Jeg kan til stadighed ikke helt forstå hvordan virksomheder under Danmarks kritisk infrastruktur, bliver ved med at overse deres forpligtelser, når både Datatilsyn, CFCS og diverse standarder tydeligt opfordrer og hjælper på vej til at man følger loven og respekterer privacy.
Mon det igen er økonomi der afgører, at man vælger tilstrækkelig sikkerhed og compliance fra?
Datatilsynet kan i denne sag, nok dele mere ud end en advarsel,- oven i det kommer så den udgift, der rammer Lokaltog, for at redde data...det ville nok være billigere at gøre det rigtigt første gang...
"When will they ever learn"...
Grådighed er på alle måder den digitale verdens værste fjende. Techgiganterne og andre mastodonter støtter selvfølgelig hinandens dagsordner og ved at placere flest mulige data i skyen, satser de på at lægge pres på, at loven retter sig efter deres strategi og grådighed, fremfor fremme af borgernes/kundernes rettigheder. Der gambles med private kunders privacy - Det er uartigt, flabet og uhyggeligt og jeg håber ikke at de slipper godt afsted med det, men lobbyister fra techgiganterne skal nok gøre deres, sammen med en stab af supersælgere, der farer rundt og forvisser kunderne om at ”EU kommissionen og datatilsynene nok skal falde til patten” og ”kære kunde der er penge at spare…mange penge ved at gå i skyen med data også dem du holder for andre, så kom nu Mulle….du vil jo gerne være med i legen ikk?” Hvis man har en plan B der handler om at etablere en private cloud, så kom i gang- der er ikke en god nok undskyldning for andet.
Man har jo god fokus på cybersikkerhed og trusler også mod kritisk infrastruktur, hos de større aktører, som også selv arbejder meget seriøst med problematikkerne og foretager væsentlige investeringer. Cyberstrategi udkast har der været mange af gennem årene, men gennemgående er, at de aldrig når at træde i kraft, før den næste strategi kommer til. Alle må indse at skulle tage ansvar og at de i stor udstrækning skal kune være på egen hånd og kan ikke forvente at der bliver holdt "en hånd under", for den digitale udviling er hurtigere end vores beslutningsprocesser.
Jeg tror grundlæggende at man specifikt skal se noget anderledes på problematikken i SMV markedet, hvor der er en særlig tendens og forventning om at kunne fralægge sig ansvar og kunne hente hjælp. Cybersikkerhed er som låse på døren,- jo flere og des stærkere låse, des højere sikkerhed. Får man et fysisk indbrud, kan politiet tage sig af det ( ihvertfald i de fleste tilfælde), men drejer det sig om cybersikkerhed, så er ressourcerne der ikke og mangler generelt i samfundet, så det nytter ikke at vente på strategier eller forvente hjælp. Vældigt ofte angribes virksomheder, fordi de ikke aktivt har taget stilling til,- og arbejdet med cybersikkerhed, hverken omkring medarbejdere, deres adfærd, processer og viden eller omkring egnede værnende teknologier og korrekt konfiguration. Mange virksomheder særligt i SMV laget, har undervurderet trusselsbilledet og har ikke sat de "låse på døren" der i realiteten skulle til. Det er ofte sparet væk, enten med hensyn til at udtage profit, eller med henblik på investering i vækst. Nogle SMV virksomheder, særligt familieejede eller med en lidt ældre bestyrelse, har desværre en perception af, at brud på cybersikkerheden, er noget Politiet eller Forsvaret skal sørge for at hindre, eller at de for virksomheden, kan rage kastanjerne ud af ilden, hvis det går galt. Man mangler erkendelse for- og forståelse af, at der skal ske en forebyggelse. For når først data er korrumperet, mistet, eller taget til ransom, eller når en hacker har været inde og stoppe processer, forsyninger, eller har misbrugt identiteter, stjålet fortrolige oplysninger og søgte patenter, verserende retssager el. lignende,- så er det for sent. Trusselsbilledet bliver udbygget hver dag og det bør anerkendes og sættes til enhver virksomheds investering i eksistens og vækst, at man skal foretage de rigtige investeringer i cybersikkerhed,- omkring awareness såvel som i teknologier og services. Cybersikkerhed bliver alt mere avanceret og det kræver ofte specialviden. Ja det koster penge, til tider mange, men det er simpelthen en uundgåelig omkostning, hvis man vil drive virksomhed. Lidt som når man bygger hus og må indse, at man skal bruge varme og vand og skal regne med at skulle inddrage håndværkere og ikke blot kan klage og hente hjælp fra Politiet og Forsvaret, når de sparsomme vandslanger i stedet for vandrør man af sparehensyn, selv har anlagt, springer læk....
