Opsang til virksomheder med følsomme persondata: Jeres data kan slå ihjel

Alt for få virksomheder simulerer hacking-scenarier, hvor følsomme persondata bliver lækket til offentligheden. De risikerer at ende i samme fælde som utroskabssitet Ashley Madison, advarer sikkerhedsrådgiver Per Thorsheim.

Flere virksomheder er begyndt at arbejde med scenarier for, hvordan de skal reagere, hvis de bliver ramt af et hackerangreb.

Problemet er, at øvelserne for ofte begrænser sig til det tekniske setup: Hvordan sikrer vi virksomhedens data, og hvordan får vi hurtigt systemerne op at køre igen, hvis de bliver lagt ned eller kompromitteret?

Men især små og mellemstore virksomheder, der har it-systemer med følsomme persondata, glemmer at tænke scenariet helt til ende, lyder det fra den norske sikkerhedsrådgiver og direktør for God Praksis Per Thorsheim.

Bliver følsomme persondata lækket, er man som virksomhed også nødt til at tage højde for konsekvenserne for de ramte personer i sin strategi. Er man lige så uheldig som utroskabssitet Ashley Madison, der blev hacket sidste år, kan man indirekte få liv på samvittigheden.

»Hvis du tror, at du kun arbejder med computere og databaser, tager du fejl. Du håndterer information, som kan få folk slået ihjel,« siger Per Thorsheim, der vil fremlægge de lektioner, som man kan lære af Ashley Madison-lækket, til it-sikkerhedskonferencen Infosecurity den 3. og 4. maj i København.

Manglende empati

Ashley Madison-angrebet er et af de største læk af følsomme persondata i historien, hvor navne og personlige oplysninger på millioner af brugere, der havde brugt utroskabstjenesten, blev lagt ud offentligt.

Som konsekvens har der været flere rapporter om selvmord fra tjenestens brugere, der havde fået deres navn offentliggjort. Og i Saudi-Arabien, hvor homoseksualitet kan give dødsstraf, kom navnene frem på flere mænd, der søgte efter mandlige seksuelle partnere via Ashley Madison.

Virksomheden bag dating-sitet reagerede på angrebet med otte pressemeddelelser, hvor ordet ‘undskyld’ kun optrådte én gang i alt. Udmeldingerne var hurtige til at pege fingre ad alle andre end selskabet selv - en stor fejltagelse ifølge Per Thorsheim.

»Måden, virksomheden håndterede hele affæren på, var absolut forfærdelig. De beskyldte alle andre end sig selv for angrebet. Det er et førsteklasses eksempel på, hvordan man ikke skal gøre, hvis man bliver hacket,« siger han.

Derfor er det vigtigt for virksomheder, der håndterer følsomme persondata, at lave øvelser for, hvordan de skal håndtere et eventuelt datalæk, opfordrer sikkerhedsrådgiveren.

»De fleste virksomheder har ikke lavet den øvelse og gået igennem tankeprocessen for, hvad de vil gøre, hvis der for eksempel bliver lækket information om de ansattes misbrug af alkohol eller deres gældssituation,« siger Per Thorsheim og uddyber:

»Den typiske reaktion er at sige: ‘Vores tjeneste er nede - hvor hurtigt kan vi genoprette driften?’ Men det er ikke nok.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere