerhetsöverträdelser är den vanligaste typen"oavsiktliga incidenter".

80,62% av alla rapporter baseras på oavsiktliga incidenter som orsakats av mänskliga misstag. Det kan tyckas vara ett litet problem, men hela 26 248 av de 32 557 rapporterna passar in i denna kategori. Det visar hur lätt det är att råka göra ett misstag i detdagliga arbetet. Kanske har du lagt till fel mottagare i ett e-postmeddelande eller gett en användare för många användarrättigheter i ett system. Ett litet felklick kan orsaka ett helt säkerhetshål.

På grund av säkerhetshål som dessa är det viktigt att lära sina anställda att kontrollera allt en extra gång innan de trycker på "skicka" eller innan de ger en person tillgång till data.
Hur lätt det än verkar vara att undvika ett sådant misstag är det lika lätt att göra det.


Det är viktigt att vara medveten om dessa enkla fallgropar för att kunna undvika dem. Tekniska lösningar kan lösa många problem, men de kan inte hindra en person från att skicka information till fel person
.

De vanligaste GDPR-överträdelserna orsakas INTE av hackning

Som nämnts är de 10 vanligaste överträdelserna:

  1. Korrekt information går till fel mottagare

  2. Skyddad adress exponeras felaktigt efter förändring i ett IT-system


  3. Felaktig överföring av uppgifter i ärendehantering


  4. Underlåtenhet att radera data vid användning av digitala verktyg


  5. Autokomplettering som gör att e-post skickas till fel mottagare


  6. Förlust/stöld av enheter med okrypterad data


  7. För bred tillgång till data på nätverksdiskar etc.


  8. Obehörig åtkomst till data på grund av dålig design, kodfel och otillräcklig testning


  9. Avslöjande av data som lagras i mallar och formulär


  10. Skadlig programvara (ransomware) som orsakar dataförlust och felaktig användning

De flesta av dessa intrång involverar inte hackning eller komplicerade attacker. De orsakas snarare av normala vardagssituationer som går snett, genom ett litet misstag, och passar in under kategorin "oavsiktliga incidenter".

Därför måste vi anta att majoritetenav de vanligaste GDPR-incidenterna sker genom anställda. Det kan vara så att en anställd av misstag lägger ut personuppgifter på en webbplats där alla har tillgång till dem. Det finns otaliga sätt att av misstag publicera uppgifter som inte borde ha offentliggjorts.

De flesta säkerhetsöverträdelser beror på mänskliga misstag

Det går inte att se hur många procent var och en av de vanligaste GDPR-incidenterna fyller i sina respektive kategorier - men gemensamt för alla de10 vanligaste incidenterna äratt misstagen ofta beror på den mänskliga faktorn . Det visar hur överträdelser ofta är beroende av beteende.

Picture of the risk analysis template
Oavsiktliga incidenterutgör över 80% av de rapporterade överträdelser som Datainspektionen har mottagit. Om man ser på detta ur en riskbedömningssynpunkt är det rimligt att undersöka hur dessa GDPR-överträdelser kan undvikas. Av goda skäl är det inte möjligt att tyda vad kategorin "Övrigt" består av. När det gäller de övriga kategorierna är vår bedömning att det är möjligt att avsevärt minska risken för säkerhetsöverträdelser om man utbildar sina medarbetare om GDPR och gör dem medvetna om hur lätt det är att göra och undvika den här typen av misstag. Du kan också läsa vår omfattande guide om hur du uppfyller kraven i GDPR.

De här siffrorna stöder i hög grad det vi har skrivit i vår e-bok (som för övrigt är gratis). I vår e-bok fokuserar vi på hur den största risken för säkerhetsöverträdelser ligger hos dina anställda. Att utbilda dina medarbetare är därför en viktig hörnsten för att skapa en god cybersäkerhetskultur på din arbetsplats.

Smart CTA_e-book SE

IT-brottslingar utgör bara en liten del, men konsekvenserna är större

Säkerhetsöverträdelsersom orsakas av kriminella utgör endast 3,89% av de rapporterade säkerhetsöverträdelserna. Det motsvarar 1268 säkerhetsöverträdelser (av totalt32557 rapporterade säkerhetsöverträdelser) som passar in i denna kategori, som inkluderar:

Sannolikheten för att utsättas för någon av dessa attacker är alltså inte särskiltstor.

Det betyder inte att dessa typer av attacker inte är relevanta att försvara sig mot, eftersom konsekvenserna i dessa typer av situationer ofta blir stora. Förra året såg vi flera företag förlora miljoner på grund av ransomware-fall, som också gav dem några rejäla böter på grund av att de bröt mot reglerna i GDPR. Så även om dessa typer av intrång inte sker så ofta är konsekvenserna tillräckligt stora för att du måste ta dem på allvar. I vårt blogginlägg om kostnaden för ett dataintrång kan du läsa mer om hur dyra säkerhetsöverträdelser kan vara.

Använd en riskbedömning för att skydda dig mot potentiella intrång

Kärnan i ett riskbaserat tillvägagångssätt, som rekommenderas av tjänstemän, är att du genomför en riskbedömning. Denna bedömning kommer att innehålla information om hur stor risken är för att en situation ska uppstå och hur stor konsekvensen av en given situation kan bli. Utifrån detta kan man bedöma var man vill använda sina resurser. Det handlar om att undvika att lägga energi på en typ av incident där konsekvenserna är små eller sannolikheten för att den ska inträffa är nästan obefintlig.

Om ransomware inte var ett hot förra året kan det vara så att konsekvenserna är stora, men att sannolikheten är så liten att du inte behöver fokusera på det. Så är tyvärr inte fallet, eftersom utpressningstrojaner är en verklig risk.


Bedöm dina egna största säkerhetsrisker med hjälp av vår riskbedömningsguide och mall.

Picture of the risk analysis template

IT-säkerhet kräver fokus på beteende och människor

Som vi nämnde tidigare visar statistiken att majoriteten av säkerhetsintrången sker när vi gör misstag i vårt dagliga arbete. Vi kan till exempel råka skicka personuppgifter till fel personer. Att öka fokus på awareness training kan därför vara en bra idé för att öka IT-säkerheten och minska risken för säkerhetsöverträdelser. Om du kan lära dina medarbetare att tänka efter en extra gång innan de klickar på något, då har du redan kommit långt.

Tekniska lösningar som brandväggar och antivirusprogram kan vara till hjälp, men det finns också ett behov av medvetna medarbetare när det gäller hot som hacking, social engineering och ransomware. Den danska dataskyddsmyndigheten nämner att majoriteten av alla hackningsincidenter börjar med ett enkelt phishing-mejl. Därför kan utbildning i medvetenhet och phishing vara bra verktyg för att säkerställa att det inte blir en av dina medarbetare som gör ett misstag.

Oavsiktliga incidenter är den främsta orsaken till GDPR-överträdelser

Sammanfattningsvis visar det faktum att över 80% av alla GDPR-incidenter beror på oavsiktliga incidenter hur viktig den mänskliga aspekten av dataskydd är. Det faktum att de är oavsiktliga kan göra det svårt att göra något åt dem eftersom det inte finns några dåliga avsikter från dina kollegor. En sak du kan göra för att försöka mildra dessa incidenter är att skapa en allmän medvetenhetsnivå kring dessa frågor genom att skapa en stark säkerhetskultur.

Statistiken från Datainspektionen kommer kontinuerligt att uppdateras, vi rekommenderar att du håller dig uppdaterad om de senaste trenderna när det gäller olika typer av säkerhetsöverträdelser.