Sådan undgår du de 10 brud fra Datatilsynet

De 10 hyppigste brud på datasikkerheden i 2023 handlede ikke kun om tilsigtede brud eller hackerangreb. I stedet handlede det om fejl, som måske kunne have været undgået.

I begyndelsen af januar 2024 udgav Datatilsynet de 10 brud – en sammenfattende oversigt over de 10 hyppigste brud på datasikkerheden, som de oplevede i 2023, samt forslag til hvordan disse brud fremover kunne undgås. De fleste af de 10 brud handlede dog ikke om ondsindede hackere, der ville udnytte følsomme persondata, men blot om uheldige menneskelige fejl, der måske kunne have været undgået med en større viden om og forståelse for både it-værktøjer og datasikkerhed.

Vi udforsker herunder kort hver af de 10 brud og giver et bud på hvordan Magentas erfaringer kan hjælpe jer med at få styr på datasikkerheden:

Det første brud, som Datatilsynet præsenterer handler om, hvordan data ved en fejl kan blive sendt til den forkerte modtager, ved at modtager og indhold bliver flettet forkert sammen i eksempelvis et ESDH-system. Dette er et tydeligt brud på datasikkerheden, hvor personoplysninger bliver videregivet på en uhensigtsmæssig måde gennem en automatiseret proces. 

Magentas erfaring

I Magenta har vi erfaret, at et organisationsredskab som eksempelvis OS2mo kan sikre at de rigtige adressater bliver hentet ind i organisationen. Dette kan ikke helt fjerne risikoen, men i stedet være med til at mindske sandsynligheden for at en forkert modtager får tilsendt forkert data.

Det andet brud handler om fejlagtig eksponering af persondata efter ændring i it-systemer. Her kan mangel på procedurer eller regler skabe uvidenhed for medarbejderne, hvilket kan føre til at medarbejderne ikke har opmærksomhed på hvor data kommer fra og hvilke begrænsninger, der er i at bruge denne data. 

Magentas erfaring

I Magenta ser vi, at implementeringen af et scanningsværktøj som OSdatascanner kan være med til at øge opmærksomheden og bevidstheden omkring følsomme persondata. Ved at skabe system i databehandlingen øges medarbejdernes viden om følsomme persondata, hvilket kan mindske disse menneskelige fejl.

Brud 3 beskriver, at data fejlagtigt kan blive udleveret til en ikke relevant modtager eksempelvis gennem et dokument, der er tilknyttet et forkert sagsnummer eller som ikke er blevet pseudonymiseret tilstrækkeligt. Dette øger risikoen for at følsomme persondata bliver delt med de forkerte modtagere. 

Magentas erfaring

Vi ser, at brugerne af et scanningsværktøj som OSdatascanner får en øget bevidsthed om, hvad følsomme persondata er, og vigtigheden af, hvordan det skal håndteres korrekt. Derved bliver medarbejdere også mere bevidste om at finde de rigtige modtagere ved deling af følsomme persondata, og derved mindsker det risikoen for brud på datasikkerheden.

Det fjerde brud beskriver, hvordan medarbejderes manglende kendskab til it-værktøjer kan medføre, at data fejlagtigt bliver skjult i stedet for slettet. Dette kan eksempelvis ske, når medarbejdere forsøger at fjerne følsomme persondata fra dokumenter, men blot formår at skjule dem i stedet.

Magentas erfaring

I Magenta ser vi, at implementeringen af et scanningsværktøj som OSdatascanner sørger for, at alle følsomme persondata bliver fundet og håndteret korrekt. Ved at scanneren tydeliggør skjulte såvel som synlige data og beder medarbejderne om at håndtere dataen, giver det en øget forståelse for håndteringen af følsomme persondata.

Datatilsynets femte brud beskriver, hvordan autocomplete emailadresser øger risikoen for at følsomme persondata bliver sendt til den forkerte modtager, da medarbejderne nemt kan komme til at vælge den forkerte mailadresse.

Magentas erfaring

Ligesom ved brud 1 har Magenta erfaring med at et organisationsredskab som OS2mo kan sikre at de rigtige mailadresser og kontaktpersoner er tilgængelige som autocomplete i organisationen, hvilket kan mindske risikoen for dette brud. Samtidig er det dog altid vigtigt at dobbelttjekke og være opmærksom, når medarbejdere håndterer følsomme persondata, som Datatilsynet også beskriver.

