Tre pointer fra ugen der gik: Her er dine argumenter til et højere it-sikkerhedsbudget, it-sikkerheden er dit eget ansvar og du kan godt få en GDPR-bøde, men der en lav risiko

En begivenhedsrig uge er ovre i den danske it-branche. Vi har samlet de tre vigtigste pointer fra ugen der gik, som du kan tage med dig ind i næste.

1. Her er dine argumenter til et højere it-sikkerhedsbudget
Bruger du nok penge på din it-sikkerhed? 

Et tilpas svært spørgsmål at svare nøgternt på. For hvad er nok? 

En ting bør dog stå helt tydeligt, når du næste gang skal argumentere for, at din virksomheds budget til it-sikkerheden skal forhøjes. Hackerangreb, sikkerhedshuller og GDPR-bøder er ikke et konstrueret fantasibillede fra it-sikkerhedssektoren.

Lad os kaste et blik på blot nogle de markante begivenheder i løbet af det seneste halve år.

I august fik hackere adgang til hundredvis af Tivoli-gæsters nanve, adresser og telefonnumre. 

Efterfølgende melder Tivoli angrebet til Center for Cybersikkerhed, der dog aldrig finder frem til de skyldige bag angrebet.

Læs mere: Tivoli blev ramt af hacker-angreb i august: Her er årsagen

3. september måtte Demant lukke for flere centrale it-systemer efter at være blevet ramt af hackerangreb. 

Forventet pris? Over en halv milliard kroner.

Læs også: Demant forventer først at være i fuld drift midt i oktober - mere end seks uger efter hacker-angreb

Senere i oktober blev den Sønderborg-baserede og tyskejede virksomhed Pilz på grund af et omfattende ransomware-angreb tunget til at lukke for adgangen til selskabets netværk. 

I denne uge kom det så frem, at GlobalConnect er blevet ramt af et omfattende cyberangreb. 

De første analyser peger på, at er der med stor sandsynlighed er tale om et ransomware-angreb. 

Læs mere: GlobalConnect-direktør om hacker-angreb i weekenden: "Det er med 99 procents sikkerhed et ransomware-angreb" - sådan er selskabet blevet ramt

Når diskussionen på dit næste budgetmøde i en sidemærkning berører virksomhedens it-sikkerhed bør du altså have nok ammunition. 

Er det ikke nok, kan du i stedet overveje at argumentere for i det mindste at tegne en såkaldt cyberforsikring. 

Det kan du læse mere om her: Danske virksomheder fravælger cyberforsikringer: “Mange tænker, at det ikke rammer mig”

2. It-sikkerheden er dit ansvar
Lad vær med at tro, at andre sikrer de ydre digitale grænsemure. Det er i sidste ende dit eget ansvar.

I ugens løb kunne vi eksempelvis fortælle, hvordan en dansker har fundet et potentielt sikkerhedshul i Microsofts så populære Office 365. 

Hullet giver mulighed for, at alle brugere kan give rettigheder til SharePoint, OneDrive og Outlook data uden at taste password.

Computerworld har forsøgt at få en kommentar fra Microsoft Danmark, men selskabet vil ikke stille op til interview eller svare på spørgsmål om problemet.

Selskabet afviser dog, at der er tale om et sikkerhedsproblem eller, at Office 365 ikke som udgangspunkt skulle være sat sikkert op.

Det står imidlertid klart, at Microsoft ikke har tænkt sig at forstærke det digitale smuthul.

I stedet har Microsoft, efter at danskeren gjorde opmærksom på problemet, udgivet en vejledning til, hvordan man selv undgår netop den type angreb.

Læs mere her: Dansk it-sikkerhedsansat opdager alvorligt sikkerhedshul i Office 365: Rent held at det ikke er blevet udnyttet i større skala endnu

Du skal heller ikke nødvendigvis tro, at staten har opbygget det nødvendige digitale forsvar.

Center for Cybersikkerhed har nemlig ikke opfanget et eneste alvorligt cyberangreb mod Danmark i hele 2018. 

Af 912 såkaldte sikkerhedshændelser var kun et enkelt et større hackerangreb, og slet ingen alvorlige, lyder det i en en rapport som Center for Cybersikkerhed har udgivet. 

Rapporten bygger på identificerede hændelser fra centerets sensornetværk, der særligt er udbredt i forsvaret og den offentlige sektor. 

Lige nu siger rapporten altså ikke meget om det angreb mod private virksomheder, som man dog er i gang med at tilføje til netværket. 

Faktum er dog, at man kun har observeret et begrænset antal kritiske hændelser. 

Af det kan der konkluderes to ting: 

Enten er vi i Danmark gode til at beskyttes os. 

Eller også er de ondsindede hackere blevet så dygtige, at centeret ikke opsnapper angrebene. 

Læs mere her: Center for Cybersikkerhed har ikke opfanget et eneste alvorligt cyberangreb mod Danmark i hele 2018

3. Du kan godt få en GDPR-bøde, men der en lav risiko
Vi slutter ugens tre pointer med et kig på GDPR. 

Det står klart, at der er en risiko for at modtage en bøde, hvis du ikke har styr på sikkerheden og opbevaringen af personfølsomme oplysninger.

Her 18 måneder efter, at GDPR gik i luften i EU, kan vi nu tag en foreløbig status på antallet og størrelsen af de bøder, der er blevet langet ud til europæiske virksomheder og myndigheder. 

Bundlinjen hedder 121 bøder. For hele EU vel og mærke.

Herhjemme har Datatilsynet kun to gange givet en bøde for at bryde GDPR. De er gået til Taxa 4x35 og møbelvirksomheden IDDesign og lyder på henholdsvis 1,3 og 1,5 millioner kroner.

I Danmark er det politiet, der skal rejse sagen, når Datatilsynet har indstillet en virksomhed til en bøde. Ingen af virksomhederne er endnu blevet sigtet af Københavns Politi.

Vi kan altså fastslå, at risikoen heller ikke er højere.

Læs mere om det her: Første danske GDPR-bøde er stadig ikke afgjort efter et halvt år: Københavns Politi tavs om arbejdet

Der er i hele EU givet bøder på i alt tre milliarder kroner.

Det betyder, at en GDPR-bøde i gennemsnit beløber sig til til omkring 25 millioner kroner. 

Den største bøde på omkring 1,5 milliarder kroner står de britiske myndigheder for og blev afleveret til British Airways for et omfattende datalæk.

Den næststørste bøde blev også sendt afsted fra de engelske myndigheder. Marriott måtte af med cirka 800 millioner kroner for at have placeret syv millioner briters persondata usikkert. 

Nummer tre på listen blev sendt fra Frankrig til Google og lød på 373 millioner kroner. 

Tager man de tre største bøder væk fra regnskabet, lyder den gennemsnitlige GDPR-bøde i EU i stedet på 'bare' 1,8 millioner kroner. 

Læs mere her: GDPR-brud har kostet tre milliarder kroner på 18 måneder: Her er de 10 største bøder