BRUGERAFTALERNE INGEN LÆSER Vi kan ikke overskue brugeraftalerne og accepterer dem i blinde. Det er at bede om problemer.

Størrelse: px
Starte visningen fra side:

Download "BRUGERAFTALERNE INGEN LÆSER Vi kan ikke overskue brugeraftalerne og accepterer dem i blinde. Det er at bede om problemer."

Transkript

1 DigiSikker 2012 EU-STRAMMER GREBET OM DATASIKKERHED Side 7 HJÆLP du er blevet stjålet! Side 10 NEMID OG FOLKETS TILLID NemID er kommet for at blive men sikkerhedsproblemer lægger op til en revurdering af løsningen. 6 BRUGERAFTALERNE INGEN LÆSER Vi kan ikke overskue brugeraftalerne og accepterer dem i blinde. Det er at bede om problemer. 8 ÅBEN KULTUR SIKRER DATA BEDST Læs hvorfor organisationer med en åben kultur har bedre it-sikkerhed. 14 Har du styr på dine s?

2 TILLIDEN er afgørende DIGITALISERING er en forandringskraft af de voldsomme. På samme måde som dengang verden oplevede det industrielle gennembrud. Vi er ved at skabe en ny digital kultur. Over hele verden vokser nye generationer op, uden at have kendt til andet end at kunne være online 24/7. I DEN FYSISKE VERDEN er tillid et ret håndgribeligt fænomen. Det skyldes blandt andet, at geografien sætter grænser. Man kan umiddelbart aflæse, om man er i venners lag eller befinder sig et sted, hvor ekstra opmærksomhed er påkrævet. På nettet er det hele lidt mere flydende. Der mange nye signaler, vi alle skal lære at afkode. Der er nu kun er et ét klik fra Dybbøl til Delhi, så den lokale tryghed er ikke længere urørlig. Vi har brug for nye former for beskyttelse og nye metoder til at opbygge og aflæse tillid. Det stiller nye krav til os som borgere og ansatte og specielt de af os som udvikler, sælger, køber og administrerer de digitale systemer. Sikkerhed og tillid skal bygges ind fra start og være med i alle led. Vi skal arbejde målrettet på at skabe nye metoder, som opbygger tillid mellem mennesker, der kommunikerer digitalt. Hvis vi forsømmer dette, fodrer vi frygten. I DETTE MAGASIN kan du læse en række forskellige historier, som fokuserer på it-sikkerhed, privatlivsfred og digital tillid i Danmark. Vores mål med DigiSikker 2012 er at bidrage til en sund og påkrævet debat om, hvordan vi bedst håndterer digitaliseringens mange udfordringer. Christian Wernberg-Tougaard, Formand Charlotte Bagger Tranberg, Næstformand MEDLEMMER AF RÅDET FOR STØRRE IT-SIKKERHED ATP, Danish Biometrics, Danmarks Radio, Dansk Standard, Deloitte, Devoteam, DK- CERT, DKUUG, FTF, HK, IDA s Teknologiudvalg, Institut for Menneskerettigheder, ISSA-Nordic, JayNet, KITA (Foreningen af Kommunale IT-Ansvarlige), KLID, PROSA, Region Hovedstaden, Statens IT, Uni-IT, Zebranet Aps, Ældre Sagen Registrering af borgere er gået for vidt Det er svært at finde nogen, som er uenige. Registreringen af danske borgere er gået for vidt, og den er ude af proportioner med det, som var formålet. 5,5 MILLIONER DANSKERE bliver hvert år registreret gange. Det sker, når vi kommunikerer via telefonen og går på nettet. 550 mia. registreringer blev det til i Kun få ved, hvad de loggede data bliver anvendt til, og i hvilken grad de bliver anvendt. Disse oplysninger sidder Politiets Efterretningstjeneste og Rigspolitiet solidt på. Specialkonsulent og ph.d. ved Institut for Menneskerettigheder, Rikke Frank Jørgensen, oplyser, at politiet på baggrund af registreringerne har fået indsigt i sager. 170 af sagerne vedrørte brug af internettet. Det er logningsbekendtgørelsen fra 2007, der danner rammen for den udvidede overvågning af vores færden på nettet, men oplysninger om Der er mangel på telefontrafik er blevet logget hos mange sammenhæng mellem teleselskaber lang antallet af overvågninger og tid før logningsbekendtgørelsen trådte brugen af dem. i kraft. Logningsbekendtgørelsen Direktør Jacob Willer Telekommunikationsindustrien udspringer af den anti-terrorlovpakke, som blev vedtaget i Folketinget tilbage i I forhold til EU s direktiv valgte Danmark en mere vidtgående regulering i bekendtgørelsen. JACOB WILLER ER DIREKTØR for Telekommunikationsindustrien, der er brancheorganisation for tele- og internetudbydere. Han konstaterer, at udbyderne og dermed kunderne selv skal betale godt 50 mio. kr. årligt for overvågningen, men det, som forarger ham, er noget andet: Der er mangel på sammenhæng mellem antallet af overvågninger og brugen af dem. Vi mener, det er vigtigt at vurdere og evaluere, om man får reel værdi ud af den enorme mængde Langt de færreste af os aner, hvor meget og hvordan vi bliver overvåget. Specialkonsulent og ph.d. Rikke Frank Jørgensen, Institut for Menneskerettigheder af registreringer. Samtidig mener vi, at der med så mange registreringer opstår en risiko for, at andre kan have interesse i registreringsdata og ønsker at anvende disse til andre formål. Det gælder for eksempel SKAT, der ønsker at få adgang til disse data en adgang vi fortsat nægter at give. Specialkonsulent og ph.d. ved Institut for Menneskerettigheder, Rikke Frank Jørgensen, ser den omfattende logning som udtryk for mangel på respekt for borgernes privatliv. REGISTRERINGEN RAMMER MEGET BREDT. Samtidig mangler der dokumentation for behovet, særligt i forhold til internet-kommunikation. Logning blev indført i kølvandet på terrorangrebene i USA i 2001, og det er på høje tid at overveje, Er det rimeligt, at der gælder andre regler for indsamling af oplysninger ved datalogning? Formanden Niels Bertelsen, PROSA om dele af den skal rulles tilbage, siger Rikke Frank Jørgensen. Hun tilføjer, at langt de færreste af os aner, hvor meget og hvordan vi bliver overvåget, og at det måske er derfor, at der i Danmark ikke har været en debat om, hvorfor der bliver pillet ved vores uskyld, før det modsatte er bevist et gammelt og hæderkronet retsprincip. PÅ SPØRGSMÅLET OM, hvad der er den ideelle løsning på problemet, svarer formanden for PROSA, Niels Bertelsen: At give politiet og andre myndigheder de redskaber, der skal til for at løse opgaverne, uden at sætte vores demokrati på spil. Med den adgang til overvågning, vi har i dag, er spørgsmålet, om det er rimeligt, at der gælder andre regler for indsamling af oplysninger ved logning end for indsamling af oplysninger i andre dele af samfundet. Chefkonsulent Henning Mortensen fra Dansk Industris ITEK-branchefællesskab mener, at man bør skille berettiget og uberettiget overvågning bedre ad. Der kan være formål med overvågning, som kan være samfundsgavnlige for både private og virksomheder, men som det ser ud lige nu, er jeg Vi ved ikke, om loggede data reelt har en positiv effekt på domsfældelse... enig i, at overvågningen har taget overhånd. Vi ved for eksempel, at kun meget få af de loggede trafikdata faktisk bruges Chefkonsulent Henning i efterforskningsmæssig Mortensen, ITEK sammenhæng. Vi ved ikke, om de reelt har en positiv effekt på domsfældelse eller indgår i sager, der droppes igen. DIN MOBIL OVERVÅGES DØGNET RUNDT Hver gang du sender en sms eller foretager et opkald, bliver din omtrentlige placering logget og gemt. Også selv om du ikke foretager dig noget, bliver din placering registreret via den mobilmast, du aktuelt er koblet på. Det er telefonselskabets pligt at gemme disse data, som beskrevet i den såkaldte logningsbekendtgørelse. FAGPERSONER (Fagpersoner repræsenterer ikke deres organisationer): Anja Bechmann (Aarhus Universitet, Center for Internetforskning), Charlotte Bagger Tranberg (Ålborg Universitet, Juridisk Institut), Christian Wernberg-Tougaard, Jan Damsgaard (Copenhagen Business School, CAICT), Klaus Hansen (DIKU, Københavns Universitet), Niels Chr. Juul (RUC), Niels Ole Finnemann (Aarhus Universitet, Center for Internetforskning), René Rydhof Hansen (Aalborg Universitet, Datalogisk Institut), Kim Aarenstrup DIGISIKKER 2012 UDGIVES AF Kommunikationschef Bjørn Kassøe Andersen, Mail: rfsits@rfsits.dk Mobil: C MEDIA DANMARK A/S er en avisproducent, som producerer avistillæg i den nordiske dagspresse. C media Danmark A/S producerer desuden digitale kundemagasiner og årsrapporter. PROJEKTLEDER: Peter Lundegaard REDAKTION: Hans Henrik Lichtenberg, Per-Henrik Goosmann, Bjørn Kassøe Andersen (ansv.) GRAFISK DESIGN: Susanne Dehmer/ Friform, Daniel Jernberg/DjESIGN FOTO: Rådet for Større IT-Sikkerhed, Ole Johny Sørensen, POL-Foto, Anders Foss (s.8 Anja Bechmann) TRYK: Trykkeriet Nordvestsjælland INFORMATION OM TILLÆG FÅS HOS: Peter Lundegaard, , peter@cmedia.as 2 Rådet for større IT-sikkerhed

