Advarsel: Kommende kæmpebøder for datasjusk bliver fed fidus for hackere

Persondataforordningen giver grundlag for hacker-afpresning, mener Henning Mortensen.

Infosecurity, København. De massive bøder, som EU’s persondataforordning kan udløse til virksomheder, der sjusker med data, giver cyberkriminelle en effektiv løftestang til at afpresse virksomheder.

Det vurderer Henning Mortensen, der er Cheif Privacy Officer i grossistfimaet A & O Johansen.

»Vi kommer til at se afpresning på det her område. Der vil være en god businesscase for it-kriminelle i at trænge ind i virksomheder og finde persondata,« siger han på it-sikkerhedskonferencen InfoSecurity, som i denne uge holdes i Øksnehallen i København.

Læs også: Justitsministeriets vejledning om EU-persondataforordningen bliver forsinket

Hackere, der får adgang til persondata, kan kræve penge af virksomheden, mod ikke at gå til Datatilsynet og forklare ikke bare, hvilken data de har, men også, hvordan de fik fat i den.

For hvis Datatilsynet får den information, kan det udløse en bøde på op til 4 procent af den globale omsætning, understreger Henning Mortensen.

Anseelige bøder

Persondataforordningen – eller GDPR – træder i kraft til maj næste år. Til den tid vil kun et fåtal af virksomheder være 100 procent compliant. Det er svært at spå om, hvornår Datatilsynet vil uddele de første bøder, vurderer Henning Mortensen.

»Datatilsynet har historisk været tilbageholdende omkring at overlade sager til politiet, der kunne føre til bøder. Jeg gætter på, at Datatilsynet fortsat vil være tilbageholdende, indtil der kommer en tydeligere praksis på et fælleseuropæisk plan,« fortæller han.

Læs også: Britisk teleselskab efterforsker tyveri af fire millioner kunders data

Man skal formentlig dumme sig gevaldigt for at komme op på de fire procent i bøde, mener Henning Mortensen. Men mindre kan også gøre det. I Storbritannien fik et britisk teleselskab for nyligt fire millioner kroner i bøde for ikke have patchet en database. Fejlen blev i oktober sidste år udnyttet af hackere til at stjæle persondata.

»Så selv en nørdet sikkerhedsopdatering, der ikke er på plads, kan give anseelige bøder,« siger Henning Mortensen.

Massesøgsmål

Det er ikke kun tilsynets bøder, som virksomheder skal frygte, hvis der har været hackere i systemet. Hvis en virksomhed sjusker med persondata, har berørte personer mulighed for at indlede en erstatningssag. Og det kan bane vej for massesøgsmål – f.eks. gennem organisationer som Forbrugerrådet.

Læs også: 358 danskere med i masse-søgsmål mod Facebook

»Hvis en virksomhed skal betale 5.000 kroner i erstatning for en fejl, så kan alle, der er berørt, komme og sige: 'Jeg vil også have 5.000 kroner',« siger Henning Mortensen og tilføjer:

«Det kan blive til lige så store beløb som de berømte 4 procent af omsætningen.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bente Hansen

"Topchefer kan ikke overbevises om vigtigheden af it-sikkerhed med Security Incident Reports, men skal have facts, der relaterer til forretningen."

https://www.version2.dk/comment/356467#comment-356467

Så et lidt mere udførligt svar, med en case kommer her, så også lederen kan forstå det.

"nørdet sikkerhedsopdatering, der ikke er på plads"= fire millioner kroner i bøde.

Til næste år, lang flere krav og muligheder for bøde. Samt de bøderne stiger til lidt under en milliard kr.

Er det forståeligt nok. Eller mere kort.

Hvis ikke der kommer mere styr på it sikkerheden, så kommer der så store bøder, så der ikke er penge i firma til din løn og bonus.

  • 3
  • 0
Gert G. Larsen

Så Henning antager, at virksomheder kan finde på at betale kriminelle en dummebøde, for at spare nogen penge i forhold til at betale den reglementerede bøde?
JEG tror som udgangspunkt på at virksomhederne er moralske, og ikke forhandler med kriminelle. Men sådan kan man vel se det så forskelligt... Jeg har også hørt, at nogen betaler for dekryptering efter ransomwareangreb, totalt uforståeligt.

  • 0
  • 0
Anders Lorensen

Mon ikke der er flere penge i at shorte selskabets aktier, hvis man hacker et børsnoteret selskab, som hacker?

Et fald på 4% af omsætningen vil oftest give et fald på aktiekursen på over 4%. Men en gearet shortposition, er der mange penge at tjene...
Og da det er kurspåvirkende information, skal virksomheden oplyse det til fondsbørsen med det samme de får viden om at de er hacket. Og sandsynligvis vil de også sende en nedjustering ud.

  • 3
  • 0
Bente Hansen

JEG tror som udgangspunkt på at virksomhederne er moralske


Tror den var god :-)

Som Goldman Sachs der har fået flere bøder og erstatningskrav ikke på grund af deres totale mangel på moral og etik, men fordi de også løj. bedrag samt lavet andre ulovlighed, sammen med resten af bankerne og finansverden. Noget som førte til boligkrisen i 2008.

Eller tænker du her på Don Ø, Alias Flemming Østergaard som snart må rykke direkte i fængsel på grund af bedrageri/kursmanipulation.

Måske Roskilde Bank eller mener du dybt korrumperet organisationer som FIFA eller Cykelhold som US Postal.

Eller fødevareindustrien som solgte heste og fordærvet kød i flere år, uden nogen greb ind.

Eller Atea, med korruption langt ind i det offentlige.

Hvem er det lige du mener, som har moral, til ikke at spare penge ?

Når der bliver indført fængselstraf til beslutende ledere, i både det offenlige og private, i stedet for straffe som bøder, der ikke rammer dem som vinder økonomisk, så kan vi prøve igen.

  • 2
  • 0
Albert Nielsen

Citat: "massive bøder, ... giver cyberkriminelle en effektiv løftestang til at afpresse virksomheder."

Netop derfor er afskedigelse eller, i grove tilfælde, fængselsstraf vejen frem. De færreste hackere vil kræve at blive fyret eller få andel i 6 måneder i Vestre.

  • 0
  • 0
Michael Cederberg

Hvis man læser det der er skrevet omkring GDPR, så er det klart at de kloge mennesker i EU godt ved at fejl opstår. Det handler ikke om at straffe virksomheder der laver hændelige fejl.

Derimod handler det om at ramme virksomheder som opfører sig uansvarligt.

JEG tror som udgangspunkt på at virksomhederne er moralske, og ikke forhandler med kriminelle

Virksomheder kan ikke have moral. Moral er for mennesker som kan føle og tænke. Ydermere kan der være mange ejere som hver har deres eget moralske kompas. Hvis moral skal virksomheden følge?

Virksomheders formål er at tjene penge til ejerne. Derfor har vi regler for hvordan de må opføre sig. Moral for virksomheder handler kun om at sikre at kunderne ikke går andre steder hen. Derfor er det også vigtigt at vi som kunder stemmer med fødderne når vi mener virksomheder gør noget forkert.

  • 2
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize