Forudsigelser om GDPR: Afpresning og bøder i 2018

Vent ikke til 25. maj 2018 med at gå i gang med GDPR-arbejdet. Forudsigelser for 2018 viser risici for både bøder og afpresning.

Forudsigelser om GDPR: Afpresning og bøder i 2018

Vi har efterhånden fået slået fast at den nye databeskyttelseslov, EU-persondataforordningen eller GDPR, træder i kraft næste år den 25. maj. Det er sikkert og vidst. Men derudover er der ikke så meget andet, der er klarlagt omkring forordningens betydning for virksomheder og organisationer fra den 25. maj og frem.

Der er flere bud på, hvile konsekvenser forordningen bringer, men der er også sået tvivl om, i hvilket omfang det er muligt for Datatilsynet at føre tilsyn med virksomheders compliance.

Den samme tvivl synes at eksistere i andre EU-lande, og der opleves en vis usikkerhed, omkring hvorvidt og med hvilken kraft forordningen får indflydelse.

Derfor forudser Trend Micro blandt andet, at mange virksomheder først vil tage de afgørende handlinger, når vi oplever det første sagsanlæg på baggrund af den nye lov. Det skriver de i deres rapport ”Security Prediction for 2018”.

Denne forudsigelse er blot en blandt flere interessante forudsigelser om det cybersikkerhedsbillede, som Trend Micro forventer, at vi vil møde i 2018. Find alle forudsigelser og den fulde rapport her.

GDPR-overtrædelse som afpresningsmiddel

Trend Micro fremhæver i samme rapport, at der er en stor risiko for, at hackere vil udnytte GDPR til at afpresse virksomheder, som ikke er i compliance. Det kan give store økonomiske gevinster for it-kriminelle.

EU-forordningen fordrer, at virksomheder og organisationer, som ikke er i compliance, kan få bøder på op til 150 mio. kr. eller 4% af den globale omsætning. Det kan hurtigt blive en god forretning, hvis hackere kan afpresse virksomheder til bare en brøkdel af disse beløber.

Jesper Mikkelsen fra Trend Micro fortæller:

”Hackerne kan bruge virksomhedernes offentligt tilgængelige regnskaber til at regne ud, hvor stor en GDPR-bøde den enkelte virksomhed risikerer at få, hvis de får stjålet persondata."

"Herefter kan hackerne så stjæle data fra virksomheden og afpresse den for et beløb, der er mindre end GDPR-bøden”

Så langt er vi nået i Danmark

Klaus Kongsted fra Dubex mener dog, at der i Danmark næppe er mange store eller mellemstore virksomheder, som har tænkt sig at vente med forberedelserne til GDPR-compliance, til vi har set bøder eller sagsanlæg. Derimod er der mange, der efterhånden er gået fra organisatoriske forberedelser til at kigge på den mere praktiske udmøntning, og her synes at herske en vis usikkerhed om de mere konkrete krav til persondatabehandlingen. Der er dog god hjælp at hente fra de vejledninger, der – mere eller mindre forsinket – strømmer ud fra officielt hold, primært Artikel 29-gruppen og Datatilsynet.

Alle medarbejdere skal kende til GDPR

GDPR vil uden tvivl blive et stordebatteret emne i 2018, men for de uindviede kan det hurtigt virke uoverskueligt og komplekst. Og det bør vi undgå sker. Hvis medarbejderne er uoplyste eller finder emnet for svært, kan de være en stor sårbarhed for organisationen.

Virksomheder skal sørge for, at deres medarbejdere er oplyst med den nødvendige viden om GDPR, så de er i stand til at udføre deres arbejde uden at overtræde den nye lovgivning.

Undgå at blive fisket

Det kan ikke undgås, at it-kriminelle vil udnytte GDPR-trenden til phishing-forsøg mod uskyldige medarbejdere. Trend Micro forventer, at GDPR vil blive brugt til social engineering som middel til at snyde eller stresse medarbejdere til at klikke på links og afgive personlige oplysninger.

 

Hvad er Social Engineering?

It-kriminelle kan bruge viden om din adfærd og dine vaner til at franarre dig oplysninger eller få dig til at udføre bestemte handlinger. En sådan brug af psykologiske tricks til at snyde, true eller lokke dig er meget udbredt. Det kaldes social engineering.

 

Vil du vide mere?

Har du brug for en hjælpende hånd til at løfte GDPR-arbejdet i din organisation? Dubex kan hjælpe dig på alle niveauer af dit compliance-arbejde; fra både tekniske løsninger, der sikrer best practice, til en GDPR-uddannelse der ruster dig til at drive din virksomheds compliance-projekt. Vi har ledige pladser på Dubex og Delacours 4-dages GDPR-uddannelse i både Aarhus og København primo 2018.

Vi kan også hjælpe dig med en phishing-test af medarbejdernes bevågenhed, hvis du er i tvivl om, hvorvidt dine kollegaer er i stand til at opdage forsøg på phsihing. Dubex’ phishingtest kan skræddersyes, så den passer til netop din organisation. Du kan udnytte GDPR-trenden som omdrejningspunkt, og få svar på om medarbejderne vil være i fare for at lække personfølsomme data.

Kontakt Dubex her eller på tlf. 32 83 04 30 for at høre mere.