3 Peter Madsen, it-manager i Avis Danmark. Lars Berg-Nielsen, partner i Deloitte. Har du styr på dine s? Det får du med ComArchive! En kan være et vigtigt, juridisk dokument, som kan betyde forskellen mellem succes og fallit i en virksomhed. Men hvor er den med aftalen, som I indgik i sin tid? Antallet af s stiger og stiger, og vi er hver især konsekvent bagud i forsøget på at få styr på indbakken. Samtidig bliver vi bedt om at rydde op, men hvor bliver de slettede mails af, og kan man finde dem igen? Måske savner du den , der bekræfter en gammel aftale eller fastlægger vilkår for en kontrakt. en er slettet fra indbakken for længe siden, og den medarbejder, der havde sagen, er slet ikke i firmaet længere. Med ComArchive slipper du for at bekymre dig om s. ComArchive gemmer automatisk alle s og indekserer dem, så de er lette at finde frem mellem de tusinder af andre s. Vores løsning sikrer virksomheden, gør livet med Outlook enklere og optimerer virksomhedens -platform, fortæller administrerende direktør Svend Frandsen fra ComArchive. EN TIL EN HALV MILLION At en kan være vigtig, kan it-manager i Avis Danmark, Peter Madsen, skrive under på: Vi har oplevet, at en afgjorde en tvist til vores fordel, og det betød kr. for virksomheden. Så det er afgørende vigtigt at arkivere sine s og kunne søge effektivt i dem, siger han. Også de store rådgivere anbefaler at man får styr på sine s: s er virksomhedsdata og skal behandles som sådan. Det kan være juridisk afgørende at kunne dokumentere aftaler og kontrakter, så vi anbefaler stærkt, at man arkivere alle s på en sikker og effektiv måde, siger partner i Deloitte, Lars Berg-Nielsen. Se filmen, som forklarer løsningen på 1 minut ANNONCE Er virksomhedens hemmeligheder til salg? Dagligt trues danske virksomheder af it-kriminelle, der vil have fingrene i fortrolige oplysninger. Informationerne sælges med kriminelle formål eller lækkes på nettet. Der er masser af trusler, og de it-kriminelle har rettet blikket mod Skandinavien. Ofte sker lækagerne gennem interne sikkerhedsbrist, hvor eksempelvis medarbejdere uforvarende bringer en virus ind i systemet. I dag kan du ubevidst lukke en it-kriminel ind i dit system ved at besøge en helt legal hjemmeside, hvor der måske gemmer sig en virus i en bannerannonce, fortæller Jan Kaastrup, sikkerhedsekspert og partner i Itsikkerhedsfirmaet CSIS Security Group. Gennem de inficerede maskiner kan it-kriminelle lænse virksomheden for følsomme oplysninger. Det er typisk kreditkortoplysninger, kundedatabasen eller en direkte adgang til netværket, der bliver solgt på det sorte marked. Datalækager er hverdag Det er steget markant. Især brancher som den finansielle sektor, medicinalindustrien og offentlige institutioner oplever angreb, men også helt almindelige industrivirksomheder oplever lækager, siger Jan Kaastrup fra CSIS, som er specialister i at overvåge nettet, opsnappe lækkede oplysninger, og hjælpe virksomhederne med at finde og forebygge lækager. Ikke kun truslen fra uvidende og uforsigtige medarbejdere er et problem. CSIS oplever i stigende grad, at professionelle it-kriminelle målrettet forsøger at omgå sikkerhedsforanstaltningerne i en specifik virksomhed for at tilegne sig værdifulde oplysninger. I Danmark har der siden starten af 2012 været seks forskellige store angreb mod Danmark, hvoraf det ene angreb alene resulterede i inficerede pc er i 250 danske virksomheder. Kun sjældent opdager virksomheden selv, at der lækkes oplysninger. Vi oplever ofte, at det har stået på i flere år. Så vi kan kun konstatere, at de it-kriminelle har fået øjnene godt op for Danmark, understreger Jan Kaastrup. Er der følsomme data der forlader din organisation? Ezenta 3D sikkerhedsanalyse Ved du, hvor meget Facebook, Youtube, Bittorrent og Dropbox bliver brugt i din virksomhed? Eller hvilke følsomme data, der forlader din organisation? Lad vores sikkerhedseksperter synliggøre det for dig! Læs mere om Ezenta s 3D sikkerhedsanalyse på: Om Ezenta A/S løsninger inden for it-sikkerhed. Gennem rådgivning, undervisning, løsninger og services, sikrer Ezenta dagligt offentlige organisationer samt danske og internationale virksomheder i mange forskellige brancher. Lær mere om Threat Detection Ezenta A/S Hørkær Herlev Ezenta A/S Katrinebjergvej Århus N Rådet For Større IT-Sikkerhed 3 Tlf CVRnr

4 EU-kommisær Vivianne Reding vil indføre stærke, klare og ensartede regler for data sikkerhed i EU. EU strammer grebet om datasikkerhed EU-kommissionen har udarbejdet en persondataforordning, der om få år skal erstatte den danske persondatalov. Lovkomplekset gør det nemmere at drive virksomhed i EU, men der lægges også op til gigantbøder for små overtrædelser, ringere forbrugerbeskyttelse og den danske tradition for kollektive overenskomster udfordres. GRUNDLAGET FOR DET KOMMENDE, digitale fællesmarked. Sådan beskriver EU-kommissær Vivianne Reding den kommende persondataforordning. Medlemslandenes forskellige persondatalovgivninger vil med det nye tiltag blive gjort ensartede, og det skal gavne både borgere og virksomheder. Perspektivet er, at forbrugernes tillid til onlinetransaktioner øges, og for virksomhederne vil konkurrenceevnen kunne forbedres, siger Henning Mortensen, der er chefkonsulent hos ITEK, Dansk Industris branchefællesskab for it-virksomheder. Han har sat sig grundigt ind i forordningen på vegne af ITEKs medlemmer, og han kategoriserer indholdet i tre dele: Godt, dårligt og sjusk. Det gode ved fælles regler er, at det letter administrative byrder for virksomhederne. Et eksempel på noget, som erhvervslivet ser frem til, er, at en virksomhed, der i dag arbejder i flere EU-lande, fremover kun skal tilknyttes ét datatilsyn, siger Henning Mortensen. I ØJEBLIKKET SKAL VIRKSOMHEDERNE tilknyttes datatilsyn i samtlige de lande, virksomheden opererer i og forholde sig til 27 forskellige måder at håndtere persondata på. Forenklingen kan spare det europæiske erhvervsliv for over to mia. kr. årligt, og det bliver en af de effektiviseringsgevinster, der kommer ud af EU-Kommissionens foreslåede forordning om persondata. Det nuværende udkast til forordningen lægger også nogle nye og urimelige byrder på virksomhederne. Henning Mortensen nævner det eksempel, at en virksomhed, der har fået kompromitteret sin sikkerhed på en måde, så det er gået ud over brugerdata, i løbet af 24 timer skal oplyse samtlige kunder om sikkerhedsbruddet. Virksomhederne vil have meget svært ved at sige noget fornuftigt til deres brugere om sikkerhedsbruddet på så kort tid. Vi mener, at forbrugerne vil blive utrygge, fordi oplysningerne fra virksomhederne ikke nødvendigvis følges op med anvisninger på, hvordan man som forbruger bør forholde sig. Desuden er det uklart hvor små sikkerhedsbrud, der skal oplyses om, siger Henning Mortensen. Det synspunkt bakkes op af Rådet For Større IT-Sikkerhed. Formand Christian Wernberg-Tougaard siger: Det her kommer til at ramme skævt. De virksomheder, der rent faktisk lever op til oplysningspligten, kommer til at betale, mens de, der holder databrud skjult, går fri. ET ANDET PROBLEM er, at forordningen udfordrer den danske arbejdsmarkedsmodel. Ifølge udkastet må man ikke behandle oplysninger om ansattes navne og sundhedsforhold. Det kan gå ud over den måde, overenskomster i dag forhandles på, fordi behandlingen af disse data indgår i kollektive beslutninger mellem parterne. Dette er en knast, som det kan være vanskeligt at få ørenlyd for på EU-plan, fordi den danske model er unik i EU-sammenhæng, vurderer Henning Mortensen. Det deciderede sjusk handler ifølge Dansk Industri om nogle vidtgående opstramninger af persondatabeskyttelse. Forordningen lægger op til, at det vil være et brud på persondataloven, hvis en virksomhed offentliggør navne og telefonnumre på medarbejdere. Som udkastet ligger nu, vil det være en overtrædelse at præsentere sine medarbejdere på en virksomheds hjemmeside, og det skal naturligvis laves om, lyder det fra Henning Mortensen. VIRKSOMHEDERNE ER OGSÅ BEKYMREDE for konsekvenserne af at overtræde den nye forordning. Bøden kan nå op på to pct. af virksomhedernes samlede, globale omsætning eller 1 million euro. Det betyder, at en internationalt arbejdende software-virksomhed, der dømmes for en fejl lokalt i ét EUmedlemsland, skal straffes i forhold til virksomhedens globale omsætning. Ifølge kommissionen skal forordningen vedtages i medlemslandene allerede i 2013 og træde i kraft i Ifølge Dansk Industri vil der være mange indvendinger, som skal behandles, fra et væld af virksomheder, organisationer og myndigheder, så 2017 virker som et mere realistisk årstal for ikrafttrædelsen af forordningen, mener Henning Mortensen. Persondatabeskyttelse ensartes i EU Den danske persondatalov ophæves, i det øjeblik EU s persondataforordning bliver vedtaget. Det åbner for geografisk profilering af forbrugere og inddragelse af personlige sundhedsoplysninger i forholdet mellem virksomheder og kunder. KOMMISSIONENS REFORM af reglerne for persondatabeskyttelse skal sikre, at persondata bliver mere ensartet håndhævet i alle EU-medlemslande. En stærk, klar og ensartet retlig ramme på EU-niveau vil bidrage til at udnytte potentialet for det digitale, indre marked og fremme økonomisk vækst, innovation og jobskabelse, forklarer EU-kommissær for retlige anliggender, Viviane Reding. Konsekvensen er, at den danske persondatalovgivning ophæves, og trods EU s mange foreslåede stramninger forsvinder væsentlige dele af den nuværende, danske persondatabeskyttelse uden at blive erstattet. TEKSTEN FRA FORORDNINGEN vil gælde direkte i dansk ret, og det er ikke muligt at stå uden for eller få undtagelser i den, da den er en del af det indre marked, siger jurist ved Aalborg Universitet, Charlotte Bagger Tranberg, der har skrevet PhD-afhandling om EU-ret og persondatalovgivning. Hun er bekymret for den dårligere retsstilling, danske forbrugere vil få. Det gælder eksempelvis i forhold til geografisk profilering af dårlige betalere. Borgere i visse boligområder vil over én kam kunne vurderes at have en dårligere rating og dermed ringere mulighed for at låne penge eller købe på kredit. Det er i dag ikke tilladt at udarbejde geografiske profiler af kunder i Danmark. NOGET TILSVARENDE gælder for sundhedsoplysninger. I dag må virksomheder ikke indhente sundhedsoplysninger, selv om borgeren giver samtykke. Det vil blive ændret, så virksomheder vil kunne bruge sundhedsdata til at udarbejde tilbud på eksempelvis forsikringer, hvis kunden giver tilladelse til det. 4 Rådet For Større IT-Sikkerhed