Brud 6 beskriver vigtigheden af kryptering af transportable enheder og at medarbejderne ikke opbevarer data lokalt på enheder. Her kan tyveri eller tab af disse altså risikere, at uønskede får adgang til følsomt data, der er opbevaret på enhederne.

Magentas erfaring

I Magenta oplever vi, at jo færre data en organisation har, jo bedre beskyttet er dataen. Her kan et scanningsværktøj som OSdatascanner være med til at skærpe opmærksomheden på hvilke data, en organisation har liggende – også på transportable enheder – og derved også fjerne de data, som er opbevaret forkerte steder.

Det syvende brud handler om, hvordan en bred adgang til data på tværs af virksomheden øger risikoen for brud på datasikkerheden. Her kan data, der er opbevaret forkerte steder eller ændringer i it-systemer uden tilsvarende ændringer i tilladelser og adgangsrettigheder ofte være skyld i at følsomme persondata bliver tilgængelige for de forkerte.

Magentas erfaring

Ved implementeringen af et organisationsredskab som OS2mo, ser vi i Magenta, at en organisation nemmere kan opretholde overblikket over organisationens tilladelser til de følsomme persondata. Samtidig kan organisationen nemt ændre i adgangstilladelserne, og derved sikre, at det kun er de relevante medarbejdere, der har adgang til det relevante data.

Dette brud beskriver, hvordan uønskede parter kan få adgang til følsomme persondata, grundet fejl i udvikling eller opdatering af software. Her kan en mangel på tests og fejlfinding give uopdagede fejl i systemet, der kan dele data med forkerte parter.

Magentas erfaring

Hos Magenta udvikler og opdaterer vi selv software, og derfor er det vigtigt, at vi undgår kodefejl og dårligt design. Dette har vi god erfaring med gennem en indarbejdet procedure om aldrig at frigive kode, som minimum to (og typisk tre) udviklere har reviewet, testet og samarbejdet på.

Brud 9 beskriver, hvordan udfyldelsen af automatiske skabelon- og blanketløsninger  kan skabe uhensigtsmæssige brud på datasikkerheden. Her er der risiko for, at de indtastede følsomme persondata i en skabelon ikke bliver succesfuldt slettet og derved kan den næste, der åbner skabelonen have adgang til den tidligere brugeres data.

Magentas erfaring

I Magenta erfarer vi, at et scanningsværktøj som OSdatascanner kan scanne skabeloner- og blanketløsninger, og derved sikre at de ikke indeholder nogle skjulte eller glemte data fra tidligere brugeres indtastninger.

Det tiende og sidste brud fra Datatilsynet er det, som mange vil mene er det mest åbenlyse brud, nemlig hackerangreb, ransomware eller virus. Her sker bruddet, når hackere får adgang til følsomme persondata gennem sårbarheder i it-systemer, og udnytter det eksempelvis ved at true med at dele oplysningerne, hvis ikke de får en løsesum.

Magentas erfaring

Ved implementeringen af et scanningsværktøj som OSdatascanner øges den generelle opmærksomhed på følsomme persondata og hvordan disse skal behandles og håndteres. Derved er der større sandsynlighed for, at medarbejdere vil være mere påpasselige med opbevaring af data og eksempelvis phishing-links, som kan give hackere adgang.

Det første brud, som Datatilsynet præsenterer handler om, hvordan data ved en fejl kan blive sendt til den forkerte modtager, ved at modtager og indhold bliver flettet forkert sammen i eksempelvis et ESDH-system. Dette er et tydeligt brud på datasikkerheden, hvor personoplysninger bliver videregivet på en uhensigtsmæssig måde gennem en automatiseret proces. 

Magentas erfaring

I Magenta har vi erfaret, at et organisationsredskab som eksempelvis OS2mo kan sikre at de rigtige adressater bliver hentet ind i organisationen. Dette kan ikke helt fjerne risikoen, men i stedet være med til at mindske sandsynligheden for at en forkert modtager får tilsendt forkert data. 

