Sådan undgår du at anmelde et sikkerhedsbrud!

Datatilsynet og Virk.dk har netop offentligt gjort de faktiske links som skal bruges hvis din organisation opdager og bekræfter en sikkerhedsbrist som involverer persondata i et omfang og af en betydning, der gør at myndighederne skal involveres.

 

Linket til at anmelde en sikkerhedsbrist findes på www.virk.dk 

For at anmelde en sikkerhedsbrist skal du identificere dig via nem-id og være parat til at svare på følgende: -taget direkte fra Datatilsynet 

  • Beskrive karakteren af bruddet på persondatasikkerheden mv.
  • Angive navn på og kontaktoplysninger for databeskyttelsesrådgiveren eller et andet kontaktpunkt, hvor yderligere oplysninger kan indhentes
  • Beskrive de sandsynlige konsekvenser af bruddet på persondatasikkerheden
  • Beskrive de foranstaltninger, som du har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger

 

Når indberetningen er sket (husk at downloade en PDF kvittering for indberetningen!) så bliver den automatisk videresendt til Erhvervsstyrelsen og derfra videre til de relevante myndigheder (normalt Datatilsynet).

 

Kan du ikke inden for maksimalt 72 timer fra at sikkerhedsbruddet er bekræftet, oplyse ovenstående, skal indberetningen ledsages af en forklaring til myndighederne. Det er væsentligt at alle sikkerhedsbrister SKAL dokumenteres internt i organisationen, men det er kun visse sikkerhedsbrister som skal meldes til myndighederne. Vores BLOG artikel på følgende link redegør for dette.

 

 

Har du brug for at underrette datasubjektet direkte så kan du bruge skabelonen som vi har lagt på dette link.

 

 

De fleste organisationer skal indberette efter modellen "Frivillig indberetning af hændelser i øvrige sektorer", men bemærk at et særlig NIS direktiv omfatter:

 

Drikkevand

Energi

Transport

Sundhed

Den financielle sektor

Digital infrastruktur

Søfart

 

 

Er du bekymret for at få en bøde som følge af manglende forberedelse på GDPR artikel 32-34 eller manglende samarbejde med myndighederne så redegør følgende artikel fra datatilsynet hvordan dette formodentligt kommer til at forløbe:

 

 

Når alt dette er sagt og støvet har lagt sig så er det naturligvis en god idé (og et lovkrav) at gøre hvad der er rimeligt i forhold til behandlingen af persondata, risici og organisationens kapacitet at øge behandlingssikkerheden (artikel 32) så meget at sandsynligheden for en sikkerhedsbrist nedsættes til et acceptabelt niveau – dette kalder vi praktisk / teknisk digital sikkerhed.

 

Vi anbefaler du går frem efter følgende prioriterede liste af action punkter eller bruger nedenstående liste som en checkliste for at du allerede nu har gjort alt det ”rigtige”. Særvejledningen fra datatilsynet angående behandlingssikkerhed mangler jo stadig – (22.maj 2018).

 

  1. Adopter en IT sikkerhedsstandard som fx ISO27001/2 og meget gerne en praktisk standard som Center for Internet Security’s 20 kritiske sikkerhedskontroller www.cisecurity.org Det er vigtigt at der med adopter menes en bevidst og dokumenteret handling fra alle relevante dele af organisationen inklusive ledelsen.
    Løsning: Drawares IT-Sikkerhedsbarometer og GAP analyse:
     
  2. Få ledelsen til at tage det nødvendige ansvar for det niveau af digital risiko som organisationen vil acceptere og som følge deraf tildele de nødvendige ressourcer til at nå dette niveau. Uden denne forankring er det ret sikkert at initiativet vil fejle.
    Løsning: Draware Ledelsesprofil og GAP analyse
     
  3. Lav en vurdering af den nuværende sikkerhedsprofil og risikoprofil for at vurdere hvilke IT-Sikkerheds tiltag der er nødvendige og i hvilken rækkefølge de skal implementeres.
    Løsning: Draware Sikkerhedsprofil, Risikoprofil og GAP analyse
     
  4. Indfør tekniske kontroller efter *best practice for at dokumentere de tiltag som organisationen sætter i værk for at opnå den ønskede risikoprofil. Start småt med relevante kontroller og udbyg kontrollerne efterhånden som det er praktisk muligt. Det er et krav at du: ”Kan dokumentere over for Datatilsynet, at du har sikret databeskyttelse med passende tekniske og organisatoriske foranstaltninger, således at der ikke sker utilsigtede, urimelige eller ulovlige behandlinger.”
    Løsning: Drawares Kontrolprofil og GAP analyse

    * https://www.cisecurity.org/your-gdpr-questions-answered/
    * https://www.cisecurity.org/cis-ram-puts-the-cis-controls-into-action/
     

Hvis du vil vide mere om løsninger så er du velkommen til at kontakte os på info@draware.dk eller ringe til os på 45 76 20 21.

