Breach Notification: Har du ordet i din magt?

5. juni 2018 - Med EU-persondataforordningens krav til Breach Notification skal du have styr på både handleplan og kommunikation i tilfælde af, at din virksomhed rammes af et angreb. Find ud af, hvad du skal være opmærksom på.

Udover skærpede regler og sanktioner følger der også et nyt krav med EU-persondataforordningen (GDPR): Breach Notification. For rigtig mange virksomheder og organisationer er det en ny disciplin, der ikke kun stiller krav til virksomhedens evne til at opdage og håndtere et sikkerhedsbrud, men også til kommunikationen i den forbindelse. Til Dubex Security & Risk Management Summit og Update 2018 forklarede Klaus Kongsted fra Dubex sammen med kommunikationsbureauet Niveau, hvad man skal være opmærksom på.

Et sikkerhedsbrud forstås i forordningen som et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af, eller adgang til, personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet. I tilfælde af et sådant brud har man fremover i de fleste tilfælde pligt til at indberette bruddet til Datatilsynet senest 72 timer efter, at man er blevet opmærksom på det. I nogle tilfælde er der også krav om, at de berørte personer skal informeres.

Mange er ikke i stand til at opdage angreb

”For de fleste ligger den første udfordring i overhovedet at opdage et sikkerhedsbrud. Vi ser desværre stadig nogle kedelige statistikker, hvor det tager virksomheder flere måneder at opdage et brud – og det er stadigvæk oftest betinget af en henvendelse fra en ekstern part”, forklarede Klaus Kongsted og fortsatte:

”Vi har i løbet af de sidste 5 år set et skifte i virksomhedernes fokus på sikkerhed. Flere store mediesager har synliggjort behovet for ikke kun at beskytte sig mod angreb, men derimod også at opdage og reagere på et angreb. Til det formål kan man blandt andet få systemer, der er i stand til at normalisere og korrelere alle informationerne fra forskellige logs og give et overblik over trafikken på netværket. På den måde kan man opdage mistænkelig adfærd tidligt. Det kræver dog nogle ressourcer at overvåge alarmerne og vide hvad man skal reagere på.”

Når bruddet er opdaget, står mange overfor den næste udfordring. For hvordan håndterer man et sikkerhedsbrud? Nogle organisationer har procedurer for hændelseshåndtering, men det er langt fra alle. Dertil kommer, at mange eksisterende procedurer skal opdateres i henhold til den nye persondatalovgivning, så man får taget stilling til om bruddet involverer persondata og dermed er underlagt kravet om indberetning til Datatilsynet – og i værste fald også de berørte personer.

”Her er det vigtigt at holde sig for øje, at det ikke er angrebet eller hændelsen i sig selv, der skal indberettes, men et eventuelt brud på persondataenes fortrolighed, integritet eller tilgængelighed”, fortalte Klaus Kongsted og gav ordet videre til Stine Nissen fra Niveau, der fortalte hvordan indberetningen kan medføre en ekstra udfordring, som langt fra alle organisationer er opmærksom på. Kommunikationen omkring sikkerhedsbruddet kan nemlig være afgørende for virksomhedens omdømme.

Den nødvendige kommunikation kan blive et problem

”Forordningen stiller en række krav til kommunikationen omkring bruddet, herunder at indberetningen til både myndighederne og de registrerede skal ske uden unødig forsinkelse og i et klart og forståeligt sprog. Som en del af informationen skal det fremgå, hvad der er sket (karakteren af bruddet), hvem der er dataansvarlig og hvordan denne kan kontaktes, hvad de sandsynlige konsekvenser af bruddet er og hvilke foranstaltninger virksomheden har iværksat for at begrænse skaden”, forklarede Stine Nissen og fortsatte:

”Man skal ikke være i tvivl om, at borgerne har en holdning til behandlingen af deres personlige oplysninger og at der kun kommer øget fokus på det her område fremover, i takt med at forordningens budskab bliver mere udbredt og vi ser flere og flere eksempler på kompromittering af persondata. Det øgede fokus betyder, at borgerne bliver bevidste om deres rettigheder og formodentlig også vil stille flere krav om godtgørelse.”

Tidligere nyhedsredaktør Flemming Platz, der også er partner i Niveau, supplerede:

”Vi lever i en tid, hvor historier lynhurtigt kan blive blæst ud af proportioner – og uhensigtsmæssig eller decideret forkert håndtering af borgere eller kunders data kombineret med potentielle bøder i millionstørrelsen er guf for enhver journalist. Derfor er det afgørende, at man har tænkt (krise)kommunikation ind i hændelseshåndteringen."

Stine Nissen, Partner i Niveau

Hvordan starter en kommunikationskrise?

En kommunikationskrise kan starte mange steder. Vi har efterhånden set flere eksempler på, hvordan en shitstorm kan udvikle sig på de sociale medier. Her er både brugere, konkurrenter og journalister aktive og der er en forventning om hurtige og præcise svar. I forbindelse med forordningen forventes det desuden, at journalister på stribe vil bede om aktindsigt hos Datatilsynet, ligesom de vil følge deres afgørelser om virksomhedernes behandling af persondata tæt. Men krisen kan også starte helt andre steder.

”Med de store millionbøder, som forordningen giver mulighed for, er det oplagt at hackere vil udnytte situationen til at afpresse virksomhederne med trusler om at offentliggøre kompromitterede data. Hvis en hacker offentliggør et krav, uden at virksomheden har indberettet et brud, kan man kun forestille sig historiens vinkel. Det samme gælder hvis en kunde eller andre eksterne identificerer et læk eller brud hos jer”, forklarede Flemming Platz og understreger samtidig, at man heller ikke skal underkende medarbejdernes rolle:

”Udover at en medarbejder, der har set sig sur på virksomheden, kan sprede negative eller falske historier om sikkerheden, skal man være bevidst om, at en medarbejder, der ikke kender de interne retningslinjer for kommunikation, eller som ikke føler, at de ved, hvad der foregår, kan forårsage stor skade, hvis de begynder at udtale sig.”

Derfor skal du forberede din beredskabsplan

Når brandalarmen går, rejser alle medarbejdere sig og går stille mod samlingspunktet. Det gør de, fordi de har fået at vide, hvad de skal gøre og har øvet det i forbindelse med jævnlige brandøvelser og de falske alarmer, der nu engang opstår.

Det samme bør gælde ved en digital sikkerhedshændelse. Her er det ligeledes vigtigt, at alle medarbejdere kender deres roller og ansvar og følger de fastlagte processer for hændelseshåndtering. Det kræver forberedelse og træning.

Dubex Incident Respons Teams tilbyder en service, hvor Dubex’ konsulenter rykker ud og hjælper i tilfælde af en sikkerhedshændelse. Som en del af servicen bliver de interne processer for hændelseshåndtering gennemgået og justeret, så beredskabet er up-to-date og de interne processer er på plads. I forlængelse af dette tilbyder kommunikationsbureauet Niveau at gennemgå virksomhedens kommunikative beredskab og udarbejde en kommunikativ handleplan for såvel den interne som den eksterne kommunikation. Handleplanen kan suppleres med en kriseøvelse, der tester beredskabets effekt.

 

Udfyld formularen eller kontakt Dubex på tlf. 3283 0430 hvis du vil vide mere om, hvordan du bliver bedre rustet til at håndtere Breach Notification-kravet.

Høre mere om håndtering af Breach Notification-kravet

Tak. Du høre fra os hurtigst muligt.