Det andet brud handler om fejlagtig eksponering af persondata efter ændring i it-systemer. Her kan mangel på procedurer eller regler skabe uvidenhed for medarbejderne, hvilket kan føre til at medarbejderne ikke har opmærksomhed på hvor data kommer fra og hvilke begrænsninger, der er i at bruge denne data. 

Magentas erfaring

I Magenta ser vi, at implementeringen af et scanningsværktøj som OSdatascanner kan være med til at øge opmærksomheden og bevidstheden omkring følsomme persondata. Ved at skabe system i databehandlingen øges medarbejdernes viden om følsomme persondata, hvilket kan mindske disse menneskelige fejl.

Brud 3 beskriver, at data fejlagtigt kan blive udleveret til en ikke relevant modtager eksempelvis gennem et dokument, der er tilknyttet et forkert sagsnummer eller som ikke er blevet pseudonymiseret tilstrækkeligt. Dette øger risikoen for at følsomme persondata bliver delt med de forkerte modtagere. 

Magentas erfaring

Vi ser, at brugerne af et scanningsværktøj som OSdatascanner får en øget bevidsthed om, hvad følsomme persondata er, og vigtigheden af, hvordan det skal håndteres korrekt. Derved bliver medarbejdere også mere bevidste om at finde de rigtige modtagere ved deling af følsomme persondata, og derved mindsker det risikoen for brud på datasikkerheden.

Det fjerde brud beskriver, hvordan medarbejderes manglende kendskab til it-værktøjer kan medføre, at data fejlagtigt bliver skjult i stedet for slettet. Dette kan eksempelvis ske, når medarbejdere forsøger at fjerne følsomme persondata fra dokumenter, men blot formår at skjule dem i stedet.

Magentas erfaring

I Magenta ser vi, at implementeringen af et scanningsværktøj som OSdatascanner sørger for, at alle følsomme persondata bliver fundet og håndteret korrekt. Ved at scanneren tydeliggør skjulte såvel som synlige data og beder medarbejderne om at håndtere dataen, giver det en øget forståelse for håndteringen af følsomme persondata.

Datatilsynets femte brud beskriver, hvordan autocomplete emailadresser øger risikoen for at følsomme persondata bliver sendt til den forkerte modtager, da medarbejderne nemt kan komme til at vælge den forkerte mailadresse.

Magentas erfaring

Ligesom ved brud 1 har Magenta erfaring med at et organisationsredskab som OS2mo kan sikre at de rigtige mailadresser og kontaktpersoner er tilgængelige som autocomplete i organisationen, hvilket kan mindske risikoen for dette brud. Samtidig er det dog altid vigtigt at dobbelttjekke og være opmærksom, når medarbejdere håndterer følsomme persondata, som Datatilsynet også beskriver.

Brud 6 beskriver vigtigheden af kryptering af transportable enheder og at medarbejderne ikke opbevarer data lokalt på enheder. Her kan tyveri eller tab af disse altså risikere, at uønskede får adgang til følsomt data, der er opbevaret på enhederne.

Magentas erfaring

I Magenta oplever vi, at jo færre data en organisation har, jo bedre beskyttet er dataen. Her kan et scanningsværktøj som OSdatascanner være med til at skærpe opmærksomheden på hvilke data, en organisation har liggende – også på transportable enheder – og derved også fjerne de data, som er opbevaret forkerte steder.

Det syvende brud handler om, hvordan en bred adgang til data på tværs af virksomheden øger risikoen for brud på datasikkerheden. Her kan data, der er opbevaret forkerte steder eller ændringer i it-systemer uden tilsvarende ændringer i tilladelser og adgangsrettigheder ofte være skyld i at følsomme persondata bliver tilgængelige for de forkerte.

Magentas erfaring

Ved implementeringen af et organisationsredskab som OS2mo, ser vi i Magenta, at en organisation nemmere kan opretholde overblikket over organisationens tilladelser til de følsomme persondata. Samtidig kan organisationen nemt ændre i adgangstilladelserne, og derved sikre, at det kun er de relevante medarbejdere, der har adgang til det relevante data.

