Stay Compliant

2. Det daglige arbejde med GDPR

Hele det foregående afsnit havde som mål at sikre, at jeres virksomhed kommer til at overholde de regler, der træder i kraft i maj 2018. Det er en vigtig milepæl at krydse, og hvis jeres virksomhed allerede er så langt, vil vi hos Netic gerne være de første til at ønske jer tillykke.

Men husk, at compliance ikke er en statisk tilstand. I er nødt til at se på, hvordan I kan fortsætte med at overholde reglerne. Systemer ændrer sig. Procedurer ændrer sig. Regler, love og praksis kan også ændre sig.

Derfor skal vi nu se på, hvordan I sørger for, at disse ændringer ikke får betydning for, hvorvidt jeres virksomhed fortsat overholder GDPR.

Forankring

Lige så vel som arbejdet med at opnå overholdelse af reglerne havde sine hovedaktører, er det også i det fortsatte, daglige arbejde vigtigt at sikre den rette forankring af arbejdet.

Heldigvis har GDPR her gjort en del af arbejdet for jer med introduktionen af DPO-rollen. DPO står for Data Protection Officer, og er den person, der har det organisatoriske ansvar for, at virksomheden overholder reglementet.

For nogle virksomheder er det påkrævet at have en DPO. Andre virksomheder er ikke pålagt det, men bør måske alligevel besætte rollen? Uanset hvad mener vi, at det er meget vigtigt, at ansvaret placeres et sted i organisationen, der både besidder de rette kompetencer, og hvor GDPR er tilstrækkeligt højt på agendaen.

Jura og data-governance

EU’s persondataforordninger som i Danmark udmøntes som Lov om Behandling af Personoplysninger er heller ikke statisk.

Både den tilgrundliggende forordning og den danske lov kan ændre sig, og en vigtig hjørnesten i jeres arbejde med compliance bør derfor være at holde sig ajour med reglerne. Hvis jeres virksomhed er stor, har I muligvis en juridisk afdeling, men langt de fleste små og mellemstore virksomheder (og også temmelig mange store), må klare sig med den juridiske bistand, som man kan købe sig til.

Derfor er det vigtigt at overveje om dette er en opgave, I selv kan varetage, eller om I skal lægge den ud af huset. Har I en DPO eller en CISO kan det være en god løsning af lægge opgaven der, jf. afsnittet om forankring.

På samme måde bør I også arbejde målrettet med data-governance. Efterhånden som jeres systemer ændrer sig, vil jeres data-strukturer også ændre sig. Derfor skal der løbende arbejdes med en række spørgsmål:

    • Skal vi bede om nyt samtykke?
    • Skal data slettes?
    • Skal vi informere?

Disse overvejelser er helt centrale i forhold til at beholde compliance. Dertil kommer naturligvis det løbende arbejde med at bevare overblik og sikre kontinuerlige processer i forhold til virksomhedens enkelte data-strukturer og systemer. Der er – populært sagt – nok at tage fat på.

Den tekniske IT-sikkerhed

Det er sagt og skrevet mange steder, at teknisk IT-sikkerhed ikke som sådan har noget med GDPR at gøre. At GDPR alene er en øvelse i datastrukturer og –processer. Hos Netic mener vi, at governance er vigtigt – men vi mener også, at governance ikke kan stå alene.

Derfor kommer man ikke udenom at skulle forholde sig til teknisk IT-sikkerhed. Det er nemlig i teknikken, at governance-aspekterne udmøntes i en praktisk dagligdag. Det er også teknikken, der først står for skud, hvis IT-sikkerheden bliver udfordret i et reelt angreb eller eksempelvis via phishing. Der findes eksempelvis systemer, der kan opdage og blokere for en række af de angreb, der starter med, at en bruger klikker på en ondsindet fil.

Kan vi gøre det selv?

