Snart får du krav på at få besked, hvis dine data bliver mistet. Og det vil højne it-sikkerheden, skriver Shehzad Ahmad i denne klumme fra Computerworld.
Shehzad Ahmad, UNI•C, der er chef for det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
821 gange i løbet af et år mistede britiske myndigheder og virksomheder personfølsomme data om borgerne. Det er ti gange så mange som for fem år siden.
Tallene fremgår af statistikker fra landets Information Commissioner's Office. De bygger på information, som virksomheder og myndigheder selv er kommet med. Dermed kan der have været flere sager, som blot ikke er blevet anmeldt.
Jeg ville gerne kende de reelle tal. Og det får jeg måske mulighed for i fremtiden.
Siden jeg begyndte som chef i DK-CERT, har jeg slået til lyd for, at det skal være lovpligtigt at informere ofrene om det, når man har mistet data om dem. Det gælder, hvad enten datatabet er sket hos en virksomhed, en myndighed eller fra en privat webtjeneste.
Sådan et krav kan føre til to væsentlige fordele for it-sikkerheden. Dem vender jeg tilbage til.
Nu kommer en EU-forordning til hjælp. Forordningen, der er på vej gennem EU-maskineriet, handler om beskyttelse af persondata.
Undgå misbrug
Ja, det lyder kedeligt. Men det er vigtigt.
Det handler nemlig om, hvordan data om dig og mig bliver behandlet. Hvordan vi undgår, at virksomheder og myndigheder misbruger de data, vi giver dem adgang til.
Vi afleverer nemlig stadig flere oplysninger om os selv. Virksomheder som Facebook og Google har opbygget en hel forretning på at sælge viden om deres brugere.
Derfor er det uhyre vigtigt, at EU arbejder for at give os bedre beskyttelse mod misbrug og tab af vores egne data.
En af de nye regler går netop ud på, at alle der behandler persondata, bliver forpligtet til at oplyse om det, hvis de mister data.
Hvis det er muligt, skal det ligefrem ske inden for et døgn efter, at det er opdaget.
Virksomheden eller myndigheden skal anmelde datatabet til den relevante myndighed. Herefter skal også de berørte personer have besked.
Forslaget ventes førstebehandlet i Europa-Parlamentet til februar.
I USA har flere stater indført krav om offentliggørelse af datatab. Det er utvivlsomt en medvirkende årsag til, at vi i dag får kendskab til langt flere sager end tidligere.
En anden årsag kan være, at vi behandler flere data elektronisk og dermed også får flere sager, hvor data kommer i de forkerte hænder.
Åbenhed giver fordele
Jeg ser frem til, at EU-forslaget bliver indført.
Det vil medføre en langt større åbenhed om sikkerhedshændelser, end vi ser i dag.
Det ser jeg to store fordele ved.
For det første medfører kravet om åbenhed, at virksomheder og myndigheder får et større incitament til at beskytte data.
De ved, at hvis de begår fejl, skal de fortælle de berørte personer om det. Det kan medføre, at de mister dem som kunder eller får dårlig omtale. Derfor vil de gøre mere for at undgå datatab.
For det andet åbner det for informationsudveksling: Når en organisation har været ude for at tabe data, offentliggør den det.
Det kan andre organisationer lære af: De kan høre om, hvad der er gået galt, og rette deres egne forholdsregler til.
Efterhånden vil en kultur af åbenhed medføre bedre it-sikkerhed. Og det vil gavne os alle.
Oprindelig offentliggjort på Computerworld Online den 17. september 2012
LINKS
- UK data breach reports rocket 1,000% in just five years, Computer Business Review
- Commission proposes a comprehensive reform of the data protection rules, EU-kommissionen
- Forslag til Europa-parlamentets og Rådets forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (generel forordning om databeskyttelse) (PDF-format)
- Denne klumme på Computerworld Online