Ransomware og gidseltagning

27. juni, 2017

En af de største og mest udbredte it-sikkerhedstrusler for tiden er ransomware, og et af de mest aktuelle emner inden for erhvervslivet er de kommende ændringer til persondataloven. Umiddelbart lyder det som to ganske forskellige emner, men kan fremtidens it-kriminalitet spille på de kommende ændringer til lovgivningen?

Hvad er ransomware?

Ransomware er ondsindet programmel, der typisk krypterer alle ens filer, harddisk, server eller fællesdrev og forlanger betaling for at udlevere en dekrypteringsnøgle. Som regel opstår infektioner ved, at en medarbejder klikker på en fil eller et link, der er inficeret. Udviklingen inden for ransomware er imidlertid, at data ikke bare krypteres men decideret overføres og tages som gidsel af de it-kriminelle, så de kan forlange løsepenge for ikke at offentliggøre data.

KMD Analyse foretog i efteråret 2016 en undersøgelse, der viste, at 41 % af alle danske virksomheder udsættes for ransomwareangreb, og både Europol og DK-CERT (dansk forskningsenhed med fokus på sikkerhedsbrud) betragter det som en af tidens allerstørste it-sikkerhedstrusler. Ét forkert klik kan starte hele miseren med alvorlige konsekvenser til følge.

Den generelle anbefaling ved angreb, der krypterer data, er, at man ikke efterkommer kravet om betaling, men at man i stedet får hjælp fra en it-virksomhed, fx ens hostingfirma, til at fjerne krypteringen.

Alternativt kan man genskabe data fra backup. Det er som udgangspunkt en fin indstilling – problemet kan løses, og man kan få sine data tilbage – men de kommende ændringer til lovgivningen kombineret med truslen om dataoverførsel via ransomware 2.0 skaber nye problemstillinger.

Skærpede krav i persondataloven

De kommende ændringer til persondataloven, der træder i kraft 25. maj 2018, medfører blandt andet skrappere sanktioner og indberetningspligt til Datatilsynet i tilfælde af databrud. Konkret ser det ud til, at en virksomhed vil kunne idømmes en bøde på op til 150 mio. kr. eller op til 4 % af omsætningen ved brud på persondataloven.

Samtidig stiller ændringerne i lovgivningen også krav til procedurer for styring af sikkerhedshændelser, og der er øgede krav til dokumentation af alle aspekter af behandling af persondata. Der kræves dokumentation for begrundelse for opbevaring af data, hvordan data er blevet indhentet, hvad man skal bruge data til samt forsvarlig og tilstrækkelig beskyttelse af persondata mv.

Gidseltagning og konsekvenser

I dag er den mest udbredte type af cyberkriminalitet ransomwareangreb, hvor der blot sker en kryptering af filer og harddiske. På baggrund af de kommende store bøder kan man imidlertid godt forestille sig, at der sker en kraftig stigning i den type ransomwareangreb, hvor virksomheders data decideret overføres til de it-kriminelle, som så kræver penge for ikke at offentliggøre data.

Dermed opstår der et problem, hvis en virksomhed udsættes for et angreb, der overfører persondata til bagmændene. For her duer anbefalingen om ikke at efterkomme kravet og genskabe data fra backup ikke, idet de it-kriminelle bag ransomwaren kan true med offentliggørelse af persondata.

Det vil sige, at den ramte virksomhed pludselig står med en datalækage, som kan have alvorlige konsekvenser. Her kan man forestille sig, at mange virksomheder vælger at betale løsesummen, fordi alle kan se fordelen i at betale 1 mio. kroner for, at data ikke offentliggøres, frem for en mulig bøde på 150 mio. kr. For at illustrere pointen er dette selvfølgelig sat lidt firkantet op.

Man kan forestille sig en problemstilling i lighed med den, man ser i forbindelse med interne besvigelsessager i virksomheder. Ofte politianmeldes bedraget ikke, idet virksomheden foretrækker at håndtere det internt og diskret med så lidt bevågenhed fra omverdenen som muligt.