5 ANNONCE Administrerende direktør i e-boks, Henrik Andersen, lægger op til nye muligheder for effektiviseringer med e-boks. Det sker blandt gennem en ny, sikker digital underskrift og tovejskommunikation via e-boks. Sikker digital tovejskommunikation med e-boks e-boks er kendt for at være den sikre digitale postboks, hvor virksomheder og myndigheder afleverer post til borgere og ansatte. Løsningen er gennem årene blevet udbygget, og den virtuelle postboks har hjulpet en lang række organisationer med at effektivisere arbejdsgange, men der er stadig store effektiviseringsgevinster at hente ikke mindst i kraft af nye muligheder for digitale underskrifter og tovejskommunikation via e-boks. Danske forbrugere er vant til at kunne gennemføre en lang række personlige og juridisk bindende handlinger på internettet. Mange steder skal man dog stadig troppe op og sætte sin underskrift med kuglepen. Det gælder eksempelvis på mange arbejdspladser, hvor ansættelseskontrakten skal underskrives, og i forbindelse med optagelse af lån, eller når en borger skal ansøge om en byggetilladelse hos kommunen. Sådan behøver det ikke at være, for teknologi og lovgivning gør det nu muligt at udvide brugen af digitale underskrifter. Derfor introducerer e-boks i de kommende måneder en ny platform, der gør det muligt for borgere at underskrive dokumenter digitalt med NemID og aflevere dem til myndigheder og virksomheder via e-boks. Det vil sætte gang i en ny bølge af effektivisering af arbejdsgange, som vil give store administrative besparelser i hele samfundet og ikke mindst gøre brugeroplevelsen endnu bedre. Vi oplever, at vores samarbejdspartnere i eksempelvis bankerne eller hos myndighederne er meget parate til at tage disse nye muligheder til sig. Det samme gælder forbrugerne, som tager disse teknologier til sig meget hurtigt, siger administrerende direktør i e-boks Henrik Andersen. Han påpeger, at det for brugerne vil betyde hurtigere arbejdsgange, mere smidig sagsbehandling og ikke mindst overblik. Samtidig giver digitale underskrifter via e-boks mulighed for massiv effektivisering og dermed besparelser for afsenderen. Det er væsentligt, når man regner på besparelserne ved at gå over til digitaliserede underskrifter, at man ikke blot fokuserer på sparet porto eller fremmøde i banken. De største besparelser ligger faktisk i at effektivisere virksomhedernes interne dokumenthåndtering og i øvrigt den tid, der spares ved, at personligt fremmøde ikke længere er nødvendigt. Et dokument, der er digitalt underskrevet, skal ikke gennem en arbejdsgang for at ende på det rette skrivebord og efterfølgende arkiveres. I det øjeblik det er underskrevet og sendt, ligger det på sin plads hos modtageren og indgår i den øvrige sagsbehandling hos afsenderen, siger Henrik Andersen. En række myndigheder og virksomheder har allerede løsninger til underskrifter, men når e-boks snart kan tilbyde sin underskriftsløsning bliver det en del af e-boks sikre infrastruktur. Den netop vedtagne Lov om Offentlig Digital Post, danner således et solidt grundlag for anvendelsesmulighederne for e-boks løsningen. Flere end 3,7 millioner danskere modtager post i e-boks. De sparer tid og har bedre overblik over rudekuverterne. e-boks er let tilgængelig fra en hvilken som helst computer eller smartphone over hele verden, og sparede miljøet for ton papir alene i Flere end 185 millioner dokumenter blev overført via e-boks i 2011, hvilket sparede både private og offentlige virksomheder porto. Blandt afsenderne er langt de fleste banker, alle landets 98 kommuner, de fleste statslige styrelser, ATP samt en række realkreditinstitutter, forsikringsselskaber, energiselskaber, fagforeninger og teleselskaber samt arbejdsgivere, som sender lønsedler til deres medarbejdere. e-boks er et aktieselskab, der ejes ligeligt af Nets og Post Danmark. e-boks er hovedsponsor for tennisstjernen Caroline Wozniacki.

6 NemID og folkets tillid NemID skulle give os sikker kommunikation mellem borgere, virksomheder og offentlige myndigheder. Men sikkerhedshuller og kritik af løsningens opbygning lægger op til en revurdering af NemID. REGERINGEN HAR FORTSAT fuld tillid til NemID. Allerede i efteråret 2011 fastslog finansminister Bjarne Corydon, at der fra starten har været stort fokus på sikkerheden i NemID. Han beskrev, at der hos Nets DanID er beredskab, som gør det muligt hurtigt at sætte ekstra sikkerhedsforanstaltninger i værk, hvis der bliver brug for det. Af sikkerhedsmæssige årsager kan det ikke oplyses, hvad disse konkret går ud på, men bankerne, Nets DanID og Digitaliseringsstyrelsen foretager løbende risikovurderinger, lød forsikringen til it-ordfører Dennis Flydtkjær fra Dansk Folkeparti. For kritikerne af NemID er hemmelige sikkerhedslapper ikke overbevisende. De mener, at tiden er løbet fra det, som kaldes security by obscurity, altså at man skaber sikkerhed ved hjælp af skjulte og hemmelige teknikker. I stedet ønsker de en mere tydelig og veldokumenteret sikkerhed, så interesserede kan forholde sig til de principper og metoder, der anvendes. DEBATTEN KAN VÆRE SVÆR at gennemskue. Det fyger med tekniske begreber og forklaringer. I sidste ende kan det hele koges ned til, om NemID over de kommende år bliver i stand til at opnå folkets tillid og blive et velkendt og normalt tillidsvækkende fænomen på linje med kreditkort, pas og kørekort. NemID er nemlig kommet for at blive, og sikkerhedsløsningen vil blive en stadigt vigtigere og mere omfattende del af hverdagen for danske borgere, virksomheder og myndigheder. Digitaliseringsstyrelsen har fortsat fuld tillid til, at NemID er tilstrækkelig sikker, siger styrelsens direktør, Lars Frelle-Petersen Der gik kun cirka et år, fra NemID blev taget i brug, til de første eksempler på misbrug dukkede op vel at mærke forudsigeligt misbrug, som udnytter en af de designmæssige svagheder i NemID-løsningen. RÅDET FOR STØRRE IT-SIKKERHED har peget på behovet for en hurtig revision af NemID-løsningen. Ifølge Charlotte Bagger Tranberg, jurist, forsker og næstformand for Rådet For Større ITsikkerhed, har NemID bredt sig til at omfatte mange aspekter af vores liv, og det rejser nye problemstillinger: NemID er oplagt til finansielle transaktioner. Vi vil aldrig opnå en 100 pct. sikker løsning, men vi mener, at afvejningen mellem sikkerhed og risiko her er i orden. Hvis en person udsættes for svindel i sin netbank, vil dette kunne gøres op i penge. De nye problemer er opstået, i takt med at NemID i stigende grad benyttes til udveksling af personfølsomme data mellem det offentlige og borgerne. En sikkerhedsbrist her kan ikke gøres op i penge, og konsekvenserne kan være uoverskuelige for både borgere og myndigheder, siger Charlotte Bagger Tranberg. Hun påpeger, at det i 2015 vil blive obligatorisk for borgere at dele oplysninger med det offentlige digitalt. Altså det som af kritikere bliver kaldt for tvangsdigitalisering, fordi man som udgangspunkt ikke kan fravælge NemID der leveres af en privat udbyder eller vælge mellem flere konkurrerende, teknologiske løsninger. DER GIK KUN cirka et år, fra NemID blev taget i brug, til de første eksempler på misbrug dukkede op vel at mærke forudsigeligt misbrug, som udnytter en af de designmæssige svagheder i NemID-løsningen. Vi mener, det er afgørende, at befolkningen har høj tillid til NemID, fordi det er fremtidens kommunikationsnøgle. Derfor bør arbejdet med en forbedret version af NemID igangsættes hurtigst muligt i Første version af NemID blev udviklet i et lukket forløb. Rådet mener, at udformningen af næste version bør ske i samspil og dialog med en bred vifte af aktører, siger Charlotte Bagger Tranberg. Hos Digitaliseringsstyrelsen, der under Finansministeriet har ansvaret for NemID, er man opmærksom på problemerne. Direktør Lars Frelle-Petersen påpeger, at der ud af de over 700 mio. transaktioner, der er gennemført med NemID, blot har været en håndfuld såkaldte man-in-the-middle-angreb i forhold til netbanker. Endnu er der ingen kendte tilfælde af angreb mod det offentliges selvbetjeningsløsninger baseret på NemID. De aktuelle eksempler på vellykkede angreb på netbanker bliver naturligvis taget alvorligt, og vi har konstant fokus på sikkerheden i NemID. Bankerne, Nets DanID og Digitaliseringsstyrelsen foretager derfor løbende risikovurderinger af de aktuelle trusler og afvejer behovet for supplerende sikkerhedsforanstaltninger i forhold til både brugervenlighed og økonomi. Vi mener dog fortsat, at risikoen for svindel på nuværende tidspunkt er minimal. Digitaliseringsstyrelsen har på den baggrund fortsat fuld tillid til, at NemID er tilstrækkelig sikker, sammenfatter Lars Frelle-Petersen. De skarpe er skeptiske IT-Politisk Forening har siden NemID s introduktion været blandt de skarpeste og mest vedholdende kritikere af NemIDløsningen. Flere medlemmer har helt fravalgt NemID. Sikkerheden er for dårlig, mener de, og der er risiko for, at virksomheder og myndigheder kan snage i borgernes private data. DER ER PROBLEMER med den administrative opbygning af NemID, og sikkerheden i NemID s software er forældet, mener IT-Politisk Forening. Samtidig er foreningen stærkt skeptisk over for mulighederne for, at NemID kan benyttes af serviceudbydere til at få adgang til brugernes computere. Et problem er, at man har valgt at basere NemID på en Java-applet. Det gør det i princippet muligt for staten og bankerne at afvikle programmer på brugernes computere og snage i personlige forhold, siger formand for IT-Politisk Forening, ph.d. i datalogi, Niels Elgaard Larsen, der har stillet spørgsmål til, om efterretningstjenester kan benytte NemID til at spionere på borgeres computere. DanID har tidligere afvist, at det kunne lade sig gøre for serviceudbydere at udføre funktionalitet på brugerens computere. IT-Politisk Forening har dog på deres hjemmeside dokumenteret, hvor nemt det er at få adgang til brugeres harddiske via en Java-applet. Det har øget IT-Politisk Forenings skepsis over for NemID. SIKKERHED BØR IKKE være baseret på uklarhed, det vi kalder security by obscurity. Det her handler om privatlivets fred for alle borgere. Derfor burde der være en mere åben debat om NemID, og hvordan løsningen rent faktisk er opbygget. En anden anke er NemID s sårbarhed over for man-in-the-middle-angreb, hvor en kriminel opretter en falsk side, som en bruger derefter kommer til at indtaste sine koder på. Dette er ikke teori. Vi har set flere angrebsbølger. Det er rigtigt, at det kun er banker, som er blevet ramt, men det kunne lige så godt være offentlige tjenester. Der er tale om alvorlige fejl i hele systemets design, som gør NemID til et slaraffenland for kriminelle, nysgerrige virksomheder og myndigheder, siger Niels Elgaard Larsen. VIDSTE DU AT? Der er over 200 forskellige danske websites som benytter NemID NemID drives af bankerne gennem Nets DanID med Digitaliseringsstyrelsen som ansvarlig myndighed 99 pct. af alle danskere i trediverne har NemID 3,84 millioner danskere har NemID NemID været brugt lidt over en halv milliard gange siden introduktionen. 6 Rådet For Større IT-Sikkerhed

