GDPR

GDPR Bøter

Facebook risikerer bot på 1,63 milliarder dollar etter nylig datainnbrudd som berørte 29 millioner brukere.

Google risikerer bot på nærmere 2 milliarder dollar etter datalekkasjen fra 2015 til mars 2018.  Potensielt 500.000 Google+ brukere kan ha blitt rammet og Google velger nå å legge ned tjenesten.

British Airways risikerer bot på 489 millioner pund da kredittkortopplysningene til 380.000 kunder ble stjålet via selskapets nettside for kort tid siden.

Heathrow fikk forrige uke en bot på 1,3 millioner kroner av det Engelske datatilsynet. Dette fordi en minnepinne med personopplysninger ble gjenglemt og kom på avveie. (Samt at de hadde gitt for dårlig opplæring i personvern for de ansatte, kun 2% av dem hadde fått opplæring).

  • Brudd på behandlingsansvarliges (også databehandleres) forpliktelser er 10 millioner euro, eller 2% årlig global omsetning.
  • Overtredelse av grunnprinsippene (inkludert samtykke) 20 millioner euro, eller 4% av årlig global omsetning.
  • Overtredelse av påbud fra Datatilsynet 20 millioner euro, eller 4% av årlig global omsetning.

Det handler om aktsomhet og uaktsomhet.
(Størrelsen på boten handler også om lekkasjen skjedde før eller etter nytt regelverk.)

Hva er 4% av omsetningen din?

bøter

GDPR, Sikkerhet

Stordata

Bedre kjent som BIG DATA. Når man begynner å jobbe med datasikkerhet så innser man hva som egentlig foregår. I denne sammenheng din brukerdata. Informasjon, opplysninger og spor lagt igjen av deg. Gjerne på tjenester som bruker dette for å gi målrettet reklame. Husk at hvis tjenesten er gratis er det du som er produktet.

Stordata er rett og slett store datasett. Som nevnt kan dette brukes til å gi reklame, men  dette kan også brukt til verre formål som å påvirke deg politisk.

Selskaper har nå i lang tid samlet inn data som de nødvendigvis ikke har trengt, dette fordi det har vært enklere å ta alt og at man kanskje kunne bruke det til noe senere. Ofte har dataen blitt solgt videre og er da utenfor din kontroll. Data er den nye oljen blir det ofte sagt.

Angripere liker godt store mengder data om deg, fordi man kan bruke verktøy som enkelt samler inn dette, som igjen brukes til å lage en passord profil for å forsøke å ta over dine brukerkontoer.

Eksempler på verktøy:

Heldigvis har vi fått en ny personvernlov (GDPR) som krever at selskapene informerer hva de gjør med din data og at du må samtykke til dette.

For å vite hva som egentlig skjer og har skjedd i lang tid, vil jeg anbefale boken Data and Goliath fra Bruce Schneier.

bigdata
I like BIG DATA and I cannot lie
GDPR

GDPR Personvernombud

Bedrifter skal utpeke et personvernombud dersom hovedvirksomheten består av regelmessig og systematisk monitorering av personopplysinger, eller behandler sensitive opplysninger. Les mer her og ta Datatilsynet sin veileder.

Forøvrig oppfordrer Datatilsynet alle virksomheter til å opprette personvernombud, uavhengig om de er pålagt å ha det eller ikke. Dokumenterer de vurderingene som har blitt gjort dersom rollen ikke blir opprettet.

Et personvernombud kan ha andre oppgaver og roller i virksomheten. Hvis det er tilfelle, må virksomheten sikre at de andre oppgavene og rollene ikke fører til en interessekonflikt. Dette er tett knyttet opp til forutsetningen om at ombudet skal kunne utføre sine oppgaver på en uavhengig måte.

Som hovedregel kan en person ikke være personvernombud og samtidig ha en rolle der som skal bestemme formålet og måten personopplysninger skal behandles på. Hver enkelt virksomhet er forskjellig og må gjøre sine vurderinger for å sikre at ombudet unngår interessekonflikt i sine roller i virksomheten.

Personvernombudet er kontaktpunkt for ansatte, kunder, og tilsynsmyndighet og er en uavhengig rolle med primære oppgave å overvåke bedriftens etterlevelse av personvernlovgivning. Det fremdeles den behandlingsansvarlige (virksomheten) som har det juridiske ansvaret for at personvernlovgivningen følges.

Oppgaver:

  • samle inn informasjon for å identifisere behandlingsaktiviteter
  • analysere og sjekke at behandlingsaktivitetene er i tråd med regelverket
  • informere, gi råd og anbefalinger for å sikre regelverketterlevelse
  • foreslå ansvarsfordeling for oppgaver knyttet til ivaretakelse av personvernet i virksomheten
  • gjennomføre holdningsskapende arbeid i virksomheten og opplæring av medarbeidere

Som sertifisert personvernombud (PECB DPO) kan jeg hjelpe din bedrift.

Sikkerhet

Passord

Dagens nyhetsbilde viser til 1,4 milliarder passord på avveie, av disse ca 573 000 norske. (Aftenposten/Dagbladet/VG)

Dette er en eldre sak som har kommet frem igjen, men man kan aldri snakke nok om hvor viktig et godt passord er. Økonomien i Norge er så god at vi har råd til å kjøpe det siste utstyret og lisensiert programvare, dette gjør at det er ganske vanskelig å bryte seg inn i et nettverk (må nesten være satt opp feil eller nulldagssårbarheter). Angripere går derfor etter svake passord for å få tilgang, eller forsøker å lure til seg tilgang.

Du kan kontrollere styrken på passordene dine her:
Howsecureismypassword (Tjeneste laget av passord håndterings verktøy Dashlane)

password

Du kan kontrollere om du har hatt en konto på en tjeneste som har hatt datalekasje her:
Haveibeenpwned (Database laget av Troy Hunt med 5,4 mrd registrerte kontoer)

pwned

Angripere bruker følgende teori, velg noe annet og slå på to-faktor autentisering!

  • Gjennomsnittlige passordet er 7-9 tegn
  • Den gjennomsnittlige personen kjenner 50 000 til 150 000 ord
  • 50% sjanse for at brukerens passord inneholder en eller flere vokaler
  • Kvinner foretrekker personlige navn i passordene sine, og menn foretrekker hobbyer
  • Mest sannsynlig brukte symboler ! @ # $% & * ? ~
  • Hvis tall brukes, er det vanligvis 1 eller 2, og det vil trolig være på slutten
  • Hvis mer enn ett nummer vil det vanligvis være sekvensielt, dvs. 12 eller 345
  • Hvis det brukes en stor bokstav, er denne vanligvis i begynnelsen, etterfulgt av en vokal
  • 66% bruker 1 eller 2 passord for alle sine kontoer
  • En av ni personer bruker et passord på den vanlige topp 500-listen

Hadde ikke min venn Per Thorsheim hatt bilskiltet Passord, hadde nok jeg tatt det. Jeg får velge GDPR istedet 🙂

perpassord