Denne måned bør vi alle gøre en indsats for at højne IT-sikkerheden og dermed gøre det vanskeligere for de IT-kriminelle at få succes med deres kriminalitet.

Og de kriminelle har medvind på cykelstien i denne tid, der går ikke en dag uden afsløring af store og små virksomheder og institutioner som er blevet lagt ned af de IT-kriminelle og historier om mistede og lækkede data.

I Digital Fighters arbejder vi med at styrke IT-sikkerhed hver eneste dag, men vi vil også gerne slå et slag for cybersikkerhedsmåneden.

Derfor kører vi i oktober måned traditionen tro kampagner på vores tilbud.

Awareness-træning af medarbejdere

Vi forhandler en innovativ og nem løsning til løbende test og træning af dine medarbejdere i IT-sikkerhed awareness.

Det er en løsning hvor medarbejderne testes og tilsendes målrettet undervisning – direkte i deres indbakke – løsningen kører 100% automatisk og træningsforløbet tilpasses den enkelte medarbejders niveau.

Løsningen er økonomisk attraktiv og nem at tage i brug.

Bestillinger her i oktober måned opsætter vi uden beregning. Derudover kan du købe et indlæg/foredrag for dine medarbejdere (1,5 timer) omkring awareness. Køber du det sammen med vores modul er prisen 1.500,-, køber du indlægget alene er prisen 3.000,-.

Dette er en nem og attraktiv løsning, da 82% af vellykkede cyberangreb starter med et forkert klik fra en medarbejder.

Nem ISMS

Nem ISMS er vores app til styring af IT-sikkerheden, hvad enten du blot vil have styr på IT-sikkerheden eller ønsker at arbejde med D-mærket, NIS2 eller ISO-27001.

At forankre IT-sikkerhedsarbejdet i en brugervenlig app giver rigtig god mening.

Nem ISMS er i forvejen prissat yderst attraktivt, så vores kampagne ved bestilling her i oktober er at vi installerer, onboarder og giver en gratis gennemgang for din IT-ansvarlige.

D-mærket, NIS2 og ISO-27001 forløb

På vores forløb, hvor vi hjælper virksomheder med at gennemgå IT-sikkerheden, kortlægge informationsaktiver, risikoanalysere og implementere foranstaltninger giver vi 10% rabat på timeprisen ved bestilling i oktober måned og igangsætning snarest efter.

Trusselsbilledet er øget markant og du skal som virksomhedsejer/-leder gøre noget. Tag fat i os i dag og lad os sammen lægge en plan for at få styr på IT-sikkerheden i din virksomhed.

I disse dage modtager rigtig mange meddelelser i e-boks omkring datalæk der omfatter vores børn og/eller os selv som nuværende eller tidligere medarbejder på en af de berørte skoler.

Jeg kan godt forstå, at man som forældre til et barn kan blive bekymret når følsomme data om ens barn muligvis er blevet stjålet af kriminelle og man ikke ved hvilke informationer de har taget og hvad de vil gøre med dem.

Skaden er sket, dvs. at de kriminelle har informationerne og de bestemmer hvad de vil bruge dem til.

Medmindre dit barn har været i specielle forløb ifm. skoleopholdet vil det primært være alm. personoplysninger de har taget. CPR-nummer, Navn, e-mail, telefon o.l.

Disse data kan sælges til andre kriminelle som så kan anvende dem til at sende SMS'er og phishing-emails som forsøger at franarre dit barn yderligere informationer såsom bankkonti, MitID, passwords o.l.

Tilsvarende informationer kan de muligvis have taget af jer forældre.

Så i den kommende tid bør hele familien være ekstra opmærksom på mistænkelige e-mails, SMS'er o.l.

Umiddelbart skal man nok ikke være så bekymret, de kriminelles primære formål var at få en løsesum af skolerne, denne ville de ikke betale.

Jeg tror ikke som sådan at de stjålne data er så værdifulde for andre kriminelle.

I værste fald kan de mest følsomme data blive anvendt til at true eller afpresse i forvejen sårbare personer direkte. Det er vigtigt her at melde dette til Politiet og undlade at gå i panik.

Dataene er derude, så hvad kan de mere true med?

Men det er en god anledning til lige at tænke sin egne IT-vaner og adfærd igennem og til at få en god snak i familien omkring persondata, databeskyttelse og gode digitale vaner.

Rent privat er der følgende gode råd:

• Sørg for at have en nyere pc/mac dvs. gerne Windows 11 eller en nyere Macbook.

• Hold pc'er og telefoner opdateret med opdateringer

• Tag backup af jeres vigtige data (specielt familiebilleder og vigtige dokumenter)

• Overvej at bruge yderligere antivirus beskyttelse

• Brug IKKE det samme password på tværs af tjenester, brug en password manager (fx Nordpass)

• Slå to-faktor godkendelse på ALT, Mail, Facebook, Instagram, LinkedIn osv. er der tjenester der ikke understøtter to-faktor - så skift til nogle andre

• Tal med jeres børn om IT-sikkerhed og gode digitale vaner og hjælp dem med at aktivere 2-faktor o.l.

