28 apr 2017

Ransomware 2.0: Gidseltagning af persondata

En af de største og mest udbredte it-sikkerhedstrusler for tiden er ransomware, og et af de mest aktuelle emner indenfor erhvervslivet er de kommende ændringer til persondataloven. Umiddelbart lyder det som to ganske forskellige emner, men kan fremtidens it-kriminalitet spille på de kommende ændringer til lovgivningen?

 

Hvad er ransomware?

Ransomware er ondsindet programmel, der typisk krypterer alle ens filer, harddisk, server eller fællesdrev, og forlanger betaling for at udlevere en dekrypteringsnøgle. Som regel opstår infektioner med ransomware ved, at en medarbejder klikker på en inficeret fil eller link. Men en udvikling inden for ransomware er, at data ikke bare krypteres, men decideret overføres til og tages som gidsel af de it-kriminelle, så de kan forlange løsepenge for ikke at frigive data.

KMD Analyse offentliggjorde i efteråret 2016 en undersøgelse, der viste, at 41 % af alle danske virksomheder udsættes for ransomwareangreb, og både Europol og DK-CERT (dansk forskningsenhed med fokus på sikkerhedsbrud) betragter det som en af tidens allerstørste it-sikkerhedstrusler. Ét forkert klik kan starte hele miseren, med alvorlige konsekvenser til følge.

Den generelle anbefaling ved angreb, der krypterer data, er, at man ikke efterkommer kravet om betaling, men at man i stedet får hjælp fra en it-virksomhed, fx ens hostingfirma, til at fjerne krypteringen. Alternativt kan man genskabe data fra backup. Det er som udgangspunkt en fin indstilling – problemet kan løses, og man kan få sine data tilbage – men de kommende ændringer til lovgivningen, kombineret med truslen om dataoverførsel via ransomware 2.0, skaber nye problemstillinger.

 

Skærpede krav i persondataloven til databeskyttelse

De kommende ændringer til persondataloven, der træder i kraft 25. maj 2018, medfører blandt andet skrappere sanktioner og indberetningspligt til Datatilsynet i tilfælde af databrud. Rent konkret ser det ud til, at en virksomhed vil kunne idømmes en bøde på op til 150 mio. kr. eller op til 4 % af omsætningen ved brud på persondataloven.

Samtidig stiller ændringerne til lovgivningen også krav til procedurer for styring af sikkerhedshændelser, og der er øgede krav til dokumentation af alle aspekter af behandling af persondata. Lige fra begrundelse for opbevaring af data, hvordan data er blevet indhentet, hvad man skal bruge data til, forsvarlig og tilstrækkelig beskyttelse af persondata, mv.

 

Persondata i gidseltagning, og konsekvenserne heraf

I dag er den mest udbredte type af cyberkriminalitet ransomwareangreb, hvor der blot sker en kryptering af filer og harddiske. Men på baggrund af de kommende store bøder, kan man godt forestille sig, at der sker en kraftig stigning af den type ransomwareangreb, hvor virksomheders data decideret overføres til de it-kriminelle, som så kræver penge for ikke at offentliggøre data.

Dermed opstår der et problem, hvis en virksomhed bliver udsat for et ransomwareangreb, der overfører persondata til bagmændene. For her duer anbefalingen om ikke at efterkomme kravet og genskabe data fra backup ikke, da de it-kriminelle bag ved ransomwaren kan true med frigørelse af persondata. Det vil sige, at den ramte virksomhed pludselig står med en datalækage på hænderne, som kan have alvorlige konsekvenser. Her kan man forestille sig, at mange virksomheder vælger at betale løsesummen, for alle kan se fordelen i at betale 1 mio. kroner for, at data ikke frigives, frem for en mulig bøde på 150 mio. kr. Dette er selvfølgelig lidt firkantet sat op for at illustrere pointen.

Man kan forestille sig en problemstilling lig med den, man ser med interne besvigelsessager i virksomheder. Ofte politianmeldes bedraget ikke, da virksomheden foretrækker at håndtere det internt og diskret, med så lidt bevågenhed fra omverdenen for muligt. Hvis der opstår en tendens til, at virksomheder vælger tilgangen med at betale de it-kriminelle, vil det føre til, at det bliver langt sværere for Datatilsynet og andre relevante myndigheder at opnå viden, der kan bruges til bekæmpelse af ransomware.

Myndigheder, antivirus-producenter m.fl. arbejder løbende på at sikre forbrugerne bedst muligt mod cyberkriminalitet, og det er her essentielt, at myndighederne får oplysninger om de angreb, der foretages, så det er muligt at prioritere lukning af hullerne, udsendelse af varsler osv.

Blandt kravene i forbindelse med den kommende forordning er, at en virksomhed, der mister sine data, skal melde databruddet til myndighederne. Et spørgsmål er så, om indberetningen kan forårsage, at man får en bøde – og det vil i så fald afhænge af, hvor godt virksomheden kan dokumentere sin databeskyttelse i forhold til lovkravene.

Kan myndighederne være behjælpelige med at løse problemerne, og se igennem fingre med bruddet? Det er endnu ikke afgjort, men vi forestiller os, at det er en relevant mulighed.

 

Hvordan undgås problemstillingen?

Den bedste måde at løse problemet på er at undgå, at situationen i det hele taget opstår. Derfor gælder det fx om at leve op til alle dokumentationskrav i lovgivningen, have en klar it-sikkerhedspolitik, at – nok mest vitalt – medarbejderne er bevidste om databeskyttelse og ikke at klikke på alt for mange links, som kan forårsage et ransomwareangreb, og at det også løbende vurderes, om der stadig er behov for at opbevare persondata. Der kan også sættes tekniske foranstaltninger op, såsom et mailfilter, der fx frasorterer .exe-, .scr- og .pif-filer, der typisk anvendes til ”madding”, eller en intelligent overvågning af dataoverførsler. Men som med it-sikkerhed generelt: der findes ikke 100 % garantier, men forebyggelse og forberedelse har det med at forbedre ens held!

Når det så er sagt, og skaden er sket, så er det bedste, man som virksomhed kan gøre, at have fuld dokumentation for opbevaring, håndtering og behandlingen af persondata, i overensstemmelse med lovgivningen. Hvis det skal retfærdiggøres, at myndighederne ser med mildere øjne på et databrud, kræver det, at virksomheden forinden bruddet har styr på kravene til dokumentation. Dermed kan virksomheden signalere overfor myndighederne, at det var et hændeligt uheld, på trods af at man har truffet de lovpligtige foranstaltninger, og at det ikke blot var et spørgsmål om tid, før den første hacker fandt virksomheden.

Ja, problematikken er til stede. Det tekniske i dette skriv er forsimplet, og måske vil nogle tænke ’ulven kommer’. Men moralen er, at selvom der sker løbende tilpasninger, som it-tekniker-typer har ansvaret for, og som på mange fronter sørger for en fornuftig it-sikkerhed i virksomhedens it-system (eller på hjemmecomputeren), vil det svageste led altid være os. Brugerne. Konsekvensen af, at lovgivningen ift. persondata laves om nu, er, at mens det ”i går” blot ville være ”ærgerligt” at miste data eller fx blive udsat for ransomwareangreb, vil det ”i morgen” have lovgivningsmæssige konsekvenser.