Jeg er enig i meget af kommentarsporet og kan tilføje, at Skat jo f.eks. også på Facebook åbnede mulighed for at borgere kunne stille spørgsmål, som borgerene nok ikke selv var klar over, ikke burde flurere på Facebook. Men det bør de GDPR ansvarlige fra Skat jo vide. Det undrer mig egentlig at Datatilsynet ikke har været opmærksomme på det.....med reference til det Norske Datatilsyns fokus: "Det kan være, at den registrerede opgiver for meget personlig information, herunder særlige kategorier af data, i en slags misforstået fortrolig dialog med Datatilsynet – enten offentligt eller i private beskeder. Den enkelte kan misforstå Datatilsynets tilstedeværelse som en garanti for, at platformen er mere databeskyttelsesvenlig, end den faktisk er,« skriver tilsynet i rapporten"
Det er da en god nyhed at man vil sammenlægge dette for ressorucebesparelser, så længe de enkelte kommuner fortsat passer deres øvrige opgaver som dataansvarlige:-)
Lad os nu kalde en spade for en spade. Det forholder sig faktuelt således: Man har mellem USA og EU til hensigt at aftale at lave en aftale. En aftale der i øvrigt fortsat ikke kan tilsidesætte, at der er national lov i USA der har forrang (Lov om at efterretningstjenesterne kan kigge med), så det bedste ville være at USA lavede deres egen nationale love om, for så ville alle andre aftalemuligheder falde på plads, men det syner at USA ikke har til hensigt at ændre love så radikalt, men blot udarbejder endnu et "letter of intend" efter Safe Harbour, Privacy Shield, gik på gulvet og det kan EU ikke bruge som sikkert underlag når USA har national lov der overruler.
Amerikanske love og regler der indvirker på EU Clouding på amerikansk ejet udstyr: CLOUD Act "The CLOUD Act allows the U.S. to enter into bilateral agreements with foreign countries for mutual access to data for the investigation and prosecution of serious crimes. The agreement must meet certain baseline requirements: (1) The retrieval of data is targeted to specific accounts, address or persons (no bulk collection); (2) these actions are subject to review or oversight by a judge, magistrate or independent authority; (3) the retrieval of data must have “articulable and credible facts”; and (4) the data must be in the “possession, custody, or control of the provider.” The U.S. can only enter into these agreements with countries that respect and abide by basic human rights obligations.
Article 48 of the EU General Data Protection Regulation restricts the transfer of data to non-EU authorities unless it is based on, for instance, a Mutual Legal Assistance Treaty. Moreover, Article 6 and Article 49 allow for the processing of data for public interest purposes. The European Data Protection Board has raised some doubts as to whether the CLOUD Act promotes mutual privacy safeguards for the treatment of data. It, therefore, becomes crucial to assess the CLOUD Act and whether it satisfies a future adequacy determination under the GDPR."
