Kendt dansk sikkerhedsmand advarer mod salgs-gas: "Jeg er meget bekymret over, at virksomheder kommer til at tro, de er compliant med GDPR, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke"

Interview: Sikkerhedsfirmaer står i kø med produkter og ydelser, der skal hjælpe virksomheder med GDPR. Men firmaerne kan ikke levere den compliance, de sælger, advarer dansk sikkerhedsmand.

”Jeg er meget bekymret over, at små og mellemstore virksomheder kommer til at tro, de er compliant, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke.”

Ramus Theede har været ansvarlig for it-sikkerheden hos blandt andet Mærsk, NNIT og CSC, og i dag repræsenterer han i interesseorganisationen Digital Europe verdens største it-virksomheder, når EU-kommissionen diskuterer den kommende persondataforordning.

Og han er træt at sikkerhedsfirmaer, der forsøger at score kassen på GDPR.

”GDPR er ikke en sikkerhedsdiskussion overhovedet,” siger han til Computerworld.

Rigtig mange virksomheder er mere eller mindre rådvilde, når det kommer til den nye persondataforordning, og et stort antal sikkerhedsfirmaer står derfor klar til at sælge ro i sjælen med tjenester som ”opnå GDPR-compliance” eller ”minimer risiciene ved GDPR”.

Men ifølge Rasmus Theede kan sikkerhedsfirmaerne slet ikke levere compliance. Og derfor er det problematisk, at de bruger GDPR til at sælge produkter, fordi det skaber falsk tryghed.

”For eksempel er jeg blevet ringet op af et antivirus-firma, der fortalte mig, at hvis min virksomhed gerne ville være compliant, så skulle jeg købe hans produkt. Så bliver man altså lidt harm, når man rent faktisk har en passion for dette her,” siger Ramus Theede.

Ingen one-stop-shop
En af hovedårsagerne til, at Rasmus Theede finder det absurd at sælge sikkerhedsprodukter som compliance, er, at der stadig er masser af usikkerhed om, hvad lovgivningen kommer til at betyde.

Og for hvem.

For selvom forordningen er vedtaget og fremlagt, så skal den stadigvæk implementeres som lov i de forskellige lande – heriblandt Danmark, der blandt andet skal tage stilling til, om offentlige myndigheder skal kunne tildeles bøder.

”70 procent af klausulerne i GDPR fortolkes lokalt," siger Rasmus Theede og undrer sig over, hvordan sikkerhedsfirmaer kan hjælpe andre med at overholde en lov, de i praksis ikke kender endnu.

"I Bruxelles sidder vi stadigvæk og diskuterer, hvordan mange af tingene kommer til at se ud i forskellige lande. Så hvordan kan et sikkerhedsfirma påstå at kunne levere compliance?”, siger Rasmus Theede til Computerworld.

Han understreger, at sikkerhedsteknologier kan være nyttige i forhold til GDPR, og for eksempel kan let overskuelig adgangsstyring være en stor hjælp, når man altid skal kunne dokumentere, hvem der har haft adgang til hvilke data.

Men den erfarne sikkerhedsmand ser ingen grund til at købet et ”compliance-produkt” hos et sikkerhedsfirma. I stedet anbefaler han danske virksomheder at læne sig op af de eksisterende standarder og f.eks blive ISO 27001-certificerede.

Sikkerhedskravene i forordningen er nemlig ikke knyttet til konkrete teknologier.

”Der står altså ikke noget i GDPR om, hvornår du skal patche, eller hvilket IDS-produkt, du skal bruge," siger han. 

"Det, der er svært ved GDPR, er for eksempel, hvordan et forsikringsselskab, der har levet af at analysere data de sidste 100 år, pludselig skal implementere retten til at blive glemt. Det får du altså ikke svar på med et sikkerhedsprodukt.”

Læs også: Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Frank Rasmussen nægter at afvise Hopper stjæler data fra Saphe: "Vi har masser af servere, så jeg ved ikke, hvad det er, jeg skal afvise"
Interview: Telerigmanden Frank Rasmussen tager endnu en gang til genmæle over for konkurrenten Saphe, der beskylder ham for at stjæle data. Han nægter dog at afvise, at det rent faktisk sker. "Vi har masser af servere, så jeg ved ikke, hvad det er, jeg skal afvise," lyder det.
Computerworld
Windows 10's katastrofe-update: Derfor begyndte den pludseligt at slette brugernes filer
Den seneste Windows 10 opdatering kunne i værste fald slette vigtige filer. Microsoft sætter tal på hvor mange der er berørt af den katastrofale fejl.
CIO
Forleden reparerede en mekaniker min bil: Det kostede 4.200 kroner, som min hjerne snød mig til at betale med et smil
De rationelle it-beslutninger du træffer er måske en illusion. Det lærte jeg da min bil gik i stykker og min hjerne snød mig til at tro, at alt var fint. Til gengæld fandt jeg tre fælder dine it-beslutninger kan falde i.
Job & Karriere
Her er syv job-annoncer der overrasker med helt usædvanlige overskrifter
Der er mange ledige it-job i øjeblikket. It-jobbank har her fundet syv spændende stillinger, der har det til fælles, at annoncen har en utraditionel overskrift.
White paper
6 gode råd til et succesfuldt virtuelt møde
Den traditionelle måde at tænke arbejdsplads på er under forandring. Nye teknologier skyder frem og gør hverdagen nemmere og mere dynamisk. Eksempelvis er mængden af fjernarbejdspladser steget med 115% de seneste 10 år, og det stiller krav til måden at holde møder på. Med et virtuelt møderum kan møder faciliteres online, og alle parter sparer tid fordi det er mere fleksibelt og ikke betinget af at alle møder op fysisk. I dette whitepaper kigger vi på hvad der skal til for at mestre denne disciplin og giver dig 6 gode råd.