Datatilsynet har utarbeidet statistikk over sikkerhetsbrudd som en del av sin data- og risikobaserte strategi. Statistikken oppdateres månedlig for å hjelpe virksomheter med å ta gode risikobaserte beslutninger. For å evaluere din egen sikkerhetsrisiko anbefaler jeg at du bruker vår mal for risikoanalyse. I dette blogginnlegget vil jeg gå gjennom hva statistikken sier akkurat nå.
Typer GDPR- og sikkerhetsbrudd som rapporteres
Datatilsynet har satt sammen en rapport basert på de innrapporterte bruddene på personvernforordningen. I statistikken har Datatilsynet presentert hvilke typer sikkerhetsbrudd som oftest rapporteres til dem.De 10 vanligste bruddene på personvernforordningen er
- Korrekt informasjon går til feil mottaker
- Beskyttet adresse eksponeres feilaktig etter endring i et IT-system
- Feil overføring av data i saksbehandling
- Manglende sletting av data ved bruk av digitale verktøy
- Automatisk utfylling som fører til at e-poster sendes til feil mottakere
- Tap/tyveri av enheter med ukrypterte data
- For bred tilgang til data på nettverksstasjoner osv.
- Uautorisert tilgang til data på grunn av dårlig design, kodefeil og utilstrekkelig testing
- Avsløring av data som er lagret i maler og skjemaer
- Skadelig programvare (løsepengevirus) som forårsaker tap og misbruk av data
Ved første øyekast ser ingen av disse kategoriene ut til å ha noe med cyberkriminalitet/hacking å gjøre, men ser snarere ut til å være helt vanlige hverdagsuhell.Bare 2 av de 10 vanligste GDPR- og sikkerhetsbruddene skyldes ondsinnede aktører.
Dette viser hvor viktig det er å lære opp og bevisstgjøre de ansatte, slik at de kan unngå å gjøre slike feil i arbeidet sitt.
Rapporter om sikkerhetsbrudd er kategorisert
Før vi går nærmere inn på de ti vanligste bruddene på personvernforordningen, kan vi ta et skritt tilbake og se nærmere på hva statistikken faktisk består av. Når Datatilsynet mottar en rapport om et sikkerhetsbrudd, kategoriserer de rapporten basert på hva som har skjedd i hendelsen. Rapporten kan plasseres i én eller flere kategorier basert på hendelsen, og det finnes også en "annet"- og en "ukjent"-kategori for hendelser som ikke passer inn i standardkategoriene. Kategoriseringen ser slik ut:
Vil du se hva annet som er rapportert? Sjekk ut Datatilsynet her.
Datatilsynet har plassert 32557 brudd i kategoriene ovenfor.
Forklaring av de ulike typene GDPR-brudd
Datatilsynet går gjennom alle de innrapporterte bruddene og kategoriserer dem avhengig av hvilken type trussel eller risiko som er relevant for bruddet. Slik kategoriserer de bruddene.
Fysiske og tilsiktede hendelser
Brudd på personopplysningssikkerheten som følge av tilsiktede fysiske aktiviteter, for eksempel trusler, innbrudd, tyveri av enheter, sabotasje eller bevisst uautorisert deling, utlevering eller fjerning av data.
Utilsiktede hendelser
Brudd på personopplysningssikkerheten som primært skyldes menneskelige feil. F.eks. manglende anonymisering eller pseudonymisering, feilaktig journalføring, arkivering, publisering av personopplysninger, feil forårsaket av leverandører eller gjester.
Ulykker
Brudd påpersonopplysninger som skyldes ulykker som brann, kraftig regnvær eller lignende.
Feil og funksjonsfeil
Brudd på personopplysningssikkerheten som skyldes utilsiktede feil i programmer eller utstyr, herunder feil i forsyningen av f.eks. kjøling eller strøm eller feil hos leverandører.
Avbrudd
Brudd i tilgjengeligheten av personopplysninger forårsaket av utilgjengelighet av underliggende ressurser, f.eks. personale eller internett.
Avlytting/avskjæring
Brudd på konfidensialiteten til personopplysninger på grunn av at informasjon blir snappet opp, f.eks. usikret e-post, usikker internettrafikk eller avlytting.