RULE 41 “Rule 41, titled Search and Seizure, is a rule in the Federal Rules of Criminal Procedure. In 2016 an amendment allowed judges to issue warrants allowing the FBI and other federal law enforcement agencies to use remote access tools to access computers outside the jurisdiction in which the warrant was granted”
50.000 i bøde med så lang behandlingstid, er det vel blot lagt i budgetterne... Jeg er kan ikke undgå at være forarget over bødeniveauet. Det er en fornærmelse mod borgerne
Ja jeg er også noget forundret over denne meget vage melding om muligheden for en kattelem. Det har under alle hidtidige forhandlinger om GDPR og i høring været gældende at data der ikke er anonymiseret men "kun" krypteret eller pseudonnymisrede, stadig var at betragte som læsbare,- blot med en nøgle- og de iøvrigt kan være af divergerende kvalitet. FISA'a ret til indsigt i data på amerikansk ejet materiel,uanset hvor på kloden det måtte opbevares, mener jeg også har forrang for EU lov, idet at det er en national lov, så der er et eller andet der ikke hænger sammen. Men hvorfor egentlig al den snak om cloud fra aktører der er udenfor EU, giv dog taletid til de der faktisk snildt kan tilbyde ren EU Cloud og hvorfor iøvrigt ikke også tale om etablering af national Cloud?
Der er jo unægtelig opstået en urolig situation også i mange danske virksomheder. Selvfølgelig kan man frygte at en software/sikkerheds-producent er for tæt knyttet til en efterretningstjeneste, men det skal man forholde sig til uanset hvilket land en løsning er produceret i.
Vi har dog hos Nixu forståelse for bekymringen. Selv har vi stoppet al handel med russiske kunder og leverandører. Vi har i den anledning udarbejdet særlige vilkår for Kasperskykunder der ønsker at skifte til andre løsninger.
Det er da ganske sandsynligt, ligesom andre clouds er infiltreret, men her handler det også om best effort og dertil er det muligt at foretage yderligere sikkerhedsgreb for unikke adgange og kryptering af data...lige nu er det bar mås og viklers;-)
Det at amerikanske selskaber er involveret vil være et problem uanset hvor man placerer en tjeneste, så længe det er hostet af en Amerikansk udbyder gælder FISA section 702 og Rule 41, som man ikke kan skrive sig ud af med,- ligemeget om det gennem tiden er blevet kaldt Safe harbour, Privacy Shield eller vil få et nyt navn....
Etabler nu blot en ren EU cloud, som alle de forskellige EU lande kan benytte, i separarede miljøer med vandtætte skotter. Lige nu tales der om at vi her i EU end ikke er enige med amerikanerne om hvordan vores udmeldinger skal være til Rusland vedrørende Ukraine krisen, så ja amerikanerne er vores allierede, men det burde virkelig ikke betyde at vi lukker op for et udsalg af arvesølvet, når vi skal benytte cloudtjenester for vores borgere.
Jeg frygter at de forhandlinger der pågår, ender ud med et resultat med laveste fællesnævner, fordi det er nemmere og mere bekvemt...og af hensyn til de mange løfter og indrømmelser der er givet for at afstemme internationale balancer mellem handels- og forsvars- vilkår samt investeringer....
Jeg synes at det stærkt at Stockholms kommune tager den beslutning at O365, ikke er sikkert nok for borgerne. De udmeldinger som Microsoft er kommet med er sympatiske, men at betragte som Letters of intention" og det er jo fint at Microsoft viser at de har de bedste intentioner (og ønske om fastholdelse af kunder), men det kan brugervirksomheder ikke betale bøder med, i tilfælde af incidents der resulterer i lovbrud . Stokholm er blandt de første ”offentlige” virksomheder der tager den beslutning, men forhåbentlig ikke de sidste.
Mange ”offentlige” virksomheder og producenter af hostede IT-løsninger forventer nok at der vil komme en lovændring, men det håber jeg virkelig ikke, for da skrider borgernes privacy og rettigheder og da vælges laveste fællesnævner. Garantier upåagtet, så er USA et usikkert land og derfor skal personhenførbare og følsomme oplysninger ikke overføres til USA eller amerikansk ejede cloudmiljøer,- uanset hvor de er placeret og selvom en hoster blot er undeleverandør af cloudede systemer. En problematik der ofte overses.
