Stadig mere følsomme oplysninger i skyen – hvordan beskytter man dem bedst?

Organisationer over hele verden fortsætter med at lægge mere og mere af deres information i skyen. Det er grundlæggende en god ting, da skyen næsten altid er mere sikker end det lokale kontor eller virksomhedens datacenter. Desværre holder sikkerheden ikke altid trit med væksten af data i skyen. For eksempel er det ikke alle, der krypterer data "i hvile", har fuld indsigt i, hvilke data der rent faktisk er i deres cloud-applikationer, eller bruger DLP-funktioner (Data Loss Prevention) til at beskytte mod forskellige typer datatab. Desuden giver mange virksomheder adgang til virksomhedsgodkendte cloud-tjenester fra personlige enheder, hvilket kan føre til, at følsomme oplysninger downloades fra skyen til en ukontrolleret personlig enhed.

For alle, der håndterer følsomme oplysninger – ikke mindst personoplysninger og kundedata – er det ekstremt vigtigt, at alt er konfigureret korrekt, at man har de rette sikkerhedsprocedurer på plads (som også følges), og at der er fuld gennemsigtighed med hensyn til, hvor og hvordan data lagres og beskyttes.

Dine cloud-tjenester kan overtræde GDPR-reglerne

De lovgivningsmæssige rammer for håndtering af persondata har været på plads i nogle år, og indtil nu har de store amerikanske udbydere af cloudtjenester støttet sig til den såkaldte Privacy Shield-aftale. Men siden EU-Domstolen annullerede Privacy Shield-aftalen, er det ikke længere tilladt udelukkende at forlade sig på denne aftale for at påvise EU-kompatibilitet. I stedet er det nu op til hver enkelt organisation at vurdere, om der er tilstrækkelige sikkerhedsforanstaltninger på plads for at sikre overholdelse af GDPR.

Datakryptering kan give organisationen en sådan beskyttelse, men det er vigtigt at huske, at bevisbyrden i dette tilfælde ligger hos den enkelte virksomhed. Det er derfor den enkelte virksomhed, der skal kunne garantere, at ingen ekstern organisation (f.eks. den amerikanske NSA) har knækket de nuværende krypteringsniveauer. Det er en garanti, som det er yderst vanskeligt, hvis ikke umuligt, for enkelte organisationer at give.

Alt i alt har vi en situation, hvor der er en øget risiko for, at følsomme data falder i de forkerte hænder – noget, der i sidste ende også kan have økonomiske konsekvenser for de virksomheder, der håndterer dataene.

Nedenfor er nogle vigtige ting, som alle, der håndterer personoplysninger (f.eks. kundedata), skal sikre og tage højde for.

5 tips til, hvordan du beskytter følsomme data

Det er ikke så svært at få indsigt i skyen og beskytte følsomme data, som det måske ser ud til. Men det handler selvfølgelig om at vide, hvor man skal starte, og hvad man skal fokusere på. Og det handler om tekniske løsninger, politikker og procedurer samt om at øge bevidstheden blandt alle medarbejdere.

1. Vælg en cloudtjeneste, der garanterer overholdelse af lovgivningen.

Sørg for, at du er bekendt med de databeskyttelseslove, der gælder i det land, hvor dine data vil blive opbevaret, f.eks. GDPR inden for EU, og om der er andre love, der kan tilsidesætte nationale love, f.eks. den amerikanske CLOUD Act. Glem ikke, at det er cloududbyderens hjemland, der bestemmer, hvilke regler der gælder for data og applikationer, og ikke datacentrets geografiske placering.

2. Kryptering er et must.

Når du flytter til skyen eller skifter sky, skal du sikre dig, at din platform og dine skyløsninger giver mulighed for at kryptere data - både når data lagres i skyen, og når data overføres eller deles med forretningspartnere. Hold dig også opdateret om kryptering - krypteringsteknologier og -processer udvikler sig meget hurtigt. Organisationer, der ikke har gennemgået og om nødvendigt opdateret deres krypteringspraksis, er ofte sårbare over for angreb.

3. Kontrol, kontrol, kontrol.

Udarbejd en strategi for enhedskontrol, der identificerer og kontrollerer brugen af alle enheder, der kan gemme eller downloade data. Dette reducerer ikke kun risikoen for, at skadelige elementer trænger ind i dit netværk – det kan også hjælpe med at forhindre, at følsomme oplysninger lækkes, enten ved et uheld eller med vilje. Brug applikationskontrol til at spore og begrænse unødvendig eller risikabel software.

