I Devoteam møder vi mange virksomheder, der arbejder på at leve op til EU persondataforordning (GDPR). Samtidig overvejer mange, hvordan de beskytter sig mod den stadigt stigende trussel fra cyberkriminelle.
Den stigende trussel fra cyberkriminelle, kombineret med behovet for at passe på sine følsomme persondata, giver anledning til at se på teknologier, som kan overvåge om data ulovligt forlader virksomheden. Flere får øjnene op for ”logning”, men når hurtigt til spørgsmålet; ”Hvad skal vi logge”, og hvad svarer logningen på?
GDPR foreskriver blandt andet, at virksomheder skal sikre tilstrækkelig afgrænsning af adgang til persondata. Hvis man mister data, skal man endvidere kunne reagere på dette. Især det sidste krav giver anledning til overvejelser om, hvilken form for logning, der vil kunne afsløre tab af data – og til hvem?
Der kan ske tab af data ved uagtsomhed, hackere og/eller interne medarbejder kan forsøge at stjæle data, og eksterne kan arbejde sammen med en eller flere interne medarbejdere. Det betaler sig derfor at få en forståelse for, hvilken interesse forskellige personer kan have i virksomhedens personoplysninger.
Identitetstyveri er en af, hvis ikke den største, motivation for at stjæle personfølsomme data. Cyber Fraud starter ofte med overtagelse af identiteter eller konstruktion af såkaldte syntetiske identiteter.
Ifølge Association of Certified Fraud Examiners’ (ACFE) årlige ”Report to the Nations on Fraud and Abuse” er kun lidt over 50% af alle fraud cases begået af en enkelt medarbejder. Det vil sige, at i den resterende halvdel af sagerne er flere medarbejdere og/eller eksterne parter involveret. ACFE forskning viser, at i 30-50% af sagerne misbruger medarbejdere deres rettigheder (tilgang til systemer og data) til at manipulere med data for at slette deres spor, den samme adfærd som en dygtig hacker udviser.
En medarbejder der kender data, og har adgang til dem, har langt lettere ved at stjæle dem. Man kan spørge sig selv, at hvis talrige typer af fraud sker i samarbejde mellem flere interne og ofte med eksterne, er det så ikke også den mest sandsynlige trussel og angrebsvinkel for tab og tyveri af persondata?
I forhold til de interne trusler er det derfor nærliggende at anvende erfaringerne fra blandt andet the Fraud Triangle (opportunity, pressure, rationalization) til at beskrive mulige trusselsscenarier og angrebsvinkler for misbrug blandt medarbejdere og samarbejdspartnere.
The Fraud Triangle
ACFE forskning giver svar på, hvilke interne kontroller der virker bedst overfor misbrug. Eksempler på effektive forebyggende foranstaltninger er ”awareness training” og ”tone at the top”. Da cyberangreb og internt misbrug begge er kriminelle handlinger, kan mange forebyggende og afslørende foranstaltninger være de samme.
Man kan komme langt med tiltag, der ikke kræver megen it og specialviden. Awareness training kan ofte kombineres med anden træning og aktiviteter, der handler om opfølgning på for eksempel compliance issues. Den viden og opmærksomhed der følger efter træning, vil indsnævre antallet af sårbarheder, som it-baserede kontroller og dataanalyse vil være bedst til.
Det er derfor oplagt at kombinere fraud- og cyber risk assessments. Det er som oftest de samme personer, man skal tale med, de samme it-systemer der er i spil og mange af de samme risk-mitigerende tiltag.
Tag fat i din virksomheds Compliance Officer, og diskuter muligheden for, populært sagt, at slå flere fluer med færre smæk.
Vil du vide mere?
Så er du velkommen til at kontakte Jørgen.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.