Der går næsten ikke en uge, uden at der er et databrud i overskrifterne. Cyberkriminelle har normaliseret phishing, og det resulterer i store mængder stjålne data.
En ny rapport fra sikkerhedsorganisationen ISACA viser, at mindre end en fjerdedel af de britiske forbrugere mener, at virksomhederne beskytter deres personlige data. Rapporten påpeger også de reelle konsekvenser af datatab, idet næsten halvdelen af forbrugerne siger, at de ikke længere vil handle med en virksomhed, der har været udsat for et databrud.
Tabte data betyder tabte kunder, store bøder og skade på omdømme. Det er vigtigt at vide, hvordan man håndterer et databrud, når det sker.
Her er vores bedste råd til at håndtere et databrud.
Personlige oplysninger og databeskyttelse
Personoplysninger er alt, der kan bruges til at identificere en person. F.eks. navn, adresse, alder, e-mail-adresse, telefonnummer osv. Disse data er som guldstøv for cyberkriminelle og er i fare ved simpel eksponering ved et uheld.
Personoplysninger skal beskyttes i henhold til forskellige bestemmelser om databeskyttelse og privatlivets fred. For eksempel beskriver den britiske databeskyttelseslov fra 2018 (DPA2018) databeskyttelsesreglerne for at sikre, at personoplysninger er sikre. De grundlæggende principper i DPA2018 er, at data skal være:
- anvendes på en retfærdig, lovlig og gennemsigtig måde
- anvendes til bestemte, udtrykkelige formål
- anvendes på en måde, der er hensigtsmæssig, relevant og begrænset til det nødvendige
- nøjagtige og, om nødvendigt, ajourførte
- ikke opbevares i længere tid end nødvendigt
- håndteres på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod ulovlig eller uautoriseret behandling, adgang, tab, ødelæggelse eller beskadigelse
DPA 2018 sammenlignes nogle gange med EU's GDPR. Som sådan omtales DPA2018 også som UK GDPR. Der er nogle forskelle mellem DPA 2018/UK GDPR og EU GDPR, f.eks. er behandlingen af kriminelle data mindre streng i Storbritannien. Også legitime grunde til profilering er mindre strenge i Storbritannien end i EU.
Begge kræver dog, at personoplysninger beskyttes, og at visse betingelser skal opfyldes efter en overtrædelse, hvis der sker en overtrædelse. Dette omfatter regler om anmeldelse af brud og potentielle bøder for manglende overholdelse.
Hvordan opstår et databrud?
Uanset hvor data oprettes, opbevares, deles eller anvendes, er de i risiko for at blive stjålet eller utilsigtet afsløret. En række forskellige cybertrusler forårsager databrud, bl.a:
- Phishing - svindlere stjæler data direkte ved hjælp af ondsindede websteder. Alternativt bruger cyberkriminelle spear phishing til at stjæle loginoplysninger. Disse legitimationsoplysninger bruges derefter til at få adgang til virksomhedens netværk og apps. Selv personaleoplysninger uden privilegier kan føre til databasehacks og massive databrud.
- Social engineering - cyberkriminelle narrer medarbejdere til at udlevere personlige data, som de derefter bruger til at begå yderligere forbrydelser. Svindlere bruger mange medier til at udføre social engineering, herunder telefonopkald og sociale medier. Disse angreb kan i sidste ende føre til mere omfattende databrud.
- Fejlkonfigurerede webkomponenter - simple konfigurationsfejl kan gøre webservere og databaser åbne for hackere.
- Sårbarheder i software - fejl i softwarekode kan gøre databaser, webservere og anden software sårbare over for angreb. Ofte bruges softwaresårbarheder sammen med andre angrebsvektorer, f.eks. phishing, til at installere malware, f.eks. ransomware. Dette fører så til mere omfattende databrud.
- Malware-infektion - alle ovenstående teknikker og taktikker kan resultere i malware-infektion. Malware kan f.eks. føre til, at data bliver sendt tilbage til en cyberkriminel, der venter på at sætte dem til salg på en dark web-markedsplads. Eller det kan føre til en ransomware-infektion. Ofte stjæler ransomware data, før den krypteres og forsøger at afpresse dem.
- Utilsigtede brud på datasikkerheden - personlige data er ikke kun i fare fra cyberkriminelle. Utilsigtet dataeksponering er en form for databrud, der kan opstå som følge af simple fejl og uforsigtige handlinger.
Rapporten The Cost of a Data Breach 2022 fra IBM viste, at:
- De vigtigste angrebsvektorer, der forårsager databrud: stjålne eller kompromitterede legitimationsoplysninger (19 % af bruddene), phishing (16 % af bruddene) og fejlkonfigurering af skyen (15 % af bruddene). Alle disse vektorer kan skyldes menneskelige fejl, f.eks. hvis en medarbejder ikke er klar over, at han/hun er blevet phishing-beskyttet, og klikker på et ondsindet link, der fører til stjålne legitimationsoplysninger.
Lignende tal stammer fra Verizons rapport om undersøgelse af databrud i 2022:
- 82 % af alle brud på sikkerheden involverer et menneske, der f.eks. klikker på et phishing-link på et tidspunkt i angrebet.