Overvej også at begrænse adgangen til kundeoplysninger – det er ikke alle i en organisation, der har brug for at kunne se kundernes personlige oplysninger. Jo færre personer der har et reelt behov for adgang, jo færre muligheder har angribere for at finde et svagt punkt og stjæle data.

Det kan også være en god idé at adskille dine netværk. Nutidens cyberkriminelle vil have mere end blot en brugers adgangskode og et par filer – de vil have adgang til dine backend-databaser, dit PoS-netværk og dit testnetværk. Overvej derfor at adskille dine netværk med kraftige firewalls, der behandler dine interne afdelinger som potentielt fjendtlige over for hinanden, i stedet for at have en enkelt stor »intern« barriere mod den frygtede »ydre verden«.

4. Glem ikke de grundlæggende sikkerhedsfunktioner.

Der er en række ting, du altid bør have i din sikkerhedsværktøjskasse – uanset om vi taler om beskyttelse af personlige data i skyen eller andre steder. Sørg for eksempel for, at du har effektiv beskyttelse af endepunkter, netværk og e-mail, der filtrerer det meste spam, malware og filer fra. Lær dine medarbejdere at være mistænksomme over for e-mails, især dem med vedhæftede filer, og altid at rapportere usædvanlige e-mails eller vedhæftede filer til IT-afdelingen. Desværre er der stadig alt for mange medarbejdere i virksomheder, der ved et uheld downloader malware ved at klikke på links eller vedhæftede filer i e-mails.

Derudover bør du naturligvis have strenge procedurer for adgangskoder og ikke tillade, at kælenavne, fødselsdatoer eller yndlingshold bruges som login til cloudplatforme, hvor følsomme data er gemt. Hvis det er muligt, bør du altid implementere multifaktor-godkendelse – faktisk taler mange nu om at afskaffe adgangskoder helt og i stedet bruge biometriske løsninger.

Såkaldt »skygge-IT« er en situation, der opstår, når medarbejdere bruger utallige cloud-tjenester uden din viden. Forsøg at få et overblik over, hvilke tjenester der faktisk bruges i din organisation, og hvordan de bruges. Informer dine medarbejdere om, at det er yderst upassende at flytte følsomme virksomhedsdata til en privat Dropbox eller lignende. Selvom det er »mere praktisk« i øjeblikket, kan det øge risikoen for, at oplysningerne falder i de forkerte hænder (især hvis adgangskoden til Dropbox-kontoen er svag eller aldrig er blevet ændret).

Hurtig og kontinuerlig patchning er en anden meget vigtig del af dit sikkerhedsarbejde. Kendte, men ikke-patchede sikkerhedshuller er en af de mest almindelige angrebsvektorer, som kriminelle udnytter. Desværre bliver patchning ofte overset og prioriteret lavt. Overvej derfor at købe værktøjer eller tjenester, der håndterer patching for dig. Dette vil sikre, at dit operativsystem og dine applikationer altid er opdateret med de nyeste sikkerhedsrettelser.

5. Gem kun det, der er absolut nødvendigt.

Indsamling af unødvendige kundedata er ikke kun spild af energi og ressourcer, men giver også angribere et større mål at fokusere på. Det kan også let få kunderne til at bekymre sig og undre sig over, hvorfor du overhovedet har brug for at indsamle så mange oplysninger. Indsaml og opbevar derfor kun det, du virkelig har brug for til forretningsformål. Du kan også gå et skridt videre og give kunderne mulighed for at vælge, om de vil dele personlige oplysninger med dig eller ej.

I stedet for altid at forsøge at få så meget som muligt ud af kundedata (mange virksomheder abonnerer stadig automatisk deres kunder på mailings umiddelbart efter en transaktion), bør du overveje at slette alle data, når din virksomhed er færdig med at kommunikere med dem. Denne type sikkerhedstankegang styrker kundernes tillid til dine bestræbelser på at beskytte deres privatliv.

Konklusion – gør kundernes privatliv til alles prioritet

Databeskyttelse vedrører alle. Kundesikkerhed er alt for vigtig til at blive håndteret af nogle få udvalgte. Når du har indført omfattende sikkerhedsprocedurer og -politikker, skal du sikre dig, at alle i din organisation forstår dem og frem for alt følger dem. Du bør f.eks. lægge særlig vægt på at sikre, at dine medarbejdere forstår de potentielle risici ved at bruge deres egne enheder eller netværk uden for kontoret.