Åsa Schwarz är säkerhetskonsult på Cybercom.
Hackade företag får böter om de inte informerar sina kunder. Under de senaste veckorna har jag läst ett antal rubriker i den stilen. Jag bestämde mig för att ta reda på mer och ringde Hans-Olof Lindblom på Datainspektionen.
”EU arbetar med att ta fram ett nytt dataskyddsdirektiv”, berättade han. ”Egentligen finns det bara en årsgammal avsiktsförklaring och ett svar från parlamentet som kom i somras. Senaste budet är att kommissionen lägger fram sitt förslag i januari.”
När jag läser avsiktsförklaringen inser jag att den innehåller ett samlat grepp om all hantering av personuppgifter.
Om vi sedan fokuserar på incidenthantering rör det alla typer av incidenter med personuppgifter. Det är ingen skillnad på om de hamnar på nätet av misstag, hårdisken brinner upp eller en kopia hamnar i fel soptunna. Enskilda personer ska få reda på om deras uppgifter inte hanteras som de ska.
Hur ska ett företag förhålla sig till det nya direktivet när det väl kommer? När det gäller incidenthantering finns tre vägar att gå.
• Det första är att stoppa huvudet i sanden. Det som man inte vet kan man inte rapportera. Det är tveksamt om Datainspektionen skulle köpa den strategin.
• Det andra är att vägra rapportera incidenter och hoppas att det inte upptäcks. Frågan är om det är värt dryga böter eller fängelse. För att inte tala om den dåliga publiciteten om det upptäcks.
• Det tredje är att ta itu med problemet, lugna kunderna och hinna före pressen med rapporteringen. Alla som har gått en krishanteringskurs vet att det gäller att visa sig handlingskraftig. Är problemet redan löst skapar det inga löpsedlar.
Incidenter kan upptäckas på olika sätt. Användare rapporterar fel till supporten. Ett sms skickas till den nätverksansvarige om kända attackmönster identifieras i nätverket. Det viktigaste är att det finns en process där alla avvikelser samlas, analyseras och åtgärdas. Utan den går det inte att ha en effektiv incidenthantering – och företaget kan inte förbättra sin verksamhet.
Sker ett intrång ska det finnas färdiga checklistor. Vem ansvar för vad? Hur allvarlig är olika typer av incidenter? Vill du kunna polisanmäla? Då måste bevis säkras så att informationen inte förändras. I vissa fall kan en extern utredare anlitas. Då kommer kommentarer som: ”De klarade inte av att ha tillräcklig säkerhet i systemen, hur ska de då kunna hantera incidenten?”
Så fort orsaken är identifierad måste ett eventuellt angrepp avbrytas. Nätverkskopplingar kan brytas eller behörigheter ändras. Sedan ska it-miljön så fort som möjligt återställas till senast kända säkra läge.
Det mesta är sunt förnuft, det svåra är att ta sig tiden att tänka efter. När dina kunders lösenord ligger i klartext på nätet är det försent.
”EU arbetar med att ta fram ett nytt dataskyddsdirektiv”, berättade han. ”Egentligen finns det bara en årsgammal avsiktsförklaring och ett svar från parlamentet som kom i somras. Senaste budet är att kommissionen lägger fram sitt förslag i januari.”
När jag läser avsiktsförklaringen inser jag att den innehåller ett samlat grepp om all hantering av personuppgifter.
Om vi sedan fokuserar på incidenthantering rör det alla typer av incidenter med personuppgifter. Det är ingen skillnad på om de hamnar på nätet av misstag, hårdisken brinner upp eller en kopia hamnar i fel soptunna. Enskilda personer ska få reda på om deras uppgifter inte hanteras som de ska.
Hur ska ett företag förhålla sig till det nya direktivet när det väl kommer? När det gäller incidenthantering finns tre vägar att gå.
• Det första är att stoppa huvudet i sanden. Det som man inte vet kan man inte rapportera. Det är tveksamt om Datainspektionen skulle köpa den strategin.
• Det andra är att vägra rapportera incidenter och hoppas att det inte upptäcks. Frågan är om det är värt dryga böter eller fängelse. För att inte tala om den dåliga publiciteten om det upptäcks.
• Det tredje är att ta itu med problemet, lugna kunderna och hinna före pressen med rapporteringen. Alla som har gått en krishanteringskurs vet att det gäller att visa sig handlingskraftig. Är problemet redan löst skapar det inga löpsedlar.
Incidenter kan upptäckas på olika sätt. Användare rapporterar fel till supporten. Ett sms skickas till den nätverksansvarige om kända attackmönster identifieras i nätverket. Det viktigaste är att det finns en process där alla avvikelser samlas, analyseras och åtgärdas. Utan den går det inte att ha en effektiv incidenthantering – och företaget kan inte förbättra sin verksamhet.
Sker ett intrång ska det finnas färdiga checklistor. Vem ansvar för vad? Hur allvarlig är olika typer av incidenter? Vill du kunna polisanmäla? Då måste bevis säkras så att informationen inte förändras. I vissa fall kan en extern utredare anlitas. Då kommer kommentarer som: ”De klarade inte av att ha tillräcklig säkerhet i systemen, hur ska de då kunna hantera incidenten?”
Så fort orsaken är identifierad måste ett eventuellt angrepp avbrytas. Nätverkskopplingar kan brytas eller behörigheter ändras. Sedan ska it-miljön så fort som möjligt återställas till senast kända säkra läge.
Det mesta är sunt förnuft, det svåra är att ta sig tiden att tänka efter. När dina kunders lösenord ligger i klartext på nätet är det försent.
Den här artikeln har 0 kommentarer:
Molnigt på idg.se?
