Blandt 18.000 indberetninger om databrud er menneskefejl den mest almindelige: Sådan undgår din virksomhed de mest basale databrud

18.000 anmeldelser om databrud er tikket ind hos Datatilsynet siden siden GDPR-loven trådte i kraft. "Mange af de fejl, som vi ser, beror på relativt banale fejl,” lyder det fra tilsynets it-sikkerhedspecialist Allan Frank. Se her, hvordan du relativt nemt kan undgå dem.

Premium Kun for abonnenter
Denne Premium-artikel er normalt kun for abonnenter

Men vi har valgt at låse den op for at give dig et eksempel på den omfattende viden og de artikler, som du har adgang til som Computerworld Premium-abonnent.

Tak, lad mig læse den OK, fortæl mig mere om Premium

Det får du i artiklen

  • Se Datatilsynets Allans Franks råd til at undgå de mest almindelige fejl.
678
3:30 min
Siden databeskyttelsesloven 25. maj 2018 trådte i kraft, har Datatilsynet modtaget 18.000 indberetninger om databrud fra virksomheder, myndigheder og borgere.

Og særligt enkeltstående menneskelige fejl udgør størstedelen af alle indberetninger.

Det handler om fejl, hvor en medarbejder kommer til at trykke en forkert mail-adresse i et afsenderfelt, eller sende en anden borgers private oplysninger til den klient man har kontakt med.

Hos Datatilsynet har it-sikkerhedsspecialist Allan Frank gennemgået de tendenser, der skaber de fleste brud sammen med Computerworlds journalist.

”Enkeltstående menneskelige fejl er stadig den store gruppe af det her. Så er der en lille stigning – men kun en lille stigning – i den del, der handler om cyberkriminalitet. Og så er der en stigende tendens til, at it-udviklere, der bygger it-løsninger, der bliver brugt af mange dataansvarlige, begår én fejl, som betyder, at alle de dataansvarlige, der har produktet, også får den fejl.”

På den måde skaber én fejl i databeskyttelsen altså flere fejl og flere indberetninger, når fejlen opstår hos it-leverandører.

Det kan være eksempelvis banker, kommuner eller regioner, der bruger den samme løsning på tværs.

”Det betyder, at man skal være mere opmærksom på de her udviklingsscenarier hos leverandøren, om man får testet dem nok – også i forhold til persondatasikkerheden. Der er et stort fokus på de her ting, men jeg tror, at man nogle gange glemmer at tænke risikoen for den registreredes rettigheder ind i testscenariet.”

Sådan udrydder du fejl, der fører til databrud
”Mange af de fejl, som vi ser, beror på relativt banale fejl,” fortæller Allan Frank.

Den fejl, der udløste over halvdelen af anmeldte databrud i 2020 handlede om, at man havde sendte rigtige oplysninger til en forkert modtager.

”En af de helt store syndere, jeg ofte stødte på, da vi gik i gang med det her, var eksempelvis det, der hedder autocomplete – altså den funktion, der automatisk foreslår et navn eller en mail, når man begynder at taste noget ind. Der var mange, der fik sendt oplysninger til de forkerte på den konto.”

Og det såre simple råd til dette lyder: Slå funktionen fra.

Nogle gange er det også blot en simpel tastefejl eller afløsningsfejl, der sender personoplysninger afsted til den forkerte.

Blandt andet kommunerne og bankerne, der sender dokumenter til brugerens e-Boks.

Her er er udfordringen, at man for at kunne sende til e-boks, skal anvende nogle specielle koder. Trykker man disse koder forkert, kan en mail med personfølsomme oplysninger hurtigt havne i de forkerte hænder.

”Disse koder kunne man lave en form for elektronisk kontrol af for at sikre, at det brev man har skrevet, rent faktisk vedrører den person, jeg prøver at sende det til,” foreslår Allan Frank.

