Virksomheder skal behandle vores følsomme data med større respekt
Det er ikke godt nok, at personfølsomme data ikke konsekvent krypteres. Vi må og skal kræve, at landets virksomheder passer bedre på vores følsomme data, skriver Peter Kruse.
Peter Kruse
Ejer, Kruse Industries ApSDet er en tid med omfattende datalækager. Historisk mange i antal og omfang. Både fra virksomheder herhjemme, men også virksomheder og offentlige myndigheder i alle dele af den vestlige verden.
Det er sandsynligvis en virkelighed, som vi skal vænne os til, men samtidig også lære at reagere og respondere på. Disse angreb er ikke tilfældige og vil stige i omfang.
Flere af de mest markante hacker-aktivist grupper og ransomware-bander, som angriber mål i dag, opstod umiddelbart dagene op til Ruslands invasion af Ukraine eller dagene og månederne efter. Det gælder eksempelvis SiedgedSec og PLAY.
Samtidig er de digitale våben, når vi også ser på de nylige angreb mod virksomheder herhjemme i Danmark, en giftig cocktail af ransomware som krypterer forretningskritiske data, men igennem det digitale indbrud også gennemfører eksfiltration af forretnings- og personfølsomme data.
Disse værdifulde data, som systematisk stjæles, er en del af disse gruppers modus og anvendes som en overhængende trussel i forlængelse af deres afpresningsstrategi.
Vi kan ikke beskytte os hundrede procent mod cyberangreb og digitale indbrud
Peter Kruse
Både SiedgedSec og PLAY operer i isolerede angreb mod vestlige mål. Det er et faktum, som skal tænkes ind, hvis man skal forstå deres modus operandi, men det er også en tendens, der karakteriserer alle de mange andre organiserede it-kriminelle grupper, der tilsyneladende har fået helt optimale betingelser i deres vedvarende og voksende cyberangreb mod Danmark og vores allierede.
Når vi ser på de faktiske tal for ransomware angreb mod danske virksomheder, hvor der efterfølgende er blevet lækket data, så var der tre af disse i 2022, mens der i 2023 blev registreret sytten.
Samtidig med den markante stigning er volumen og sensitiviteten i de data, der er blevet lækket, vokset eksplosivt, og denne tendens ser ikke ud til at vende foreløbig. Dels har disse grupper, både de som er statssponsoreret og dels dem, som er drevet af økonomisk interesse eller patriotisme, fredet så længe, at der pågår en krig i Ukraine.
Vi kan ikke beskytte os hundrede procent mod cyberangreb og digitale indbrud. Det kan ramme alle, og vores fjende har den fordel, at de blot skal ramme rent én gang, mens vi på den anden side skal være heldige hele tiden.
I takt med at kompleksiteten af vores digitalisering løftes dag for dag og år for år, forudsættes en øget indsats for stærkere it-sikkerhed og bedre it-arkitektur, herunder også security by design.
Men spørgsmålet er, hvordan det overhovedet kan forekomme så hyppigt 2023, at vi i et moderne digitalt samfund, ikke krypterer og beskytter følsomme data bedre?
Når der offentligt lækkes pas og kørekort til fri download for alle, så er det en alvorlig sag. Det kan ikke tales eller tones ned. Det er alvorligt fordi, at de samme følsomme dokumenter, som skal identificere dig og mig, og blandt andet tjener i forbindelse med hvidvask loven, kan misbruges til præcist det omvendte – til at udføre identitetstyveri, eller oprette konti til det formål at hvidvaske eller transportere penge.
Dataafpresning fungerer generelt bare bedre og mere effektivt end ransomware angreb, og det kræver mindre arbejde for de it-kriminelle
Peter Kruse
Hvis du, i forbindelse med en datalækage, kommer i den uheldige situation, at dine data deles frit på nettet, så kan en løsning være, at beskytte sig mod lånoptagelse via Borger.dk's Kreditadvarsel. Det kan være en god ide, men desværre beskytter det ikke mod misbrug af de dokumenter, der allerede er lækket. Og hvordan kan du dokumentere din uskyld, såfremt at der oprettes bankkonti eller andre services i dit navn, som så efterfølgende misbruges.
Det korte svar er, at det sikkert bliver besværligt. En løsning kunne imidlertid være at oprette et privat/offentligt samarbejde, der løbende monitorerer og notificerer omkring datalæk, som blandt andet kunne omfatte vigtige dokumenter som pas og kørekort, så der automatisk udstedes ny ID dokumentation. Og ikke på ofrets regning som er en uskyldig part i de digitale røverier.
At virksomheder ikke beskytter personfølsomme og forretningskritiske data bedre, og ved brug af kryptering, er en stor del af denne problemstilling med datalækager. Det er et krav, at den slags skal krypteres, så hvorfor bliver det så ikke gjort? Er konsekvenserne ikke store nok? Er det for besværligt at kryptere?
Virksomheder, som skal gemme personfølsomme data, som vedrører kunder eller medarbejdere bør måske tvinges til et digitalt løft. Det kan ikke være godt nok, at den slags ikke konsekvent krypteres, så det ikke med så stor lethed kan udtrækkes og deles med Gud og hvermand.
En løsning kunne være at tilbyde en digital ID bankboks, som virksomheder, der skal gemme og opbevare for eksempel pas og kørekort, kan tilgå i en centraliseret og krypteret løsning efter behov. En sådan løsning understøttes af adgangskontroller som det offentlige MitID. Adgangen kan løbende logges og dokumenteres, og data kan beskyttes på en og samme tid.
Datalækager er blevet et nyt våben i den hybride krig, og det er særligt effektivt mod et land som Danmark, hvor vi er langt fremme digitalt, og med en sværm af uigennemskuelige online-tjenester og services som bare vanskeliggør det, at beskytte os mod cyberangreb.
At vi spreder os tyndt ud og forlader os på, at virksomhederne kan opbevare dette på en forsvarlig måde, har 2023 vist os at være forfejlet og naivt.
Konsekvensen ved ikke at reagere nu kan være en underminering af den tillid, som digitaliseringen er funderet på
Peter Kruse
Det er mit bedste bud, at netop datalækage og trusler om datalækage vil vokse i det nye år. Det er et våben, der tjener til at skabe utryghed og ustabilitet og kan være kilden til at tjene penge igennem systematisk afpresning.
Dataafpresning fungerer generelt bare bedre og mere effektivt end ransomware angreb, og det kræver mindre arbejde for de it-kriminelle. Derfor må og skal vi kræve, at der passes bedre på vores følsomme data i et voksende trusselslandskab for digitale angreb.
Konsekvensen ved ikke at reagere nu kan være en underminering af den tillid, som digitaliseringen er funderet på. Samtidig kan den usikkerhed, der følger i kølvandet på gentagne datalækager, være et taktisk og effektivt våben i en hybrid krig.
Datalækager forsvinder ikke af sig selv. De kan ikke forties. De skal handles på. En indsats på området er påkrævet.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Få GRATIS nyheder fra Danmarks største politiske redaktion
