Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. I disse år er bl.a. revisorer og bogholdere blevet pålagt at indsamle og opbevare kopi af pas, kørekort og sygesikring.

Indsamling

Selve indsamlingen udgør allerede et IT-sikkerhedsproblem, for hvordan skal vi modtage denne type informationer?

Den typiske procedure er måske at tage et billede med en mobiltelefon. Men hvem tager billedet? Er det receptionisten eller eleven med deres private mobiltelefon? Husker vi at slette?

En anden metode er at anvende en scanner/kopimaskine. Men hvor gemmes disse filer?

Hvis kunden selv tager billeder eller scanner, så beder vi måske dem om at sende informationerne i en mail til os? Hvem modtager mailen? Har vi styr på sletning? Og hvad med anvendelse af almindelig e-mail til at sende fortrolige informationer?

Så allerede indsamlingen af denne type data rejser en lang række IT-sikkerhedsspørgsmål.

Hvad så med opbevaringen?

Når vi så har fået de krævede informationer, hvor skal vi så opbevare dem? Det er klart at jf. den nye bogføringslov skal de opbevares sikkert, digitalt. Så en papirkopi i en mappe er ikke farbar.

Mange vil selvfølgelig gøre som de altid har gjort – oprette en kundemappe på virksomhedens F:- eller G:-fællesdrev – hvor alle andre informationer om kunden er placeret – måske i en undermappe.

Vælges denne model rejser det en lang række IT-sikkerhedsmæssige problemstillinger.

Fordelen vil typisk være at data er omfattet af virksomhedens backup og at de kan findes, hvis der skulle blive behov for dem.

Men hvem har adgang til disse personfølsomme data? Hvad med eleven der lige er ansat? Hvad med receptionisten?

Hvad med hackeren, der har fået adgang til din server og truer med at offentliggøre dine data?

Det er klart at vi skal kunne styre HVEM der har adgang til disse data – og at det skal ske ud fra en need-to-know tilgang.

Det vil være bedre at opbevare disse data et sted hvor data er krypterede og hvor det kræver særskilt login (med 2-faktor adgang) for at få adgang til netop de kunders data som du som sagsbehandler arbejder på.

Man kan endda overveje om alm. medarbejdere overhovedet har behov for adgang til disse data. De skal vel typisk kun anvendes i helt specielle situationer?

Hvad gør vi når kundeforholdet stopper?

Jf. GDPR må du kun opbevare personinformationer så længe de er relevante for din behandling. Men lovgivningen kan pålægge dig at opbevare disse data mindst 5 år efter at kundeforholdet stopper.

Hvordan overholder du dette? Det er svært når filer blot er placeret i mapper på G:-drevet.

Her er det nødvendigt at have en database der holder styr på kundeforhold og deres ophør. Ligesom der skal være en procedure for arkivering og sletning af data.

Hvem har ansvaret for denne procedure? Og hvem har adgang til arkivet?

Så som du ser, kan der være mange problemstillinger forbundet med at indsamle, behandle, opbevare og slette data.

Vi er parat til at tage denne dialog med dig. Fx igennem et D-mærket forløb eller et mere fokuseret forløb om netop ansvarlig dataanvendelse og problemstillinger som ovenstående.

”Vær beredt” har siden etableringen af spejderbevægelsen været deres motto.

Ligesom spejderne øver sig på at være forberedt på det uventede, bør vi som virksomheder og institutioner forberede os på at håndtere IT-kriser.

En IT-beredskabsplan er en operationel plan der beskriver hvordan vi skal agere når forskellige IT-hændelser opstår.

IT-beredskabsplanen bygger på en grundig kortlægning af informationsaktiver og en risikovurdering, hvor sandsynlighed og konsekvens af relevante trusler prioriteres.

Herved kan de mest kritiske IT-systemer, processer og hændelser identificeres.

Ud fra denne prioriterede liste kan der laves konkrete planer for håndtering af de enkelte hændelser – hvis/når de måtte opstå.

IT-beredskabsplanen skal også forholde sig til roller og ansvar i en krisesituation og hvad der egentlig skal ske før vi kalder det en krise.

Beredskabsplanen kan med fordel arbejde med følgende 4 spor i håndteringen af en krise fx et ransomwareangreb:

1) Teknisk spor

2) Kommunikationsspor

3) Juridisk spor

4) Forhandlingsspor

Når IT-beredskabsplanen er udarbejdet, er det en rigtig god idé at teste den - enten som en “skrivebordsøvelse” eller ved at simulere en konkret hændelse. Dette bør have topledelsens fulde fokus.

Kan vi reelt genetablere vores systemer? Hvor lang tid tager det?

Det er gode spørgsmål som en test kan give svar på.

Og husk at vedligeholde IT-beredskabsplanen fx når der sker ændringer i virksomhedens IT-setup eller når der sker ændringer i trusselsbilledet.

Er din virksomhed beredt?

Ellers lad os hjælpe med at udarbejde eller opdatere dit IT-beredskab.

En af de vanskelige IT-sikkerhedssårbarheder at gøre noget ved er brugere med administrative rettigheder.

Der er jo behov for at nogen kan administrere virksomhedens netværk, men hvordan kan vi sikre at dette sker på en hensigtsmæssig måde?

En af de absolut bedste værktøjer at kigge på er Just In Time (JIT) Access. Denne metode sikrer at brugere der skal lave administrative opgaver på netværket, kun får de nødvendige rettigheder i en defineret tidsrum og kun de rettigheder der er nødvendige for at løse opgaven.

Da de fleste virksomheder anvender Microsoft Active Directory (AD) til at styre IT-sikkerheden er det her muligt at anvende Microsofts service Privileged Identity Management (PIM).

PIM er en service i Azure AD (nu en del af Microsoft Entra). Med denne service defineres forskellige roller som kan tildeles udvalgte brugere.

Disse brugere kan så vælge at aktivere en rolle efter behov (Just In Time) og brugeren kan vælge hvor lang tid de ønsker at bruge rollen – fx 2 timer. Der vil typisk være opsat en maksimal periode på fx 6 timer.

Dette giver selvsagt flere klare fordele.

1. Brugerne har ikke rettigheder standard, dvs. vi opnår et ekstra lag af sikkerhed.

2. Vi kan muligvis undvære at oprette dedikerede admin-brugere, da alm. brugere kan opnå rettigheder efter behov

3. Især eksterne konsulenter/IT-leverandører kan tildeles mere specifikke roller

En anden stor fordel er at brugerne afkræves en forklaring ved hver anvendelse af rollen, herved opnår vi en audit log over anvendelse af admin-rettigheder. Dette kan være yderst fordelagtigt ifm. fejlfinding m.m.

PIM og Just In Time Access er et vigtige elementer i en Zero Trust strategi og i implementering af et least privilege koncept.

Så vi anbefaler klart kunder at implementere JIT Access med PIM som en foranstaltning i deres IT-sikkerhed.

Se evt. denne video, hvis du vil vide mere.