7 Ingen dato for NemID på mobilen Danske forbrugere benytter i stigende grad deres tablets og smartphones til at handle, gå i banken og kommunikere med myndigheder. Men det sker uden brug af NemID. DER MANGLER EN MOBIL udgave af NemID, og indtil den er på plads, må borgerne tage til takke med mindre sikre løsninger. Det er uheldigt i en tid, hvor forbrugerne i stigende grad bruger deres mobile enheder til personlig kommunikation med eksempelvis myndigheder og banker. Det mener IT-Brancheforeningen. Sikker login fra smartphones og tablet-computere er en af de største drivere for at opnå en mere effektiv digitalisering. Hver anden familie har i dag smartphones, og hver femte familie har en tablet-computer. Hvis NemID skal følge med udviklingen, er det vigtigt, at vi hurtigt får klare svar på, hvorhen udviklingen går, siger direktør Morten Bangsgaard fra IT-Branchen. DET ER VIGTIGT for udviklere af løsninger at vide, hvilke sikkerhedskrav det offentlige stiller til brug af hvilke typer data på hvilke enheder. Leverandørerne har også et stort behov for at vide, hvilke komponenter de skal forvente selv at bygge, og hvilke der vil blive stillet til rådighed i en kommende, fælles infrastruktur. Det er spørgsmål, som er af afgørende betydning for de investeringer, leverandørerne skal foretage, og for hvor hurtigt langtidsholdbare og sikre løsninger kan komme på markedet. Jo længere tid der går uden klare svar, jo større sandsynlighed er der for, at der sker knopskydninger af midlertidige sikkerhedsløsninger, siger Morten Bangsgaard. Digitaliseringsstyrelsen undersøger i øjeblikket potentialet for mobil borger- og virksomhedsbetjening med henblik på at udarbejde en fællesoffentlig handlingsplan for mobil selvbetjening. Den nuværende NemID-løsning kan ikke anvendes på mobile platforme. Digitaliseringstyrelsen kan ikke sige noget om, hvornår en løsning er på plads. SÅDAN SKAL NemID FORBEDRES RÅDET FOR STØRRE IT-SIKKERHED har udarbejdet en ønskeliste til en fremtidig generation af NemID. Først og fremmest er det nødvendigt, at regeringen iværksætter et forberedende arbejde, der inkluderer høringer med eksperter og organisationer. Rådet For Større IT-sikkerhed mener, at en ny generation af NemID blandt andet bør: Udarbejdes i en åben proces Etableres på baggrund af åbne standarder Leve op til EU s krav til kvalificerede digitale signaturer Være platformsuafhængig Give sikkerhed for, at der ikke kan hentes uvedkommende data fra brugerens PC Følges op med større åbenhed og dialog Give brugerne mulighed for at gemme deres digitale nøgler både centralt og decentralt Følges op af mulighed for flere konkurrerende login-løsninger. SE MERE PÅ: ANNONCE ANNONCE Sikkerhed for kvalitet i outsourcing En revisorerklæring fra den statsautoriserede revisionsvirksomhed REVI-IT sikrer, at både god it-skik og lovgivning overholdes. REVI-IT arbejder med it-revision og rådgivning, og specielt offentlige myndigheder, sundhedsvirksomheder og den finansielle sektor kræver i stigende grad attestering af ydelserne fra underleverandører. Følsomme personoplysninger skal beskyttes, og det sikrer man sig ved at få en Martin Brogaard Nielsen. revisorerklæring på eksempelvis den hosting-leverandør, man outsourcer til. Vi auditerer virksomheder og tester deres systemer, så vi kan dokumentere, at de lever op til kravene i eksempelvis revisionsstandard ISAE Det kan være cloud-leverandører eller andre, der opbevarer store datamængder, hvor det er vigtigt for kunderne at have en sikkerhed for at tingene foregår efter bogen, forklarer direktør Martin Brogaard Nielsen fra REVI-IT. Stigende krav om erklæringer Sådanne revisorerklæringer bliver mere almindelige i takt med, at virksomheder og myndigheder efterspørger det hos leverandørerne. Mange leverandører ser det også som et markedsføringsinstrument, der giver en garanti for, at leverancen lever op til lovgivningens krav. De fleste virksomheder har ikke kompetencer eller ressourcer til selv at kontrollere leverandørerne, så de ser på, om leverandøren er auditeret og har revisorerklæring. Og det er der, vi kommer ind i billedet. Vi leverer erklæringer direkte i markedet, men også gennem vores partnerprogram via en række tilsluttede revisionsfirmaer, understreger Martin Brogaard Nielsen. Nu endelig it-sikkerhed på nettet En førende dansk platform for debat og viden om it-sikkerhed. Det er målet med Ezentas nye website. It-sikkerhedsvirksomheden Ezenta vil meget mere end at sælge et produkt. Ezenta vil skabe debat og gøre op med hemmelighedskræmmeriet omkring it-sikkerhed, og det skal blandt andet ske gennem en helt ny og interaktiv website med vidensdeling, blogs og et dansk trusselsbarometer. Vores website skal være mere end blot et Niels Kemal Onat. visitkort for vores virksomhed. Vi ser gerne, at alle kan bruge siden til at blogge om it-sikkerhed og til at udveksle viden og teste sikkerhedsniveauet. Vi vil kort sagt tage udgangspunkt i erhvervslivets behov frem for vores eget behov for at vise os frem, siger CEO og partner i Ezenta, Niels Kemal Onat. For meget hemmelighedskræmmeri Han mener, at branchen er præget af for meget hemmelighedskræmmeri, og det betyder, at ingen kender det reelle trusselsbillede for netop deres branche. Derfor vil Ezenta på sigt offentliggøre et trusselsbarometer i lighed med det, man har i andre lande. Vi vil være med til at skabe et mere nuanceret kendskab til, hvad der findes af trusler aktuelt og i den nærmeste fremtid, og gennem vores producenter har vi et verdensomspændende kendskab til trusselsbilledet. Vi kender markedet og kan samle alle disse oplysninger her, og vi ser ingen grund til at holde det for os selv, understreger Niels Kemal Onat. Udgangspunkt i behovet Først og fremmest tager det nye site udgangspunkt i erhvervslivets behov. It-sikkerhed drejer sig om tillid og troværdighed, og det vil vi vise at vi lever op til, ved at fokusere på behovet mere end på produkter. Det er en rejse der lige er startet, men vi håber at rigtig mange vil være med til at skabe denne platform, påpeger Niels Kemal Onat. Ezenta A/S Hørkær Herlev Ezenta A/S Katrinebjergvej Århus N Tlf CVRnr

