- Det er blevet smerteligt tydeligt, at hackere ser data som det nye guld, siger Emilie Toth Jensen, ansvarlig for databeskyttelse i den danske e-signaturvirksomhed Penneo.

- Virksomheder og myndigheder bliver næsten dagligt udsat for cyberangreb. Men ikke alle trusler kommer udefra. For nylig lykkedes det en medarbejder i en stor belgisk bank at give en kunde adgang til kundedata. Banken var derfor nødsaget til at anmelde databruddet til myndighederne.

Her er otte tips fra Emilie Toth Jensen, som kan hjælpe med at beskytte data bedre.

1. Begræns adgangen til data

Det kan virke indlysende, men kun medarbejdere, der har brug for det, skal have adgang til ikke-offentlig information. Hold styr på, hvilke rettigheder de forskellige medarbejdere har og spørg løbende dig selv, om de eksisterende rettigheder stadig er nødvendige for, at en bestemt medarbejder kan udføre deres arbejde.

2. Kryptér data

Kryptering af data er den bedste måde at beskytte dem på. Det er en proces, hvor data konverteres til et ulæseligt format baseret på en algoritme. Kun autoriserede personer kan dekryptere og læse de krypterede oplysninger. Selvom data er stjålet, er de ubrugelige og derfor ikke interessant for datatyve.

3. Hav en sikkerhedspolitik

Desværre er mennesker ofte det svageste led i sikkerhedsprocesser. Medarbejdere er ofte uvidende om farerne ved databrud, når de håndterer filer eller gemmer output. Det er derfor vigtigt at skabe opmærksomhed internt med jævne mellemrum og sikre, at der er klare retningslinjer for datasikkerhed. Sørg for, at de er entydige, så der ikke er nogen tvivl om, hvordan medarbejderne skal agere. På den måde kan du undgå databrud på grund af menneskelige fejl og sikre, at du overholder lovkrav om datahåndtering.

4. Hav en dataopbevaringspolitik

Grundprincippet i en dataopbevaringspolitik er, at du kun opbevarer data så længe, det er absolut nødvendigt til forretningsformål. Jo flere data du opbevarer, jo sværere bliver det at beskytte dem. Dette grundlæggende princip og implementeringen af en datalagringspolitik er også påkrævet af GDPR-reglerne. En dataopbevaringspolitik sikrer også, at medarbejderne tænker over, hvilke data de skal opbevare og hvor længe. Det sikrer også, at medarbejderne ved, hvordan de korrekt sletter eller ødelægger data, når de ikke længere har brug for dem.

5. Udvikl og implementer et cybersikkerhedsprogram

Det er vigtigt at sikre tilstrækkelig sikkerhed for it-systemer, datastrømme og databaser for at sikre datafortrolighed, tilgængelighed og integritet.

Et cybersikkerhedsprogram bør skræddersyes til den enkelte virksomhed. Det er ofte en kombination af god antivirussoftware, firewalls, indtrængningsdetektionssystemer, multifaktorautentificering og softwareopdateringer, men cyberbevidsthedstræning for medarbejderne er også vigtig.

Sådan et program er heller ikke statisk. Den digitale verden udvikler sig hurtigt, og hackere finder altid nye måder at trænge ind i systemer på. Det er derfor vigtigt at følge med i, hvad der sker i cyberlandskabet, så man i tide kan stramme eller forbedre sikkerhedsforanstaltningerne.

6. Glem ikke fysiske sikkerhedsforanstaltninger

Mange databrud og tyverier sker online. Chancen for at blive fanget er meget lavere for kriminelle, hvis de udfører angrebet bag pc'en i et andet land. Men det betyder ikke, at der ikke længere er risiko for, at fysiske dokumenter, der indeholder følsomme oplysninger, bliver stjålet.

Det er derfor også nødvendigt at sikre, at disse er ordentligt beskyttet. Principperne er de samme som for digitale data. Sørg for, at kun autoriserede personer har adgang til papirdokumenter ved at opbevare dem i aflåselige rum eller skabe. Sørg for at sikre kontorområderne med et alarmsystem, installér sikkerhedskameraer og sørg for adgangskontrol.

Husk også, at mange datatyverier sker indefra. Det er ikke usædvanligt, at en medarbejder, der skal afsted, udskriver eller downloader kundeporteføljen. Så sørg for, at dette ikke er muligt.

7. Tavshedserklæring (NDA) og Data Protection Agreement (DPA)

Deling af data eller fortrolig information er ofte uundgåelig. Derfor bør du sikre dig, at du deler data på en sikker måde, hvilket også er i overensstemmelse med dine databehandleraftaler.

Du kan bruge aftaler om tavshedspligt til kontraktmæssigt at sikre, at de oplysninger, du deler i forretningsforbindelser, forbliver fortrolige. Dette bør specificere, hvilket materiale der skal deles, hvem der er ansvarlig for datasikkerheden, og hvad modtageren skal gøre for at opfylde sikkerhedsstandarden. Inkludér altid en klausul om, at tredjeparter ikke må afsløre eller dele data med uafhængige parter.

En god måde at dele data fysisk sikkert på er at bruge adgangskodebeskyttede dokumenter, gennem krypteret email-korrespondance eller andre platforme, som kræver, at brugerne identificerer sig selv, før de får adgang til data.

Dokumenter disse kontraktlige forpligtelser og sikkerhedsforanstaltninger i et prospekt eller en engangstransaktions-NDA. Ved igangværende forretningsforhold eller igangværende projekter bør du medtage forpligtelserne i databehandleraftaler.

8. Automatisér og digitalisér så meget som muligt med en betroet partner

Jeg har allerede nævnt, at menneskelige fejl ofte er årsagen til databrud eller lækager. Håndteringen af mange fysiske dokumenter øger også risikoen. Tænk bare på dokumenter, der ender i skraldespanden i stedet for at blive ødelagt. De ender bogstaveligt talt ofte bare på gaden, hvor alle kan nå dem.

Investér derfor i software, som automatiserer administrative processer, så der kræves mindst mulig menneskelig indgriben. Dette sikrer, at data er krypteret, og at de først er tilgængelige, efter at autoriserede personer har identificeret sig korrekt.

Om Penneo

Penneo A/S er en dansk softwarevirksomhed med hovedkontor i København, som er børsnoteret på NASDAQ Copenhagen Main Market. Penneos produkter håndterer workflows i forbindelse med digitale kontrakter, digitale underskrifter, og overholdelse af hvidvaskloven og opererer i Danmark, Sverige, Norge, Belgien og Finland. Selskabet har fokus på revisionsvirksomheder, og i 2020 blev 66 procent af alle årsregnskaber, som blev indsendt til Erhvervsstyrelsen i Danmark, underskrevet digitalt med Penneo.