Ondsinnet aktivitet/misbruk
Brudd påpersonopplysningssikkerheten på grunn av datakriminalitet, f.eks. identitetstyveri (inkludert misbruk av kontoer for innlogging), phishing, svindelforsøk, manipulering av data med uautorisert tilgang, målrettede angrep, DDOS, utnyttelse av betrodde rettigheter, sertifikatsvindel.
Juridisk
Brudd påpersonopplysninger som følge av brudd på gjeldende regelverk og kontraktsbrudd.
Annet
Denne hendelsestypen velges når ingen av de andre hendelsestypene er beskrivende for hendelsen.
Ukjent
Hendelsestypen velges når det rapporterte bruddet ikke er klassifisert med en hendelsestype.
Det største problemet er utilsiktede hendelser
Hvis vi går tilbake til de vanligste typene sikkerhetsbrudd, er den hyppigste typen"utilsiktede hendelser".
80,62 % av alle rapporter er basert på utilsiktede hendelser forårsaket av menneskelige feil. Det kan virke som et lite problem, men hele 26 248 av de 32 557 rapportene faller inn under denne kategorien. Det viser hvor lett det er å gjøre en feil ved et uhell i dedaglige oppgavene. Kanskje du har lagt til feil mottaker i en e-post eller gitt en bruker for mange brukerrettigheter i et system. Et lite feilklikk kan forårsake et helt sikkerhetsbrudd.
På grunn av slike brudd er det viktig å lære de ansatte å sjekke gjennom alt en ekstra gang før de trykker "send", eller før de gir en person tilgang til data. Selvom det virker enkelt å unngå en slik feil, er det like lett å gjøre den samme feilen.
Det er viktig å være klar over disse enkle fallgruvene for å unngå dem. Tekniske løsninger kan løse mange problemer, men de kan ikke forhindre at en person sender informasjon til feil person.
De vanligste GDPR-bruddene skyldes IKKE hacking
Som nevnt er de 10 vanligste bruddene
- Korrekt informasjon går til feil mottaker
- Beskyttet adresse eksponeres feilaktig etter endring i et IT-system
- Feil overføring av data i saksbehandling
- Manglende sletting av data ved bruk av digitale verktøy
- Automatisk utfylling som fører til at e-post sendes til feil mottaker
- Tap/tyveri av enheter med ukrypterte data
- For bred tilgang til data på nettverksstasjoner osv.
- Uautorisert tilgang til data på grunn av dårlig design, kodefeil og utilstrekkelig testing
- Avsløring av data som er lagret i maler og skjemaer
- Skadelig programvare (løsepengevirus) som forårsaker tap og misbrukav data
De fleste av disse bruddene involverer ikke hacking eller kompliserte angrep. De skyldes snarere normale hverdagssituasjoner som har gått galt, gjennom en liten feil, og faller inn under kategorien "utilsiktede hendelser".
Derfor må vi anta at de fleste vanligste GDPR-hendelsene skjer på grunn av ansatte. Det kan være at en ansatt ved et uhell kommer til å legge ut personopplysninger på et nettsted der alle har tilgang til dem. Det finnes utallige måter å publisere opplysninger på som ikke skulle ha vært offentliggjort.
De fleste sikkerhetsbrudd skjer på grunn av menneskelige feil
Det er ikke mulig å se hvor mange prosent hver av de vanligste GDPR-bruddene fyller i hver av sine respektive kategorier - men felles blant alle de10 mest vanlige bruddene er at feilene ofte skyldes menneskelige feil. Det viser hvordan brudd ofte avhenger av atferd.
Utilsiktede hendelserutgjør over 80 % av de rapporterte bruddene som Datatilsynet har mottatt. Ut fra et risikovurderingsperspektiv vil det være fornuftig å se nærmere på hvordan disse GDPR-bruddene kan unngås. Av gode grunner er det ikke mulig å tyde hva kategorien "Annet" består av. Når det gjelder de andre kategoriene, er vår vurdering at det er mulig å redusere risikoen for sikkerhetsbrudd betydelig hvis du lærer opp medarbeiderne dine om GDPR og gjør dem oppmerksomme på hvor lett det er å begå og unngå denne typen feil. Du kan også lese vår omfattende veiledning om hvordan du overholder personvernforordningen.