- 62 % af databrud anvender leverandører i forsyningskæden i forbindelse med databrud. Igen brugte angriberne social engineering-taktik til at ramme tredjepartsleverandører og angribe virksomheder længere oppe i kæden.
Den skade, som hackere kan gøre
Svindlere bruger personlige oplysninger til at begå en række forskellige former for cyberkriminalitet. F.eks. identitetstyveri: Det Forenede Kongeriges CIFAS National Fraud Database registrerede en stigning på 11 % i identitetstyveri i første halvår af 2021. CIFAS har desuden set en endnu større vækst i 2022, hvor antallet af identitetstyverier er steget med en tredjedel i forhold til tallene for 2021.
Identitetstyveri fører til økonomiske tab for enkeltpersoner og virksomheder, der har at gøre med den svindler, der står bag den stjålne identitet. Som sådan mister britiske virksomheder og enkeltpersoner omkring 4 mia. pund om året på grund af identitetsrelateret svindel.
Rapporten Cost of Data Breaches (Omkostningerne ved databrud) indeholder dokumentation for konsekvenserne af et databrud:
- Den gennemsnitlige omkostning for et databrud i 2022 var 4,2 millioner dollars (3,8 millioner pund)
Omkostningerne ved et brud på datasikkerheden omfatter:
- Udgifter til udbedring af direkte skader på it-systemer
- Skade på omdømme
- Bøder for manglende overholdelse af lovgivningen
- Skader til kunderne; ofte kan databrud føre til gruppesøgsmål
- Fyring af personale og moralproblemer
- Potentiel læk af intellektuel ejendom eller virksomhedshemmeligheder.
Hvad skal du gøre i tilfælde af et databrud?
Enhver organisation, der rammes af et databrud, skal have en solid plan for at afbøde konsekvenserne. Her er nogle idéer og tips til, hvordan man håndterer et databrud:
Forbliv rolig
Der er sket et brud på persondatasikkerheden: Det er afgørende at håndtere situationen for at begrænse hændelsen og minimere konsekvenserne. Bevar roen, og arbejd dig igennem problemerne.
Vurder skaden
Undersøgelsen af hændelsen er en tidskritisk opgave. Du skal underrette myndighederne, hvis bruddet opfylder de kriterier, der kræves for at gøre det til et anmeldelsespligtigt brud. I Storbritannien skal Information Commissioner's Office (ICO) f.eks. informeres inden for 72 timer efter, at et databrud er blevet opdaget.
Undersøg hændelsen
Registrer alle fakta om hændelsen, efterhånden som du finder dem. Det er vigtigt, at du registrerer begivenhederne og medtager skaderne. Denne logbog kan bruges som bevismateriale, hvis sagen ender i retten.
Inddæmme bruddet
Du kan udvikle en strategi til begrænsning af bruddet, mens du vurderer skaden og registrerer, hvad der er sket. Inddæmningsforanstaltninger afhænger af, hvilken type hændelse der er sket. Et ransomware-angreb vil f.eks. kræve mere tekniske inddæmningsforanstaltninger end en fejlagtig levering af en e-mail med kundedata. Det bør nøje beskrives i en sikkerhedspolitik, hvilke foranstaltninger der skal træffes for at begrænse de forskellige typer hændelser.
Vurdering af risikoen
Vurder, hvor skadelig databruddet var for de involverede. Er der f.eks. risiko for identitetstyveri, eller kan nogen risikere at komme fysisk til skade? Hvis du forstår risikoniveauet, kan du hjælpe din virksomhed med at finde en passende reaktion.
Reagere på hændelsen
Reaktionen på et cyberangreb har mange lag. Det omfatter håndtering af eftervirkningerne af tabet af personoplysninger set fra de berørte personers synspunkt. Det betyder også, at din organisation skal revurdere sin sikkerhedstilstand. Se på, hvor de eksisterende foranstaltninger har fejlet. Har du brug for mere regelmæssig træning i sikkerhedsbevidsthed? Bruger du kryptering på passende vis? En velovervejet reaktion vil se på hele hændelseskæden i forbindelse med hændelsen, så du kan stramme din virksomheds sikkerhed.
Foranstaltninger, der hjælper i forbindelse med en reaktion på databrud
Et brud på datasikkerheden kan forårsage umådelig stor skade på en organisation. Som nævnt ovenfor er det imidlertid den menneskelige faktor i den kæde af begivenheder, der fører til et databrud, der er det sted, hvor der kan ske reelle ændringer.
Resultaterne fra ISACA-rapporten viser, at sikkerhedsuddannelse er effektiv. Rapporten viser, at 80 % af organisationerne siger, at uddannelse i sikkerhedsbevidsthed har en positiv indvirkning på medarbejdernes bevidsthed.
Ved at bruge uddannelse af personalet i sikkerhedsoplysning som en grundlæggende foranstaltning i kampen mod cyberangreb kan en organisation forebygge dem. Ved at tilføje foranstaltninger som f.eks. datakryptering og robust autentificering til denne sikkerhedsuddannelse bliver det langt mindre sandsynligt, at der sker et ondsindet eller utilsigtet databrud.