Hvis der opstår en tendens til, at virksomheder vælger den løsning at betale de it-kriminelle, vil det føre til, at det bliver langt sværere for Datatilsynet og andre relevante myndigheder at opnå viden, der kan bruges til bekæmpelse af ransomware.

Myndigheder, antivirus-producenter m.fl. arbejder løbende på at sikre forbrugerne bedst muligt imod cyberkriminalitet, og det er her essentielt, at myndighederne får oplysninger om de angreb, der foretages, så det er muligt at prioritere lukning af hullerne, udsendelse af varsler osv.

Blandt kravene i den kommende forordning er, at en virksomhed, der mister sine data, skal melde databruddet til myndighederne. Spørgsmålet er så, om indberetningen kan forårsage, at man får en bøde – og det vil i så fald afhænge af, hvor godt virksomheden kan dokumentere sin databeskyttelse i forhold til lovkravene.

Kan myndighederne være behjælpelige med at løse problemerne og se gennem fingrene med bruddet? Det er endnu ikke afgjort, men det er en relevant mulighed.

Hvordan undgås problemet?

Den bedste måde at løse problemet på er at undgå, at situationen i det hele taget opstår.

Derfor gælder det om at leve op til alle dokumentationskrav i lovgivningen, at have en klar it-sikkerhedspolitik, og – vigtigst af alt – at sørge for, at medarbejderne er bevidste om databeskyttelse og ikke klikker på alt for mange links, som kan forårsage et ransomwareangreb. Derudover bør det også løbende vurderes, om der stadig er behov for at opbevare persondata.

Der kan endvidere implementeres tekniske foranstaltninger, så som et mailfilter, der fx frasorterer .exe-, .scr- og .piffiler, der typisk anvendes til ”madding”, eller en intelligent overvågning af dataoverførsler. Det er dog med disse foranstaltninger, som det generelt er med it-sikkerhed; der findes ikke 100 %-garantier, men forebyggelse og forberedelse medvirker til en forøgelse af ens held!

Hvis skaden er sket, er det bedste, man som virksomhed kan gøre, at have fuld dokumentation for opbevaring, håndtering og behandling af persondata i overensstemmelse med lovgivningen.

Hvis det skal retfærdiggøres, at myndighederne ser med mildere øjne på et databrud, kræver det, at virksomheden har styr på kravene til  dokumentationen, inden bruddet sker. Dermed kan virksomheden over for myndighederne signalere, at det var et hændeligt uheld, på trods af at man har truffet de lovpligtige foranstaltninger, og at det ikke blot var et spørgsmål om tid, før den første hacker fandt virksomheden.

Problematikken er til stede. Det tekniske i denne artikel er forsimplet, og måske vil nogle tænke ’ulven kommer’. Moralen er imidlertid, at selv om der sker løbende tilpasninger, som it-teknikertyper har ansvaret for, og som på mange fronter sørger for en fornuftig it-sikkerhed i virksomhedens it-system (eller på hjemmecomputeren), vil det svageste led altid være os, brugerne.

At lovgivningen vedrørende persondata ændres nu har den konsekvens, at mens det ”i går” blot ville være ”ærgerligt” at miste data eller fx blive udsat for ransomwareangreb, vil det ”i morgen” have strafferetlige konsekvenser.

Udarbejdet i samarbejde med RevisorGruppen Danmark.


Nyheder

01

Moms ved salg af fast ejendom 2018

Publikation der giver et generelt overblik over momsregler i forbindelse med salg af fast ejendom

» Læs mere

02

Fradrag for lønudgifter

Nyt lovforslag kan betyde udvidet adgang til at foretage fradrag for lønudgifter

» Læs mere

03

Ændringer på skatteområdet

Der er indgået politisk aftale om erhvervs- og iværksætterinitiativer

» Læs mere

04

Splitleasing

Vær opmærksom på formalitetskravene!

» Læs mere