Det får du i artiklen
- Se Datatilsynets Allans Franks råd til at undgå de mest almindelige fejl.
Og særligt enkeltstående menneskelige fejl udgør størstedelen af alle indberetninger.
Det handler om fejl, hvor en medarbejder kommer til at trykke en forkert mail-adresse i et afsenderfelt, eller sende en anden borgers private oplysninger til den klient man har kontakt med.
Hos Datatilsynet har it-sikkerhedsspecialist Allan Frank gennemgået de tendenser, der skaber de fleste brud sammen med Computerworlds journalist.
”Enkeltstående menneskelige fejl er stadig den store gruppe af det her. Så er der en lille stigning – men kun en lille stigning – i den del, der handler om cyberkriminalitet. Og så er der en stigende tendens til, at it-udviklere, der bygger it-løsninger, der bliver brugt af mange dataansvarlige, begår én fejl, som betyder, at alle de dataansvarlige, der har produktet, også får den fejl.”
På den måde skaber én fejl i databeskyttelsen altså flere fejl og flere indberetninger, når fejlen opstår hos it-leverandører.
Det kan være eksempelvis banker, kommuner eller regioner, der bruger den samme løsning på tværs.
”Det betyder, at man skal være mere opmærksom på de her udviklingsscenarier hos leverandøren, om man får testet dem nok – også i forhold til persondatasikkerheden. Der er et stort fokus på de her ting, men jeg tror, at man nogle gange glemmer at tænke risikoen for den registreredes rettigheder ind i testscenariet.”
Sådan udrydder du fejl, der fører til databrud
”Mange af de fejl, som vi ser, beror på relativt banale fejl,” fortæller Allan Frank.
Den fejl, der udløste over halvdelen af anmeldte databrud i 2020 handlede om, at man havde sendte rigtige oplysninger til en forkert modtager.
”En af de helt store syndere, jeg ofte stødte på, da vi gik i gang med det her, var eksempelvis det, der hedder autocomplete – altså den funktion, der automatisk foreslår et navn eller en mail, når man begynder at taste noget ind. Der var mange, der fik sendt oplysninger til de forkerte på den konto.”
Og det såre simple råd til dette lyder: Slå funktionen fra.
Nogle gange er det også blot en simpel tastefejl eller afløsningsfejl, der sender personoplysninger afsted til den forkerte.
Blandt andet kommunerne og bankerne, der sender dokumenter til brugerens e-Boks.
Her er er udfordringen, at man for at kunne sende til e-boks, skal anvende nogle specielle koder. Trykker man disse koder forkert, kan en mail med personfølsomme oplysninger hurtigt havne i de forkerte hænder.
”Disse koder kunne man lave en form for elektronisk kontrol af for at sikre, at det brev man har skrevet, rent faktisk vedrører den person, jeg prøver at sende det til,” foreslår Allan Frank.
Han peger på, at denne type kontrol også vil spare organisationerne for en del penge, da det i dag er op til medarbejderne selv at taste ind, hvem de skal sende beskederne til.
”Der kunne man godt have en kontrol, der aktiveres, hvis man er ved at sende noget, der virker ulogisk, med en besked om, at ’du har skrevet et brev til CPR-nummer X. Du er ved at sende det til CPR-nummer Y. Er du sikker på, det er korrekt?’”
Mennesker vil altid begå fejl
”I sidste ende vil der altid forekomme menneskelige fejl. Det kommer vi ikke udenom. Enkeltstående menneskelige fejl vil altid opstå.”
Men er der tale om et gentagende mønster i de databrud, der sker, foreslår Allan Frank, at en løsningsmodel kan være at sætte en tidsbegrænsning på det ensformige arbejde, der udføres ved menneskekraft.
”Når folk bliver for trætte i hovet af at sidde med den samme type arbejde, så kan man foretage en organisatorisk foranstaltning for at sikre, at der ikke sker så mange fejl.”
Alternativt kan man tilføje en ekstra godkendelse til processen, så de indtastede oplysninger skal gå igennem mindst to mennesker, før der trykkes på send-knappen. Alternativt kan det ekstra sæt øjne være en teknisk dobbelttjekker.