DAEN

MENU

Har du sikret dine behandlingsaktiviteter mod hackerangreb?

Datatilsynet har i nyere afgørelser henholdsvis udtalt alvorlig kritik af og indstillet til bøde til virksomheder, som ikke – forud for et hackerangreb – havde sikret passende sikkerhedsforanstaltninger til forebyggelse af angrebet.

Datatilsynet har i nyere afgørelser henholdsvis udtalt alvorlig kritik af og indstillet til bøde til virksomheder, som ikke – forud for et hackerangreb – havde sikret passende sikkerhedsforanstaltninger til forebyggelse af angrebet.

Datatilsynet har i tre nyere afgørelser fra 2022 henholdsvis udtalt alvorlig kritik af og indstillet til bøde til virksomheder, som havde været udsat for et hackerangreb, og hvor tilsynet vurderede, at virksomheden ikke forinden havde implementeret tilstrækkelige sikkerhedsforanstaltninger til at forebygge sådanne angreb.

Har du sikret dig mod uautoriseret adgang?

To af de tre afgørelser vedrørte et hackerangreb med uautoriseret adgang til kunders betalingsoplysninger i virksomhedens webshop.

I den ene sag var hackerangrebet lokalt i webshoppen. Hackeren formodes at have stjålet/gættet loginoplysninger til den specifikke webshop, f.eks. ved et phishingangreb, hvorefter hackeren havde installeret et uautoriseret JavaScript i webshoppens betalingsløsning til indsamling af kundernes kortoplysninger. I virksomheden var der seks medarbejdere med adgang til at ændre betalingsscriptet, og der var ikke implementeret en to-faktor-autentifikation for administrative rettigheder til webshop og domænet, hvilket Datatilsynet udtalte alvorlig kritik af. 

I den anden sag var angrebet sket via et sikkerhedshul i webshoppens eksterne e-handelsprogram, hvorigennem hackeren havde injiceret en skadelig programkode, der gav mulighed for at uploade en fil til webshoppen, som medførte, at der kunne manipuleres med webshoppens check-ud-side. Datatilsynet fandt det kritisabelt, at virksomheden ikke have sikkerhedspatchet e-handelsprogrammet til den seneste version, samt at virksomheden ikke kunne dokumentere at programmet løbende er blevet sikkerhedsopdateret tilstrækkeligt.  

Krav til beskyttelsen af særligt beskyttelsesværdige oplysninger

Den tredje sag, hvor Datatilsynet indstillede til en bøde, vedrørte et advokatfirma, som var blevet udsat for et hackerangreb med uautoriseret adgang til særligt beskyttelsesværdige personoplysninger. Datatilsynet fandt, at advokatfirmaet ikke – ved fjernadgang til firmaets it-systemer – havde implementeret tilstrækkelige foranstaltninger til verifikation, som f.eks. multifaktorlogin. Datatilsynet lagde ved vurderingen af forholdet navnlig vægt på, at firmaets systemer indeholdt et stort antal personoplysninger af særlig beskyttelsesværdig karakter, hvor kompromittering vil indebære en høj risiko for de registrerede, hvorfor det krævede særligt kvalificerede sikkerhedsforanstaltninger til sikring mod uautoriseret adgang.

Hvilke krav stilles til dig som dataansvarlig?

Af ovennævnte praksis fra Datatilsynet kan udledes følgende krav til virksomheders og myndigheders behandlingssikkerhed til forebyggelse af hackerangreb: 

For det første bør du generelt sikre, at adgang til domæners betalingsmoduler og konti med ændringsrettigheder 

  1. begrænses til en særlig navngiven konto, der alene bruges til dette formål
  2. have et passende komplekst password med samtidig multifaktor login.

Dette for at mindske muligheden for, at de konti medarbejdere bruger til dagligt ved et angreb på deres daglige kommunikation, kompromitterer betalingsservicen og roddomænets adgangssikkerhed.

For det andet bør du sikre, at de hyppigt anvendte tredjelandsløsninger, der anvendes i dit system, patches, lige så snart leverandøren udgiver en sikkerhedspatch, både de der udbedrer specifikke trusler, men også de der blot angiver at udbedre generelle sårbarheder. Det er bl.a. et kendt risikoscenarie, at de hyppigt anvendte e-handelsplatforme o.lign. bliver forsøgt kompromitteret ved indbyggede svagheder, hvorfor løbende opdateringer er essentielle.

Husk den risikobaserede tilgang

Generelt gælder det, at jo højere risiko for de registrerede, som en uautoriseret adgang til personoplysninger indebærer, jo mere kvalificerede sikkerhedsforanstaltninger skal der til, for at sikre mod hackerangreb. Ved systemer, som indeholder et stort antal personoplysninger af særlig beskyttelsesværdig karakter, hvor risikoen for kompromittering er høj ved uautoriseret adgang, vil det være et krav, at der ved fjernadgang er implementeret foranstaltninger til verifikation, som f.eks. multifaktorlogin. 

Dette betyder også, at det er væsentligt, at du som dataansvarlig i forbindelse med udarbejdelsen af risikovurderingen tager højde for de mulige risikoscenarier, der er ved behandlingen og sørger for at identificere og implementere relevante sikkerhedsforanstaltninger.

Et andet vigtigt redskab i sikring mod hackerangreb er gennemførelse af test af systemer og software. Se hertil vores nyhed om dine forpligtelser til at gennemføre tests.

TILMELD DIG VORES NYHEDSBREVE

Mere end 20.000 personer abonnerer på vores nyhedsbreve og modtager løbende vores juridiske nyheder og publikationer. Nyhedsbrevene giver også et overblik over vores kurser, webinarer og netværksmøder, og fra tid til anden indeholder de information om særlige arrangementer inden for de områder, du interesserer dig for. Vi ser frem til at dele vores viden om juridiske emner med dig.