Blog: Undgå konkurs – Nye EU-regler skriger på kryptering

EU, Michael

BLOG: Mobile arbejdspladser og datas frie bevægelighed gør følsomme data endnu mere sårbare. Se bare eksemplet med Statens Serum Institut tidligere på året. Kryptering skal spille en større rolle, mener business development manager. 

Skrevet af: Michael Nielsen, Business Development Manager at Kingston Technology

Flere undersøgelser viser, at det gennemsnitlige økonomiske tab, når firmaets data falder i hænderne på uvedkommende, er på 275 millioner kroner. Og dette enorme beløb ser kun ud til at blive større, efter EU har besluttet sig for at stramme sikkerhedsreglerne yderligere i forbindelse med EU-persondataforordningen.

Men ved at kryptere dine data kan du formindske risikoen markant og i bedste fald helt eliminere det potentielle tab, der ellers kunne sende din virksomhed ud i en konkurs.

En af de store udfordringer er, at dine data i stadigt stigende grad bliver fjernet fra beskyttelse af virksomhedens firewall, fordi medarbejderne har brug for informationerne, mens de er på farten. Derfor havner forretningskritiske data – midlertidigt eller permanent – på mobile enheder eller hos andre udbydere end din egen.

Data om 5,3 millioner danskere havner i forkerte hænder

De mobile arbejdspladser og datas frie bevægelighed gør sårbarheden omkring de følsomme data langt større, hvilket også kan ses af pressens dækning af denne type sager.

Et helt konkret eksempel stammer fra midten af juli hvor Datatilsynet offentliggjorde afgørelse om en meget uheldig sag, hvor to cd’er blev sendt afsted med posten fra Statens Serum Instituts Forskerservice.

De indeholdt CPR-informationer om knap 5,3 millioner danskere samt helbredsoplysninger  med udtræk fra Diabetesregisteret, Det Psykiatriske Centrale Forskningsregister, Cancerregisteret og Landspatientregisteret.

De to ukrypterede cd’er blev afleveret med anbefalet brev til et kinesisk visa-ansøgningskontor i København frem for hos Danmarks Statistik, der var den tiltænkte modtager.

Præcis hvad, der skete med informationerne, ved ingen med sikkerhed, men der er ingen tvivl om, at det var en sikkerhedsbrøler, der i værste fald kan få en konsekvens for næsten alle danskere, og der var bare tale om en forkert modtageradresse på et anbefalet brev.

Sager af denne type er ligeledes med til at skade en virksomheds omdømme og kundernes tillid forsvinder samme vej, hvilket kan gøre alvorlig skade på bundlinjen.

Store bøder fra EU

EU-stramningerne er en anden og meget tungtvejende begrundelse for at passe rigtig godt på sine data. Persondataforordning gør det helt klart, at EU prioriterer privatliv og sikkerhed for borgere.

Virksomheder kan derfor stå over for store finansielle sanktioner på grund af uagtsomhed i forbindelse med datatab. Dette kan koste helt op til 148 millioner kroner (20 millioner euro) eller fire procent af den årlige omsætning i bøde. Reglerne træder i kraft den 25. maj 2018.

Denne sum skal igen lægges oven i de skader, der er forårsaget på firmaets ry.

Med kryptering ingen bøde

Kryptering spiller derfor en stor rolle i sikkerheden, når det handler om datatab. Ved at kryptere dit firmas data på begge sider af din firewall, kan du faktisk undgå afsløringer og andre ulykker.

Hvis informationerne på de to cd-skiver have være beskyttet af en kryptering, så ville data stadig være sikret, eftersom folk ikke ville kunne få adgang indholdet.

Kryptering af eksempelvis et af de meget benyttede USB-drev eller USB-nøgler kan være på militært niveau, som i praksis er umulig at bryde, da det ville tage umenneskeligt lang tid at finde nøglen.

Det er også vigtigt at bide mærke i at EU persondataforordning tolker tab af krypterede filer, som et sikkerhedsbrud og ikke et databrud. Disse hændelser behøver derfor ikke at blive rapporteret, hvilket betyder, at du heller ikke får en bøde for det.

Det er slet ikke så svært

Krypteringen er ikke nødvendigvis særlig indviklet. Et kvalitets USB-drev kan eksempelvis køre krypteringen i baggrunden uden, at du bemærker det.

Sikkerheden vises kun for brugere, når de indsætter USB-drevet i en laptop eller desktop og mødes med et krav om et password.

Denne form for lagring af krypterede data kræver ingen ekspertise inden for teknologi, hvilket gør den til en nem og anvendelig løsning. Enkelhed er utrolig essentiel for at de ansatte i virksomheden får foretaget krypteringen, fordi de ikke behøver at bruge ekstra tid eller kræfter på opgaven.

Ikke kun teknologi også politik

Der er ingen tvivl om, at beskyttelses imod datatab er et spørgsmål om at anvende den rigtige teknologi.

Men i enhver sikkerhedsstrategi skal ledelsen inkludere de ansattes viden og opmærksomhed på sikkerheden. De skal ikke kun vide noget om den risiko, der kan være ved datatab, men de skal også informeres om den nye lovgivning og reglerne på detteområde. En klar og veldokumenteret datapolitik er derfor også en vigtig brik.

Organisationen skal udvælge hvilke brugere, der skal have adgang til hvilke data, og brugerne skal informeres om virksomhedens datapolitik. Krypteringsteknologi er vidunderlig, men også ubrugelig, hvis medarbejderne ikke overholder sikkerhedspolitikken.

Ved at implementere persondataforordning, har EU taget et stort skridt imod en mere effektiv beskyttelse af privatlivet. Men det er også et skridt, der vil sætte mange organisationer på en alvorlig prøve i forbindelse med databeskyttelsen.

Så lad os alle gøre en ende på de pinlige historier i medierne og uheldige tab af kritiske data ved at gøre kryptering til en god vane.

Skrevet af

Læs også

Top