Featured
Featured

De mest hyppige GDPR sikkerhedsbrud

ABT

Datatilsynet har som et led i deres nye strategi for en data- og risikobaseret indsats sammensat statistikker om sikkerhedsbrud. Disse statistikker vil blive opdateret månedligt og skal hjælpe virksomheder med at træffe gode risikobaserede beslutninger. Jeg vil i denne blogpost tage dig igennem, hvad statistikkerne siger lige nu.

Datatilsynets kategorier over sikkerhedsbrud

Datatilsynet har præsenteret statistik om, hvilke typer sikkerhedsbrud der oftest bliver anmeldt til dem. De fem hyppigste typer sikkerhedsbrud er:

  1. Rigtige oplysninger til forkert modtager = 50,2%

  2. Offentliggørelse = 13,6%

  3. Andet = 10,4%

  4. Brevpost bortkommet = 7,1%

  5. Forkerte oplysninger til rigtig modtager = 7%

Umiddelbart er det ikke kategorier, som omhandler it-kriminalitet/hackere, men derimod hændelser, der opstår ved hverdagsfejl. Det er faktisk kun 2% af anmeldelserne bliver klassificeret som hacking.

Det viser vigtigheden af at oplyse og træne medarbejdere, så de ikke begår disse fejl i deres hverdag.

Datatilsynet inddeler alle anmeldelser i kategorier

Før jeg dykker mere grundigt ned i de fem typer, tager jeg lige et skridt tilbage, for hvad består Datatilsynets statistik egentlig af? Når Datatilsynet modtager en anmeldelse om et sikkerhedsbrud, så kategoriserer de disse ud fra, hvad der er sket. Kategoriseringen og fordelingen ser således ud:

Datatilsynets statistik
Klik for at forstørre

Datatilsynet har i alt registreret 4856 sikkerhedsbrud i kategorierne.

Hvordan de forskellige kategorier præcist er defineret, fortæller Datatilsynet ikke. Det betyder, at det er op til fortolkning, hvad kategorierne præcist indeholder, og hvornår de overlapper mellem hinanden. En phishing-mail kan f.eks. både klassificeres som hacking, social engineering og ransomware alt afhængig af, hvad der er sket i situationen.

De rigtige oplysninger til den forkerte modtager er det største problem

For at vende tilbage til de mest forekomne typer sikkerhedsbrud, så er den klart hyppigste type sikkerhedsbrud ”Rigtige oplysninger/forkert modtager”.

Hele 50 procent af alle anmeldelser bunder i, at de rigtige oplysninger er endt hos den forkerte modtager. Det virker som et banalt problem, men hele 2437 ud af 4856 anmeldelser passer til denne kategori. Det viser, hvor let man kan komme til at dele oplysninger med forkerte modtagere, når man står i en travl hverdag. Måske tilføjer man den forkerte modtager til en mail eller giver en bruger for mange rettigheder i et system. En enkelt lille klik-fejl kan forårsage et sådan sikkerhedsbrud.

Det er derfor vigtigt, at man lærer sin medarbejdere at tjekke alt igennem en ekstra gang, inden man trykker send, eller inden man tildeler en person rettigheder til data. Lige så banalt, som det virker at undgå, lige så nemt er det at falde i.

Awareness omkring disse simple faldgruber er vigtigt for at undgå dem. Tekniske løsninger kan løse mange problemer, men det hjælper ikke imod, at personer sender oplysninger til forkerte modtagere.

De mest udbredte sikkerhedsbrud er IKKE hacking

Som nævnt er de 5 mest forekomne sikkerhedsbrud:

  1. Rigtige oplysninger / forkert modtager = 50,2%

  2. Offentliggørelse = 13,6%

  3. Andet = 10,4%

  4. Brevpost bortkommet = 7,1%

  5. Forkerte oplysninger til rigtig modtager = 7%

Disse kategorier lugter ikke af hacking og komplicerede angreb. I stedet er det nærmere almindelige hverdagssituationer, hvor man ved et uheld kommer til at lave en lille fejl.

Det er lidt utydeligt, hvad en kategori som ”Offentliggørelse” indeholder, udover at persondata bliver offentliggjort. Man kan ikke udelukke, at en hacker har fået fat i persondata, som hackeren så har offentliggjort, hvilket derfor går i kategorien ”Offentliggørelse”. Men kun 2% af anmeldelserne bliver klassificeret som hacking, så det er kun et fåtal af alle sagerne i kategorien ”Offentliggørelse”, der består af hacking. Vi må derfor gå ud fra, at størstedelen af hændelserne består af fejl hos en medarbejder. Det kan f.eks. være, at man kommer til at lægge persondata ud på en hjemmeside, hvor alle kan tilgå det. Der er utallige måder, hvor man kan komme til at offentliggøre data, der ikke skulle være offentliggjort.

