Søgeresultater

Mange virksomheder bliver pålagt at indsamle og opbevare fortrolige og personfølsomme data. Jeg skrev i foråret et blog-indlæg ”Hvor gemmer du de personfølsomme data?”. Dette blogindlæg er stadig relevant og med det seneste datalæk i Sønderjylland føler jeg behov for lige at skrive lidt mere om best practice og mine holdninger. Personfølsomme oplysninger er i sagens natur fortrolige og GDPR satte i 2018 krav til håndtering af personfølsomme data. Men meget tyder på at man i 2023 sagtens kan føle at man lever op til GDPR uden reelt at beskytte disse data tilstrækkeligt. Betroes vi personers følsomme data påtager vi os et kæmpe ansvar – vi kan simpelthen ikke være bekendt ikke at beskytte dem bedst muligt. Men hvordan gøres det i praksis? Personfølsomme data skal beskyttes med to-faktorlogin, adgangsrettigheder og gerne kryptering. Dvs. at lagring af personfølsomme data i traditionelle filmapper i 2023 må siges at være alt for risikabelt. Adgangen til personfølsomme data skal ske på en need-to-know basis. Dvs. at kun medarbejdere der reelt har behov for at anvende data skal have adgang til dem. Som eksempel kan vi tage et team af sagsbehandlere på 5 personer. Her er det vigtigt at alle 5 ikke har adgang til alle personfølsomme data, men alene til de data som de selv skal anvende i deres sagsbehandling. Dette kræver ekstra arbejde, men det er desværre prisen for at blive betroet så følsomme data. Dette vil normalt kræve at disse data lagres i en database og ikke i alm. filmapper. Ofte vil virksomheder have sagsstyringssystemer der understøtter en sådan beskyttelse, men ellers må man indføre særskilte databaser til de følsomme data. Mange vil spørge om vi ikke kan fortsætte med filmapper, hvis vi bare beskytter dem godt nok? Jeg vil mene at det vil være meget vanskeligt, men der kan nok findes løsninger? Men oftest vil det næste krav endegyldigt aflive denne løsning. Datahygiejne Datahygiejne er det krav som stilles i GDPR at vi pålægges at slette persondata når vi ikke længere har brug for dem. Hvis filer blot er placeret i filmapper (uagtet hvor beskyttede de er), så er det næsten umuligt at overholde kravet om sletning. Lad os antage at vores politik er at slette elevdata automatisk 2 år efter at de har forladt skolen. Dette kan næsten kun styres ved at have informationerne i en database, hvor vi kan opsætte en sletningspolitik for data. Et konkret eksempel på manglende datahygiejne ser vi ved at også data fra tidligere elever og tidligere ansatte er blevet lækket. Indsamling af personfølsomme data Selve indsamlingen af de personfølsomme data udgør en udfordring. Det er klart at det bedste ville være at vi får dem direkte fra den registrerede selv, gerne på en platform, hvor de logger ind med MitID. Er det samarbejdspartnere der leverer informationerne burde et login med MitID også være den bedste model. Men det er nok endnu ikke muligt for alle? En del modtager nok stadig denne type informationer via e-mails, dette er helt klart ikke optimalt. Og ved meget kritiske informationer bør de ikke sendes som e-mail. Ofte skal vi også håndtere samtykke til lagring og behandling af disse data, ligesom vi skal kunne håndtere at den registrerede altid kan tilbagetrække sit samtykke og forlange data slettet eller korrigeret – eller få oplyst hvad vi har registreret om dem. Men så snart data er modtaget via e-mail og er oprettet i databasen skal vi sikre at e-mailen slettes permanent. Korrekt indsamling, behandling og sletning af personfølsomme oplysninger er en ledelsesopgave og først i anden omgang en IT-opgave. Ledelsen bliver nødt til at træde i karaktér og stille krav til IT-leverandører og IT-funktionen. Behandler du personfølsomme data og er usikker på om I beskytter disse data godt nok, så start en dialog med os. Vi er klar med en hurtig gennemgang og vi råder over systemer der kan anvendes til at få styr på IT-sikkerheden – også de personfølsomme data. Har du input eller kommentarer til mine anbefalinger, hører jeg gerne fra dig.

