Kendt dansk sikkerhedsmand advarer mod salgs-gas: "Jeg er meget bekymret over, at virksomheder kommer til at tro, de er compliant med GDPR, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke"

Interview: Sikkerhedsfirmaer står i kø med produkter og ydelser, der skal hjælpe virksomheder med GDPR. Men firmaerne kan ikke levere den compliance, de sælger, advarer dansk sikkerhedsmand.

”Jeg er meget bekymret over, at små og mellemstore virksomheder kommer til at tro, de er compliant, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke.”

Ramus Theede har været ansvarlig for it-sikkerheden hos blandt andet Mærsk, NNIT og CSC, og i dag repræsenterer han i interesseorganisationen Digital Europe verdens største it-virksomheder, når EU-kommissionen diskuterer den kommende persondataforordning.

Og han er træt at sikkerhedsfirmaer, der forsøger at score kassen på GDPR.

”GDPR er ikke en sikkerhedsdiskussion overhovedet,” siger han til Computerworld.

Rigtig mange virksomheder er mere eller mindre rådvilde, når det kommer til den nye persondataforordning, og et stort antal sikkerhedsfirmaer står derfor klar til at sælge ro i sjælen med tjenester som ”opnå GDPR-compliance” eller ”minimer risiciene ved GDPR”.

Men ifølge Rasmus Theede kan sikkerhedsfirmaerne slet ikke levere compliance. Og derfor er det problematisk, at de bruger GDPR til at sælge produkter, fordi det skaber falsk tryghed.

”For eksempel er jeg blevet ringet op af et antivirus-firma, der fortalte mig, at hvis min virksomhed gerne ville være compliant, så skulle jeg købe hans produkt. Så bliver man altså lidt harm, når man rent faktisk har en passion for dette her,” siger Ramus Theede.

Ingen one-stop-shop
En af hovedårsagerne til, at Rasmus Theede finder det absurd at sælge sikkerhedsprodukter som compliance, er, at der stadig er masser af usikkerhed om, hvad lovgivningen kommer til at betyde.

Og for hvem.

For selvom forordningen er vedtaget og fremlagt, så skal den stadigvæk implementeres som lov i de forskellige lande – heriblandt Danmark, der blandt andet skal tage stilling til, om offentlige myndigheder skal kunne tildeles bøder.

”70 procent af klausulerne i GDPR fortolkes lokalt," siger Rasmus Theede og undrer sig over, hvordan sikkerhedsfirmaer kan hjælpe andre med at overholde en lov, de i praksis ikke kender endnu.

"I Bruxelles sidder vi stadigvæk og diskuterer, hvordan mange af tingene kommer til at se ud i forskellige lande. Så hvordan kan et sikkerhedsfirma påstå at kunne levere compliance?”, siger Rasmus Theede til Computerworld.

Han understreger, at sikkerhedsteknologier kan være nyttige i forhold til GDPR, og for eksempel kan let overskuelig adgangsstyring være en stor hjælp, når man altid skal kunne dokumentere, hvem der har haft adgang til hvilke data.

Men den erfarne sikkerhedsmand ser ingen grund til at købet et ”compliance-produkt” hos et sikkerhedsfirma. I stedet anbefaler han danske virksomheder at læne sig op af de eksisterende standarder og f.eks blive ISO 27001-certificerede.

Sikkerhedskravene i forordningen er nemlig ikke knyttet til konkrete teknologier.

”Der står altså ikke noget i GDPR om, hvornår du skal patche, eller hvilket IDS-produkt, du skal bruge," siger han. 

"Det, der er svært ved GDPR, er for eksempel, hvordan et forsikringsselskab, der har levet af at analysere data de sidste 100 år, pludselig skal implementere retten til at blive glemt. Det får du altså ikke svar på med et sikkerhedsprodukt.”

Læs også: Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Premium
Tung Atea-dominans på hardware-markedet helt ok, mener SKI: "Hvis en virksomhed vokser sig stor, er det typisk også fordi, den gør et eller andet rigtigt. Der er ikke noget i vejen med at være dominerende"
Der er glimrende konkurrence på markedet for det offentliges hardware-indkøb, selv om Atea lander de fleste ordrer, mener SKI. "Det er min opfattelse, at der er en glimrende og benhård konkurrence på hardwaremarkedet. Det er ikke nemt at være aktør på det marked," siger udbudsdirektør i SKI, Christian Lunding.
Computerworld
Kæmpe-cyberangreb afsløret: Millioner af computere hacket - pilen peger (igen) mod Rusland
Pilen peger entydigt mod Rusland, mener USA og Storbritannien. Se stor advisory om angrebet, der har inficeret millioner af routere, switche og lignende i virksomheder og myndigheder.
CIO
Allersidste opdatering på vej: Om en uge er det slut med stor-version af Windows 10 - skynd dig at opdatere
Om en uge er det slut for altid med den første store udgave af Windows 10, som Microsoft efter 29 måneder ikke længere vil supportere.
Job & Karriere
Klassiske brokere af it-konsulenter står over for kæmpe udfordring - forretningsmodellen er under pres
Klumme: Eksterne konsulenter er populære og en god løsning i en branche i vækst. Men selve forretningsmodellen bag it-konsulenterne er under alvorligt pres.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.