10 myter om GDPR som varje företag borde ha koll på

Obligatorisk anmälan av brister är en i mängden av missförstånd kring den nya dataskyddsförordningen GDPR. Här slår vi hål på några vanliga myter.

Författare: F-Secure Sverige
Datum: 01.12.2016
Lästid: 10 Minuter

Om du och ditt företag är verksamt i Europa har du fortfarande lite tid innan EU: s allmänna dataskyddsförordning, GDPR, träder i kraft den 25 maj 2018.

Ett inslag i GDPR som bör betonas särskilt är den obligatoriska brottsanmälan. Det kan vara den mest missförstådda delen av den nya förordningen. Efter att ha arbetat i en reglerad sektor och varit en del av systemet för brottsanmälan i femton år skulle jag vilja skingra några vanligt förekommande myter om förordningen.

 

Myt 1: De vill se dig misslyckas

Ett av målen för anmälningslagar som GDPR är att driva företag till att öka sin förmåga att upptäcka säkerhetsintrång och samtidigt mildra de negativa effekterna. Det handlar inte främst om att straffa de företag som själva utsatts för brott, det handlar om att göra dem bättre rustade för att ta itu med den synnerligen sannolika händelsen att man utsätts för ett intrång.

Kommer du ihåg hur det var i skolan? Proven var inte där för att få dig att se dålig ut, utan snarare för att motivera dig till att studera. Lagstiftarnas avsikt med GDPR är att hjälpa dig att klara provet bättre vid händelse av brott. Förutsatt, naturligtvis, att du har gjort dina läxor.

 

Myt 2: Meddelande om intrång gäller endast personuppgifter

Med GDPR införs ett krav på att meddela dina kunder, användare och myndigheter om personuppgiftsbrott. Men tro inte att intrång där man kommit åt sekretessrelaterade data tolkas på ett snävt sätt.

Förordningen kräver att du inte bara delar med dig av information kring hur personuppgifter har påverkats av ett intrång, utan även att du delar information som hjälper myndigheterna att bedöma vad det var som gjorde intrånget möjligt.

De kommer också att vilja veta vilka korrigerande åtgärder du har vidtagit och planerar att ta, hur du (eller någon annan!) upptäckte intrånget, hur lång tid det tog att upptäcka och hur du bedömer skadan som är skedd. De kommer att vilja att du spekulerar kring hur du och dina kunder kommer att påverkas av kvarstående risker. Denna information gör det möjligt för människor utanför företaget att bilda en mer fullständig bild av din förmåga att skydda alla aspekter av din verksamhet.

Om det finns oklarheter i din hållning till informationssäkerhet kommer det snart att vara uppenbart. Hade du förvärvat de personuppgifter som du hanterade på ett lagligt sätt? (Ett tips: bekanta dig med hur man skaffar sig ett giltigt medgivande från sina användare). Var ditt cyberskydd lämpligt med tanke på hotet? Det blir också frågor om din nät- och informationssäkerhet, fysisk säkerhet och din förmåga och vilja att uppfylla dina åtaganden utöver användarnas personliga integritet, såsom SLA och företagshemligheter.

 

Myt 3: Att efterleva reglerna förhindrar brott

Lagstiftare vet att ingen lag på ett mirakulöst sätt kommer att sätta stopp för brottslig verksamhet. Inte heller kommer GDPR uppmuntra alla företag att förvandlas till cybersäkerhetsproffs. Snarare syftar GDPR till att höja lägstanivån när det gäller säkerhet och integritetsskydd över hela linjen. Och medan minimiskydd bidrar till att motverka oavsiktliga läckor och förhindra att varje missöde eskalerar till fullt utvecklat kaos, kommer de att göra lite för att hindra brottslingar eller hämma dem.

De som vill dig illa kommer att fortsätta försöka göra intrång i din verksamhet. De vet att du har gjort några minimala förbättringar på förutsägbara ställen. Så om du måste efterleva säkerhetsfrämjande reglering, varför inte göra det med stil?

Nu har du möjlighet att göra bra cybersäkerhet till något som skiljer din verksamhet från mängden. Gör det med stolthet; När kunderna jämför tjänsteleverantörer och vill ha bevis för ett företags förmåga att leverera på efterlevnad av GDPR, kommer du höja dig över resten.