Så skete det som bare ikke måtte ske, en række skoler i Sønderjylland er blevet hacket og meget fortrolige personfølsomme oplysninger er blevet lækket. For en skole er det worst-case scenariet der udspiller sig. Elever har ikke en chance for at vide hvilke informationer der er lækket og meget tyder på at skolerne heller ikke ved det med sikkerhed. Løbet er kørt og end ikke betaling af løsesummen på godt 900.000 kr. vil ændre noget. Jf. interview i Radioavisen mente skolerne at de ”havde godt styr på IT-sikkerheden” og vicedirektøren kunne oplyse at citat ”det var en afvejning af økonomien om man skulle bruge de sidste kroner på IT-sikkerheden”. Denne case er dog ikke et spørgsmål om økonomi, men om at tage ansvaret for opsamling, behandling og ikke mindst beskyttelse af personfølsomme data alvorligt. Det er skræmmende, at vi her 5 år efter at GDPR-reglerne blev lovpligtige ser databrud af denne karakter. Og med det trusselsniveau vi ser i disse år, er det simpelthen for farligt at lade stå til. Det datalæk vi her har været vidne til kunne have været – om ikke undgået – så været markant minimeret med helt basale foranstaltninger. Jeg kan kun anmode alle der har ansvaret for opsamling og behandling af sådanne personfølsomme oplysninger om at stramme op. Dette er ikke et IT-problem. Det er ledere, mellemledere og bestyrelser der skal tage deres ansvar alvorligt. Man kan ikke bruge økonomi som undskyldning, det kan man simpelthen ikke være bekendt overfor de registrerede personer.

Er din virksomhed eller institution allerede ISO-27001 certificeret? Eller arbejder i henimod en certificering eller ønsker blot at overholde standarden? Så er en ISMS app en rigtig god hjælp. Med Nem ISMS får du styr på IT-sikkerheden og du kan med årshjulet sikre løbende opfølgning på de periodiske opgaver. Det er nemt at digitalisere dit eksisterende ISMS, dels kortlægningen af informationsaktiver, holde styr på backup og antimalware. Holde overblik over relevante IT-sikkerhedsdokumenter og databehandleraftaler, lave risikoanalyser og holde styr på dine foranstaltninger - herunder naturligvis SoA dokumentet. Men Nem ISMS tilbyder meget mere end compliance, arbejd med dine leverandører, hold styr på din godkendte software, licensaftaler og softwareversioner og meget mere. Oktober er National cybersikkerhedsmåned og i denne måned tilbyder vi gratis undervisning, installation og hjælp til ibrugtagning når der tegnes en 36 måneders aftale på Nem ISMS. Hermed er en i forvejen attraktiv løsning ved bestilling i oktober endnu mere attraktiv. Nem ISMS er også forberedt til arbejdet med NIS2, så det er yderligere en fordel. Tag fat I os for en dialog eller en demo.

