Hvordan oppføre seg ved datainnbrudd?

Først av alt, ikke få panikk, og sørg alltid for at du har håndkleet med deg.

Det skjedde til slutt. Det var en feil i systemet ditt, og noen utnyttet det til å utføre det som på sjargong kalles en datainnbrudd. Et brudd på personopplysninger. Ikke bekymre deg, det er ikke et uvanlig fenomen. De heldigste støter på denne hendelsen mindre enn en gang i året, men i en verden som utvikler seg like raskt som internett kan det skje at denne hendelsen blir mye hyppigere. Mens du prøver å ikke få panikk, oppfordrer vi deg til å holde deg til tommelfingerregelen: for å håndtere et brudd, må du følg indikasjonene i den europeiske forordningen 16/679 (GDPR) som gir veiledning om hva du skal gjøre hvis et datainnbrudd oppstår.

Hva er et datainnbrudd?

Brudd på personopplysninger er av 6 typer, og hver av disse kan være frivillig eller tilfeldig basert på hvorfor det skjedde:

• Uautorisert tilgang. Noen kunne ikke ha tilgang til viss informasjon, men de gjorde det. I tilfelle dette var en feil, kan du ha sendt et viktig dokument til én person i stedet for en annen. Det var en ulykke, men det er fortsatt et datainnbrudd. Men i tilfelle du har gitt uautorisert tilgang til noens data, kan denne hendelsen bli spionasje.
• Uautorisert kopi. Noen tok noen data som ikke tilhørte dem og kopierte det til seg selv. Dette kan være en ulykke hvis en medarbeider bestemte seg for å skrive ut et dokument de ikke burde ha for å bedre kompilere et arbeidsdokument. Ved frivillig kopiering for mindre klare formål kan det være det tyveri.
• Uventet avsløring. Noen lekker ved et uhell data som av en eller annen grunn ikke burde være online. For eksempel blir et bilde av en viktig kunde offentliggjort på selskapets Facebook-profil. Ved svindel kalles denne operasjonen spredt.
• Uautorisert modifikasjon. Noen endret noen data, selv om de ikke kunne gjøre det. Hvis det skjedde ved en feil, er dette det. Ellers kan det være tukling av en hacker eller en angriper.
• Tap av tilgang. Noen mister informasjon og den er ikke lenger tilgjengelig. Å glemme datamaskinens passord er et brudd, visste du det? Og i tilfelle det ble gjort med vilje, blir det kryptering.
• Sletting av data. Noen sletter sensitive data. Hvis dette skjedde ved en feil, er det et brudd. Men i tilfelle kanselleringen er frivillig, pådrar det seg dataødeleggelse.

Brudd på personopplysninger: hvordan oppføre seg?

Vennligst se artikkel 33 og 34 i GDPR. Disse to artiklene viser til den europeiske forordningen som søker å angi prosedyrene som skal følges i tilfelle et databrudd. Artikkel 33 gjelder den interne ledelsen av selskapet og forholdet til garantisten, mens artikkel 34 gjelder ledelsen med interessentene, eller personene hvis personopplysninger vi har.

Det er viktig å presisere det databruddet skal alltid registreres e, i tilfelle varslet til garantisten som det fremgår av artikkel 33. Dette sier også at ved et brudd skal den behandlingsansvarlige varsle tilsynsmyndighetene innen 72 timer etter at han ble kjent med det, spesielt dersom dette utgjør en risiko for fysiske personers rettigheter og frihet. Databehandlerne (lønnsselskap, regnskapsfører, systemanalytikere ...) må varsle behandlingsansvarlig.

Hvis du bestemmer deg for å varsle garantisten, trenger han informasjon: arten av bruddet, antall personer involvert, kontraktsdata fra databeskyttelsesansvarlig, mulige konsekvenser av bruddet og eventuelle tiltak som er tatt eller skal iverksettes.

Selskapet har imidlertid en plikt til kommunisere alt som skjer, uavhengig av om bruddene er utilsiktede eller forsettlige, og påtar seg ansvar (ansvarlighet).

Ansvaret?

Firmaet må være ansvarlig, kompetent og bevisst på hva som skjer i sine miljøer og systemer. Selskapet må demonstrere sin evne til å løse problemet proaktivt og vise at det har verktøy for å demme opp for konsekvensene av datainnbruddet. Dette gjøres ved å fremskaffe bevis og data – og ved å tilby garantisten en visshet om at det som skjedde aldri vil skje igjen. Ved manglende «ansvarlighet» påløper en bot.

Hva er bruddene som skal kommuniseres til garantisten?

Kun frivillige brudd og ikke tilfeldige brudd blir kommunisert til garantisten. Den behandlingsansvarlige må avgjøre om han eller ikke skal varsle, i ansvarlighetslogikken, hvis databruddet kan forårsake skade på enkeltpersoners rettigheter og friheter. L'ENISA (The European Union Agency for Cybersecurity) har opprettet en metodikk for å beregne risiko om personers frihet i møte med en krenkelse. Denne metodikken kan også brukes i bedriften.

Hvordan vet du om det har vært et brudd?

Krenkelsen må forstås å være virkelig oppdaget. Dette er gjennomførbart dersom det er tilstrekkelig opplæring i selskapet for å estimere risikoen og forstå eventuelle skader. Kort sagt, du trenger ikke en ingeniør som kommer inn på scenen i to måneder i et forsøk på å estimere mulige skader på en tapt flash-stasjon: du trenger et kurs som hjelper tilgjengelig personell å forstå omfanget av skaden uten å legge til til kostnadene allerede viktig forvaltning. Enkelt sagt må personalet få opplæring i hva et brudd innebærer og i å kommunisere prosedyren til registrerte i tide.

Artikkel 34 forteller oss at den behandlingsansvarlige kan ikke kommunisere bruddet til den registrerte når:

• Tilstrekkelige tekniske og organisatoriske tiltak settes i verk, men med melding til garantisten og bevis på ansvarlighet.
• Den har vedtatt tiltak for å unngå høy risiko for datainnbrudd.
• Offentliggjøring kan unnlates dersom det krever uforholdsmessig innsats – i dette tilfellet må det erklæres offentlig!

Datainnbrudd skjer. Men hvordan tror du at du kan takle det?