8 Rigtigt mange bruger de sociale medier men det er kun er de færreste, som læser brugeraftalerne og næsten ingen kan overskue dem. Foto: lickr/chispita_666 CC BY Brugeraftalerne ingen læser Brugeraftaler til app s, websites og software er så omfattende og uigennemskuelige, at forbrugerne opgiver og accepterer vilkår i blinde. Den adfærd skaber et ulige bytte forhold mellem brugernes nemme adgang til services og udbydernes rettigheder. EN KOLLEGA KOMMER FORBI og viser dig et nyt spil på nettet. Smart. Du spiller i de sene aftentimer og har accepteret vilkårene for at komme videre. Ude i højre side af spillet er der reklamer og annoncer. Det kan også være en forbrugerundersøgelse af netop dit bilmærke. Spillet slutter. Du klikker dig ind på brugerundersøgelsen, hvor du registrerer dig og beredvilligt svarer på spørgsmålene og slutter af med din -adresse, fordi du gerne vil vinde en præmie. Næste dag ligger der tilbud på varer i din indbakke. Telefonen ringer, og en ung mand fortæller dig, at du har deltaget i en undersøgelse og gerne vil vide mere. Du er irriteret, men et helt andet spil end selve spillet blev startet med et klik. Spillet om din opmærksomhed og dine indkøb. Man orker simpelthen ikke at skulle forholde sig til de mange og ofte lange tekster. SITUATIONEN ER hverdagskost for rigtig mange og opstår, fordi forbrugerne ikke får læst de aftaler, som udbyderne af software, spil, sociale medier og app s har udarbejdet. Man orker simpelthen ikke at skulle forholde sig til de mange og ofte lange tekster med jura, forbehold og uigennemskuelige fordelinger af rettigheder mellem bruger og udbyder. Leder af Digital Footprints Research Group, Anja Bechmann, fra Aarhus Universitet har i en årrække forsket i sociale netværksudbydere, brugernes adfærd og bytteforholdet mellem dem. Hun fortæller, at undersøgelser med klar tydelighed viser, at det kun er de færreste af os, der læser en brugeraftale, og at næsten ingen kan overskue dem. Hun er ikke i tvivl om, at det er brugerne, der bliver tabere. Udbyderne kalkulerer med, at brugerne afgiver rettigheder. Det er en præmis for at være med på for eksempel de sociale medier. Det er som i en skolegård: Er du ikke med, er du ude, og er du ude, er du ikke en del af det sociale fællesskab. På den måde fokuserer man på behovet og gør det sekundært at læse og forstå betingelserne for at være med, siger Anja Bechmann, som tilføjer, at det stort set er alle platforme, der har det samme problem, og at det er generelt for alle netaftaler. Det er hele nettets logik, at folk accepterer og kommer hurtigt videre. ANJA BECHMANN MENER IKKE, at det alene er udbyderne, der har et problem. Brugerne har et medansvar for deres klik og vaner på nettet samt antallet af programmer og applikationer, de installerer. Anja Bechmanns brugerundersøgelser af Facebook blandt gymnasieelever viser blandt andet, at de unge i gennemsnit har 60 applikationer installeret, hvor det højest registrerede antal var 251 på ipad, smartphone og pc. Jeg tror ikke, at brugerne ændrer adfærd, før de erkender, at der foreligger et problem ved at acceptere brugeraftaler i blinde. Jeg mener, der er et lovgivningsproblem, hvor vi ikke er fulgt med den teknologiske udvikling, siger Anja Bechmann. INGRID COLDING-JØRGENSEN, som er it-sikkerhedschef i GN Store Nord og formand for Dansk IT s Råd for IT- og Persondatasikkerhed, er enig i Anja Bechmanns vurderinger af brugernes adfærd på nettet og deres manglende viden om, hvad der sker bag kulisserne. Hun mener også, at udbyderne af sociale medier har et stort ansvar: Vores it-adfærd og mangel på disciplin er en åben invitation til dem, der gerne vil udføre kriminalitet, siger Ingrid Colding-Jørgensen, som er it-sikkerhedschef i GN Store Nord og formand for Dansk IT s Råd for IT- og Persondatasikkerhed. Udbyderne kalkulerer med, at brugerne afgiver rettigheder. Det er en præmis for at være med på for eksempel de sociale medier, siger Anja Bechmann der er leder af Digital Footprints Research Group ved Aarhus Universitet og medlem af Rådet For Større IT-Sikkerhed. At sociale medier som eksempelvis Facebook har udviklet sig fra at være en skolegård til en it-portal for hvad som helst, burde have været skrevet med meget store bogstaver, så alle kunne forstå, at de gik fra det sociale til det kommercielle. VI KAN KUN ÆNDRE ADFÆRD gennem oplysning, og det er en illusion, at vi kan styre brugerne i én bestemt retning. Oplysning skal ske gennem eksempler på de situationer, vi risikerer at havne i, når vi ikke er bevidste om vores omgang med nettet og vores software, siger Ingrid Colding-Jørgensen. Hun mener, at forbrugernes vaner med at acceptere aftaler i blinde også åbner døren for kriminalitet. Når forbrugerne vænnes til at overse brugeraftaler, er der ikke langt til også at overse sikkerhedsadvarsler. Vores it-adfærd og mangel på disciplin er en åben invitation til dem, der gerne vil udføre kriminalitet, sammenfatter Ingrid Colding-Jørgensen. DIN AFTALE MED FACEBOOK AFTALEN, DU SIGER JA TIL, når du opretter en konto på Facebook, er meget vidtgående. Du giver Facebook uopsigelig, evig, ikke-eksklusiv, overførbar, fuldt betalt, global licens (=adgang) til at bruge, kopiere, opføre offentligt, vise offentligt, omformatere, oversætte, uddrage (helt eller delvist) og distribuere dette brugerindhold til ethvert formål, kommercielt, reklamemæssigt eller øvrigt, på eller i forbindelse med websiden eller promovering heraf, til at udarbejde afledte værker af dette brugerindhold, eller indarbejde det i andre værker, og til at bevillige og bemyndige underlicenser af ovenstående. KILDE: Facebook 8 Rådet For Større IT-Sikkerhed

9 ds.dk/informationssikkerhed Sikkerhed skal styrke forretningen! Dansk Standard kan rådgive jer om forretningsrelevant informationssikkerhed. Det styrker jeres kvalitet og effektivitet. Kontakt seniorkonsulent Niels Madelung på eller

10 HJÆLP! Du er blevet stjålet! Borgere, som får stjålet eller misbrugt deres identitet, kan havne i mareridtsagtige situationer. Forbrugerrådet vurderer at identitetstyveri er et stort problem, men Digitaliseringsstyrelsen mener ikke, at der er belæg for radikale tiltag. KONTOUDTOGET FRA BANKEN VISER, at din konto er gået i minus, selv om du ved, at den er i plus. Næste dag bliver du rykket for betaling af et køleskab, du aldrig har set, og en af dine venner spørger, hvorfor du har meldt dig ind i en patientforening, selv om du er kernesund. Hvad du endnu ikke ved, er, at en advokat er på vej til at sende dig en inkassoskrivelse for manglende overholdelse af en købekontrakt på et stereoanlæg i den store størrelse. Din identitet er langsomt blevet overtaget af en anden person. Dine personlige oplysninger og dit CPR-nummer bliver brugt til at stifte gæld, oprette medlemskaber eller til at en anden udgiver sig for at være dig på sociale netværk. Du opdager, at noget er galt, og nogen har stjålet din identitet så fuldkomment, at end ikke dit sundhedsbevis bliver godtaget som dokumentation for, hvem du er. Det kan udvikle sig til et mareridt for personer og familier. Scenariet er ikke taget ud af den blå luft. Der dukker vedvarende nye sager op, hvor ofre oplever, at de slår i en dyne, når de beder om hjælp til at komme tilbage til virkeligheden. Der findes eksempler på, at personer har henvendt sig til Experian og andre, som registrerer dårlige betalere, med ønske om netop at blive registreret som dårlig betaler for at slippe ud af kløerne på identitetstyve. Datatilsynet tilkendegav i 2011, at opgaven ikke kan varetages af et kreditoplysningsbureau men at det vil være muligt at etablere en sådan tjeneste i separat regi. Andre har henvendt sig til deres pengeinstitut for at bede om at få nye konti. Endelig er der eksempler på, at ofre har valgt at flytte for på den måde at prøve at slippe væk fra problemet. DANMARKS STATISTIK HAR IKKE tal på problemernes omfang. Eneste kendte estimat over problemets omfang kommer fra Det Juridiske Fakultet, Københavns Universitet. Her lyder vurderingen, at danske borgere er ramt af identitetstyveri. Anette Høyrup, som er jurist og forbrugerkonsulent i Forbrugerrådet, er ekspert i persondatabeskyttelse, og hun har fulgt udviklingen over adskillige år. Hun bebrejder både lovgivere Som det ser ud nu, vil forbrugerne først få en højere grad af tryghed, når EU-forordningen træder i kraft, hvilket ser ud til tidligst at ske i og Digitaliseringsstyrelsen for at have siddet for meget på hænderne. Vi ved fra vores kolleger i USA, at identitetstyveri nu er det største, forbrugerpolitiske problem derovre. Vi ved også, at Rigspolitiet ser en stigning i antallet af anmeldte identitetstyverier, uden at vi dog har fået lejlighed til at se tallene. Men vi ser ikke vores politikere og Digitaliseringsstyrelsen rykke tilsvarende på sig for at komme ofrene til hjælp. Forbrugerne er ladt i stikken, og ofrene hænger selv på problemerne. Vi har i flere tilfælde set, at man ikke har villet eller ikke har kunnet udstyre de ramte med nye CPR-numre, så de kan komme videre, og det er bekymrende, siger Anette Høyrup, som også ser det som et problem, at den teknologiske udvikling og mulighed for digitale identitetstyverier nærmest er spurtet fra den eksisterende persondatalov. I Forbrugerrådet ser vi frem til, at EU- Kommissionens udkast til en forordning, der skal erstatte persondataloven, bliver en del af dansk ret og dermed giver sikkerheden for persondata et tiltrængt løft. Men vi er bekymrede over, at der ikke i forvejen er skabt løsninger for ofrene. Som det ser ud nu, vil forbrugerne først få en højere grad af tryghed, når EU-forordningen træder i kraft, hvilket ser ud til tidligst at ske i 2015, siger Anette Høyrup. LEKTOR I DATALOGI VED RUC, Niels Chr. Juul, ser ikke identitetstyverier som noget nyt. Det at udgive sig for at være en anden har altid kunnet lade sig gøre. Vi har stort set kunnet gøre hvad som helst. Lige fra drengestregerne i skolen, hvor der er blevet bestilt tonsvis af grus til aflevering i lærerens indkørsel, til socialt bedrageri. Det kommer vi nok aldrig til livs, så længe menneskeheden er indrettet, som den er. Men med IT kan konsekvenserne af identitetstyveriet blive rigtig voldsomme samtidig med at forbrydelsen kan foretages på afstand. Man behøver ikke se den det går ud over i øjnene. Vi bør i langt højere grad anerkende, at det største problem ved identitetstyveri er, at de ramte ikke kan komme ud af det og få ændret deres CPR-numre. Vi bør etablere nye og effektive procedurer for at håndtere de ramte, Anette Høyrup, Forbrugerrådet 10 Rådet For Større IT-Sikkerhed