”Vær beredt” har siden etableringen af spejderbevægelsen været deres motto. Ligesom spejderne øver sig på at være forberedt på det uventede, bør vi som virksomheder og institutioner forberede os på at håndtere IT-kriser. En IT-beredskabsplan er en operationel plan der beskriver hvordan vi skal agere når forskellige IT-hændelser opstår. IT-beredskabsplanen bygger på en grundig kortlægning af informationsaktiver og en risikovurdering, hvor sandsynlighed og konsekvens af relevante trusler prioriteres. Herved kan de mest kritiske IT-systemer, processer og hændelser identificeres. Ud fra denne prioriterede liste kan der laves konkrete planer for håndtering af de enkelte hændelser – hvis/når de måtte opstå. IT-beredskabsplanen skal også forholde sig til roller og ansvar i en krisesituation og hvad der egentlig skal ske før vi kalder det en krise. Beredskabsplanen kan med fordel arbejde med følgende 4 spor i håndteringen af en krise fx et ransomwareangreb: 1) Teknisk spor 2) Kommunikationsspor 3) Juridisk spor 4) Forhandlingsspor Når IT-beredskabsplanen er udarbejdet, er det en rigtig god idé at teste den - enten som en “skrivebordsøvelse” eller ved at simulere en konkret hændelse. Dette bør have topledelsens fulde fokus. Kan vi reelt genetablere vores systemer? Hvor lang tid tager det? Det er gode spørgsmål som en test kan give svar på. Og husk at vedligeholde IT-beredskabsplanen fx når der sker ændringer i virksomhedens IT-setup eller når der sker ændringer i trusselsbilledet. Er din virksomhed beredt? Ellers lad os hjælpe med at udarbejde eller opdatere dit IT-beredskab.

Citatet stammer fra Peter Kruses afsluttende keynote på gårsdagens #Cyberhagen konference i København. Sammenhængen var Peters forudsigelse om at, efter hans vurdering, vil trusselsniveauet stige yderligere. Dette skyldes primært at krigen i Ukraine medfører at de IT-kriminelle i Rusland er fuldstændig fredet og endda støttes af den russiske regering samt professionaliseringen af Cybercrime as a Service, som betyder at mange flere IT-kriminelle nemt kan etablere sig. Samtidig er IT-kriminalitet stadig en yderst lukrativ forretning, og antallet af virksomheder som endnu er sårbare, er enormt. Så alt i alt var Peters forudsigelse at det ”bliver meget værre” - desværre. Der var rigtig mange indtryk og gode take-aways fra de i alt 2 dage. Backup is king! Rasmus Rasmussen fra Demant havde et spændende indlæg om hans erfaringer fra Demant Groups store ransomware angreb - hvor alt stoppede 3/9-2019. Rasmus havde en hel stribe af gode råd, men først og fremmest var hans budskab at have fokus på backup og specielt en backup der ikke er en del af virksomhedens netværk og uafhængig af virksomhedens primære samarbejdspartnere. Logikken når virksomheder er udsat for et ransomwareangreb er ret simpel: Kan vi genskabe vores data fra backup? Hvis Ja - Gå i gang! Hvis Nej - Betal løsesum eller gå konkurs. De kriminelle bruger også AI Vi taler om at vi kan anvende AI til at optimere processer og blive mere effektive. Men vi skal huske på, at de IT-kriminelle også anvender AI. Dette kan yderligere sætte skub i Peters forudsigelse om at det nok bliver værre. Hackerne har god tid En anden vigtig information var at et ransomware angreb ofte udspiller sig over 200-300 dage. Dette betyder at mange virksomheder måske allerede har besøg af de IT-kriminelle – uden at vide det. Overvågning af adfærd, nettrafik og audit af logs m.m. er derfor en vigtig foranstaltning. Ransomware er ikke en IT-krise! Michael Sjøberg holdt et inspirerende indlæg om krisehåndtering ved et ransomwareangreb. Hans budskab var at ransomwareangreb truer virksomhedens eksistens og er et anlæggende for topledelsen og bør håndteres i 4 spor. 1) Teknisk spor 2) Kommunikationsspor 3) Juridisk spor 4) Forhandlingsspor En af hans erfaringer er at virksomhedernes beredskab skal trænes, men ofte har topledelsen ikke tid – men når de først er udsat for et angreb, har de pludselig masser af tid (og penge). Michael har stor erfaring med "forhandling" med de IT-kriminelle, oftest vil det være en god idé at få en professionel til at stå for dialogen. Hans anbefalinger skal indarbejdes i mine ydelser omkring IT-beredskab. Målet for cybersikkerhed Jeg blev bekræftet i at mit fokus er det rigtige. Beskytte virksomhedens informationsaktiver Undgå angreb og ulykker Minimere konsekvensen af angreb og ulykker når de sker Nem ISMS sammen med D-mærket vurderer jeg stadig er en rigtig god løsning for SMV’erne. Der var mange flere gode indlæg. Tak til CSIS og arrangementets sponsorer. Og det var en glæde at erfare at der også bliver en #cyberhagen næste år.