I Danmark har mange offentlige instanser og virksomheder "taget chancen", idet at Datatilsynet o.a. har udvist eftergivenhed, som jeg ikke ved er fordi de er blevet "bedt om det" eller om det er fordi at Datatilsynet ikke har indset det tekniske setup og de potentielt afledte konsekvenser/lovbrud. Men hvis et udenlandsk Datatilsyn rykker på det i forbindelse med systemer der også holder udenlandske EU borgere, så kommer problematikken omkring bøder uhyggeligt tæt på og det vil nok skubbe til holdningsændringer i Danmark.
Jeg ser som sikkerheds- og GDPR- rådgiver at mange virksomheder vælger at løbe risici på dette felt til fordle for nemmere og billigere løsninger. "Det er som altid menneskets grådighed der bringer det i ulykke...." Stay safe...
Vi kan diskutere kompetencer, ressourcer, ekstern og intern know how og agilitet. Projektet er fint, men jeg håber at der for SMV'er indses, at der skal bredtfavnende og flere diversisteter af fagfolk til løbende at passe og forstå sikkerhed, alarmer, tegn på angreb eller brud osv. Er uheldet ude, krve stor koordinering og er det også meget væsentligt, at der kan reageres korrekt og hurtigt, så skadesomfanget kan inddæmmes ASAP. SMV'er har brug for kontinuerlig hjælp. Går de sammen kan det løses for rimelige penge, men der skal være ret meget ressourcetilgængelighed bag ved og det er langt fra alle udbydere i markedet, der kan tilbyde og garantere det. Det er godt at der er taget spadestik, men "vi skal længere ind";-)..og staten bør spytte i kassen.
Det bliver interessant at se hvor sikkerhedsteknologierne tager os hen og om de i tide kan følge med udfordringerne. Med den nu mere avancerede anatomi i angreb, er der ingen tvivl om at der skal detekteres langt mere effektivt omkring anomalier, men ikke kun på netværkstrafik, sågu også på endpoints, for der skal kun et rådent æble i kurven til, for at der kan ske en katastrofe, som meget vanskeligt opdages, hvis ikke intelligent software effektivt kan opsnappe og hindre uhensigtsmæssig/anormal adfærd på den enkelte enhed. Mon ikke også vi vil se at NAC løsninger får tilbragt mere intelligens i den sammenhæng.... Den vanskelige opgave, særligt til til SMV segmentet, ligger i at forklare nødvendigheden for at virksomhederne skal anvende mere, end blot Endpoint Protection og en firewall. Allerede nu er trusselsbilledet komplekst at forklare og mange virksomheder opfatter forklaringerne som "salgsgas". Der ligger efter min mening i virkeligheden en meget stor formidlingsopgave rent statsligt. Sikkerhedsindustrien kan og bør ikke mande det op alene.
Jeg kan upåagtet alle de relevante kommentarer, se Hennings bekymring i et videretænkt scenarie...store techgiganter etablerer sig i Danmark og det bliver ikke mindre attraktivt af at vores bødesatser er så lave, når man måske er lidt lemfældig med privacybeskyttelse i forvejen...well blot en tanke.. argumentet omkring dommen forstår jeg, men bøden er efter min mening for lav.
Tak for modig journalistik, der endelig sætter projektør på rigets digitale strategier og totale udsalg af danske data og værdier. Lad os nu end ikke tro at vores finansminister er sat korrekt ind i sagerne i dette marionetteater. Den egentlige magtelite, færdes slet ikke i pressen og informerer da ikke om kludehandler indgået omkring indsigt i borgernes og virksomheders data, som indgår ukritisk i handler mellem regeringer og efterretningstjenester. Snowden beviste det og det fortsætter uforstyrret. Jeg og et par andre, fik i sin tid mundkurv på da jeg i DIs sikkerhedsudvalg indstillede til at vi bl.a. i en vejledning til medlemmerne skulle advare dem om at ALLE potentielt - også vores egen regering, kan handle en virksomheds data, forskningsresultater osv. Og at vi derfor hver især bør kryptere vores data.....
Mette Nikander