Siden Equifax’ databrud i september 2017, der afslørede 147 millioner amerikaneres personlige oplysninger, og de mange andre højt profilerede databrud, der er sket siden, er datasikkerhed og databeskyttelse blevet presserende problemer på bestyrelsesniveau.
“Det var i forbindelse med Equifax-debaclen, at mange af de iboende problemer virkelig kom op til overfladen på forretningsniveau,” siger Aaron Shum, practice lead, Security, Privacy, Risk and Compliance, hos Info-Tech Research Group. “Det var her, vi opdagede det niveau af inkompetence, der kan eksistere i en organisation.”
I henhold til 2019 Edelman Trust Barometer Special Report: In Brands We Trust?”, sagde 81 % af forbrugerne, at brandets troværdighed spiller en stor rolle for deres købsbeslutninger. Med andre ord udgør databrud i dag ikke kun en risiko på bundlinjen i form af bøder, men de bringer også en virksomheds brand og omdømme i fare, hvilket har direkte indflydelse på dens evne til at tiltrække nye kunder og fastholde eksisterende kunder.
“Virksomhederne er nødt til at behandle privatlivets fred som både et spørgsmål om overholdelse og forretningsmæssig risiko for at reducere lovbestemte sanktioner og kommercielle konsekvenser som f.eks. skade på omdømme og følgetab af tab af kunder som følge af brud på privatlivets fred”, sagde
Steve Durbin, administrerende direktør for Information Security Forum i Storbritannien.
Mere end semantik
For mange uden for infosikringsverdenen bruges udtrykkene “datasikkerhed” og “databeskyttelse” ofte i flæng. Selv om de har et fælles mål, er de i virkeligheden ikke det samme, siger Greg Ewing, partner i cybersikkerhed hos Potomac Law.
“Forskellen mellem databeskyttelse og datasikkerhed er forskellen mellem at beskytte nogens personlige oplysninger og de sikkerhedsforanstaltninger, du har indført for at beskytte alle din virksomheds oplysninger”, sagde han.
Med regler som California Consumer Privacy Act (CCPA) og EU’s generelle databeskyttelsesforordning (GDPR), der nu er trådt i kraft, er denne skelnen mere end et spørgsmål om semantik. GDPR pålægger f.eks. alvorlige økonomiske sanktioner, der kan løbe op i milliarder af dollars for brud på datasikkerheden, der involverer personligt identificerbare oplysninger (PII) om EU-borgere. Med mellem 2 500 og 7 500 USD pr. PII-optegnelse kan bøder for manglende overholdelse i henhold til CCPA også hurtigt løbe op i en højere enhed.
Med COVID-19-pandemien, der ikke viser nogen tegn på at aftage, bruger flere mennesker mere tid på nettet end nogensinde før. Det massive skift i onlinebrug både før og efter COVID-19, kombineret med den generelle mistillid til, hvordan store sociale medier og underholdningsvirksomheder tjener penge på kundedata, går ikke ubemærket hen hos de statslige tilsynsmyndigheder. Ifølge National Conference of State Legislators er der nu lovforslag om beskyttelse af privatlivets fred under overvejelse i 30 stater.
“Databeskyttelse er i det væsentlige en delmængde af en organisations datasikkerhed”, sagde Ewing. “Distinktionen er vigtig, for selv om de værktøjer, der anvendes til at opretholde databeskyttelse og sikre datasikkerhed, kan overlappe hinanden, behandles de to generelt forskelligt af forskellige teams, der anvender forskellige værktøjer.”
Denne overlapning kan skabe forvirring og efterlade virksomheder, der kun fokuserer på datasikkerhed, med det falske indtryk, at datasikkerhed som standard også er beskyttet. Dette er ikke tilfældet. I modsætning til datasikkerhed, som fokuserer på at beskytte alle en virksomheds data mod tyveri eller korruption (f.eks. under et ransomware-angreb), er databeskyttelse mere granulært. For at sikre databeskyttelse skal organisationer forstå, spore og kontrollere ting som f.eks. hvem der er autoriseret til at få adgang til dataene, og hvor dataene opbevares – f.eks. i en cloud, der overholder HIPAA-loven (Health Insurance Portability and Accountability Act).
Et godt eksempel på forskellene mellem databeskyttelse og datasikkerhed var det nu nedlagte politiske konsulentfirma Cambridge Analyticas indsamling af 87 millioner Facebook-brugerprofiler under præsidentvalget i USA i 2016-17, sagde Joshua Kail, en kommunikationskonsulent, der stod for PR på bureau-siden for Cambridge Analytica, indtil det lukkede ned i maj 2018. Selv om dataene var sikre, misbrugte Facebook sin egen privatlivspolitik og et samtykke fra FTC fra 2011 vedrørende brugen af brugerdata.
