Afsløringerne af systematisk overvågning af kendte og kongelige via en medarbejder hos IBM, der havde adgang alle transaktionsdata hos Nets, har fået sat nyt fokus på datasikkerhed.
Sikkerheden og databeskyttelsen af de mange fyldige databaser med oplysninger om Danmarks befolkning har måske ikke været så god, som mange gik og troede – når for eksempel kundeservicemedarbejdere hos Nets kunne slå betalingsdata om alle mulige op, blot ud fra navn. Men er din egen organisation beskyttet godt nok? Version2 har spurgt to eksperter, der til dagligt rådgiver om bedre databeskyttelse.
Første trin er helt klassisk, nemlig at få et overblik over alle data, man gemmer rundt omkring, og dele dem ind efter følsomhed. Dernæst skal man afgøre, hvem der overhovedet må få adgang til følsomme og super-følsomme oplysninger.
»Det gør det muligt at tildele adgangsrettigheder og beføjelser på et tilstrækkeligt sikkerhedsniveau. Men hvis man ikke har stærke procedurer til at vedligeholde de adgangsrettigheder, så er der risiko for, at medarbejdere får adgang, de ikke skulle have, til meget fortrolig information. Det klassiske eksempel er en elev, som bliver sendt på rundtur til mange forskellige afdelinger, og som ikke får slettet sine beføjelser løbende,« siger Jørgen Sørensen, partner og leder af cyber security-afdelingen i Deloitte, til Version2.
Bruger man dette need-to-know-princip, kan man begrænse mest muligt, hvem i firmaet som får adgang til det mest fortrolige. Men er det nødvendigt, at mange får adgang, for eksempel i en kundeservice, kan man også begrænse værdien af de data, der er adgang til.
»I stedet for, at der står fuldt navn og adresse sammen med de personlige oplysninger, kan man udelade noget af det, så der for eksempel kun står kundenummer eller cpr-nummer, men ikke navn. Så kan man ikke umiddelbart identificere en kendt eller andre interessante personer,« siger Brian Christiansen, leder af Risk Assurance-rådgivning hos PwC, til Version2.
Hold de betroede medarbejdere i ørene med log-kontrol
Måske er det nødvendigt at give nogle særligt betroede medarbejdere adgang til hele pakken, og så må man i udgangspunktet stole på deres loyalitet. Men der er også mange muligheder for at holde dem i ørene, så de ikke falder for fristelsen til at lure på og lække de fortrolige data.
»Der er masser af muligheder. Du kan have en 100 procents logning af, hvad folk har været inde at røre ved og se på. Det gør man for eksempel med tradere i banken, som får alle deres telefonsamtaler båndet. Og så kan man holde øje med, om der er noget mistænkeligt,« siger Brian Christiansen.
Man kan for eksempel holde øje med ansatte, der har alt for mange opslag, eller som søger på data, der ligger uden for den normale arbejdsopgave. I en kundeservice kunne det for eksempel ske ved at sammenholde de opkald, der kommer ind, med medarbejdernes opslag i kundedatabaserne.
Har man lavet regler, så for eksempel betalinger på over 10.000 kroner skal godkendes af andre, kan man bruge logning og firmaets bogføring til at holde øje med alle pengetransaktioner, som ligger lige under grænsen, eller hvis det er samme beløb flere gange i træk, der bliver sendt afsted.
»På den måde virker logning præventivt, når man har noget efterfølgende stikprøvekontrol. Og det virker ekstremt godt, hvis det er uforudsigeligt. Så kunne man én måned kigge efter bankkonti, der ikke passer med leverandørkartoteket. Næste måned ser man, hvem der har tanket benzin, men kører i en firmabil på diesel. Og næste måned er det alle leverancer, der ikke er leveret på firmaadressen,« siger Brian Christiansen.
Danmark er bagud i data loss prevention
I forhold til at forhindre følsomme oplysninger i at slippe ud af firmaet, er der også tekniske hjælpemidler, man kan tage i brug. De går under begrebet data loss prevention detection, som ikke er så udbredt i Danmark endnu.
»Skal man være best in class, bliver man nødt til at have skrappere kontrol, som forhindrer at man for eksempel ved en fejl sender fortrolige data ud af huset i en e-mail, eller kan downloade dem på en USB-stik. Der findes i dag løsninger, som søger efter bestemte nøgleord eller CPR-numre. Her er Danmark ikke på niveau med andre lande – mig bekendt er der ikke nogen virksomheder i Danmark, der har etableret et egentligt data loss prevention-system. I England er det almindeligt hos virksomheder med kritiske data,« siger Jørgen Sørensen.
Det store problem med ekstra sikkerhedssystemer og procedurer – for eksempel at der skal to personer til at godkende adgang til særlige følsomme data – er om det påvirker arbejdsgangen og medarbejdernes arbejdsglæde negativt. Disse ulemper skal man veje op mod risikoen for, at der sker alvorlige læk af data.
»Man skal huske, når man taler om øget sikkerhed omkring for eksempel forretningskritiske data, at det normalt har en effekt på eksisterende forretningsgange og brugervenlighed. Og mange har haft svært ved at retfærdiggøre de ekstraomkostninger der er ved øget sikkerhed. Kunsten er at finde den rette balance,« siger Jørgen Sørensen.
For mange regler dræber ansvarsfølelsen
Samme pointe har Brian Christiansen, som peger på, at man nogle steder i udlandet er blevet nødt til at gå den anden vej og fjerne noget kontrol.
»I USA kommer der typisk flere regler og mere kontrol, hver gang noget er gået galt. Men så bliver man aldrig færdig, og så dræber man initiativ og ansvarsfølelse. Mange steder er det blevet for administrativt tungt at gennemføre det daglige arbejde, så man må sige, at det ikke er vejen frem med mere kontrol. Så må man kigge på virksomhedens kultur, så medarbejderne intuitivt gør det rigtige,« siger Brian Christiansen.
Det handler om at få datasikkerhed med i de mål, som medarbejderne evalueres på, og om ikke at sætte for eksempel urealistiske salgsmål.
»Bliver man belønnet godt for et nyt salg, og kulturen er, at man bare vil have det hjem, selvom man så ser igennem fingrene med regler og compliance, så breder den kultur sig. Ingen forretning må være så vigtig, at man går på kompromis med spillereglerne, og den kultur skal man have sikret, især hos medarbejdere, som håndterer store ordrer, der har stor betydning for virksomheden,« siger han.
Det skal også være muligt at gå videre med oplysninger om kolleger eller chefer, der bryder reglerne, for eksempel gennem en whistleblower-ordning. Og allerbedst er det, hvis man har en intern revisionsafdeling, der refererer direkte til bestyrelsen og kan bringe problemer på banen, uden om direktionen, lyder vurderingen.
Generelt har danske virksomheder dog et udmærket sikkerhedsniveau, mener Jørgen Sørensen, men der har i mange år ikke været så stort fokus på eller effekt af misbrug af personfølsomme oplysninger. Det hænger også sammen med, at sanktionerne er begrænsede, med 25.000 kroner i bøde som den mest alvorlige straf.
»Nu kan vi i dag se på diskussionen, at det ikke kun handler om en bøde, men også om mistet tillid og mistede kunder. Så måske er det nemmere nu at komme igennem med de nødvendige sikkerhedstiltag,« siger han.
Leave a Reply