Kollegaer står ofte bag datatab

Det er langt fra altid hackere eller ondsindede konkurrenter, der trænger ind i virksomhedens netværk og tilegner sig værdifulde forretningshemmeligheder. Undersøgelser viser, at den loyale medarbejder er en af de største grunde til datatab.
 

Et er at sikre at hackere ikke trænger ind i virksomhedens netværk og får adgang til eksempelvis cpr-numre, noget andet er at undgå at virksomhedens medarbejdere deler følsomme oplysninger med uvedkommende. Undersøgelser viser, at det sandsynligvis er her, den største udfordring ligger.

Security Business Manager Ken Willén fortæller, at det til at starte oftest handler om at identificere de forskellige typer af forretningskritisk eller personfølsom data, som virksomheden ligger inde med før man kan implementere beskyttelse. Et redskab til beskyttelse af virksomhedens data er Data Loss Prevention eller DLP.

Men at det handler ikke kun om at få identificeret data – det handler i lige så høj grad om mennesker. Ken Willén fortæller, at man inden for IT-sikkerhed skelner mellem tre typer af folk, der skaber svagheder i håndteringen af personfølsom data: medarbejderen, der velmenende sender fortrolige oplysninger ud, medarbejderen der i ond vilje sender fortroligt materiale ud og til sidst den udefrakommende person eller virksomhed, der ønsker at tilegne sig ulovlig adgang til virksomhedens data.

Medarbejderen kan være den farligste

Normalt fokuserer medierne på den sidstnævnte type – hackere, IT-kriminelle eller konkurrenterne, der ønsker at kommer først på markedet med et produkt. Men en amerikansk undersøgelse viser overraskende, at 64 pct. af alle virksomheder oplever datatab, fordi velmenende og pligtopfyldende medarbejdere deler information eller data, som de ikke burde dele med tredjeparter. Men de gør det i uvidenhed og i servicemindedhedens tegn.

Med den kommende EU-persondataforordning, kan det i fremtiden blive en dyr fornøjelse for virksomheden, hvis de ikke har styr på, hvem der sender fortroligt materiale rundt, og hvor de sender det hen.

Dermed ligger en af de største udfordringer i at hindre denne datastrøm fra over-hjælpsomme medarbejdere, der bare vil hjælpe kunder eller samarbejdspartnere med oplysninger og data. Det kræver en adfærdsændring, for de medarbejdere, der ikke deler data af ond vilje. Der findes ikke præcise tal på hvor mange virksomheder, der oplever ondsindede angreb fra hackere eller konkurrerende virksomheder.

DLP beskytter data

En ud firehundrede e-mails indeholder fortroligt materiale, ifølge en data risikovurdering fra Symantec DLP. Det vil sige, en virksomhed med 10.000 medarbejdere, der hver sender 20 e-mails om dagen, vil statistisk set sende 500 e-mails afsted, der indeholder fortroligt materiale.

”Med DLP kan virksomheden fange disse e-mails inden, medarbejderen trykker send. Ved hjælp af direkte pop-up meddelelser til medarbejderen og undervisning, kan man nå at gøre medarbejderen opmærksom på det personfølsomme indhold og understøtte en adfærdsændring, ” siger Ken Willén.

Det er også muligt at fange download af data til USB-nøgler og upload til diverse cloud-tjenester, sådanne databevægelser bliver logget til senere brug, hvis det viser sig, at der er foregået noget ulovligt. Men det er alt sammen processer virksomheden kan implementere, for at få styr på datastrømmen. Noget som de færreste virksomheder har styr på i dag, men som den kommende Persondataforordning vil ændre fundamentalt ved.

_______________________________________________________________________________________________

FAKTA: Om Data Loss Prevention, Symantec DLP

Symantec DLP er et softwareprodukt, der monitorerer og forhindrer deling af person- eller forretningsfølsomme data og informationer til uvedkommende personer.

______________________________________________________________________________________________

FAKTA: Kort om Persondataforordningen

Persondataforordningen afløser persondataloven, som er fra 2000. Forordningen ligger til godkendelse hos EU-rådet og kommissionen, og hvis det går efter planen vil den træde i kraft i marts/april 2014. Herefter har de europæiske virksomheder to år til at få deres IT-sikkerhed omkring håndtering af data på plads.

_____________________________________________________________________________________________

FAKTA: Forordning eller direktiv?

Forordninger vedtages af Rådet og Parlamentet i fællesskab eller af Kommissionen alene. De er generelle og bindende i alle enkeltheder.

Til forskel fra direktiver, som fastsætter de mål, EU-landene skal nå, de kan dog selv vælge, hvordan de vil gøre det, gælder forordninger for alle.

Forordninger gælder umiddelbart, dvs. at medlemslandene bindes direkte af forordninger på samme måde, som de bindes af nationale love, uden at deres nationale myndigheder behøver at gøre noget.

Kilde: Europa Kommissionen - ec.europa.eu