GDPR: Tvinger fram en stor endring i tenkingen rundt informasjonssikkerhet

Det nye EU-regelverket rundt databeskyttelse, GDPR (General Data Protection Regulation) er nå vedtatt og vil tre i kraft i mai 2018. Det vil framtvinge et helt nytt tankesett rundt informasjonssikkerhet, for å kunne etterleve de nye kravene, beholde sitt gode rykte og unngå de kraftige bøtene man vil bli ilagt ved brudd på regelverket.

Hva er GDPR?

1. Standarder for databeskyttelse

GDPR krever at selskaper implementerer tekniske og organisatoriske tiltak som gir tilstrekkelig beskyttelse av persondataene de besitter. Når de skal bestemme seg for disse tiltakene må de også ta med art, omfang, kontekst og formål ved deres bruk av persondataene inn i vurderingen. Så langt ikke noe nytt egentlig. Det som er nytt er at GDPR klart uttrykker at disse tiltakene skal inkludere:

  • Pseudonymisering og kryptering av persondata
  • Tiltak for å sikre at systemene og tjenestene som prosesserer disse dataene er motstandsdyktige
  • Tiltak som gjør at selskaper kan gjenopprette tilgjengeligheten til datene i tilfelle et datainnbrudd
  • Hyppig testing av effektiviteten av sikkerhetstiltakene

Kort fortalt: med introduksjonen av GDPR forventes det at ansvarlige organisasjoner krypterer og innfører andre sikkerhetstiltak for å trygge dataene – ellers må de ta konsekvensen.

2. Krav til varsling om databrudd

GDPR introduserer en “gapestokk”, hvor selskaper må varsle datamyndighetene hvis de har hatt et databrudd som har påvirket integriteten, konfidensialiteten eller sikkerheten på persondata som de besitter. Hvis det er sannsynlig at databruddet kan resultere i diskriminering, identitetstyveri, svindel, økonomiske tap, skade på ens navn og rykte eller andre vesentlige økonomiske eller sosiale ulemper så skal selskapet varsle databruddet til den eller de som er berørt. Merk: det vil ikke bli nødvendig å varsle den eller de som er berørt dersom selskapet har implementert tilstrekkelige tekniske og organisatoriske sikkerhetstiltak med tanke på dataene som ble berørt av bruddet. Med andre ord: hvis dataen ble gjort uforståelig før databruddet – for eksempel ved kryptering – vil ikke selskapet være pålagt å varsle den eller de som er berørt av databruddet.

3. Den høye kostnaden ved sikkerhetsbrudd

EU har besluttet å håndheve disse reglene med heftige bøter:

  • Hvis et selskap ikke overholder sine datasikkerhets-forpliktelser i henhold til GDPR vil de kunne få bøter opp mot 10 000 000 EUR eller 2 % av selskapets totale årlige omsetning verden over, alt etter hvilket beløp som blir høyest.
  • Og enda verre: hvis et selskap har brutt andre forpliktelser i henhold til GDPR, kan bøtene komme opp i hele 4 % av selskapets totale årlige omsetning verden over.

Basert på dette kan man vel trygt forvente at datasikkerhet vil havne høyt oppe på agendaen hos mange selskaper.

Aksept er bedre enn forebyggelse
Data er “den nye oljen” for cyberkriminelle. Utsiktene til å kunne kompromittere, få adgang til og tjene penger på rådata er drivkraften bak de stadige angrepene på organisasjoner og bedrifter. Ingen data – ingen verdi – så enkelt er det. Med det enorme volumet av data som organisasjoner besitter vil også behovet for å beskytte dette enormt, og dette har drevet fram et konsekvent regelverk, som GDPR.

Vi har alle lest om datainnbrudd og hacking i media, spesielt i tiden rundt og etter valget i USA. Cyberkriminalitet er nå blitt en vanlig kriminell aktivitet, og etter hvert som mer data lages, lagres, deles og analyseres vil den potensielle verdien for en cyberkriminell stadig øke.  Det er behov for et paradigmeskifte i tenkingen rundt informasjonssikkerhet for å beholde data, og dermed også organisasjonene, beskyttet, sikkert og trygt.

Ved å forstå dataene forstår man også risikoen
Dette er imidlertid lettere sagt enn gjort, med tanke på volum, variasjon og ikke minst den stadige veksten og dynamikken innen feltet. Det å ta et steg tilbake og se på alle avdelinger og deres underliggende data er det vanskeligste og mest komplekse steget på veien mot å sikre data.

  • Type data (finansiell, personlig, forretningskritisk, operasjonell osv)
  • Hva er sensitiv data
  • Hvordan flyter den
  • Hvordan brukes den
  • Hvor er den lokalisert

Husk også på at en datarevisjon er det første, essensielle steget mot å sikre data, men også en stadig pågående og dynamisk prosess som ikke bør gjøres bare en gang, men hele tiden, i en digital verden i stadig endring. En dårlig forståelse av datalandskapet og mangel på relevant og passende datakontroll og -beskyttelse var en sentral årsak bak størsteparten av databruddene som har vært i det siste tiåret eller mer. Kjernen i det nye regelverket handler om å addressere risikoen for forskjellige typer av data og skape kontroll på konfidensialitet, integritet og tilgjengelighet. Hva er data, hvor er det og hva beskytter det? Hvis du får det på plass så følger du regelverket.

Datafortrolighet + kryptering og administrasjon av nøkler + autentisering = samsvar med regelverket
Når revisjonen av datauniverset er satt i gang, vil igangsettelsen av passende sikkerhetskontroll være relativt rett fram. Kryptering er nøkkelordet, og administrasjon av nøkler er enda viktigere! Kryptert data er verdiløs og det er nå enkelt å kryptere data, uansett hvor den ligger – på server, på lagring, på enheter, eller underveis på nettverket. Kryptering, uten evne til å dekryptere, er imidlertid poengløst, og tidligere har svakheten ligget i krypteringsnøklene. Oppbevar disse separat, sikkert og trygt og det blir ekstremt mye vanskeligere å få tilgang til å stjele dataene. Hvis man legger på adgangskontroll, som to-faktors autentisering, og innarbeider en sikkerhetskultur i organisasjonen, så vil man på kort tid etterleve de strenge men fornuftige reglene. Kriminelle vil sannsynligvis før eller siden klare å skaffe seg adgang til “hvelvet”, men hvis de likevel ikke får tak i juvelene vil de snu og gå etter noen som er mer sårbare.

Gjør noe nå og hjelp kundene dine med å komme i mål
Sammen kan vi alle påvirke sikkerheten i den digiale verden ved å tenke nytt rundt hva som er essensiell sikkerhetstenkning. La oss få våre felles kunder til å forstå at forebygging er viktig, men databeskyttelse er topprioritering i dag. Tenk på det; av de ca 700 millioner dataposter som ble stjålet i 2015 var kun 4 % av disse “sikre brudd” – det vi si at dataen var kryptert, og dermed verdiløs. Vi kan hjelpe våre kunder med å forstå sitt dataunivers, hvordan de kan kryptere det og hvordan de holder sine krypteringsnøkler trygge, samt hvordan de autentiserer og beskytter sine brukere – og dermed etterlever det nye regelverket.

En liten advarsel bare: det som krever mest tid er å forstå dataene – kundene må derfor starte sin prosess nå! Konsekvensen av å ikke gjøre noe trenger vi ikke å nevne.

Kontakt Exclusive Networks hvis du vil vite mer om løsninger for datasikring i henhold til GDPR.