De vigtigste tekniske kontroller i prioriteret rækkefølge (baseret på CIS 20 CSC)

* Vedligehold en liste med autoriseret hardware/devices og software som må være på organisationens netværk. Søg efter uautoriserede devices og software og fjern eller autoriser dem. Sørg gerne for at uautoriserede device ikke kan tilsluttes netværket og at uautoriseret software ikke kan eksekvere.
Løsninger: ManageEngine Asset Explorer / Lansweeper

* Fjern sårbarheder fra hele netværket i prioriteret rækkefølge. Hav fokus på kritiske sårbarheder i OS og 3rd party software samt netværks devices og printere og applikationer. Du bør udvikle en proces for prioriteret at nedbringe sårbarhedsoverfladen i organisationen til et defineret acceptabelt niveau.
Løsninger: Tenable Security Center / Tenable.IO / ManageEngine PatchManager / ManageEngine DesktopCentral / Ivanti EMSS

* Få styr på administrative rettigheder efter ”The principle of least priviledge”. Hav fokus på Active Directory, Databaser (specielt SQL). Brug 2-faktor authentication hvor det er muligt. Sørg for at sikre passwords, skifte passwords og opbevare passwords sikkert. Fjern eller begræns lokale administrator rettigheder. Sørg for at intet password til administrator”-kontoen er ens.
Løsninger: ManageEngine AD360 / ManageEngine Password Manager Pro / Stealthbits Auditor / Idera SQL Compliance Manager

* Indsaml og gennemgå logs fra alle vigtige devices og systemer i organisationen til et centralt log system og gerne et system som også har en finger på sikkerhedspulsen (SIEM).
Løsninger: EventTracker / Correlog / ManageEngine Log360

* Vær sikkerhed på at der kun bruges autoriserede browsere og e-mail klienter opsat efter best practice og at det er så sikkert som muligt at bruge disse systemer til kommunikation og informationssøgning. Al mail skal filtreres effektivt for malware og malware links og alt søgning via en browser skal foregå igennem et effektivt DNS filter.
Løsninger: ProofPoint

* Hav et effektivt malware-forsvar som består at både traditionel blacklisting (AV) og behaviour baseret malware forsvar. Der skal være malware-forsvar på både perimeteren, i netværket og på alle endpoints og servere.
Løsninger: SentinelOne

* Hav en effektiv versioneret backup løsning som hurtigt kan hjælpe med at genetablere vigtige systemer og data. Backups skal testes for mulig restore og de må ikke være sårbare over for ransomware. Gennemfør en BIA som viser hvad den tålte nedetid er i forhold til den forventede reetableringstid.

* Hav en effektiv perimeter beskyttelse med en L7 firewall samt en segmentering af netværket baseret på sensitive data beskyttet med firewall.

* Gennemfør et større projekt (og senere proces) for at identificere hvor der er følsomme data i netværket (PII), hvor der må være PII, hvem der skal have adgang til PII, hvem der bruger denne adgang. Sørg for udbredt brug af kryptering (data at rest og in motion som fx data i databaser og filer) samt kryptering af alle laptops og USB stik. Sørg for at PII kan spores over alt i netværket i form af filer, e-mails, print, USB, over firewall osv.
Løsninger: Lepide Auditor / Netwrix Auditor / Stealthbits Auditor / ManageEngine DataSecurity Plus

* Gennemfør awareness-træning efter best practice (NIST 800-50) og husk at den skal have den rigtige frekvens til ret faktisk at give en målbar awareness!

Fokuser på awareness træningen for IT Sikkerhedspolitikken, GDPR og generel relevant IT Sikkerhed. Kombiner med tests og relevant uddannelse samt alm. trykt materiale.
Løsninger: Wombat Security Suite / Terranova

* Vedligehold en indøvet og veldokumenteret incident response plan og incident response team efter best practice (NIST 800-61R2). Der er ikke tale om en beredskabsplan men om en incident response plan! Det er næppe muligt at opfylde notifikationspligten og den 72 timers frist uden denne plan.
Løsning: Drawares konsulenthjælp på området.

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Saturday, 30 May 2020