11 BESKYTTELSE AF PRIVAT LIVET FRA START HVIS FREMTIDENS it-systemer skal kunne beskytte mod identitetstyverier, skal beskyttelse af privatlivet tænkes ind i designet af it-systemer, og der skal løbende holdes øje med, hvor problemerne opstår. INDTÆNKNINGEN AF sikkerhed fra start omtales ofte som Privacy by Design. Et af grundprincipperne er, at it-systemer fra start skal udformes, således at data og sammenhænge i data kun er tilgængelige for dem, som har brug for dem. IT-SYSTEMERNES EFFEKTER skal også vurderes ved hjælp af det, som kaldes for PIA (Privacy Impact Assessment). Det er et af de centrale begreber i EU-Kommissionens udkast til forordning på persondataområdet. PIA analyserer konsekvenser af et programs anvendelse og distribution af personlige oplysninger. Indførelsen af PIA blev anbefalet af den nu nedlagte IT- og Telestyrelse. HVAD ER IDENTITETS TYVERI? DER ER MANGE forskellige definitioner af begrebet identitetstyveri. Til denne artikel er der anvendt følgende definition: Identitetstyveri er en persons eller gruppe af personers overtagelse af en anden persons fysiske og/eller digitale identitet. Tyveriet skal have til formål at fratage den anden persons materielle værdier, rettigheder eller forpligtelser. siger Niels Chr. Juul, som dog ikke tror på, at et nyt CPRnummer kan gøre det alene, hvis gerningsmanden fortsat har fokus på sit offer. I Digitaliseringsstyrelsen anerkender man, at der foreligger et alvorligt problem for dem, der er blevet ramt af identitetstyveri. Men man ser ikke kritikken af styrelsen som berettiget. Ifølge direktør i Digitaliseringsstyrelsen, Lars Frelle-Petersen, er problemstillingen mere kompliceret og kræver endnu mere eksakt information, før han vil anbefale at tilkalde kavaleriet. For det første blander man tingene sammen, fordi man ikke har definitionen af identitetstyveri på plads. Forskellige interessenter har forskellige definitioner, og det hjælper ikke ligefrem de ramte. For det andet er det et problem, at vi ikke kender problemet i dets fulde omfang. Og for det tredje er det først nu, at man er gået i gang med et samarbejde på tværs af myndighederne, fortæller Lars Frelle-Petersen, som understreger, at en holdbar hjælp til ofrene er lig med en grundig indsats. En indsats han også lægger ud til borgere og virksomheder med ønske om, at vi beskytter vores CPR-numre bedre og er mere bevidste om vores adfærd med vores CPR-numre og andre personlige oplysninger. I DIGITALISERINGSSTYRELSEN STILLER man sig tvivlende over for tallet på danske ofre for identitetstyveri. Hvis det estimat er korrekt, så er der et meget stort misforhold mellem dette tal, antallet af sager, som myndighederne kender til, og det antal af sager, som bliver genstand for presseomtale. Her i styrelsen bliver vi ikke ligefrem rendt over ende af ramte eller bekymrede borgere, siger Lars Frelle-Petersen. Han oplyser, at Digitaliseringsstyrelsen er gået i gang med det forebyggende arbejde med informationer på styrelsens hjemmeside, koordineret indsats med øvrige myndigheder med henblik på rådgivning og etablering af et egentligt rådgivningssite for de ramte. DET ER SÅLEDES IKKE identitetstyveri alene at stjæle og misbruge koder til kreditkort. Der er først tale om identitetstyveri, når de stjålne kreditkortdata misbruges i sammenhæng med anden misbrug af en persons identitet og persondata. Identitetstyveri har som regel til formål at fratage en anden persons materielle værdier eller rettigheder og benytte dem til egen vinding. Det kan eksempelvis ske, når et pas blive stjålet og brugt af en anden person eller på nettet, når et opsnappet password bruges til at få uretmæssig adgang til data i den anden persons navn. Ved grove identitetstyverier har de kriminelle så mange oplysninger om offeret, at de har adgang til at manipulere med personens økonomi, kontakt til offentlige myndigheder og offerets private netværk. I retssystemet behandles identitetstyveri typisk under straffelovens paragraffer om bedrageri og dokumentfalsk. Rådet For Større IT-Sikkerhed 11

12 ANNONCE Norman har flere års erfaring med avanceret beskyttelse af virksomheders netværk og produktionsapparat mod it-kriminelle, fortæller Torjus Gylstorff og Robert Juul Glæsel. Pioner inden for sikkerhed beskytter danske produktions- og forsyningsvirksomheder Truslerne står i kø mod danske produktions- og forsyningsvirksomheders it-systemer. Men der er hjælp at hente hos en pioner i branchen. Norman har været med i it-sikkerhedsbranchen, siden it-trusler var virus konstrueret af cola-drikkende nørder i dag er it-kriminelle højt specialiserede, professionelle forbrydere, som arbejder på tværs af landegrænser. Det betyder, at trusler mod virksomheder også danske i dag er stærkt stigende og betydeligt mere komplekse. Trusselsbilledet er et helt andet. Mængden af avancerede angreb, som er målrettede og lavet til at omgå de klassiske sikkerhedsmekanismer, er i stærk stigning. Traditionelle it-sikkerhedsløsninger løfter en del af opgaven mht. beskyttelse af IT og produktions-it systemer. Men virksomheder og organisationer skal forholde sig til en ny generation af avancerede og målrettede trusler, som skal detekteres med tilsvarende avancerede værktøjer for at sikre den kritiske infrastruktur, understreger direktør Torjus Gylstorff, som netop har overdraget tøjlerne i den danske afdeling af Norman til Robert Juul Glæsel for selv at koncentrere sig om Norman s internationale forretning indenfor avanceret beskyttelse af virksomheder og organisationer. Avancerede analyser afslører skjulte trusler Norman arbejder i dag med avancerede analyser af datastrømme for at kortlægge skjulte eller målrettede angreb. Traditionelle sikkerhedsmekanismer har svært ved at detektere avancerede angreb, som kan være specialiserede til kun at ramme en enkelt virksomhed. Både private virksomheder og offentlige myndigheder er udsat for trusler fra hackere, it-kriminelle, eller fra organisationer, der vil tilegne sig forretningshemmeligheder. Virksomheder, som vil sikre produktionen, beskytte kritisk infrastruktur eller beskytte følsomme data, bør investere i de it-sikkerhedsværktøjer, som er målrettet til netop denne form for beskyttelse. Og de værktøjer har Norman. Et godt eksempel er Norman SCADA Protection, som beskytter produktions-it. En produktion, der styres af computere, er ofte en del af virksomhedens netværk, og i alle tilfælde udsat for overflytning af data. Men selv om man kan beskytte hele virksomheden mod trusler udefra, kan der være sikkerhedsbrist mellem det administrative netværk og produktionen. Uventede trusler Det løser vi ved at skanne alt netværkstrafik til og fra produktionsmiljøet. Men der kan også komme trusler ind helt uforvarende eksempelvis fra en medarbejder eller en udefra kommende tekniker, der tilslutter en USB-nøgle eller en bærbar enhed til produktionssystemet, for eksempelvis at opgradere det. Her kan vi lave en spærring, som kun tillader sikkerhedsskannede og godkendte enheder at blive koblet på, fortæller Robert Juul Glæsel. Sådanne trusler skyldes ofte en uhensigtsmæssig adfærd, men det vil ske, når mennesker er en del af produktionen. Derfor er det bedst at sikre selve systemet mod truslerne, i stedet for at prøve at ændre adfærden. Iran-angreb åbnede øjnene Et af de eksempler, der gav verden en aha-oplevelse, var den berømte Stuxnet-orm, der var designet til at nedbryde det iranske atomprogram. At en magt på den måde kunne ødelægge en anden magts infrastruktur, viste hvor sårbar forsyning og andre vitale samfundsanlæg kan være, og siden har branchen arbejdet på højtryk for at løse sikkerhedsbristerne. Det er blandt andet den type løsninger, Norman dagligt videreudvikler til gavn for kunderne. Telefon: info@normandk.com

13 FAKTA SÅDAN ANGRIBES INDUSTRI COMPUTERE PLC ERE SIDDER I DAG i næsten alle automatiserede industrisystemer. Det vil sige i alt fra vaskehallen nede på tanken og landbrugets malkemaskiner til bilfabrikker og atomkraftanlæg. De PLC ere, der i dag installeres, baserer sig på teknologi, der blev udviklet i begyndelsen af 1980 erne. Systemerne er løbende blevet udbygget med basis i den oprindelige kerne. Det betyder, at det grundlæggende design i de chips, som benyttes, er fra en tid, hvor it-sikkerhed ikke var en integreret del af arkitekturen. De former for sikkerhed, der findes, er lappeløsninger, som er kommet til efterfølgende. Det gør PLC ere særligt udsatte for de såkaldte zero day-angreb, det vil sige angreb via sikkerhedshuller, som ikke tidligere har været kendt, netop som det var tilfældet med Stuxnet-ormen. Det er et kapløb, hvor udviklerne hele tiden er bagud i forhold til sikkerhedstruslerne. PLC-bokse af denne type sidder i næsten alle automatiserede industrisystemer. Modelfoto: flickr/teleradiogroup CC BY-ND Iranske teknikere arbejder på Bushehr atomkraftværket i den sydlige del af landet. Iran har bekræftet at Stuxnet inficerede adskillige af de ansattes bærbare computere, men har også ladet forstå at selve anlægget ikke blev påvirket. STUXNET ÆNDREDE ALT: Da industrien fik taget sin uskyld ELMÅLERNE KAN BLIVE NÆSTE HACKER-MÅL INTELLIGENTE ELMÅLERE er installeret i flere hundredetusinde danske hjem. De gør det muligt at overvåge og styre forbruget. Målerne er koblet sammen i et stort netværk, hvor data om elpriser og forbrug løbende udveksles. Med tiden vil det blive muligt at tænde og slukke hjemmets el-apparater automatisk via målerne. Målerne kan også tilgås fra computere og smartphones. Det skaber helt nye muligheder for at anrette virusangreb mod de private hjem. Elmålerne er nemlig baseret på de samme, gamle teknologier, der er sårbare over for vira af samme type som Flame og Stuxnet. STUXNET OG FLAME DE ONDE FÆTRE STUXNET VAR IKKE blot en enkeltstående orm. It-sikkerhedseksperter fra blandt andet Kaspersky har afdækket en nær familierelation mellem Stuxnet og Flame, der blev opdaget i Da Stuxnet blev opdaget i 2010, viste det sig, at der var tre versioner i omløb, og at de havde huseret siden Man har indtil for nylig troet, at der var tale om én isoleret kode. Nu viser det sig, at den nyligt opdagede Flame-orm faktisk er ældre, og at Stuxnet til dels er baseret på Flame-platformen. Millioner af små computere, som holder essentielle produktionsanlæg kørende, kan meget vel blive de næste store mål for hackere og terrorister. Det står klart, efter computerormen Stuxnet i 2010 blev opdaget. Den havde spredt sig via Microsoft Windows, og dens mål var en helt bestemt type industricomputer på iranske atomanlæg. Ormen var så avanceret, at der i dag er bred enighed om, at USA og Israel har stået bag. Alt tyder på, at den ikke skulle have været sluppet løs på internettet men nu er det sket, og hackere kan bruge koden til at lave nye varianter. INDUSTRIENS COMPUTERSYSTEMER holder samfundet kørende. I alle produktionssystemer sidder der små computere og styrer robotter, opsamler data eller justerer hastighed på transportbånd. Traditionelt har disse småcomputere, der baseres på PLC ere (Programmable Logic Controller), været lukkede systemer. PLC erne bliver dog i disse år integreret i større produktionsstyringsløsninger, de såkaldte SCADAsystemer. Forkortelsen SCADA står for Supervisory Control And Data Acquisition, det vil sige overvågning og datafangst. Systemerne er afgørende for, at de mange små computere kan give virksomheden værdifulde oplysninger om produktionen. SCADA-systemerne kobles i stigende grad sammen med virksomhedernes økonomistyringssystemer, og det ses også stadig oftere, at SCADA-systemer og -komponenter kan monitoreres og serviceres via internettet. Det gør livet lettere for virksomhederne, men det giver også en række indgange for hackerangreb netop det som skete ved Stuxnet- og igen i 2012 med Flame-angrebene. STUXNET-ORMEN BLIVER NU fanget af de fleste sikkerhedsløsninger, men der er sket et fundamentalt skift. Det krævede indsats fra to stater at udvikle den avancerede kode, som Stuxnet benyttede, og som anvendtes som virtuelt våben mod Iraks atomanlæg. Nu findes denne kode frit tilgængelig på internettet, og nye varianter, som benytter samme, avancerede teknik, vil være nemme at udvikle. Det har Yaniv Miron gjort for at vise, hvor sårbare virksomhederne er. Han er sikkerhedskonsulent i virksomheden FortConsult, og han har en fortid hos blandt andet Israels militær, Israel Defence Forces. Han forsøger at oplyse om den potentielle risiko, de meget udbredte SCADA- og PLC-baserede systemer udgør for erhvervslivet og også for staters sikkerhed. TRUSLEN MOD VORES industrisystemer er reel. Når der skal bores olie, eller når der skal etableres nye produktionssystemer, så handler det for virksomhederne først og fremmest om at få produktionen op i omdrejninger. It-sikkerhed er man måske nok bevidst om, men ude i virksomhederne anses industrisystemerne for kun at udgøre en lille risiko. Det skyldes, at angrebene er sjældne, men risikoen stiger, i takt med at der ikke tages hånd om problemet, siger Yaniv Miron. Virksomhedernes mangel på opmærksomhed betyder, at der oppustes en boble af sårbarheder: Virksomhederne udbygger konstant industrianlæg med usikker teknologi, samtidig med at redskaberne til at kompromittere sikkerheden bliver mere og mere tilgængelige. Det er ikke science fiction længere. Jeg har personligt hacket mig ind i PLC ere og SCADA-systemer, og værktøjer til at gøre dette kan frit downloades fra internettet. Set fra et sikkerhedssynspunkt er det en uholdbar situation, fortæller Yaniv Miron. SIKKERHEDSSTRATEG KIM AARENSTRUP fra IBM er enig i den betragtning. Orme som Stuxnet og Flame har taget industriens uskyld, og han mener, at virksomhedernes ledelser i højere grad bør tage deres it-sikkerhedsfolk med på råd: Der er en tendens til, at sikkerhedsfolkene skal slås rigtig hårdt for deres berettigelse. I forbindelse med finanskrisen er sikkerheden forsvundet fra ledelses-radaren, i takt med at der har været travlt med at kæmpe for forretningens økonomi. Han påpeger desuden, at en nylig IBM-undersøgelse af itsikkerheden fordelt på lande verden over viser, at danske virksomheder de seneste år er sakket agterud i forhold til andre lande. Kim Aarenstrup anbefaler derfor, at man på ledelsesniveau i danske virksomheder tager skridt til at hæve it-sikkerheden fra et brandslukningsniveau til et strategisk niveau. Det er vigtigt at forstå, at it er en komponent i forretningen og ikke kun noget, der vedrører it-afdelingen. Den forståelse mangler i mange danske virksomheder, siger Kim Aarenstrup. Rådet For Større IT-Sikkerhed 13

