Spørgsmålet er ikke hypotetisk, men yderst realistisk. Offentlige og private virksomheder kommer til at opleve databrud på deres persondata. Vi bruger ikke længere ”hvis,” men ”når”…
Det afgørende er derfor, hvordan virksomheden reagerer på databruddet. Er virksomheden parat?
Myndigheder og kunder skal have svar, hurtigt
EU Persondataforordningen som træder i kraft snart (25. maj 2018) kræver, at virksomheden har procedurer på plads til at kunne håndtere et databrud. Forordningen indeholder ligeledes krav om, at virksomheden indsamler bevismateriale og orienterer Datatilsynet om hændelsen inden for 72 timer.
Det lyder måske enkelt, men det er det ikke. Orienteringen til Datatilsynet skal indeholde:
- type af databrud
- kategorier af berørte data
- antal af registrerede
- antal af registreringer
- konsekvenser for de registrerede samt
- en beskrivelse af de korrigerende tiltag.
Og det er kun for at leve op til lovgivningen, men hvad med forretningen og de berørte kunder? De skal også have at vide, deres persondata er mistet eller kompromitteret, og det skulle gerne være virksomheden, der fortæller dem først.
Logning med blinde vinkler
Hvad skal virksomheden gøre for at finde de rette informationer? Overordnet skal man identificere, hvilken interesse ude fra kommende personer kan have i kundernes følsomme data. Du kan læse mere om fraud her.
Dernæst er det afgørende at fremskaffe dokumentation for, hvornår, hvem har tilgået hvilke kategorier af persondata. Det kræver sporbarhed på tværs af it-systemerne. Det vil sige, it-systemerne skal logge.
Men dem, der kender til logning, ved også, at man ikke ”bare” kan slå al logning til på alle virksomhedens it-systemer. Det vil hæmme mange systemers performance, mens andre systemer slet ikke har muligheden for at logge.
Situationen kan være den samme hos virksomhedens databehandler, som muligvis står for driften og dermed logning i it-systemerne. Derfor kan der opstå mange blinde vinkler, hvor det ikke er muligt at indsamle den nødvendige information til orientering af ens kunder i forbindelse med et databrud.
Den dyre, dårlige løsning: Fortæl alle kunder
På grund af den utilstrækkelige logning kan mange virksomheder derfor blive tvunget til en alt andet end ideel løsning: Man skriver til alle kunderne, og fortæller, at alle deres persondata muligvis er gået tabt, eller blevet lækket. I stedet for blot at informere de ramte kunder om de specifikke data.
Det skaber usikkerhed og mistillid hos kunderne, og kan ende med at have langt større økonomiske konsekvenser end, hvad en bøde koster.
Devoteam har sin egen opskrift
I Devoteam møder vi stadig oftere denne problematik og baseret på de senere års erfaringer fra samarbejder med vores kunder, er vi kommet frem til følgende simple opskrift:
- Få overblik over it-landskabet, shortlist it-systemer der understøtter behandling af persondata.
- Få kortlagt vejene ind mod og ud fra it-systemerne
- Vurdér systemernes egenskaber, f.eks. mulighed for adgangsstyring, logning osv.
- Risikovurdér systemerne ud fra konsekvens for kunderne og sandsynlighed (systemernes egenskaber).
- Klassificér systemerne i tre kategorier som vist i figuren nedenfor.
- Log-ready: Log-minimumskrav er opfyldt og kræver en mindre indsats (f.eks. logning kan blot slås til)
- Case by Case vurdering: Log kompensering er mulig, men kræver en mellemstor indsats (f.eks. overskuelig kodningsopgave).
- Ignorér i første omgang: Logning er ikke muligt, og kræver en for stor indsats.
Figur: Klassificér systemerne i tre kategorier
Ved at følge denne simple opskrift er den offentlige eller private virksomhed i stand til at prioritere indsatsen og udføre kompenserede handlinger med hensyn til blinde vinkler.
Sikkerhed betaler sig
Databrud koster ikke kun interne ressourcer og tabt tillid hos kunderne, men fører også til direkte økonomiske tab. En analyse foretaget af Ponemon Institute i 2017 viser, den gennemsnitlige samlede omkostning for et databrud 3,62 mio. USD. Hver mistet eller stjålet datapost (data record) koster gennemsnitligt 141 USD.
Derfor giver det god mening at investere i et samlet beredskab til at håndtere databrud. Et sådan beredskab vil typisk inkludere et data breach response team og plan, IT-efterforskningskapabilitet, cybersecurity forsikring, data management, kommunikation, etc. Du kan læse mere om beredskab her.
Samtidig bør virksomheden sikre, at fremtidige systemer er log-ready. Det kan gøres ved at udarbejde principper og retningslinjer for logning i henholdsvis applikationer, databaser, servere, infrastruktur. Log-ready bør også indgå som en integreret del af systemanskaffelser og udviklingsprojekter.
Vil du vide mere?
Så er du velkommen til at kontakte Jørgen.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.