Kendt dansk sikkerhedsmand advarer mod salgs-gas: "Jeg er meget bekymret over, at virksomheder kommer til at tro, de er compliant med GDPR, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke"

Interview: Sikkerhedsfirmaer står i kø med produkter og ydelser, der skal hjælpe virksomheder med GDPR. Men firmaerne kan ikke levere den compliance, de sælger, advarer dansk sikkerhedsmand.

”Jeg er meget bekymret over, at små og mellemstore virksomheder kommer til at tro, de er compliant, fordi de har købt en dims hos et sikkerhedsfirma. Det er de ikke.”

Ramus Theede har været ansvarlig for it-sikkerheden hos blandt andet Mærsk, NNIT og CSC, og i dag repræsenterer han i interesseorganisationen Digital Europe verdens største it-virksomheder, når EU-kommissionen diskuterer den kommende persondataforordning.

Og han er træt at sikkerhedsfirmaer, der forsøger at score kassen på GDPR.

”GDPR er ikke en sikkerhedsdiskussion overhovedet,” siger han til Computerworld.

Rigtig mange virksomheder er mere eller mindre rådvilde, når det kommer til den nye persondataforordning, og et stort antal sikkerhedsfirmaer står derfor klar til at sælge ro i sjælen med tjenester som ”opnå GDPR-compliance” eller ”minimer risiciene ved GDPR”.

Men ifølge Rasmus Theede kan sikkerhedsfirmaerne slet ikke levere compliance. Og derfor er det problematisk, at de bruger GDPR til at sælge produkter, fordi det skaber falsk tryghed.

”For eksempel er jeg blevet ringet op af et antivirus-firma, der fortalte mig, at hvis min virksomhed gerne ville være compliant, så skulle jeg købe hans produkt. Så bliver man altså lidt harm, når man rent faktisk har en passion for dette her,” siger Ramus Theede.

Ingen one-stop-shop
En af hovedårsagerne til, at Rasmus Theede finder det absurd at sælge sikkerhedsprodukter som compliance, er, at der stadig er masser af usikkerhed om, hvad lovgivningen kommer til at betyde.

Og for hvem.

For selvom forordningen er vedtaget og fremlagt, så skal den stadigvæk implementeres som lov i de forskellige lande – heriblandt Danmark, der blandt andet skal tage stilling til, om offentlige myndigheder skal kunne tildeles bøder.

”70 procent af klausulerne i GDPR fortolkes lokalt," siger Rasmus Theede og undrer sig over, hvordan sikkerhedsfirmaer kan hjælpe andre med at overholde en lov, de i praksis ikke kender endnu.

"I Bruxelles sidder vi stadigvæk og diskuterer, hvordan mange af tingene kommer til at se ud i forskellige lande. Så hvordan kan et sikkerhedsfirma påstå at kunne levere compliance?”, siger Rasmus Theede til Computerworld.

Han understreger, at sikkerhedsteknologier kan være nyttige i forhold til GDPR, og for eksempel kan let overskuelig adgangsstyring være en stor hjælp, når man altid skal kunne dokumentere, hvem der har haft adgang til hvilke data.

Men den erfarne sikkerhedsmand ser ingen grund til at købet et ”compliance-produkt” hos et sikkerhedsfirma. I stedet anbefaler han danske virksomheder at læne sig op af de eksisterende standarder og f.eks blive ISO 27001-certificerede.

Sikkerhedskravene i forordningen er nemlig ikke knyttet til konkrete teknologier.

”Der står altså ikke noget i GDPR om, hvornår du skal patche, eller hvilket IDS-produkt, du skal bruge," siger han. 

"Det, der er svært ved GDPR, er for eksempel, hvordan et forsikringsselskab, der har levet af at analysere data de sidste 100 år, pludselig skal implementere retten til at blive glemt. Det får du altså ikke svar på med et sikkerhedsprodukt.”

Læs også: Danske organisationer kæmper med EU's persondataforordning: It-systemer dumper i massevis



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Med ny iOS-opdatering vil du selv kunne slå udskældt batterifunktion fra på din iPhone
Apple har sænket ydeevnen på ældre iPhones for at få batteriet til at holde længere, men nu fortæller Tim Cook, at du i fremtiden selv kan slå funktionen fra.
CIO
Opråb til ERP-leverandørerne: Stram op - I opfører jer uanstændigt
Klumme: Hvorfor kan ERP-projekter ikke leveres til fastpris ligesom andre systemer? Hvordan kan ERP-leverandørerne slippe afsted med at opføre sig uanstændigt? ERP-leverandørerne har et alvorligt problem og er nødt til at gøre det bedre. Se nogle af mine vilde eksempler fra den danske it-branche her.
Comon
LG stopper al udvikling af LG G7: Begynder helt forfra få måneder før lancering
Ifølge et velanset koreansk investormedie har LG’s CEO beordret fuld stop på udviklingen af LG G7 og starte forfra
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Mobility - her er de aktuelle udfordringer
Hvad med sikkerheden? Mobility-bølgen fejer igennem danske virksomheder, og der er masser af muligheder og faldgruber. Sikkerheden halter, men det kan der gøres noget ved. Produceret af Computerworld.dk i oktober 2014.