Samtlige krav og regler, både på nationalt og EU-plan, er overholdt, men det er falsk tryghed. For de regulativer, der skal beskytte vores data mod hackere er udarbejdet efter laveste fællesnævner i stedet for højeste standard. Det er ikke godt nok, hvis man skal føle sig sikret imod cyberkriminalitet.
Der findes ikke en egentlig it-sikkerhedslovgivning med det formål at beskytte virksomheder (eller individer) mod cyberangreb. Det eneste, vi har, er GDPR-regelsættet, som dels er udarbejdet med persondatasikring for øje og dels ud fra de samme principper, der allerede gjorde sig gældende med Persondataloven, udarbejdet tilbage i 1990’erne.
I september sidste år blev mærkningsordningen for it-sikkerhed, D-mærket, lanceret. Men det er helt frivilligt, om man som virksomhed vil gennemgå processen på vej mod digital ansvarlighed med udgangspunkt i ”anerkendte rammeværker fra europæiske og nationale råd, udvalg og arbejdsgrupper” (d-maerket.dk). Så heller ikke noget krav.
Med andre ord er virksomhederne overladt til sig selv og specialiserede konsulenthuse, når de skal lægge sig fast på en it-sikkerhedspolitik med tilhørende budget. Det beror på en individuel risikovurdering, om virksomheden føler sig udsat og kan forestille sig, nærmest mærke, konsekvensen af at blive ramt. De fleste stiller sig tilfreds med de gængse tiltag – så har de gjort noget. ”Det sker jo ikke for os”.
Jo, det gør det, og måske har en hacker allerede fundet vej ind i deres systemer, de ved det bare ikke endnu.
En nært forestående trussel
Cyberangreb er et stærkt stigende problem, de it-kriminelle bliver smartere og smartere, og vi ser i øjeblikket en tendens til en reel organisering – eller måske ligefrem konsolidering – inden for cyberkriminalitet, hvor etablerede kriminelle organisationer som fx den italienske mafia slår sig sammen med ”amatør”-hackerne. Det bliver truslen ikke mindre af.
Under alle omstændigheder er omkostningerne tårnhøje, og det kan tage år at udbedre skaderne efter et angreb. Men på trods af omfattende debat og mediedækning, så tager vi ikke it-sikkerhed alvorligt nok, baren sættes lavt, og det halter med implementering og kontrol.
For vi bliver ikke tvunget til handling og opfølgning, før skaden er sket. Så gør vi noget, men ikke nok – og ikke kontinuerligt.
Vi mener, at det er på tide med mere lovgivning og løbende kontrol på området – med differentierede krav til forskellige typer af virksomheder, der tager højde for kritisk domæne og mere eller mindre alvorlige konsekvenser af cyberangreb.
Er man fx forsyningsvirksomhed, vil det et cyberangreb også ramme borgerne hårdt. Ligesom efterretningsvirksomheder naturligvis ligger inde med meget følsomme data, og derfor bør efterleve meget høje krav til it-sikkerhed.
Men i dag er der faktisk kun to regulerende kræfter, der skubber virksomhederne i en tryg retning: de it-kriminelle, når de slår til, og forsikringspræmierne, der er på himmelflugt, fordi risikoen for at blive ramt af cyberangreb og følgeomkostningerne stiger.
Start med at slå GDPR- og it-sikkerhedsteamet sammen
Selvom GDPR-lovgivningen har nogle år på bagen, og set fra vores synspunkt godt kunne være strikket strammere sammen, ville et første godt træk være at angribe persondatabeskyttelse og generel databeskyttelse fra samme flanke.
Placér GDPR- og it-sikkerhedsfunktionen i samme organisatoriske enhed, så arbejdet med at beskytte persondata tænkes sammen med arbejdet med at beskytte virksomhedens data.
Mange af de standarder og regler, der skal efterleves i forhold til GDPR, giver også mening, når det handler om virksomhedsdata. Når man tænker GDPR og it-sikkerhed sammen, kan man opnå en masse synergier, fordi begge ledelsessystemer taler ind i mange af de samme eller nært beslægtede processer. Det giver netop muligheder for at optimere arbejdet med proceskortlægning og procedurer.
Men vi skal også derhen, hvor vi får et egentligt regelsæt for it-sikkerhed; hvor såvel hardware som software er underlagt høje standarder, der er sat ud fra nutidens trusselsbillede. Og det skal være et regelsæt, der er under regelmæssig revision, for de it-kriminelles job er at være et skridt foran.
It-sikkerhed og persondatabeskyttelse skal være en fast post i budgetterne, repræsenteret med høje krav og særlig vægtning i udbudsmaterialerne, så der er sat tid og penge af fra starten samt taget stilling til og højde for regelmæssige opgraderinger. Det er det, der skal til.
Det bør ikke være tilladt at være uansvarlig
Vi har længe været på en rejse, hvor vi har skullet opdage, at det er nødvendigt med høje krav til it-sikkerhed, men nu går den ikke længere, og vi kalder derfor på lovgivning, der ikke kun beskytter menneskerettigheder (persondata) og beskæftiger sig med at straffe de kriminelle, men også stiller krav til almen databeskyttelse. Det bør ikke være tilladt at være uansvarlig.
Vi har kun GDPR, og her halter det ovenikøbet bagefter med efterlevelsen i hverdagen og med udviklingen i forhold til markedet og de kriminelle. For det er komplekst og besværligt og kræver meget af os. Men faktum er, at databeskyttelse kræver en aktiv indsats hver dag, og at vi hele tiden følger med udviklingen og kontrollerer, at vi gør det godt nok. Og vi har brug for et juridisk benchmark for de forskellige brancher.
Ud over etablerede politikker og processer baseret på lovgivning drømmer vi her i afdelingen om et egentligt ledelsessystem, der kan give en rimelig sikkerhed for, at vi ikke havner i uføre.