 

Myt 4: Europa i framkant kring reglering av brottsanmälan

Europeiska medier verkar behandla GDPR som en nyhet och något ovanligt jämfört med resten av världen. Så är inte fallet. Även om det inte finns någon federal lag i ämnet har 47 delstater i USA redan en notifieringsplikt. Det är därför det finns så många offentliga exempel på amerikanska säkerhetsöverträdelser. Det är inte för att amerikanska företag är ”sämre på cyber” än européerna – de är bara mer öppna och ärliga om sina missöden.

Vi kan med säkerhet anta att det under de kommande åren kommer att finnas gott om historier om europeiska företag som brutit mot reglerna. På alla 24 officiella språk som EU erkänner.

 

Myt 5: Fri kreditbevakning är ett botemedel till allt

På tal om Amerika, en speciell egenskap för överträdelseanmälningar i USA är att oavsett vad som faktiskt hände verkar de drabbade konsumenterna alltid erbjudas gratis kreditövervakningstjänster. Medan erbjudandet verkar mekaniskt till den grad att det nästan är komiskt, så finns det en logisk tanke bakom den.

Det mest sannolika missbruket av stulna personuppgifter är ekonomiskt bedrägeri genom att få kredit eller genom att köpa varor som skall betalas i månatliga avbetalningar. Offren för ett sådant brott står ofta inför en verklig risk att få försämrad kreditvärdighet. Att erbjuda att täcka kostnaden för övervakningstjänster under en begränsad tidsperiod gör att företag kan visa på ”vidtagna åtgärder” när man rapporterar händelsen till myndigheterna. Dessutom är det ett bekvämt sätt att minska risken för framtida stämningar från drabbade kunder.

I Europa har vi skrattat åt detta agerande. Det är precis vad du skulle föreställa dig att en uttråkad präst skulle ge ut som botgöring för den femtielfte syndaren den dagen: ”Ge mig tio Ave Marias och du är fri att gå, min son!”. Det återstår att se vad den Europeiska motsvarigheten till cyber-Ave Marias blir när GDPR träder i kraft. Några förslag?

 

Myt 6: Cyberbrottslighet är som en naturkraft, ingenting kommer att stoppa dig från att bli hackad

På RSA-konferensen 2012 sade den dåvarande FBI-chefen, Robert S. Mueller III, att uppdelningen i framtiden kommer att vara mellan företag som har hackats och företag som kommer att bli hackade igen. Hans kommentarer reflekterade vad incidenter och brottsbekämpande myndigheterna redan hade sett i praktiken: vad som skiljer vinnare och förlorare i IT-säkerhet är hur organisationerna förbereder sig för det oundvikliga intrånget.

Det kommer ske intrångsförsök. Det är troligt att angriparna kommer att lyckas en dag, på något sätt. Din cybersäkerhetshållning kommer att bedömas av hur väl du lär av missöden och nära tillbud och vad du gör för att upprätthålla ditt skydd.

Endast genom noggrann analys av varje incident och av varje försök till intrång kan man avgöra vilka säkerhetsåtgärder som faktiskt fungerade, och vilka hål man lämnade till angriparen att utnyttja. De som faller offer för angrepp erbjuds en värdefull läxa – det skulle vara klokt att göra den. De som klarar sig allra bäst är dock de som lär sig av andras missöden också.

 

Myt 7: Du kommer att veta när ditt företag har drabbats av ett intrång

Efter maj 2018, när GDPR har trätt i kraft, kommer det fortfarande att vara helt okej att fortsätta att bygga upp en elasticitet mot cyberhot och bygga upp dina system i uppdelade miljöer eller silos i ett försök att begränsa de troliga skadorna. Vad som dock inte kommer att tolereras, är att inte veta när ditt säkerhetsskydd har misslyckats.

Det är vanligt att intrång går obemärkt förbi under längre tidsperioder, men under GDPR kommer många chefer att upptäcka att okunnighet inte är en giltig ursäkt. I samma anda som direktör Muellers uttalande från 2012 (se Myt 6) kommer den stora skiljelinjen i Europa efter GDPR att vara mellan dem som har haft intrång och de som har haft intrång men inte har någon aning om det.

Att ha en pålitlig och effektiv intrångsdetektering och svarssystem på plats kommer att vara mycket viktigt när GDPR träder i kraft. Rekommendationen är ett system som kombinerar människa och maskinintelligens. Ett sådant system kommer att minimera ”falska positiva”, så att de faktiska händelser som kräver din uppmärksamhet inte blir begravda. Många företag upptäcker att en managed services-lösning är rätt väg att gå, eftersom att det är det snabbaste och mest kostnadseffektiva sättet att komma igång, tillsammans med dedikerad cyberexpertis.