“Det var et mærkeligt tilfælde af manglende datasikkerhed set fra et perspektiv, idet de grundlæggende udleverede dataene, og så blev de brugt på en uhensigtsmæssig måde, snarere end et traditionelt ondsindet cyberangreb”, sagde han. “Hvad angår databeskyttelse, har vi alle mistet den i det øjeblik, vi tilmeldte os med en konto. I virkeligheden var det ikke ‘vores data’, der blev brugt af Cambridge, det var Facebooks data om os. Denne skelnen er der, hvor den virkelige fare i de nuværende datapolitikker bor.”
Kail optrådte for nylig i Bill Detwiler’s TechRepublic Dynamic Developer-podcast, hvor han diskuterede databeskyttelse og datarettigheder.
Et spørgsmål om tillid
Selv om databeskyttelse bliver mere reguleret hvert år, er det stadig et spørgsmål, der i dag i høj grad handler om tillid, sagde Kayne McGladrey, IEEE-medlem og cybersikkerhedsstrateg hos Ascent Solutions. Som reaktionerne i kølvandet på Cambridge Analytica-skandalen viser, er det lige så vigtigt, hvad folk forventer af de virksomheder, de gør forretninger med, som de love, der regulerer brugen af deres data.
“I dag handler databeskyttelse primært om behandling af personlige data baseret på love, regler og sociale normer”, sagde McGladrey. “Ofte er dette repræsenteret ved, at en forbruger ignorerer en uforståelig privatlivspolitik (som det ville tage næsten 20 minutter at læse), før han eller hun klikker på en knap for at bekræfte sit samtykke til denne politik. Deres accept af politikken giver organisationen mulighed for at håndtere deres data på dokumenterede måder, f.eks. ved at bruge dem til at vise dem målrettede reklamer baseret på deres udledte interesser. Men hvis denne organisation solgte disse personlige data til en anden organisation for at gøre noget uventet (f.eks. bruge dem til at undertrykke beskyttet ytringsfrihed) uden forbrugerens samtykke, ville det være et brud på privatlivets fred, enten ved lovmæssig kontrol eller ved en overtrædelse af sociale normer.”
I betragtning af alt det, der er sket i de seneste par år – den konstante trommehvirvel af massive databrud og de stadigt eskalerende cyberangreb på virksomheder og enkeltpersoner – er det ikke overraskende, at folk føler, at deres data ikke længere er sikre i hænderne på de virksomheder, de gør forretninger med, eller de regeringer, der bemyndiger indsamlingen af dem.
På grund af denne mistillid kunne det ikke være mere nødvendigt for virksomhederne at komme på forkant med disse spørgsmål, sagde Lili Ana, Information Security Governance Manager hos loanDepot.
“I takt med at hackerbranchen vokser hurtigt, og cyberkriminelle bliver mere velfinansierede, og i takt med at den globale transformation af digitale hjemmearbejdspladser fortsat bliver den nye normalitet, må virksomhederne tage fat på at forstå informationssikkerhed og forstå, hvordan databeskyttelse og datasikkerhed arbejder sammen for at beskytte virksomheder og forbrugere,” sagde Ana. “At investere i at beskytte din virksomhed på en proaktiv måde er langt mindre omkostningsfuldt end alternativet, som er en datahændelse eller et brud, der ikke blot kan ødelægge en virksomhed, men også kan ødelægge omdømme, troværdighed og forbrugernes tillid.”
Se også
- Virksomheder med dårlig praksis for beskyttelse af personlige oplysninger er 80 % mere tilbøjelige til at blive udsat for databrud (TechRepublic)
- Virksomheder er ofte afhængige af manuelle processer for at overholde Californiens nye lov om beskyttelse af personlige oplysninger (TechRepublic)
- Sådan bruger du Whonix’ avancerede distribution af sikkerhed og beskyttelse af personlige oplysninger (TechRepublic)
- Zoom: Vi har indfriet alle vores løfter om sikkerhed og privatlivets fred, bortset fra ét (TechRepublic)
- Kunderne ønsker ikke at opgive deres data på grund af bekymringer om privatlivets fred, konstaterer Okta (TechRepublic)
- De fleste amerikanere er villige til at give afkald på privatlivets fred for at bekæmpe spredningen af COVID-19 (TechRepublic)