Hackerne kan spinde guld på EUs dataforordning

Synspunkt

Foto: Iris Fold sammen
Læs mere

25. maj 2018. Det er en dato, som hackere kigger frem mod på samme måde, som børn kigger frem mod juleaften. Her træder EUs dataforordning, GDPR, i kraft, og den giver hackere på jagt efter en økonomisk gevinst helt nye muligheder.

Jeg er fortaler for de nye skrappe krav til virksomheders omgang med data. Det skal der ikke herske tvivl om. Jeg er også fortaler for de betydelige straffe, en organisation kan få, hvis den ikke lever op til kravene om at sikre personkritiske data i systemer, databaser, dokumenter og mails .

Men vi er nødt til at forholde os til, at de astronomiske bøder på op til 150 millioner kroner eller fire procent af en organisations omsætning giver hackerne et stærkt trumfkort at spille i afpresningen af organisationer, hvor procedurerne ikke er på plads.

Det er ikke svært at forestille sig scenariet: En hackergruppe bliver bekendt med en databrist i en organisation enten ved selv at teste systemet for sprækker eller på baggrund af et tip fra andre hackere på »det mørke net«. De tænker, som enhver kvik tyv tænker: Hvor kan jeg få mest for min (hæler-)vare, som i dette tilfælde er viden.

Kort efter tikker en mail fra en hackergruppe ind i indboksen hos IT-chefen i en kommune eller virksomhed: »Vi ved, at der er en brist i jeres omgang med personkritiske data. Overfør til os en million dollar i bitcoin inden 72 timer, eller vi tipper myndighederne.«

Når bøderne for ikke at leve op til GDPR skal gøres op i millioner af kroner i stedet for tusinder, vil hackernes værktøjskasse få et betydeligt boost. Det samme vil løsesummerne. En organisations imagetab, mulige sagsanlæg og bøder skal dermed holdes op mod den løsesum, hackerne forlanger.

Vi skal indstille os på, at mange organisationer ikke vil være 100 procent klar fra 25. maj 2018. Dels er kravene omfattende og kan kræve helt nye IT-systemer og markant ændrede procedurer, dels bliver de sidste vejledninger til lovgivningen først præsenteret i begyndelsen af det nye år. Og så er der det issue, at mange er kommet for sent ud af starthullerne.

Skal vi undlade at give hackerne endnu et ransomware-kort på hånden, er vi nødt til at finde den rette balance mellem kom­pro­mis­løs håndhævelse af datasjusk og en mere tilgivende tilgang. Jeg kunne godt se en model a la »Three Strikes and You’re Out«, hvor håndhævelsen er hård, men hvor fælden ikke klapper ved første forseelse. Eller en smiley-ordning med hårde sank­tions­muligheder ved gentagne overtrædelser.

Det er op til det enkelte lands myndigheder, hvordan man vil fortolke EU-reglerne. Om man vil stange gigantbøder, der kan tage livet af virksomheder, ud fra første fløjt eller gå lidt mere konstruktivt til værks med den positive sidegevinst, at vi ikke giver hackerne et nyt våben.