For selv at kunne holde virksomhedens tekniske sikkerhed vedlige i forhold til GDPR, skal virksomheden have følgende kompetencer:

  • Netværk: Kendskab til Routing/Switching og firewalls
  • Datacenter: Kendskab til design og drift
  • Generelt: Kendskab til systemarkitektur og logning

Drift af eksisterende systemer

Driften af eksisterende systemer er en central del af GDPR-compliance. Her bør compliance tænkes ind i driften, så arbejdet med datasikkerhed kommer ind som en central del af it-afdelingens arbejde. Et par eksempler på områder, hvor sikkerheden kan tænkes ind i det daglige arbejde er:

Logning

        • Mange virksomheder opsamler logs fra netværksenheder, servere, applikationer, windows-maskiner og andre enheder, uden at anvende disse logs til noget. Netic anbefaler altid at sende disse logs til et log-management værktøj for at sikre logdata. Derudover kan man med fordel supplere med SIEM-funktionalitet. SIEM står for Security Intelligence Event Management og har du et velkonfigureret SIEM-system, kan det betyde forskellen på at være på forkant med brister og først at opdage dem, når det er for sent.
        • Har I godt styr på jeres logs, kan de også være et stærkt dokumentationsværktøj, hvilket er en force, netop fordi GDPR stiller krav til virksomhedens evne til at dokumentere.
        • I GDPR er der en række krav til, hvad virksomheden skal logge.

Måling af sikkerheden

        • Det er længe siden, at IT-sikkerhed blot handlede om at sætte en firewall op og installere et antivirus-program. Trusler ændrer sig konstant, og I er således nødt til løbende at efterprøve, om det sikkerhedsniveau, jeres virksomhed har, er godt nok. Her er sårbarhedsscanninger et godt værktøj. En sårbarhedsscanning forsøger at finde sårbarheder i virksomhedens forsvar ud mod internettet eller internt. Når scanningen støder på en åben port, vil den forsøge at udnytte kendte sårbarheder i et fiktivt angreb. Hvis den bagvedliggende service eller applikation har en kendt sårbarhed, vil scanningen afsløre dette.
        • En sårbarhedsscanning er en automatiseret proces, der giver et godt overblik. Hvis scanningen afslører sårbarheder i kritiske systemer, kan man vælge at følge op med en penetrationstest. Til forskel fra sårbarhedsscanningen udføres en penetrationstest af en uddannet sikkerhedsmand, der kan se sammenhænge, som en automatiseret proces ikke opdager.

Helbredscheck

        • Hvis I overvåger jeres IT-systemer, kan I være på forkant med rigtigt mange af de problemer, der kan opstå i den daglige drift. Det er dog en god idé at tænke et helbredscheck ind i driftshjulet – altså jeres løbende driftsproces. I et helbredscheck kigger man systemerne efter i sømmene og vil på den måde kunne spotte tendenser og sammenhænge, som et automatiseret overvågningssystem ikke vil kunne opdage. Dermed vil man kunne fange mange af de små ting som har potentiale til at kunne udvikle sig til sikkerhedsproblemer.

Når nye systemer tages i drift

Dine IT-systemer holder ikke evigt. Ældre services vil efterhånden blive afløst af nye. Derfor ligger der også en stor opgave i at sørge for, at disse nye systemer fra starten overholder kravene.

Her vil vi fra Netics side fremhæve to begreber, der er gode at holde sig for øje, når I tager nye IT-systemer i drift:

        • Sårbarheder
        • Resilience

Sårbarheder er vigtige at holde sig for øje, fordi nye systemer ikke per definition er beskyttede mod alle eksisterende sårbarheder. Derfor anbefaler vi altid, at der udføres en sårbarhedsscanning både før og efter at det pågældende system tages i drift. Dermed sikres et fuldt overblik over, hvorvidt det nye system har medført introduktionen af nye sårbarheder.

Resilience er et af de fagudtryk, der ikke så let kan oversættes til dansk. Hos Netic bruger vi ”robusthed”. Robusthed er mange ting, og afhænger meget af, hvilket system man designer, men i bund og grund handler det om at designe systemets arkitektur sådan, at det fra start kan modstå en lang række trusler– hvad enten disse trusler er eksterne eller interne. Ved at tænke robusthed ind i systemet fra start, sparer man mange hovedpiner hen ad vejen.

GDPR stiller endvidere krav om at der er i særlige tilfælde udarbejdet en såkaldt DPIA (Data Protection Impact Assessment).

Udveksling af persondata

Uanset hvor velgennemtænkt virksomhedens dataprocesser og systemer er, vil de fleste virksomheder fra tid til anden have behov for at udveksle persondata med andre virksomheder eller privatpersoner.