Han peger på, at denne type kontrol også vil spare organisationerne for en del penge, da det i dag er op til medarbejderne selv at taste ind, hvem de skal sende beskederne til.

”Der kunne man godt have en kontrol, der aktiveres, hvis man er ved at sende noget, der virker ulogisk, med en besked om, at ’du har skrevet et brev til CPR-nummer X. Du er ved at sende det til CPR-nummer Y. Er du sikker på, det er korrekt?’”

Mennesker vil altid begå fejl
”I sidste ende vil der altid forekomme menneskelige fejl. Det kommer vi ikke udenom. Enkeltstående menneskelige fejl vil altid opstå.”

Men er der tale om et gentagende mønster i de databrud, der sker, foreslår Allan Frank, at en løsningsmodel kan være at sætte en tidsbegrænsning på det ensformige arbejde, der udføres ved menneskekraft.

”Når folk bliver for trætte i hovet af at sidde med den samme type arbejde, så kan man foretage en organisatorisk foranstaltning for at sikre, at der ikke sker så mange fejl.”

Alternativt kan man tilføje en ekstra godkendelse til processen, så de indtastede oplysninger skal gå igennem mindst to mennesker, før der trykkes på send-knappen. Alternativt kan det ekstra sæt øjne være en teknisk dobbelttjekker.


Kunne du lide, hvad du netop har læst?

Artiklen er en del af Computerworld Premium

Med Premium får du adgang til eksklusivt indhold for abonnenter

Se mere Premium indhold

Med Computerworld Premium får du

Øget indsigt i it og digitalisering. Premium klæder dig på til at træffe bedre beslutninger.

Et konkret overblik over it-markedet, nye tendenser samt konkrete råd og erfaringer fra danske beslutningstagere.

Råd og erfaringer fra danske CIO'er, analytikere og it-beslutningstagere. Samlet i 10-15 unikke artikler hver uge.

Eksklusivt Premium-indhold for abonnenter

0 Premium-indhold

Test af super-NAS og 10 gigabit netværk: Flyt terabyte af data med op til 1.000 megabyte i sekundet

0 Premium-indhold

Forsinket inddrivelsessystem har nu kradset skattegæld ind for 10 milliarder kroner - 400 offentlige kreditorer koblet på

0 Premium-indhold

Martin Thorborg frygter, at vi knækker internettets rygrad i klapjagten på Facebook: “Det er måske mere relevant at kigge på, hvordan vi får nogle skattekroner ud af de røvhuller“

0 Premium-indhold

Faxe Kommune prøver igen efter to kuldsejlede forsøg: Sender ERP-udbud i markedet for tredje gang

0 Premium-indhold

Coronakrisen satte ild under den danske e-handel i 2020: Rekord-omsætning på 154 milliarder kroner


Computerworld
Trump bønfalder Helle Thorning: Giv mig min Facebook-konto tilbage
Facebooks tilsynsråd, der har Helle Thorning-Schmidt i spidsen, har modtaget en erklæring fra Donald Trump, som ønsker at få genoprettet adgangen til sin Facebook og Instagram-konto.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
Job & Karriere
IBM Danmark trækker tilbud om frivillige fratrædelser tilbage for stort antal ansatte: "IBM har taget røven på sine ansatte"
Som led i IBM Danmarks store fyringsrunde fik 130 ansatte grønt lys til at forlade selskabet på en frivillig fratrædelsesordning. Men nu har IBM Danmark trukket det oprindelige tilbud tilbage for størstedelen af de ansatte.
White paper
Gratis whitepaper: Hvad er EDI, og hvordan kan det styrke min forretning?
Overvejer du EDI, og ønsker du at undersøge, om EDI er den rette investering for din virksomhed? Har en af dine kunder eller leverandører for nyligt bedt dig om at udveksle elektroniske dokumenter (EDI)? Så hent dette whitepaper og få et overblik over, hvad EDI er, og hvilke fordele producenter og grossister som dig kan se frem til, når du investerer i EDI til din forretning.