Annonce
Annonce

Datasikkerhed på tværs af lande

Et stadig større problem for danske virksomheder er, hvordan de håndterer informationsudveksling og databeskyttelse på tværs af landegrænserne.

Topbillede

Af Christian Wernberg-Tougaard, formand for it-sikkerhedsudvalget i IT-Branchen

At salgssystemet med ens kundedata f.eks. er placeret fysisk i Tyskland, mens forretningsdokumenterne ligger på en server i Irland, er hverdag for mange danske virksomheder.

Flere og flere virksomheder har nemlig allerede outsourcet hele eller dele af deres it-løsninger, og endnu flere planlægger at gøre det.
Data er ikke bundet af fysiske grænser, og derfor giver det god mening, at virksomhederne lægger de forskellige it-løsninger der, hvor man kan få den bedste løsning til den bedste pris.

Muligheden for at placere sine data og it-infrastruktur i andre lande er da også noget, danske firmaer har taget til sig. Ifølge IDC vil det danske marked for hosting services og cloud stige med ca. 744 millioner kr. på blot fem år - fra 4,66 milliarder i 2015 til 5,41 milliarder i 2020.
Udfordringen er, at virksomhederne i takt med, at deres it-infrastruktur fordeles over flere platforme og lande, mister overblikket over, hvor deres data reelt er placeret – og hvem der passer på dem.

It-kriminelle er vilde med landegrænser
Mens virksomheder måske mister overblikket, så er de kriminelle med helt forrest i bussen, når det handler om at arbejde på tværs af grænser. De har taget de teknologiske virkemidler til sig med lynets hast og anvender grænserne til både at forhindre opklaring og til at snyde og bedrage virksomhederne.
De cyberkriminelle, som er aktive i Danmark, bor ikke i Danmark. Vurderingen er, at 99% af alle angreb eller forsøg på snyd, kommer fra lande uden for Danmark endsige EU’s grænser. De kriminelle ved godt, at det er svært at forfølge og fange dem på tværs af grænser, og derfor går de helt bevidst efter andre lande end der, hvor de selv bor.

Tiden, hvor vi nemt kunne se, om vi var ved at blive snydt pga. dårligt skrevne ”danske” e-mails, er slut. Der bliver ikke bare skrevet på fejlfrit dansk, men beskederne ligner også helt officiel korrespondance fra en velkendt leverandør eller kunde. Det udnyttes blandt andet til de såkaldte ”CEO Fraud”, hvor en medarbejder i regnskabsafdelingen snydes til at tro, at man f.eks. ift. et virksomhedsopkøb har brug for en stor pengeoverførsel.
Der er rapporteret om millioner tabt på den konto. Og det er et ganske simpelt angreb, som udnytter kendskab til organisationen og den tillid til beskeder fra chefer, som medarbejdere har.

Men simple angreb kan heldigvis også bekæmpes med simple midler. Det bedste råd er at indføre flerledet godkendelse af større overførsler og ikke basere dem på e-mail alene. Hvis der anmodes om ændring af f.eks. et kontonummer hos en kunde, ja, så lad det gennemgå en lidt mere omstændelig proces med validering og telefonopkald.

Du skal vide, hvor dine data ligger
Sikring mod hackere og snyd, er dog ikke det eneste, man skal være bevidst om, når man sender data på tværs af grænser. Der er en ny databeskyttelseslov på vej. Den træder i kraft i alle EU lande 25. maj 2018.

Men det er NU og ikke i morgen, virksomhederne skal gå i gang med at vurdere, hvilken risiko de har, og hvilke interne processer, der måske skal ændres, så de lever op til kravene i den nye lovgivning.

Især hvis man har data uden for EU. For selvom der er vedtaget en ny ”Safe Harbour” aftale mellem USA og EU, er der stadig en række overvejelser, man skal gøre sig, hvis man placerer data udenfor EU.

Generelt er det vanskeligt for virksomhederne at vurdere, om risikoen er større eller mindre ved at placere data i Kina eller Sverige. Det bedste råd er at spørge it-kyndige rådgivere i det land, hvor man har tænkt sig at opbevare data om, hvad man skal være opmærksom på. Og huske at stille sikkerhedskrav til den virksomhed, der skal opbevare eller behandle ens data.

Ud over udfordringen med overhovedet at vide, hvor ens data er placeret, og hvordan de er sikret i dag, er det også en udfordring, at der endnu ikke er klarhed over, hvad der helt hånd- og nagelfast vil være konsekvensen af den vedtagne persondataforordning. Justitsministeriet er i øjeblikket er ved at udarbejde 100 notater om retsvirkningerne i Danmark – og så er der jo lige et tilsvarende arbejde i alle de andre EU lande. Men selvom de endelige detaljer ikke er på plads, er det bedste råd: Gå i gang nu!