Her er det vigtigt, at denne udveksling sker sikkert, så datatransporten ikke i sig selv bliver til en usikkerhed. E-mail kan således være problematisk at anvende. Hos Netic anbefaler vi altid at anvende en krypteret fildelingstjeneste til dette, som blandt andet sikrer adgangsstyring og logning.

Uddannelse af medarbejdere

Hvad er egentlig den største trussel mod jeres datasikkerhed? Mange vil svare hackerne og deres vira eller malware. Dette svar er desværre kun delvist korrekt.

Det, hackerne i rigtig mange tilfælde gør, er nemlig at tage dine medarbejdere som ”gidsler” i forsøget på at opnå adgang til jeres data. Derfor er det lige så vigtigt at sørge for, at virksomhedens medarbejdere forstår, hvad der kan ske, hvis de ukritisk åbner filer eller klikker på links.

Kort og godt kan man sige, at ingen IT-systemer er bedre end den dårligst uddannede medarbejder.


Om IT-sikkerhed

Stort set alle medarbejdere har sikkerhed helt inde under huden. Brandsikkerhed. Tyverisikkerhed. Trafiksikkerhed. Vi er alle trænede i at observere og reagere, når noget eller nogen truer vores sikkerhed.
Ingen medarbejder vil gå forbi en papirkurv med ild i, uden at forsøge at slukke ilden eller slå alarm.
Så hvorfor er paraderne nede, når det kommer til sikker IT? Vores erfaring viser os, at der er to årsager. For det første har de cyberkriminelle stor indsigt i menneskelig psykologi, og vil med forskellige kneb forsøge at få dine medarbejderes parader helt ned. Det kalder man social engineering.
For det andet er informationssikkerhed stadig en lidt fremmed verden for mange mennesker. Derfor er der mange medarbejdere, der ikke forstår konsekvenserne af at klikke på det forkerte link eller holde døren for en person på vej ind i virksomheden.
Heldigvis kan man komme udenom dette problem ved at træne medarbejderne. Den form for træning kaldes Security Awareness-træning og bør implementeres som en naturlig og tilbagevendende del af jeres strategi for sikker IT.

Overvågning og rapportering

Vi har tidligere i denne guide talt om logning og om behovet for at kunne dokumentere, hvad der sker i jeres IT-systemer. Derfor skal vi lige forbi SIEM-systemet en gang til.

I bund og grund bør det være jeres målsætning at kunne gøre to ting:

        • At kunne overvåge systemerne, og være i stand til at reagere, når der sker noget
        • At have dokumentation for, hvad der sker, så man kan søge tilbage, hvis man på et senere tidspunkt opdager, at noget måske er gået galt.

Afhængigt af størrelse og kompleksitet af jeres IT-systemer kan dette gøres med alt fra et SIEM-system til et egentligt SOC. SOC står for Security Operations Center, og det er her, man kan samle drift og overvågning af virksomhedens sikkerhedssystemer.

Et SOC er i sin mest basale form blot en person der løbende tjekker logs og derfor har ansvaret for at rapportere om sikkerhedshændelser. Jo mere komplekse virksomhedens it-systemer bliver, jo større bliver kravene til et SOC, og hvad det skal kunne.

Det er typisk meget store virksomheder, der har deres eget SOC. Lidt mindre virksomheder kan med fordel outsource denne opgave til en sikkerhedsoperatør. Her er det vigtigt at være opmærksom på, at de logs der sendes til sikkerhedsoperatøren kan indeholde persondata. Derfor bør I stille krav om at log-data sendes krypteret til sikkerhedsoperatøren.

Når (eller hvis) I på et tidspunkt bliver bedt om at dokumentere jeres GDPR-compliance, vil I takke jer selv for at have forberedt jer. Hos Netic mener vi, at et SIEM-system er et vigtigt element i den forberedelse, der både kan gøre arbejdet lettere for jer, når I skal dokumentere, og som samtidigt kan hjælpe jer i det daglige arbejde med GDPR.

Vil du vide mere?

Læs her hvordan du kan håndtere indsamlingen af dine logs: Når opsamling af logs bliver intelligent

Læs 3. del af guiden her: