Cybercrime: I kampen mod cybercrime er god forberedelse i form af en professionel risikovurdering det bedste sted at starte, uanset om man er en offentlig eller en privat virksomhed. Derfor er det vigtigt at komme i gang med arbejdet nu – for det tager tid.
Det mener en af Danmarks førende sikkerhedseksperter, Henning Mortensen, der er CISO og CPO ved Brødrene A&O Johansen A/S og formand for Rådet for Digital Sikkerhed.
GDPR har ikke fjernet sikkerhedsudfordringer
EU's persondataforordning, GDPR, tager blandt andet sigte på at undgå cybercrime og beskytte borgernes personoplysninger mod hackerangreb m.m.
Arbejdet med GDPR har generelt øget datasikkerheden i de fleste organisationer og virksomheder, men der er stadig brug for fokus på det forebyggende arbejde i form af risikovurderinger.
- Det er et problem, for det er en stor opgave, der tager tid at løse, mener Henning Mortensen.
Læs mere: JUC's kursus "Cybersikkerhed"
Lav din egen sikkerhedsvurdering
Hvordan kommer man bedst i gang med arbejdet med risikovurderinger? I grunden er det ikke så kompliceret, mener Henning Mortensen.
Arbejdet med risikovurderinger starter med, at man indsamler så mange historiske data om sikkerhedshændelser som muligt og kombinerer dem med branche- og eksperterfaringer. Organisationen kan fx spørge sig selv, hvilke former for cybercrimes den har været udsat for. Har man været udsat for angreb med ransomware, phishing eller lignende?
Dernæst kan man spørge sine kolleger i branchen om, hvad de frygter eller har været udsat for – eller henvende sig til en af de virksomheder, der har specialiseret sig i datasikkerhed.
- Når man skal udarbejde en risikovurdering, er der også god inspiration at hente i de trusselskataloger, som ligger online, fx OCTAVE eller ENISA, foreslår Henning Mortensen:
- Her finder man et godt udvalg af alverdens ondskab, som man kan tage udgangspunkt i, når man skal vurdere, hvad der kan gå galt.
Når man har udarbejdet sin liste over, hvad der konkret kan overgå organisationen eller virksomheden, kan man koncentrere sig om de mulige konsekvenser og sandsynligheden for, at det går galt.
- Step 1 er at fokusere på, hvor det virkelig kan gå galt. Step 2 er at tage sine modforholdsregler og iværksætte de aktiviteter, som kan modvirke truslen. Helt afhængigt af ambitionsniveau kan det på det digitale område handle om alt fra implementering af antivirusprogrammer og bedre firewalls til mere avancerede data loss prevention-løsninger, siger Henning Mortensen, der også minder om betydningen af de organisatoriske tiltag:
- Selvfølgelig er de tekniske tiltag vigtige, men det er de organisatoriske også. Det er vigtigt at sikre sig, at organisationen har de rette sikkerhedspolitikker, regler og procedurer samt ledelsesinformationssystemer og kontroller.
Kort sagt skal beredskabsplanen være på plads, så man ved, hvem der gør hvad i en given situation, lige som man skal have sit kontrolapparat på plads og et årshjul, der sikrer, at kontrollerne bliver gennemført, siger Henning Mortensen. Tilbage vil stå en restrisiko, som ledelsen skal acceptere.
Læs artikel: Databeskyttelse gennem design
Regningen skal betales
Selvom GDPR har fyldt meget, og de fleste organisationer allerede har arbejdet intensivt med at blive klar til lovens ikrafttrædelse i de seneste år, mener Henning Mortensen, at der er lang vej endnu, før alle offentlige og private organisationer efterlever kravene fuldt ud:
- Alt det her er jo ikke noget, man gør på ti minutter. Det tager lang tid og koster mange ressourcer, ikke mindst fordi det mindset, der ligger bag GDPR og arbejdet med informations- og datasikkerhed, mange steder kræver en kulturændring, siger Henning Mortensen.
- Grundlæggende har vi været for hurtige til at tage digitaliseringens velsignelser til os uden at betale regningen for datasikkerheden.
- Vi har udviklet og brugt systemer til at behandle mange og meget fortrolige personoplysninger uden at tage højde for, om systemerne overholder fx persondataloven og nu GDPR, påpeger Henning Mortensen og konkluderer:
- Nu skal regningen betales!
Læs artikel: Nyvalgt formand fastholder fokus på sikkerhedsværktøjer