14 Det er mindre attraktivt at kopiere og misbruge data, som er skabt i samarbejde med andre. Åben kultur sikrer data bedst Foto: flickr/alessandromusicorio CC BY-SA TO SCENARIER FOR DATATAB NIELS MADELUNG, der er seniorrådgiver hos Dansk Standard, ser to forskellige scenarier for, hvordan en medarbejder kan gøre skade på en virksomhed ved at lænse data. Et scenarie er den beregnende medarbejder, som igennem længere tid indsamler data og systematisk sender denne viden ud af virksomheden. , USB-stik og smartphones gør det vanskeligt at lægge restriktioner på data, som medarbejderen i sin hverdag har adgang til. Her er løsningen at have et godt forhold til sine medarbejdere. Det er meget sjældent, vi ser den systematiske lænsning af data. Problemet er, at det ikke kan forhindres direkte gennem tekniske eller administrative tiltag. For at undgå, at den sikkerhedsbrist bliver udnyttet, må ledelsen satse på forholdet mellem medarbejdere og virksomhed. DET ANDET SCENARIE, som ifølge Niels Madelung er det mest udbredte, er, at en medarbejder i affekt og over kort tid gør en indsats for at hive så mange værdifulde data med sig som muligt. Det kan ske i forbindelse med en opsigelse eller splid på arbejdspladsen. En ledelse kan forebygge denne type situationer på flere måder. Først og fremmest skal data organiseres i en struktur, hvor man ikke umiddelbart fra brugerfladerne kan kopiere det samlede indhold. Databaser, der præsenteres på en web-brugerflade, er et eksempel på en god løsning. Det er også en god idé at have procedurer for hvem, der har adgang til hvad og hvornår. Videndeling, teamwork og fri adgang til virksomhedens fælles data er nøgleord for en moderne virksomhed. Medarbejdernes adgang til data giver samtidig en række sikkerhedsrisici, som det er en ledelses opgave at tackle. NÅR EN MEDARBEJDER FORLADER en virksomhed, er der betydelig risiko for, at der også går data og viden tabt. Det kan være viden om fremgangsmåder, kundedatabaser, design og meget andet. Åbenhed og videndeling kan være et effektivt våben mod tab af data og viden. Når virksomhedens viden er fælles, ligger enkelte medarbejdere nemlig ikke alene inde med kritisk viden om forretningsgange eller data om kunder. Inger Toft Thiersen er uddannet advokat, og hun er indehaver af rådgivningsvirksomheden Viden Assistance. Når vi skal minimere tabet af data via medarbejderne, skal vi se på, hvordan vi videndeler, og hvilke aftaler vi har for videndeling. Virksomheder, som pålægger de ansatte at videndele og at dokumentere deres arbejdsgange, mister langt færre data end virksomheder, der ikke har regulering på området, siger Inger Toft Thiersen. Det skyldes, at de virksomheder, der har en kultur for deling af viden og data, arbejder i så komplekse sammenhænge internt og eksternt, at der ikke er incitament til at kopiere eller misbruge data, som ikke kan anvendes uden hjælp fra eller i sammenhæng med andre. EN AF INGER TOFT THIERSENS opgaver er at sikre, at virksomhederne ikke taber data og viden, når en medarbejder rejser. Det kan være ved at indføre it-systemer, regler for videndeling eller ved at afholde exit-samtaler. Virksomheden skal indse, at det er vigtigt for dens bundlinje, at der videndeles på en struktureret måde, og at det er en ledelsesopgave at styre denne indsats. Det er min oplevelse, at meget få virksomheder i dag erkender dette behov, og dermed risikerer de, at der forsvinder data fra virksomheden. NIELS MADELUNG, DER ER seniorrådgiver hos Dansk Standard siger: Det kan være en motiverende faktor i en virksomhed at have fri adgang til fællesdrev. Det giver en fornemmelse af åbenhed og fælleskab, men flere og flere virksomheder er gået over til at organisere data efter needto-know frem for nice-to-know for at undgå tab af data, og de indfører standarder for bedre datahåndtering. Det kan være noget så simpelt som at sikre, at kun de rette personer har adgang til virksomhedens it-system. Jeg har set eksempler på, at afskedigede medarbejdere har haft adgang til deres tidligere arbejdspladsers it-systemer meget længere tid, end de skulle have haft. Her kan standarder for medarbejderes adgang være en hjælp, siger Niels Madelung. INGER TOFT THIERSEN PÅPEGER, at det er væsentligt at sondre mellem data, viden og forretningshemmeligheder: Data og information tilhører arbejdsgiveren. Vi taler her for eksempel om beregninger, aftaler, analyser. Viden er derimod resultatet af medarbejderens bearbejdning af disse data og tilhører som udgangspunkt medarbejderen, indtil resultatet af arbejdet indgår i virksomhedens data. Hun tilføjer, at behandlingen af data og viden bør være reguleret af ansættelseskontrakten, hvor der kan være meget stor forskel på detaljeringsgraden. Forretningshemmelighederne reguleres af markedsføringsloven. Med den i hånden tager nogle virksomheder hele skridtet og forlanger, at alle data er dokumenteret slettet fra den ansattes pc, mens andre gennemfører et interview i forbindelse med fratrædelse. Andre igen indfører ISO-standarder eller udarbejder interne politikker for, hvordan data skal behandles, og hvilke typer data en medarbejder må tage med hjem. FIRE TRIN TIL BEDRE DATASIKKERHED Proceskonsulent Inger Toft Thiersen anbefaler ofte organisationer at arbejde med datasikkerhed ud fra en strategi på fire niveauer: TILLID: Tillid til, at alle behandler data som aftalt, og tillid til, at medarbejderne videndeler til gavn for virksomhed og kolleger. ANERKENDELSE: Anerkendelse fra ledelse og kolleger, når der videndeles. STRUKTUR: Videndeling sker struktureret og med de rette it-systemer. KOLLEKTIV INDSATS: Videndeling finder sted som en samlet virksomhedsindsats, hvor hver enkelt bærer et ansvar. 14 Rådet For Større IT-Sikkerhed

15 DET ER IKKE ALT, DER KAN SIKRES BAG EN FIREWALL VORES NETVÆRK SKABER SIKKERHED FOR IT-FOLKET SAMDATA\HK er Danmarks største faglige netværk for IT-specialister. Det gør, at vi har de nødvendige forudsætninger for at sikre de bedste løn og arbejdsvilkår for vores medlemmer.