I disse dage er det et år siden at 7-Eleven blev ramt af et ransomware angreb og måtte lukke sine mange butikker. ComputerWorld har lavet et interview med topchef Jesper Østergaard. Der er flere gode læringspunkter fra dette interview: Vær forberedt Alle kan blive ramt af ransomware og angreb fra IT-kriminelle. Så det er afgørende at have tænkt scenarier igennem. En god IT-beredskabsplan eller business continuity plan er vigtig. Hvordan kan vi køre forretningen under et angreb? 7-Eleven var tydeligvis ikke forberedt og måtte ty til rent held og kreative medarbejderes gode ideer. Men de kunne have været meget bedre forberedt. IT-beredskabsplanen bør testes og trænes. Fx ved at teste nødprocedurerne i en enkelt butik og anvende denne viden til at træne øvrige medarbejdere. Vurdér sårbarheder Kig infrastrukturen og systemerne kritisk igennem. Hvor er vi mest sårbare? Jesper udtaler i artiklen: "Sådan noget som at have databaser på servere hos os selv eller samarbejdspartnere, er vi blevet meget opmærksomme på ikke er en hensigtsmæssig måde at arbejde på. Og da vi blev angrebet, var det cloudbaserede indhold i vores setup ikke ramt. Så vi har siden angrebet arbejdet på udelukkende at blive cloud-baseret. Der er en langt større sikkerhed omkring det." Dermed ikke sagt at cloud er løsningen for alle, men det ligger i udtalelsen at de eksisterende systemer og databaser var sårbare overfor denne type angreb. Luk hullerne og vær kritisk overfor dine IT-leverandører og deres sikkerhed. Hav styr på backup og hurtig genetablering En god backup-strategi og ikke mindst hurtig genetablering er afgørende for at få reetableret forretningsprocesser hurtigt efter et angreb. Man kan næsten ikke få for meget sikkerhed når det kommer til backup. Hos 7-Eleven var muligheden for reetablering baseret på ren held. Det viste sig at 2 butikker af ukendte årsager gik fri af de kriminelles gidseltagning. Herfra kunne databasen kopieres til de øvrige butikker. Fra artiklen: Ud af de 185 butikker i kædens danske del, så var to butikker gået helt fri for angrebet. Det betød, at den butiksdatabase - altså butikkens varedatabase - stadig var intakt. Og den liste af produkter kunne de to butikker nu kopiere og sende ud til resten af kæden. IT-sikkerheden bør ikke bero på held, men på grundig planlægning. Derfor er det afgørende at backup og ikke mindst genetablering har ledelsens fokus og at periodiske test bekræfter at vi kan genetablere vores data og at vi kan gøre det hurtigt! Hos 7-Eleven gik der lang tid før kritiske processer som betaling af leverandørfakturaer, lønudbetalinger m.m. var tilbage på samme niveau som før angrebet. Det er dejligt når virksomheder der har været udsat for IT-kriminalitet fortæller åbent om deres oplevelser og løsninger. Det skal de have stor ros for. Det hjælper os alle, og viser at det netop kan ske for alle. Det er kun et spørgsmål om hvor hårdt det rammer når det sker. Hvis du vil læse hele artiklen hos ComputerWorld er linket her: https://www.computerworld.dk/art/283364/et-aar-efter-7-eleven-hacket-topchef-jesper-oestergaard-aabner-op-og-deler-alle-detaljer-her-er-hvad-han-laerte-af-angrebet