Dette brud beskriver, hvordan uønskede parter kan få adgang til følsomme persondata, grundet fejl i udvikling eller opdatering af software. Her kan en mangel på tests og fejlfinding give uopdagede fejl i systemet, der kan dele data med forkerte parter.

Magentas erfaring

Hos Magenta udvikler og opdaterer vi selv software, og derfor er det vigtigt, at vi undgår kodefejl og dårligt design. Dette har vi god erfaring med gennem en indarbejdet procedure om aldrig at frigive kode, som minimum to (og typisk tre) udviklere har reviewet, testet og samarbejdet på.

Brud 9 beskriver, hvordan udfyldelsen af automatiske skabelon- og blanketløsninger  kan skabe uhensigtsmæssige brud på datasikkerheden. Her er der risiko for, at de indtastede følsomme persondata i en skabelon ikke bliver succesfuldt slettet og derved kan den næste, der åbner skabelonen have adgang til den tidligere brugeres data.

Magentas erfaring

I Magenta erfarer vi, at et scanningsværktøj som OSdatascanner kan scanne skabeloner- og blanketløsninger, og derved sikre at de ikke indeholder nogle skjulte eller glemte data fra tidligere brugeres indtastninger.

Det tiende og sidste brud fra Datatilsynet er det, som mange vil mene er det mest åbenlyse brud, nemlig hackerangreb, ransomware eller virus. Her sker bruddet, når hackere får adgang til følsomme persondata gennem sårbarheder i it-systemer, og udnytter det eksempelvis ved at true med at dele oplysningerne, hvis ikke de får en løsesum.

Magentas erfaring

Ved implementeringen af et scanningsværktøj som OSdatascanner øges den generelle opmærksomhed på følsomme persondata og hvordan disse skal behandles og håndteres. Derved er der større sandsynlighed for, at medarbejdere vil være mere påpasselige med opbevaring af data og eksempelvis phishing-links, som kan give hackere adgang.

Hvordan kan disse potentielle brud undgås?

For hvert af de 10 brud i artiklen kommer Datatilsynet med gode råd til hvordan en organisation kan undgå dem. Overordnet set argumenterer Datatilsynet for, at medarbejdere i organisationer bør have stor viden om følsomme persondata, deres sikkerhed og de tilgængelige it-værktøjer, der kan bidrage til dette. Samtidig anbefaler Datatilsynet brug af værktøjer, der kan scanne for specifikke datatyper, med henblik på at lokalisere og sikre korrekt placering af følsomme persondata samt sørge for, at det er de rigtige, der har adgang til dem.

I Magenta har vi ligeledes stort fokus på datasikkerhed og hvordan brud som de ovennævnte kan undgås. Vi ser, at implementeringen af et scanningsværktøj som OSdatascanner ikke blot sørger for en systematiseret oprydning, hvor data bliver håndteret korrekt og sikkert. Vi ser også, at implementeringen giver en øget bevidsthed og opmærksomhed blandt brugerne af scanneren i forhold til datasikkerhed, ekspertise i it-værktøjer og generel viden om og håndtering af følsomme persondata. Ved at brugerne aktivt skal tage valg om den data, som scanneren finder, får brugerne en øget viden om netop behandlingen af data. Dette bidrager til, at brugerne håndterer dataen rigtigt fra det øjeblik de møder den. 

Ligeledes ser vi en øget bevidsthed om følsomme persondata og vigtigheden i adgangen til det, ved implementeringen af et organisationsredskab som OS2mo. Her sørger OS2mo for organisering af alle afdelinger og ansatte og kan således sørge for at dataen kun er tilgængelig for de rigtige parter. Dette skaber en ekstra opmærksomhed på det følsomme persondata, og håndteringen af dette. Derved kan OS2mo både bidrage til at medarbejderne får større viden om og opmærksomhed på følsomme persondata, samtidig med at det skaber overblik over organisationen og sikrer at tilladelserne til dataen er korrekte.

Generelt er Magentas tilgang til datasikkerhed præget af både organisering og systematisering i oprydningen og opbevaringen af data, samt et vedvarende fokus på at øge medarbejdernes viden om datasikkerhed, for at de succesfuldt kan arbejde med følsomme persondata uden at risikere brud på datasikkerheden.

Datatilsynets 10 brud - Magenta