 

Myt 8: Du kommer veta vad du ska göra när ditt företag drabbats

Många års erfarenhet från incidenthantering och kriminaltekniska undersökningar av specialister från F-Secure har visat att många organisationer är dåligt förberedda för att hantera ett intrång. Deras förmåga att upptäcka något annat än malware-baserade attacker är underutvecklad, loggar saknas helt eller är i ett icke-hanterbart tillstånd, och personalen är outbildad eller oerfaren.

De flesta som utsätts för ett brott för första gången kommer att improvisera en motaktion och ta förhastade beslut som antingen förstör eller förändrar bevisen och som därmed slutar med att de skadar verksamheten än mer. Vad värre är, om attackeraren är bra på vad de gör kommer alla ansträngningar för att svara på incidenten att vara verkningslösa då inkräktaren helt enkelt kommer att sluta, sopa igen sina spår och sticka ut genom samma dörr som de kom.

Den nya dataskyddsförordningen kommer att kräva att företag låter tillsynsmyndigheterna känna till vilka åtgärder de planerar att sätta in och hur dessa åtgärder kommer att ta itu med problemet. Företag som inte vet vad de sysslar med kommer att sticka ut under granskning. Myndigheterna, deras kunder och media kommer alla att ifrågasätta relevansen och effektiviteten av varje åtgärd som vidtas efter ett intrång. Därför gäller det att planera för det värsta redan nu.

 

Myt 9: Du vet vilka incidenter som ska offentliggöras

Det faktum att GDPR är en förordning, inte ett direktiv, innebär att det kommer att vara EU-tjänstemän som står som verkställare. Medlemsstaterna kan inte tolka förordningen lokalt, utan måste följa paneuropeiska riktlinjer. I detta skede kan ingen i Europa definiera vad tröskelvärdena för anmälningar kommer att bli.

Med tanke på denna situation kommer ditt bästa försvar vara att bygga upp en baslinje av de typer av incidenter som organisationen står inför och utveckla dina egna definitioner. Om du vid ett senare tillfälle ställs inför myndigheter som inte håller med dig om vilka händelser som måste rapporteras, har du redan utvecklat en känsla för vad som utgör en allvarlig incident och du kommer att vara bättre förberedd på att argumentera för din sak.

Det finns naturligtvis situationer där myndigheterna har blivit tipsade om en överträdelse och begär ut information kring detta. I sådana fall kommer de att vilja ha en förklaring till varför de inte informerades på eget initiativ av ditt företag.

 

Myt 10: GDPR kommer att bli en ”one-stop-shop”-reglering i Europa

GDPR marknadsfördes som en enda uppsättning EU-regler. I praktiken kommer detta inte vara fallet.

För ett multinationellt företag måste GDPR konsulteras parallellt med nationella implementeringar inom viktiga områden såsom informationsfrihet, undantag för information som erhållits för journalistiska och akademiska ändamål, yrkesliv, definitionen av en minderårig och så vidare.

Det kommer att bli ännu mer komplicerat om de kommande nationella implementeringarna av NIS-direktivet kommer att medföra krav på brottsanmälan som inte är kompatibla med GDPR. Ovanpå det har vissa branscher redan existerande (och självklart inkompatibla) krav för intrångsmeddelanden. Dessa inkluderar telekommunikation, finansiella tjänster, vård och omsorg och livsmedelssäkerhet.

 

Det här är det första inlägget i en serie av totalt fyra, där Erka Koivunen tittar närmare på GDPR och hur det kommer att tvinga företag i Europa att se över sina processer för upptäckt och hantering av incidenter som intrång.

Bild: Thijs ter Haar, flickr.com


erkaErka Koivunen var tidigare chef för CERT-FI, Finlands Computer Emergency Response Team. Sedan 2015 arbetar han på F-Secure, idag är han säkerhetsrådgivare på företaget. Företag, myndigheter och flera andra organisationer konsulterar Erka om allt från riskbedömning till incidenthantering, och han har vid flera tillfällen agerat expertvittne åt EU-parlamentet och myndigheter ibland annat Finland och Storbritannien.


 


One thought on “10 myter om GDPR som varje företag borde ha koll på


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s