Trusselsbilledet er ændret markant de seneste år. Cyberrisikoen for virksomheder – store som små – er øget. Flere undersøgelser har vist at alle IT-sikkerhedstiltag hjælper. Men det er klart en fordel at gå struktureret til værks. De fleste tiltag er ret banale og du har uden tvivl allerede implementeret en del. Antivirus beskyttelse Backup Test af backup Firewall Multifaktor login Sikre passwords Kritisk vurdering af dine applikationer og leverandører Træning af dine medarbejdere Men IT-sikkerheden er ikke bedre end det svageste led, derfor er det vigtigt løbende at vurdere og forbedre IT-sikkerheden. Start en dialog med os om IT-sikkerheden i din virksomhed. Vi er eksperter i at gennemgå og vurdere hvad det er den rigtige model for dig. Hvad enten der er behov for en gennemgang med opstramning, D-mærket, Hackerstop måling med træning af dine medarbejdere eller gennemgang af din ISO-27001 certificering. Ikke at gøre noget som leder, er ikke en option.

Nem ISMS er et brugervenligt og økonomisk attraktivt ISMS-system som hjælper dig med at få styr på IT-sikkerheden. Hvad enten din ambition hedder ISO-27001, D-mærket eller en helt tredje standard. Med Nem ISMS kan du opbygge hele dit IT-sikkerhedssystem. I een platform. Nem ISMS gør det nemt at: Kortlægge dine informationsaktiver Holde styr på leverandører og deres forsyningskæder Skabe overblik over dine IT-sikkerhedsdokumenter Lave risikoanalyser Håndtere og følge op på dine foranstaltninger Etablere dit årshjul og uddelegere periodiske opgaver Registrere de periodiske test og evalueringer Løbende registrere og håndtere IT-sikkerhedshændelser Måske anvender du i dag et andet system og kunne bare tænke dig at prøve et brugervenligt system. Måske er dit ISMS i dag en lang række regneark. Kontakt os og få en demo og en dialog omkring IT-sikkerhed og hvordan vi sammen kan gøre det sjovt at arbejde med informationssikkerhed i din virksomhed stor som lille.

Når vi arbejder med informationssikkerhed er det afgørende at få identificeret de kritiske leverandører. De kritiske IT-leverandører er typisk de leverandører der leverer vores kritiske informationsaktiver som applikationer og tjenester, hvori vi registrerer og behandler vores primære informationsaktiver (forretningskritiske informationer eller personfølsomme informationer). Det er også leverandører der behandler vores data. Disse bør vi evaluere periodisk, mindst en gang årligt. Og vi har selvfølgelig skriftlige aftaler inkl. databehandleraftaler med alle. Men på det seneste er ovenstående ikke tilstrækkeligt, det er vigtigt at forstå at alle leverandører indgår i en forsyningskæde. Og så snart du vælger at samarbejde med en leverandør - vælger du samtidig den pågældende leverandørs forsyningskæde. Vi har set en lang række eksempler på at data er blevet kompromitteret eller lækket af underleverandører i forsyningskæden. Så det er værd at få gennemgået og mappet de kritiske leverandørers forsyningskæde, for at sikre at der ikke er svage led eller at der anvendes samarbejdspartnere som vi ikke stoler på eller ønsker at samarbejde med. Der er også dataetiske overvejelser, for hvor opbevares vores data? Og kan vi stole på at de ikke deles med andre? Eller at de anvendes til at træne AI-modeller? I et godt ISMS kan du holde overblik over dine leverandører og deres forsyningskæder samt planlægge og dokumentere de periodiske leverandørevalueringer og kontrakter. Med Nem ISMS er det nemt at holde styr på dine leverandører og deres forsyningskæder samt via årshjulet planlægge og registrere de gennemførte leverandørevalueringer. Kontakt os for en snak om informationssikkerhed og en demo af Nem ISMS.