Disse tallene støtter i stor grad det vi har skrevet i e-boken vår (som for øvrig er gratis). I e-boken vår fokuserer vi på hvordan den største risikoen for sikkerhetsbrudd ligger hos de ansatte. Opplæring av de ansatte er derfor en avgjørende hjørnestein i arbeidet med å skape en god cybersikkerhetskultur på arbeidsplassen.
IT-kriminelle utgjør bare en liten del, men konsekvensene er større
Sikkerhetsbruddforårsaket av kriminelle utgjør bare 3,89 % av de rapporterte sikkerhetsbruddene. Det tilsvarer 1268 sikkerhetsbrudd (av totalt32557 rapporterte sikkerhetsbrudd) som passer inn i denne kategorien, sominkluderer:
-
DDos-angrep
-
Identitetstyveri
Sannsynligheten for å bli utsatt for et av disse angrepene er altså ikke så stor.
Det betyr ikke at denne typen angrep ikke er relevante å forsvare seg mot, da konsekvensene i slike situasjoner ofte vil være store. I fjor så vi at flere selskaper tapte millioner av kroner på grunn av løsepengevirus, noe som også førte til store bøter på grunn av brudd på GDPR-reglene. Så selv om denne typen brudd ikke skjer så ofte, er konsekvensene store nok til at du må ta dem på alvor. I blogginnlegget vårt om kostnadene ved et datainnbrudd kan du lese mer om hvor dyre sikkerhetsbrudd kan være.
Bruk en risikovurdering for å beskytte deg mot potensielle sikkerhetsbrudd
Essensen i en risikobasert tilnærming, som anbefales av myndighetene, er at du gjennomfører en risikovurdering. Denne vurderingen vil inneholde informasjon om hvor stor risiko det er for at en situasjon skal oppstå, og hvor stor konsekvensen av en gitt situasjon kan bli. Basert på dette kan man vurdere hvor man ønsker å bruke ressursene sine. Det handler om å unngå å bruke energi på en type hendelse der konsekvensene er små eller sannsynligheten for at den skal inntreffe nesten ikke-eksisterende.
Hvis løsepengevirus ikke var en trussel i fjor, kan det være at konsekvensene er store, men at sannsynligheten er så liten at du ikke trenger å fokusere på det. Det er dessverre ikke tilfelle, for løsepengevirus er en reell risiko.
Vurder dine egne største sikkerhetsrisikoer ved hjelp av vår risikovurderingsguide og mal.
IT-sikkerhet krever fokus på atferd og mennesker
Som nevnt tidligere viser statistikken at de fleste sikkerhetsbrudd skjer når vi gjør feil i det daglige arbeidet. Vi kan for eksempel komme til å sende personopplysninger til feil personer ved et uhell. Det kan derfor være en god idé å øke fokuset på bevissthetstrening for å øke IT-sikkerheten og redusere risikoen for sikkerhetsbrudd. Hvis du kan lære opp medarbeiderne dine til å tenke seg om to ganger før de klikker på noe, har du allerede kommet langt.
Selv om tekniske løsninger som brannmurer og antivirusprogrammer kan være til hjelp, er det også behov for bevisste medarbeidere når det gjelder trusler som hacking, sosial manipulering og løsepengevirus. Det danske Datatilsynet nevner at de fleste hackerangrep starter med en enkel phishing-e-post. Derfor kan bevisstgjøringstrening og phishing-trening være gode verktøy for å sikre at det ikke er en av dine ansatte som begår en feil.
Utilsiktede hendelser er hovedårsaken til GDPR-brudd
Det faktum at over 80 % av bruddene på personvernforordningen skyldes utilsiktede hendelser, understreker hvor viktig det menneskelige aspektet ved personvern er. Det faktum at de er utilsiktede, kan gjøre det vanskelig å gjøre noe med dem, siden medarbeiderne dine ikke har onde hensikter. En ting du kan gjøre for å forsøke å redusere disse hendelsene, er å skape en generell bevissthet rundt disse problemene ved å skape en sterk sikkerhetskultur.
Statistikken fra Datatilsynet oppdateres fortløpende , så vi anbefaler at du holder deg oppdatert på de nyeste trendene når detgjelder typer sikkerhetsbrudd.
