Blandt 18.000 indberetninger om databrud er menneskefejl den mest almindelige: Sådan undgår din virksomhed de mest basale databrud

18.000 anmeldelser om databrud er tikket ind hos Datatilsynet siden siden GDPR-loven trådte i kraft. "Mange af de fejl, som vi ser, beror på relativt banale fejl,” lyder det fra tilsynets it-sikkerhedspecialist Allan Frank. Se her, hvordan du relativt nemt kan undgå dem.

Premium Kun for abonnenter
Denne Premium-artikel er normalt kun for abonnenter

Men vi har valgt at låse den op for at give dig et eksempel på den omfattende viden og de artikler, som du har adgang til som Computerworld Premium-abonnent.

Tak, lad mig læse den OK, fortæl mig mere om Premium

Det får du i artiklen

  • Se Datatilsynets Allans Franks råd til at undgå de mest almindelige fejl.
678
3:30 min
Siden databeskyttelsesloven 25. maj 2018 trådte i kraft, har Datatilsynet modtaget 18.000 indberetninger om databrud fra virksomheder, myndigheder og borgere.

Og særligt enkeltstående menneskelige fejl udgør størstedelen af alle indberetninger.

Det handler om fejl, hvor en medarbejder kommer til at trykke en forkert mail-adresse i et afsenderfelt, eller sende en anden borgers private oplysninger til den klient man har kontakt med.

Hos Datatilsynet har it-sikkerhedsspecialist Allan Frank gennemgået de tendenser, der skaber de fleste brud sammen med Computerworlds journalist.

”Enkeltstående menneskelige fejl er stadig den store gruppe af det her. Så er der en lille stigning – men kun en lille stigning – i den del, der handler om cyberkriminalitet. Og så er der en stigende tendens til, at it-udviklere, der bygger it-løsninger, der bliver brugt af mange dataansvarlige, begår én fejl, som betyder, at alle de dataansvarlige, der har produktet, også får den fejl.”

På den måde skaber én fejl i databeskyttelsen altså flere fejl og flere indberetninger, når fejlen opstår hos it-leverandører.

Det kan være eksempelvis banker, kommuner eller regioner, der bruger den samme løsning på tværs.

”Det betyder, at man skal være mere opmærksom på de her udviklingsscenarier hos leverandøren, om man får testet dem nok – også i forhold til persondatasikkerheden. Der er et stort fokus på de her ting, men jeg tror, at man nogle gange glemmer at tænke risikoen for den registreredes rettigheder ind i testscenariet.”

Sådan udrydder du fejl, der fører til databrud
”Mange af de fejl, som vi ser, beror på relativt banale fejl,” fortæller Allan Frank.

Den fejl, der udløste over halvdelen af anmeldte databrud i 2020 handlede om, at man havde sendte rigtige oplysninger til en forkert modtager.

”En af de helt store syndere, jeg ofte stødte på, da vi gik i gang med det her, var eksempelvis det, der hedder autocomplete – altså den funktion, der automatisk foreslår et navn eller en mail, når man begynder at taste noget ind. Der var mange, der fik sendt oplysninger til de forkerte på den konto.”

Og det såre simple råd til dette lyder: Slå funktionen fra.

Nogle gange er det også blot en simpel tastefejl eller afløsningsfejl, der sender personoplysninger afsted til den forkerte.

Blandt andet kommunerne og bankerne, der sender dokumenter til brugerens e-Boks.

Her er er udfordringen, at man for at kunne sende til e-boks, skal anvende nogle specielle koder. Trykker man disse koder forkert, kan en mail med personfølsomme oplysninger hurtigt havne i de forkerte hænder.

”Disse koder kunne man lave en form for elektronisk kontrol af for at sikre, at det brev man har skrevet, rent faktisk vedrører den person, jeg prøver at sende det til,” foreslår Allan Frank.

Han peger på, at denne type kontrol også vil spare organisationerne for en del penge, da det i dag er op til medarbejderne selv at taste ind, hvem de skal sende beskederne til.

”Der kunne man godt have en kontrol, der aktiveres, hvis man er ved at sende noget, der virker ulogisk, med en besked om, at ’du har skrevet et brev til CPR-nummer X. Du er ved at sende det til CPR-nummer Y. Er du sikker på, det er korrekt?’”

Mennesker vil altid begå fejl
”I sidste ende vil der altid forekomme menneskelige fejl. Det kommer vi ikke udenom. Enkeltstående menneskelige fejl vil altid opstå.”

Men er der tale om et gentagende mønster i de databrud, der sker, foreslår Allan Frank, at en løsningsmodel kan være at sætte en tidsbegrænsning på det ensformige arbejde, der udføres ved menneskekraft.

”Når folk bliver for trætte i hovet af at sidde med den samme type arbejde, så kan man foretage en organisatorisk foranstaltning for at sikre, at der ikke sker så mange fejl.”

Alternativt kan man tilføje en ekstra godkendelse til processen, så de indtastede oplysninger skal gå igennem mindst to mennesker, før der trykkes på send-knappen. Alternativt kan det ekstra sæt øjne være en teknisk dobbelttjekker.


Kunne du lide, hvad du netop har læst?

Artiklen er en del af Computerworld Premium

Med Premium får du adgang til eksklusivt indhold for abonnenter

Se mere Premium indhold

Med Computerworld Premium får du

Øget indsigt i it og digitalisering. Premium klæder dig på til at træffe bedre beslutninger.

Et konkret overblik over it-markedet, nye tendenser samt konkrete råd og erfaringer fra danske beslutningstagere.

Råd og erfaringer fra danske CIO'er, analytikere og it-beslutningstagere. Samlet i 10-15 unikke artikler hver uge.

Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Coloplasts it-direktør: GDPR har givet de it-kriminelle et nyt værktøj til at angribe os

0 Premium-indhold

Nu rulles Teams rigtigt bredt ud: Afgørende opdatering gør Teams interessant for den brede forbruger

0 Premium-indhold

Danmarks bedste CIO havde ét krav til ny topstilling: Derfor afviste han flere internationale topjobs - og sagde ja til Fiskars

0 Premium-indhold

Ombudsmanden dropper undersøgelse af omstridt kommunalt kæmpesystem fra KMD - men vil fortsat have systemet på radaren

0 Premium-indhold

Commentor-topchef ser stort rekrutteringspotentiale i Syddanmark: Åbner nyt kontor i Vejle


Premium
Coloplasts it-direktør: GDPR har givet de it-kriminelle et nyt værktøj til at angribe os
Interview: Det er ikke kun på plads og kapacitet, at sundhedssektoren lige nu er udfordret. De sikkerhedsansvarlige har også fået en del mere at se til gennem et kaotisk 2020. "Cyberkriminelle har opdaget, at der er en hel masse værdi i denne her datatype. Enten som afpresningsmulighed eller som viden, de kan udnytte til noget," siger CIO i Coloplast, René Rasmussen. Læs første artikel i serien om perspektiver fra sektoren, der er de it-kriminelles nye guldkalv
Computerworld
Bill Gates har en løsning: Sådan undgår vi klimakatastrofen
Klumme: Bill Gates vil gerne redde verden. Intet mindre. Og som alle store it-folk regner han baglæns. Politikerne er mest optaget af, hvad der kan lade sig gøre, og hvad de kan skabe flertal for. Men Bill Gates har set på klimakatastrofen, og hans budskab er klart.
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Overser du muligheder for at optimere din Dynamics-investering?
Der er omfattende og ofte oversete muligheder for at understøtte centrale forretningsprocesser med Dynamics 365 Finance & Operations.