ITWatch

Klumme: Øgede krav til datasikkerhed er temaet i 2019

Databrudene hos Facebook og Google markerer et skifte inden for datasikkerhed, påpeger Infinidats europachef, Dan Shprung. Virksomheder skal forberede sig på håndteringen af uundgåelige databrud. Kryptering af data bliver en nødvendighed.

PR/Infinidat
Foto: PR/Infinidat

På dette tidspunkt sidste år forudsagde lagringsindustrien, at der i 2018 ville være fokus på databeskyttelse og sikkerhedsspørgsmål - hvilket også blev tilfældet. Allerede halvvejs inde i det nye år var der flere eksempler på den stigende cyberkriminalitet og avancerede former for dataindtrængen.

Cyberkriminelle fik i løbet af året større adgang til følsomme data og muligheder for i princippet at gøre, hvad de ville. Angrebene og de uvedkommendes indtrængen har ændret sig. De cyberkriminelle er i stigende grad begyndt at benytte sig af social engineering til at udnytte menneskelige svagheder inde i organisationerne, og den store variation i de typer af indtrængen, der opstod i løbet af året, er blevet en realitet for stort set alle typer virksomheder. Alt dette har medført en øget sikkerhedsbevidsthed og handlingsprogrammer på flere niveauer i virksomheder, industrier, nationer og internationalt.

GDPR - ingen vej tilbage

GDPR er sandsynligvis det sæt regler, de fleste mennesker vil tænke på, når vi taler om regler og lovgivning for databehandling. Det er den mest omfattende gennemgang og lovgivning, hvad angår personlig datahåndtering, vi har set. Og det er et regelsæt, der vi få vidtrækkende konsekvenser for alle virksomheder, der håndterer personoplysninger om EU-borgere. Sandsynligvis bliver det også et regelsæt, som store dele af verden vil følge.

På trods af bekymringerne har GDPR ikke ført til verdens undergang. Sandsynligvis er det to andre hændelser, der – trods den store opmærksomhed omkring GDPR – har haft den største effekt på, hvordan virksomheder ser på vigtigheden af datasikkerhed og håndtering af følsomme personoplysninger.

De vigtigste begivenheder i løbet af året var sandsynligvis databrudene hos Facebook og Google henholdsvis i september og oktober. På trods af begge virksomheders høje ambitioner, når det handler om deres integritet og om at håndtere brugerdata (hvilket er altafgørende for deres legitimitet og overlevelse), var det disse uventede og omfattende databrud, der havde de største konsekvenser.

Dataindtrængen blev hverdagskost

Hvad der blev klart for virksomheder i hele verden var, at dette kunne ske for hvem som helst. Selv de største, stærkeste, mest indflydelsesrige og sikre virksomheder og organisationer kan opleve databrud på grund af de mindste fejl. Dataindtrængen kan ske på alle niveauer og på mange forskellige måder enten teknisk eller via mennesker.

Med oplevelserne fra 2018 i bagagen er det disse begivenheder og regelsæt, der kommer til at sætte dagsordenen for, hvordan virksomheder fremadrettet vil håndtere og beskytte sine data. De år, hvor mange har håndteret og delt data uden omtanke og med en stor portion naivitet, er for længst forbi.

Dataindtrængen er ikke længere en mulig risiko, det er en realitet og beskyttelse af data kommer fremover til at handle om, at hvis man ikke gør noget, så vil man opleve angreb og dataindtrængen. De cyberkriminelles værktøjer er så avancerede, at de kan støvsuge alle opkoblede datasystemer og finde og udnytte de mindste huller og sikkerhedsfejl. Det som sikkerhedsmæssigt har fungeret de seneste år vil ikke fungere i 2019 og frem.

Der må nu ske et skifte fra udelukkende at se på beskyttelse før et databrud til at forberede sig på dagen efter det uundgåelige brud. Hvis virksomhederne accepterer disse forudsætninger, må de i stedet se på, hvad de skal gøre med deres data.

Overste GDPR-artikel

Tilbage til GDPR. Det er et langt og kompliceret sæt regler, og mange virksomheder ser en fuldstændig efterlevelse af reglerne som en umulig opgave, men de har overset den vigtigste årsag til, at regelsættet blev til.

I artikel 34 i GDPR-regelsættet fastslås det, at hvis der sker databrud og tab af personoplysninger, er en virksomhed ikke forpligtet til at underrette de berørte personer om databruddet, hvis dataene har været krypteret og dermed ikke mulige at læse. Krypterede data gemmes tilfældigt, og uden krypteringsværktøjet er de blot meningsløs binær kode, der ikke kan læses eller bruges uden for virksomhedens netværk. Eller for at formulere det på en anden og enklere måde: Hvis stjålne data er tilstrækkelig krypterede, er det praktisk taget umuligt at kalde det et databrud, der overtræder GDPR-reglerne.

Datakryptering er en velkommen udvikling for alle. Hvis krypterede data i dag falder i uvedkommendes hænder, er der ingen større fare ved det, for dataene er svære eller endda helt umulige at dechifrere.

Strategien skal på plads

Hvis vi ser på 2019 og frem, vil vi temmelig sikkert opleve den første store retssag, hvor en virksomhed eller institution bliver dømt for at have mistet store mængder ukrypterede data og ikke have levet op til GDPR-reglerne. Det vil være den kæmpe GDPR-bøde, der globalt set vil sikre, at virksomhederne gør mere for at beskytte deres brugeres data. Som en konsekvens af dette vil virksomheder i stigende grad vælge at kryptere sine data for på den måde at øge sikkerheden betydeligt.

Virksomheder skal til at tænke anderledes omkring deres beskyttelse af data, for i 2019 vil kryptering af data snarere være en nødvendighed end en mulighed. Kryptering af data er ikke raketvidenskab, men kryptering vil få indflydelse på, hvordan data vises og bruges, og med løsninger, der ikke er optimeret til krypteret trafik, vil det skabe flaskehalse og betydeligt stigende datamængder. Derfor skal virksomhederne have en databeskyttelsesstrategi på plads for ikke bare at sikre dataene i sig selv, men også at udvikle en sikkerhedsplatform til fremtiden.

Klumme: Regeringens nye IT sikkerhedsplan lugter af valgflæsk

Klumme: Ingen plads til nedbrud

Relaterede

ITWatch trial banner 14 dage.jpg

Seneste nyt

Se alle ledige stillinger