Vær ikke så nærig, hardware, IT-sikkerhed og god software må gerne koste lidt penge.

Der er naturligvis mange andre gode foranstaltninger, men de ovenstående er nok de vigtigste. Læs mere her: Borger (sikkerdigital.dk)

Derudover er der en cybersikkerhedshotline på 33 37 00 37 (Cyberhotline (sikkerdigital.dk).

Har man viden om at en ens persondata er stjålet kan man på Borger.dk oprette en såkaldt Kreditadvarsel, som hjælper til at beskytte imod oprettelse af lån i dit navn, ligeledes har mange igennem deres forsikringsselskab (indboforsikring) ofte en Cyberforsikring med ID-sikring. Tag en snak med dit forsikringsselskab.

Hvis du vil checke din egen e-mail her og nu kan du anvende tjenesten https://haveibeenpwned.com/ her kontrolleres familiens e-mail adresser, hvis de har været omfattet af brud, bør passwords på tjenester ændres.

Håber at disse informationer svarer på de fleste af dine spørgsmål.

Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. Jeg skrev i foråret et blog-indlæg ”Hvor gemmer du de personfølsomme data?”. Dette blogindlæg er stadig relevant og med det seneste datalæk i Sønderjylland føler jeg behov for lige at skrive lidt mere om best practice og mine holdninger.

Personfølsomme oplysninger er i sagens natur fortrolige og GDPR satte i 2018 krav til håndtering af personfølsomme data. Men meget tyder på at man i 2023 sagtens kan føle at man lever op til GDPR uden reelt at beskytte disse data tilstrækkeligt.

Betroes vi personers følsomme data påtager vi os et kæmpe ansvar – vi kan simpelthen ikke være bekendt ikke at beskytte dem bedst muligt.

Men hvordan gøres det i praksis?

Personfølsomme data skal beskyttes med to-faktorlogin, adgangsrettigheder og gerne kryptering.

Dvs. at lagring af personfølsomme data i traditionelle filmapper i 2023 må siges at være alt for risikabelt.

Adgangen til personfølsomme data skal ske på en need-to-know basis. Dvs. at kun medarbejdere der reelt har behov for at anvende data skal have adgang til dem.

Som eksempel kan vi tage et team af sagsbehandlere på 5 personer. Her er det vigtigt at alle 5 ikke har adgang til alle personfølsomme data, men alene til de data som de selv skal anvende i deres sagsbehandling. Dette kræver ekstra arbejde, men det er desværre prisen for at blive betroet så følsomme data.

Dette vil normalt kræve at disse data lagres i en database og ikke i alm. filmapper.

Ofte vil virksomheder have sagsstyringssystemer der understøtter en sådan beskyttelse, men ellers må man indføre særskilte databaser til de følsomme data.

Mange vil spørge om vi ikke kan fortsætte med filmapper, hvis vi bare beskytter dem godt nok?

Jeg vil mene at det vil være meget vanskeligt, men der kan nok findes løsninger?

Men oftest vil det næste krav endegyldigt aflive denne løsning.

Datahygiejne

Datahygiejne er det krav som stilles i GDPR at vi pålægges at slette persondata når vi ikke længere har brug for dem.

Hvis filer blot er placeret i filmapper (uagtet hvor beskyttede de er), så er det næsten umuligt at overholde kravet om sletning.

Lad os antage at vores politik er at slette elevdata automatisk 2 år efter at de har forladt skolen. Dette kan næsten kun styres ved at have informationerne i en database, hvor vi kan opsætte en sletningspolitik for data. Et konkret eksempel på manglende datahygiejne ser vi ved at også data fra tidligere elever og tidligere ansatte er blevet lækket.

Indsamling af personfølsomme data

Selve indsamlingen af de personfølsomme data udgør en udfordring. Det er klart at det bedste ville være at vi får dem direkte fra den registrerede selv, gerne på en platform, hvor de logger ind med MitID.

Er det samarbejdspartnere der leverer informationerne burde et login med MitID også være den bedste model.

Men det er nok endnu ikke muligt for alle?

En del modtager nok stadig denne type informationer via e-mails, dette er helt klart ikke optimalt. Og ved meget kritiske informationer bør de ikke sendes som e-mail.

Ofte skal vi også håndtere samtykke til lagring og behandling af disse data, ligesom vi skal kunne håndtere at den registrerede altid kan tilbagetrække sit samtykke og forlange data slettet eller korrigeret – eller få oplyst hvad vi har registreret om dem.

Men så snart data er modtaget via e-mail og er oprettet i databasen skal vi sikre at e-mailen slettes permanent.

Korrekt indsamling, behandling og sletning af personfølsomme oplysninger er en ledelsesopgave og først i anden omgang en IT-opgave. Ledelsen bliver nødt til at træde i karaktér og stille krav til IT-leverandører og IT-funktionen.

Behandler du personfølsomme data og er usikker på om I beskytter disse data godt nok, så start en dialog med os.

Vi er klar med en hurtig gennemgang og vi råder over systemer der kan anvendes til at få styr på IT-sikkerheden – også de personfølsomme data.

Har du input eller kommentarer til mine anbefalinger, hører jeg gerne fra dig.