De Ti Brud

Til alle indehavere, direktører, ledere, eller hvilken titel du nu har - i danske virkdomheder

Har du læst De Ti Brud? Altså de hyppigste brud på persondataloven? Se længere nede for blinket. 

Prøv lægge mærke til  nr. 10:

Hvis du bliver ramt af ransomware - en malware (eller en virus, hvis det er det, du vil kalde det) der tager al din data som gidsel, og der bliver forlangt løsepenge... Så er det ikke kun bad luck.
Med lidt held lykkes det mig (eller en kollega i Cybersecurity-branchen) at gendanne dine filer. Det vil så være heldig for dig. Men... Det er din skyld at du fik den malware. Og det får større konsekvenser end en regning fra den, der rydder op.

For det første: der skal en handling fra din side til for, at malware bliver udløst. Den kommer ikke vandrende ind på dit kontor, kravler ind i din computer og holder en fest der: du er den person der aktiverer den. Du ved det ikke, fordi malware har ikke et skilt hvor der står: "Jeg er farlig", "Jeg er en malware" eller "Jeg ødelægger din virksomhed".

For det andet: det faktum, at du overhovedet aktiverede malwaren, betyder at du ikke har den fornøden beskyttelse, hverken på din computer og i din parate viden.

Når, ikke engang "hvis"... Når du får en malware, så udsætter du dine kunders data, din personales oplysninger og alt muligt andet, du har fået lov at vide om andre, offentligt tilgængeligt. Det er ulovligt. Det koster dyrt.

Jeg har ikke lyst til at være dommedagsprofet. Jeg er realistisk: du bliver ramt.

Vær på forkant:

Lad mig eller en af mine dygtige branchefæller gennemgå din sikkerhed.
Det kalder vi assessment.

Lad en af os lære dig hvordan realiteten ser ud.
Det kalder vi awareness.

Lad en af os tjekke hvor vi kan komme igennem sikkerheden.
Vi kalder det pentesting eller penetration testing.

Lad en af os lave en plan, sammen med dig, hvordan der reageres hurtigt og korrekt, hvis der sker noget.
Vi kalder det Securing Policies and Procedures

Lad en af os se på om du overholder de relevante love og direktiver.
Vi kalder det Compliance.

Kort sagt: inviter en cybersecurityspecialist som mig selv, også kaldet en etisk hacker, på en kop kaffe.

Her kan du læse om De Ti Brud.

https://lnkd.in/dcFEVF-M

Cybersecurity er meget mere end IT...

Hvad man skulle have gjort? Man skulle have haft en compliance ekspert forbi, der lavede et tjek om alt er i orden: om du overholder alle regler.

Jeg har ikke læst kontrakten mellem AzeroCloud og deres kunder igennem. Jeg ved ikke med sikkerhed hvem der bærer ansvaret. Men det er helt klart, at man ikke kan sige: "Jamen jeg har lagt min data hos min udbyder, så det er out of my hands. Sådan virker det ikke. Det er ikke som det er hos revisorer, hvor du har hyret en der har ansvaret: du har selv ansvaret for din data. Om det nu ligger hos AzeroCloud, Microsoft, Dropbox, Google eller hvor som helst.

Men hvis du kan bevise, at du har styr på reglerne, overholdt dem i den omfang det kan forventes af en virksomhed (herunder sletning af persondata der ikke længere er relevant for din virksomhed), taget højde for hackingmuligheder, meldt til de relevante myndigheder når der opstår et brud, forhindret at alle medarbejdere (fra rengøringsassistenter til køkkenpersonale og fra pedeller til sekretærer) har adgang til "et fællesdrev, fordi det er bare det nemmeste", du har forhindret at fysiske servere står indenfor rækkevidde af gud og hver mand - så vil jeg være meget forundret hvis man så får en bøde.