Brevpost bortkommen udgør hele 7,1% af alle sikkerhedsbrud. Det viser meget godt, at der altid vil ske menneskelige fejl, og at det ikke kan undgås. Brevpost kan forsvinde mange steder i en proces – både hos afsenderen, virksomheden der står for leveringen og hos modtageren, men fælles for alle tre led er, at det ofte vil være en menneskelig fejl. Det viser, at sikkerhedshændelser ofte handler om adfærd.

Forkerte oplysninger til rigtig modtager minder på mange måder om rigtige oplysninger/forkert modtager. Den mest oplagte årsag til denne type hændelse er, at man ved et uheld vedhæfter den forkerte fil til en mail, og giver personer adgang til data, de ikke skulle have haft. Der er altså igen tale om kategori, der formentlig består mest af menneskelige fejl frem for hacking og tekniske fejl.

Til sammen udgør de fem mest udbredte årsager til anmeldelser hele 88,3% af anmeldelserne. Det giver derfor ud fra en risikovurdering mening at fokusere på, hvordan man kan undgå disse. Vi kan af gode årsager ikke bedømme, hvad kategorien ”Andet” indeholder. Når det kommer til de andre kategorier, er vores vurdering, at man kan nedsætte risikoen markant, hvis man underviser sine medarbejdere i GDPR og gør dem opmærksomme på, hvordan disse fejl kan opstå, og hvordan de kan undgås.

Tallene understøtter i høj grad, hvad vi har skrevet om i vores e-bog (psst.. den er gratis). I e-bogen fokuserer vi på, hvordan den største risiko for sikkerhedsbrud ligger hos medarbejderne. Derfor er træning af medarbejdere en vigtig grundsten i at skabe en god it sikkerhedskultur.

IT-kriminelle står kun for en lille andel, men konsekvensen er større

De kategorier, som tydeligvis omhandler hackere/IT-kriminelle, er: ”Ransomware”, ”Social Engineering, ”Bruteforce/credential stuffing” og ”Hacking”. Disse fire kategorier står dog kun for 4,7% af de anmeldte sikkerhedshændelser. Det svarer til 227 anmeldelser, der passer i minimum en af disse kategorier. Sandsynligheden, for at blive ramt af disse typer angreb, er altså ikke store.

Det betyder dog ikke, at disse typer angreb er uvæsentlige at forsvare sig imod, da konsekvenserne i disse situationer ofte vil være store. Sidste år, så vi flere virksomheder tabe millioner kroner grundet ransomware. Så selvom disse typer sikkerhedshændelser ikke sker så ofte, så er konsekvenserne så store, at man bliver nødt til at tage dem alvorligt.

Essensen af en risikobaseret tilgang, som Datatilsynet anbefaler, er netop, at man laver en risikoanalyse. Analysen indeholder, hvor stor en risiko der er for, at en situation opstår, og hvor stor en konsekvens situationen vil have. Ud fra dette kan man vurdere, hvor man bør lægge sine kræfter. Det handler om at undgå, at fokusere sin energi på en type hændelse, hvor konsekvenserne er lave eller sandsynligheden er ikkeeksisterende. Hvis ransomware slet ikke var sket det sidste år, så kan det godt være, at konsekvenserne er store, men sandsynligheden vil være så minimal, at man ikke behøver at fokusere på det. Det er desværre ikke tilfældet, da ransomware er en reel risiko. Risikoen er dog stadig utrolig lav, da kun 23 af 2437 sikkerhedshændelser kan kategoriseres som ransomware. Derfor giver det heller ikke mening at fokusere alt sin it-sikkerhedsarbejde efter dette.

Vi har lavet en skabelon til at lave risikoanalyser, som du kan hente her.

IT-sikkerhed kræver fokus på adfærd og mennesker

Som nævnt viser Datatilsynets tal, at størstedelen af alle sikkerhedsbrud sker, når vi begår småfejl i vores hverdag. Vi sender persondata til de forkerte personer, og nogle gange de forkerte data til de rigtige personer. Derfor kan et øget fokus på awareness træning gøre meget for ens it-sikkerhed og reducere risikoen for sikkerhedshændelser. Hvis man kan få trænet sine medarbejdere til at tænke sig om en ekstra gang, inden de klikker, så er man nået langt.

Risikoen for at blive ramt af ondsindede aktører og derigennem opleve et sikkerhedsbrud som f.eks. ransomware er ikke lige så stor. Men konsekvenserne ved at blive ramt af disse typer af angreb er så store, at man ikke bare kan tage skyklapper på og sige, at det ikke sker for os. Hvor tekniske løsninger som firewalls og anti-virus kan hjælpe, så er der også brug for årvågne medarbejdere, når det kommer til trusler som hacking, social engineering og ransomware. Center for Cybersikkerhed nævner, at langt de fleste hackerangreb starter med en simpel phishing-mail. Det starter med en medarbejder, der klikker på et link. Derfor kan awareness og phishing-træning være et værktøj til at sikre, at det ikke bliver jeres medarbejdere, der klikker.

Datatilsynets statistikker bliver løbende opdateret, og vi vil derfor anbefale, at man følger med.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Contact us

You are always welcome to contact us
for an initial and informal chat about your cyber security challenges.

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..