Statistikken over databrud giver nøgtern læsning: Hvis du læser denne blog regelmæssigt, vil du have bemærket, at databrud er almindelige og ofte starter med et social engineering-angreb suppleret med phishing.
I 2021 registrerede Cisco, at 90 % af databrud begynder med phishing, og at de fleste af disse brud er baseret på målrettet spear-phishing. Et cyberangreb eller endog et uheld, der fører til datatab, har mange konsekvenser. Men hvad sker der, efter at et databrud er sket? Nogen skal normalt tage ejerskab for at lade døren stå åben for cyberkriminelle, så hvem bærer ansvaret, når data er blevet krænket?
De personer, der er involveret i et brud på datasikkerheden
Et brud på datasikkerheden har en vidtrækkende indvirkning på organisationens medarbejdere. Et cyberangreb berører selve hjertet af en virksomhed, lige fra topcheferne til de ansatte på gulvet:
Den administrerende direktør
En administrerende direktør spiller en afgørende rolle for, hvordan cybersikkerhed opfattes i organisationen. En sikkerhedskultur kommer fra toppen og nedad, og et brud på datasikkerheden afspejler en sprække i denne kultur. CEO'er er også i cyberkriminelles søgelys, idet svindelnumre som CEO-svindel og Business Email Compromise (CEO) bruger CEO's autoritet til at begå svindel.
Analytikeren Gartner opsummerer situationen ved at forudsige, at 75 % af CEO'erne i 2024 kan være personligt ansvarlige for brud på cyberfysiske data, hvis deres virksomhed ikke fokuserer på eller investerer tilstrækkeligt i cybersikkerhed. Når et databrud opstår, skal en CEO være klar til at håndtere situationen og afbøde dens indvirkning på virksomheden.
Sikkerhedschefen eller CISO (Chief Information Security Officer)
Sikkerhedschefen er den oplagte første kontaktperson, når noget sikkerhedsrelateret går galt. I en Tripwire-undersøgelse ville 21 % af it-beslutningstagere give CISO'en skylden for et sikkerhedsbrud. Dette er næppe overraskende, da CISO's job omfatter beslutningstagning om bedste sikkerhedspraksis og tilsyn med håndhævelsen heraf.
Så når der sker et databrud, vil CISO'en eller sikkerhedschefen være den, der er på stedet for at samle stumperne op sammen med sit team.
Sikkerheds- eller it-holdet
It- eller sikkerhedsteammedlemmer er på forkant med et databrud sammen med deres ledere. Det er deres opgave at identificere og reagere på et databrud. Dette gøres enten internt eller af en tredjepartsudbyder af administrerede sikkerhedstjenester. Det kan dog tage lang tid at identificere et brud på datasikkerheden.
En IBM-undersøgelse viste f.eks., at det i gennemsnit tager 212 dage at opdage et brud og 75 dage at inddæmme det. Det indebærer meget arbejde for it- og sikkerhedspersonalet og tager dem væk fra arbejdet med kerneprojekter.
Compliance Officer
Den complianceansvarlige er under et enormt pres efter et databrud. Det er deres opgave at sikre, at reglerne overholdes efter bruddet. Det betyder, at de skal tage kontakt til den tilsynsførende for at underrette dem om dataovertrædelsesmetrikken. Afhængigt af brudets konsekvenser og loven kan dette være inden for 24 timer efter opdagelsen af et brud.
Compliance-ansvarlige skal også håndtere de vidtrækkende konsekvenser af et brud, herunder håndtering af kunde- og pressemeddelelser. Endelig er det compliance officerens opgave at samarbejde med CISO'en og andre om at rette op på den situation, der forårsagede databruddet, for at forhindre, at det gentager sig.
Markedsføring og PR
Markedsføring kan synes helt uden for en reaktion på databrud, men markedsføring og PR skal i stigende grad spille en rolle. Forlegenhed og skadelig eksponering af mærket er ofte en konsekvens af et brud på datasikkerheden.