Sidder du med ansvaret for IT-sikkerheden i en certificeret virksomhed fx ISO-27001. Så ved du at det er en stor opgave at blive certificeret. Men oftest er det langt vanskeligere at vedligeholde virksomhedens ledelsessystem for informationssikkerhed. Det er her Nem ISMS kommer ind i billedet. Det er klart at det bedste er at starte processen direkte i Nem ISMS. Men Nem ISMS er designet så det er nemt at lægge dit eksisterende informationssikkerhedssystem ind i Nem ISMS. Det gælder både din seneste risikovurdering, virksomhedens kortlægning af informationsaktiver, SoA dokumentet med status på foranstaltninger, IT-sikkerhedsdokumenter, leverandører med deres databehandleraftaler m.m. Dit årshjul lægges ind og opgaver kan delegeres til ansvarlige kolleger. Med en begrænset indsats får du digitaliseret hele dit ISMS og vedligeholdelsen bliver en leg. Sidder du stadig og roder med regneark og Word-dokumenter i stakkevis så tag fat i os. Vi hjælper endda gratis med at hjælpe dig når du tegner en 3-årig aftale. At prisen er yderst fornuftig er yderligere et plus. Kontakt os og få en dialog og en demo af Nem ISMS.

I denne uge oplever vi desværre igen en outsourcing partner som - efter eget udsagn - nok ikke overlever et ransomware-angreb. Alle systemer er nede og kunderne mister nok deres data, da virksomheden ikke kan betale den krævede løsesum. Det er barskt for virksomheden og især kunderne, som mister værdifulde data og måske adgang til kritiske systemer i en længere periode. Så det kan lukke flere virksomheder. Hvis ikke det er et wake-up call for SMV’er, så ved jeg ikke hvad der skal til... Det er vigtigt løbende at evaluere alle IT-leverandører og lave en risikovurdering pr. leverandør. En anden vigtig erkendelse er at data er DIT ansvar, backup af kritiske data som opbevares uafhængigt af leverandører er en essentiel foranstaltning. Evalueringen bør også omfatte virksomhedens økonomi og troen på at de kan og vil overleve en alvorlig IT-hændelse, fx et stort ransomware angreb. Noget så banalt som at gennemlæse virksomhedens 2-3 seneste offentliggjorte regnskaber er en god start. Få nu styr på IT-sikkerheden! Vi hjælper alle virksomheder store som små med at opnå digital tryghed. Start dialogen med os i dag. Hvis du vil læse om casen der er omtalt, kan du læse mere på ComputerWorld via dette link. https://www.computerworld.dk/art/283988/kan-ikke-betale-loesesummen-ransomware-angreb-kommer-til-at-koste-danske-cloudnordic-livet

Rigtig mange af os har en e-mail konto som vi har haft i mange, mange år. Det er nemlig bøvlet at skifte e-mail. Men de gamle tjenester som POP3 og IMAP som disse typisk er byggede på lever ikke op til tidens krav om IT-sikkerhed. Og det ved de IT-kriminelle. Dette koblet med en anden svaghed – nemlig vores dårlige vane med at genbruge vores passwords på tværs af tjenester. Når en IT-kriminel først har overtaget din e-mail konto, så er det nemt at overtage dine andre konti. Dels kan de gennemsøge din mailhistorik, dels kan de resette passwords, da de jo nu modtager dine e-mails. Løsningen er at skifte til en moderne e-mail platform med multifaktor-login, kryptering og avanceret SPAM og malware beskyttelse. Og ved samme lejlighed skifte til et komplekst unikt password. Den gamle e-mail? Skal nedlægges/slettes, i en periode kan du med fordel sætte videresendelse på den gamle til den nye – men husk først at oprette et helt unikt og langt password. Selvom IT-sikkerhed er lidt bøvlet – er det ikke raketvidenskab.