Sitemap | Avanceret søgning |

Virksomheder tier om brud på it-sikkerheden

Virksomheder oplyser sjældent deres kunder om sikkerhedsbrist, selv om personfølsomme oplysninger kan være havnet i hænderne på en identitetstyv.

Af GLENN TERNDRUP SØRENSEN
Publiceret 28-06-2011

Danskernes kreditkort bliver brugt flittigt på internettet.

En undersøgelse foretaget af handelsplatformen Kelkoo viser, at danskerne i gennemsnit brugte 12.310 kr. på nethandel i 2010, og det er mere end i noget andet land i Europa.

Men den heftige aktivitet på nettet øger samtidig risikoen for, at vores personlige oplysninger havner i hænderne på identitetstyve, der kan misbruge oplysningerne til at svindle og stjæle.

Ofte er danske virksomheder udsat for sikkerhedsbrist og hackerangreb, og når det sker, er der ingen garanti for, at deres kunder får noget at vide.

»Vi er bekendte med flere sager, hvor data er lækket fra danske virksomheder, men hvor virksomheden ikke har meddelt det til nogen. Det er en bred vifte af små og store virksomheder. Også nogle af de største danske virksomheder,« siger it-sikkerhedsekspert Peter Kruse fra itsikkerhedsfirmaet CSIS.

Ifølge den danske lovgivning er virksomheder og myndigheder ikke forpligtet til at underrette hverken politi eller kunder i tilfælde af sikkerhedsbrist, selv om kreditkortoplysninger og cpr-numre kan være blevet kompromitteret. Derfor vælger mange virksomheder ifølge flere it-sikkerhedseksperter ofte at hemmeligholde sikkerhedsbrist.


Tabu om problemet

»Der er helt klart sager i Danmark, hvor kunderne burde have været underrettet, men sikkerhedsproblemer er belagt med tabu, fordi det kan skade virksomhedens image. Og da der ikke er noget krav om, at kunder eller politi skal informeres, vælger mange at tie stille for at bevare deres gode omdømme,« siger Ulf Munkedal, it-sikkerhedsekspert og direktør for sikkerhedsfirmaet Fort Consult.

Han forklarer, at mange danske virksomheder går uden om politiet og direkte til et sikkerhedsfirma, hvis de har været udsat for en sikkerhedsbrist.

»Virksomhederne mener, at vi er dygtigere end politiet, og samtidig har vi ikke pligt til at fortælle om det til nogen. I 9 af 10 tilfælde vil de ikke have, at der er nogen, der får noget at vide,« siger Ulf Munkedal.

Denne mulighed for at hemmeligholde sikkerhedsbrud og hackerangreb har amerikanske virksomheder ikke. Allerede i 2003 vedtog man i USA en lov, der forpligter virksomheder og myndigheder til at underrette de berørte, hvis personfølsomme oplysninger er sluppet ud i cyberspace.

»Den amerikanske lov om "breach notification" handler om at give borgerne mulighed for at reagere, hvis deres persondata er blevet stjålet fra en database i en virksomhed eller myndighed. Derved kan borgerne nå at tage deres forholdsregler som f. eks. at spærre deres kreditkort, inden oplysningerne bliver misbrugt,« siger Peter Blume, der er juraprofessor ved Københavns Universitet og forsker i persondata-ret.

Ifølge Ulf Munkedal har den amerikanske lov om meddelelsespligt desuden medvirket til at højne itsikkerheden i USA.


Forebyggelse i USA

»Amerikanske virksomheder investerer store summer på it-sikkerhed alene ud fra den begrundelse, at det er meget dyrt og besværligt at kontakte kunderne.

Det kan meget bedre betale sig at forebygge i USA.« Af samme grund mener Peter Blume, at en dansk lov om meddelelsespligt kunne skærpe it-sikkerheden i Danmark. Han påpeger dog, at man skal være varsom med, hvilke områder loven skal omfatte.

»Jeg mener, at en lov om meddelelsespligt ville styrke mulighederne for, at der ikke sker sikkerhedsbrist og samtidig forebygge konsekvenserne, når det alligevel sker. Men det kan også skabe ubegrundet frygt hos brugerne.

Og det er ikke alle sikkerhedsbrist, der fører til misbrug af persondata.« I løbet af sommeren 2011 vil EU-Kommissionen revidere persondatadirektivet, og i den anledning har der i foråret været afholdt en europæisk workshop i København, hvor en gruppe it-sikkerhedseksperter drøftede en harmonisering af den europæiske lovgivning på området. Resultatet af drøftelserne blev en række anbefalinger kaldet The Copenhagen Privacy Principles (CPP), som nu er sendt videre til EU-Kommissionen.

»Et af principperne i CPP er, at vi ønsker mere åbenhed om it-sikkerhed. Vi opfordrer derfor til, at persondatadirektivet bliver ændret, så at man skal oplyse, hvis man har været udsat for et databrud.

Og det skal gælde for både virksomheder og myndigheder,« siger Henning Mortensen, der er it-sikkerhedsekspert ved Dansk Industri og en af initiativtagerne til den københavnske workshop.

Copyright: Morgenavisen Jyllands-Posten

Hvis du vil vide mere
'