En rapport om de finansielle omkostninger ved et cyberangreb viste, at 71 % af CMO'erne var overbevist om, at den højeste omkostning ved en sikkerhedshændelse var tabet af brandværdi. Endvidere viste en undersøgelse fra Okta og YouGov, at 39 % af de britiske medarbejdere har mistet tilliden til en virksomhed, der har misbrugt deres data.
Tilliden er brudt, når der sker et brud på datasikkerheden. Dette påvirker en virksomheds markedsføring og PR i væsentlig grad. Marketingfolkene i en organisation skal arbejde på at løse konsekvenserne af et databrud for organisationens brand.
Medarbejdere
Det direkte ansvar for forebyggelse og eftervirkningerne af et brud på datasikkerheden kan ligge hos den øverste ledelse. Medarbejderne er dog også berørt: fra faldende moral til øget stressniveau og disciplinære foranstaltninger i forbindelse med utilsigtet dataeksponering er medarbejderne en del af det bredere ansvarsspektrum i forbindelse med et brud på datasikkerheden. Derfor skal medarbejderne være en del af en generel sikkerhedskultur, der giver dem mulighed for at få indflydelse.
Konsekvenser af databrud i det virkelige liv
Konsekvenserne af et databrud omfatter ikke kun økonomiske konsekvenser; medarbejderne påvirkes materielt og mister ofte deres job, og nogle kan endda ende i fængsel. En rapport fra Shred-IT fra 2018 viste for eksempel, at 30 % af de britiske virksomheder, der har været udsat for et databrud, opsagde en medarbejders kontrakt på grund af uagtsomhed.
Nogle eksempler på nylige databrud, der viser de vidtrækkende konsekvenser for en organisation, og hvem der ender med at bære skylden, er bl.a:
Uber: Biludlejningsfirmaet blev ramt af et databrud i 2016, som berørte 57 millioner kunder. Ubers sikkerhedschef (Joe Sullivan) undlod dog at oplyse om bruddet. I stedet bad sikkerhedschefen angiveligt sine medarbejdere om at holde viden om bruddet "strengt kontrolleret" og præsentere hændelsen som en del af et bug bounty-program. Sullivan gik endda så langt som til at betale hackerne 100.000 dollars som en del af "bug bounty"-programmet, idet hackerne indvilligede i at underskrive aftaler om tavshedspligt som en del af aftalen.
Resultatet af alle disse kneb har været ødelæggende for både Uber og sikkerhedschefen. Sullivan blev for nylig fundet skyldig i at have undladt at oplyse om bruddet og risikerer maksimalt fem års fængsel for obstruktion og tre års fængsel for en anklage for misbrug. Hvad angår Uber, blev virksomheden i 2018 idømt en bøde på 148 millioner dollars (130 millioner pund).
DWP (Department for Work and Pensions): tilbage i 2010 blev 26 medarbejdere fyret for at "snage i personlige data". Oplysningerne var gemt i DWP's kundeinformationssystem (CIS). Problemerne blev bebrejdet en "slap sikkerhedsordning" med dårlige procedurer for opfølgning på meddelelser og advarsler.
Singhealth: Et databrud hos Singhealth i 2018 berørte 1,5 millioner patienter. Som følge heraf blev to medarbejdere, Citrix-teamlederen og lederen af sikkerhedshændelsesresponsen, fundet uagtsomme og blev derfor fyret. Der blev også udstedt personlige bøder til fem ledende medarbejdere i den øverste ledelse, herunder den administrerende direktør.
Sådan undgår du de personlige konsekvenser af et brud på datasikkerheden
Data er alles sag, og datasikkerhed bør være en integreret del af din sikkerhedsstrategi. Dette kan opnås, hvis en virksomhed arbejder på at udvikle en sikkerhedskultur, som gennemsyrer hele organisationen. Som det fremgår her, deler vi alle konsekvenserne af et brud på datasikkerheden.
Disse konsekvenser kan dog kontrolleres ved at skabe en sikkerhedskultur, hvor alle i organisationen får undervisning i, hvordan cyberkriminelle opererer, hvordan de bidrager til at beskytte data, og hvordan man opdager phishing-forsøg.
