Varför det nya dataskyddsdirektivet är en nödvändighet och en självklarhet

Erka Koivunen, F-Secures rådgivare inom cybersäkerhet, går igenom nya dataskyddsförordningen ur ett teknisk och affärsmässigt perspektiv.

Författare: Christer Spörndly
Datum: 19.05.2016
Lästid: 4 Minuter

Nyligen höll F-Secure ett seminarium där vi gick igenom det dataskyddsdirektiv som kommer att införas via EU-rätten i början av 2018. Vi har tidigare gått igenom det legala perspektivet genom en sammanfattning av vad Viktoria Wastensson från advokatbyrån Lindahl hade att presentera under förmiddagen. Efter Viktoria fick vi lyssna på Erka Koivunen som är Cyber Security Advisor på F-Secure.

Erka har lång erfarenhet av området. I tidigare positioner har han arbetat såväl på operatörssidan som myndighetssidan med just incidentrapportering. Han vet vad som krävs, men också vilka fördelar en tydlig incidentrapportering ger för såväl det egna företaget som för säkerhetsläget i allmänhet. Vi har ställt ett antal följdfrågor till Erka efter hans presentation, som går att se i sin helhet här.

Är de nya reglerna bra eller dåliga?

Absolut bra. Och det för alla oavsett om man är företag, privatperson eller myndighet. Rapporteringskraven kommer att föra med sig två huvudsakliga effekter där den ena är att vi alla kommer att få en bättre förståelse och inblick i vilka typer av cyberhot som faktiskt finns därute och dels att det kommer ske en självreglering av vilken data som samlas om användarna.

Vet inte ni som säkerhetsföretag redan vilka hot som finns därute?

Det vet vi ju förstås i stora drag, i alla fall teoretiskt. I praktiken vet vi dock att de allra flesta incidenterna inte rapporteras vilket innebär att vi faktiskt inte fullt ut vet exakt vilka typer av sårbarheter som är de som används oftast. Vi vet vad som stoppas, men inte vad som kommer igenom skydden. Med incidentrapportering kommer vi alla att få en fantastisk ny inblick och kunskap över var vi behöver sätta in mer resurser och skyddsåtgärder.

Du säger också att mängden personlig information som lagras kommer att minska, varför tror du det?

Det är en enkel följd av att man får ett större ansvar för den data man lagrar och att det blir risk för dyra straffavgifter om man inte följer reglerna. Vi lär se att man begränsar den mängd data man tar in till det absolut mest nödvändiga samt även att man rensar den information man tar in från personliga uppgifter, alltså mer anonymisering än vad som sker idag. Ledordet man bör komma ihåg är att data som inte samlas in kan inte missutnyttjas.

Kommer inte incidentrapporteringen även ge cyberbrottslingar bättre insikt i vilka sårbarheter som finns där ute?

Självklart, men det är inte utmaningen vi behöver oroa oss för. I dagsläget ser vi alla hot som finns där ute och vi har även en rätt klar bild av vilka det är som står för hoten. Däremot har det som sagt traditionellt sett varit svårt att se exakt hur verkligheten ser ut. Vi vet i teorin vilka sårbarheter som utnyttjas, men nu kommer vi få svart på vitt vilka de är i större utsträckning. I slutändan blir det en säkrare tillvaro för alla.

Vad är de största utmaningarna för företagen?

Det är tre huvudsakliga utmaningar som jag ser det. Först och främst handlar det om att hitta struktur och process för att kunna såväl förebygga som faktiskt upptäcka intrång. Det kräver en hel del personal och kunskap. För det andra krävs ett delvis nytt tänk kring hur man hanterar upptäckta intrång. Vi lär få se en hel del säkerhetsbrister som vi tidigare varit helt ovetande om. För det tredje gäller det att hitta rätt balans mellan rapporteringskraven och vad man själv vill tala om. Vi vet inte ännu exakt hur kraven kommer att se ut på rapporteringssidan, men vi vet med säkerhet att det kommer finnas en hel del information företagen inte vill dela med sig av.

Vad kommer detta kosta företagen?

Egentligen är det en fel ställd fråga. Detta är inte en kostnadsfråga utan mer en fråga om företagets rätt att få existera framöver. Det är en nödvändig, och i ärlighetens namn positiv, utveckling man måste förhålla sig till. Det är kanske ett slitet uttryck, men man måste se det som en investering att anpassa sig till reglerna.

Vad är de största möjligheterna för företagen?

I slutändan kommer de här reglerna hjälpa till att rensa ut oseriösa aktörer och konkurrenter som inte följer reglerna. Det handlar om att bygga ett förtroende mellan kunder, användare och företag. De som tar reglerna på allvar kommer kunna erbjuda mer och de kommer att vara trovärdiga.

Reglerna är ju till för att skydda individer – vad är deras största vinst i reglerna?

Mycket mer än de flesta lär inse och förstå. Vi har slagit fast sedan länge att det inte längre finns någon integritet på nätet. Det är en sanning att förhålla sig till. Med den bakgrunden kan man säga att dessa regler är en infrastruktur-lösning på just integritetsproblem. Ett regelverk som ställer vissa gränser på hur data får hanteras för att minimera riskerna.

Få tillgång till presentation genom att fylla i dina uppgifter nedan.

 

 

 


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s