16 ANNONCE It-sikkerhed styrker troværdighed og vækst It-sikkerhed er ikke blot en nødvendig investering. For flere og flere virksomheder er det et værktøj til forretningsudvikling, der giver plus på bundlinjen. Jacob Herbst, Chief Technical Officer, Dubex. Managing Risk. Enabling Growth. Det er Dubex slogan, og det siger præcist, hvad Chief Technical Officer Jacob Herbst mener, når han fortæller om virksomhedens forretningsstrategi. Traditionel risikostyring tager sigte på at kunne afværge trusler som hacking og at kunne leve op til stigende krav fra kunder og myndigheder. Men flere og flere erfarer, at der er god fornuft og forretning i at sikre sine data. Et eksempel er, når virksomhedens medarbejdere skal koble sig op på netværket eksternt fra bærbare computere eller smartphones, et andet er e-handel, hvor flere virksomheder giver kunder adgang til interne oplysninger, så de kan følge deres ordrer, fortæller han. Gevinst på flere fronter Trusler som hacking, brug af mobile enheder og adgang til virksomhedsdata er alt sammen emner, der kræver, at sikkerheden på netværket er i top. Er den det, kan virksomheden hente gevinster på flere fronter. Hvis kunderne har tillid til virksomhedens datasikkerhed, vil de være tilbøjelige til at vælge samme leverandør næste gang. Samtidig kan virksomheden få effektiviseringsgevinster ud af at optimere it-sikkerheden. Det er her, vi kommer ind. Vi er totalleverandører og kan både levere standarderne og teknikken. Vi går ind og ser på kundens behov og processer, og vi laver en risikoanalyse i forhold til kundens sikkerhedsniveau. Alt efter hvilken virksomhed vi taler om, kan det være hackerangreb, virus eller strømafbrydelser, der giver risiko for nedetid eller regulære terrortrusler mod eksempelvis en vigtig forsyningsvirksomhed, fortæller Jacob Herbst. Dubex arbejder blandt andet indenfor brancher som finans, medicinal, it og tele, produktion, rådgivning og den offentlige sektor, og de råder over hele paletten fra risikoanalyse over sikkerhedsprodukter til implementering og support. Konsulenterne arbejder tæt sammen med kundens medarbejdere om de bedste løsninger uanset hvor i verden, det foregår. Uden it ingen forretning I dag er stort set alle virksomheder og hele samfundet afhængige af it-systemer, der virker. Offentlige myndigheder håndterer personfølsomme data, og virksomheder sender fortrolige oplysninger på tværs af grænser til hele kloden. Finansielle virksomheder og børser kan ikke tillade tillidstab eller læk af oplysninger til professionelle it-kriminelle, og derfor er risk management inden for it-sikkerhed i dag mindst lige så vigtigt som finansiel risikostyring. Uden it er der intet forretningsgrundlag, og sikkerhed er kompleks i dag. Der findes mange leverandører af sikkerhedsprodukter, og kun ganske få gigantiske virksomheder har selv de eksperter og den viden, der er nødvendig for at håndtere sikkerhedsspørgsmål. Vores eksperter er typisk ingeniører med en proces- eller it-baggrund, og de har en grundlæggende forretningsforståelse, så vi kan vurdere kundernes reelle behov. Vi repræsenterer mange leverandører og kan derfor fungere som ambassadører mellem producenter og kunder, understreger Jacob Herbst. Hos Dubex går risikostyring og vækst hånd i hånd. Og det har en række store danske virksomheder allerede indset værdien af. Virksomheder som Rockwool, Cowi og Ikano benytter Dubex som sparringspartner i sikkerhedsspørgsmål, ligesom vigtige forsyningsvirksomheder som Lynettefællesskabet sikrer sig gennem samarbejdet med Dubex. Dubex er Danmarks førende, forretningsorienterede it-sikkerhedsspecialist. De leverer og supporterer sikkerhedsløsninger til over 500 lokationer globalt og har siden 1997 hjulpet private og offentlige virksomheder med at håndtere risici, imødekomme forandringer og understøtte en fleksibel vækst. Dubex dybdegående tekniske ekspertise og brancheerfaring samt en omfattende produktportefølje og dokumenterede resultater gør Dubex til den ideelle samarbejdspartner for it-afdelinger, der ønsker at bidrage til virksomhedens succes.

17 Kronik Hele dette tillæg er udgivet af Rådet For Større IT-Sikkerhed SYSTEMER HAR INGEN SAMVITTIGHED Hans Jørgen Bonnichsen, PETs tidligere operative chef, peger i denne kronik på vigtigheden af, at vi fastholder Danmark som et liberalt retssamfund. Som digitaliseringen gennemføres nu, bringer den Danmark hen imod en kontrolstat, advarer han. Man bør altid som politiker tænke på, om man er villig til at overlade sin egen lovgivning til ens værste fjender. DIGITALISERINGEN AF VORES SAMFUND er en kilde til optimisme og pessimisme på samme tid. Optimisme, fordi digitaliseringen sparer penge, redder liv, giver os fantastiske oplevelser, bygger netværk, effektiviserer og giver os mere tid til at lave de ting, vi gerne vil. Pessimisme, da digitaliseringen også har en bagside, hvis den ikke gennemføres fornuftigt og velovervejet. Den kan misbruges, især fordi vi har skabt et samfund, som hærges mere og mere af paranoid overvågning og kriminelt misbrug. Samlet set har vi nu en situation, der gør, at vi i Danmark mere og mere bevæger os væk fra et liberalt retssamfund og hen imod en kontrolstat. Det er muligt, at nogen mener, at jeg maler med den sorte pensel, men det er en gang imellem nødvendigt for at fremme forståelse. Det er i den forbindelse bemærkelsesværdigt at se forskellen på debatten i Tyskland og i Danmark. Læg mærke til illustrationen her på siden, hvor man ser en tysk demonstration under parolen: Mine data tilhører mig. Jeg har svært ved at forestille mig, at man kunne mobilisere en sådan demonstration i Danmark mod eksempelvis logningsbekendtgørelsen. VI BEFINDER OS I EN SITUATION, hvor den danske befolkning er ligeglad. I den forbindelse bør vi være opmærksomme på, at det, at være ligeglad og lade ligegyldigheden råde, ikke kun er en synd, men også en straf, som Nobelprismodtageren Elie Wiesel engang har sagt. Det har man sandet i Tyskland, ikke mindst på grund af landets historie. Her føres der en ganske anden debat. Den er inspirerende at følge, og jeg håber også, at den får afsmittende effekt i Danmark. Men det vil kun ske, hvis vi får kendskab til den. Det er lang tid siden, at vi har hørt en dansk politiker sige, og jeg citerer: Der lovgives på en sådan måde, at man forsøger at bilde os ind, at lovgivningen kan ANNONCE Persondata kræver præcise aftaler Outsourcing, cloud computing og følsomme persondata er en farlig blanding, der kræver præcise, juridiske aftaler. Når offentlige myndigheder eller private firmaer outsourcer databehandling og -opbevaring, er det alfa og omega at få klare aftaler, der sikrer, at data ikke falder i de forkerte hænder. Hos Lett Advokatfirma oplever partner Anders Wernblad, at mange virksomheder ikke er helt klar over, hvilke krav de skal stille til deres leverandører, når det f. eks. gælder cloud computing. Cloud indebærer mange fordele, men rejser også nogle juridiske problemer. Hvor præcist befinder dine data sig er de i Danmark, i et EU-land eller måske i Indien? Hvordan kontrollerer man, at persondatareglerne rent faktisk overholdes osv? Derfor er det vigtigt, at der indgås en skriftlig databehandleraftale med krav om, at eksempelvis data skal befinde sig på en bestemt lokation. Det kan vi som advokater pege på, ligesom vi med vores store erfaring på området og fra arbejde med både kunde- og leverandørsiden kan stille de rigtige spørgsmål, så kontrakten sikrer parterne bedst muligt, understreger Anders Wernblad som leder afdelingen for IT- og outsourcing hos LETT. It-politik og teknik It-sikkerheden kan være i fare både internt og eksternt. Derfor bør både offentlige og private virksomheder dels have en politik omkring it-sikkerhed, dels sikre sig med tekniske løsninger. Desuden skal virksomhederne være specifikke i deres krav til leverandører, og de skal blandt andet sikre, at eventuelle kunder og partnere, der har adgang til dele af virksomhedens systemer, har den korrekte autorisation. Også her kan man sikre sig teknisk, men når det gælder leverandører, kan det være mere uigennemskueligt. En leverandør benytter måske en underleverandør, og så mister du let styringen og kontrolmuligheden, når der er flere led. Her skal man sikre en kontrakt, der tager højde også for denne situation, understreger Anders Wernblad. Skærpet persondataregulering i vente Hos Lett har medarbejderne i IT- og outsourcing speciale i love og regler på it-området og persondatalovgivningen. Især på persondataområdet forventer Anders Wernblad store stramninger inden for de kommende år. Der kommer en EU-forordning om et par år, der på mange områder vil skærpe persondatareglerne, herunder med krav om dokumentation for datahåndtering og store bøder ved overtrædelser. Det kan virksomheder og myndigheder lige så godt forberede sig på nu, for det vil få store konsekvenser, hvis den fremtidige lovgivning ikke overholdes. Derfor bør man allerede nu udforme skriftlige politikker for behandling af persondata, hvilket ikke er et direkte krav i dag, siger Anders Wernblad. Anders Wernblad, partner i LETT. LETT er en højtspecialiseret full-service-advokatvirksomhed, der rådgiver erhvervslivet og den offentlige sektor. Flere af LETTs advokater er certificerede it-advokater og it/ip-mediatorer og har kommerciel indsigt og relevant praktisk erfaring i at identificere og håndtere både risici og muligheder i it-projekter.

18 SYSTEMER HAR INGEN SAMVITTIGHED udrydde alle farer. Intet forbud, intet påbud, ingen overvågning kan udrydde alle livets farer. Men friheden ofres hver gang. De bilder os ind, at jorden bliver et bedre sted og mindre farligt sted at være, blot vi indskrænker friheden? Det kunne være mine ord, men er det ikke. Det er Birthe Rønn Hornbechs ord for år tilbage. Frygten for Big Brother is watching you er afløst af forventningerne om at Big Mother takes care of you, kraftigt understøttet af holdningen hvis du ikke har noget at skjule, har du intet at frygte. DETTE SKER SAMTIDIGT MED, at flere og flere data registreres og behandles centralt, og samtidigt med, at der mangler bevillinger og muligheder til de myndigheder, der skal indtræde i Big Mother -rollen og vurdere rimeligheden og lovligheden af behandlingen af disse data. Datatilsynet foretager i gennemsnit 70 inspektioner om året. I dag er der cirka 4000 dataansvarlige og databehandlere. Det betyder, at Datatilsynet kan foretage inspektioner hos disse sådan cirka hver 51. år. Dette sker samtidig med, at vi har en for så vidt positiv grundlæggende, men måske naiv tro på, at de mennesker, der håndterer vore personfølsomme oplysninger, altid er gode og retsindige mennesker. Det kan vi håbe på, men det kan så sandelig også være kriminelle, måske endog embedsmisbrugere. MAN BØR ALTID TÆNKE PÅ, at selv om der måske ligger de bedste intentioner bag, for eksempel at modvirke og forhindre kriminalitet og terror, så kan der være næsten uimodståelige fristelser for berigelse. Man bør altid tænke på, at der i krisesituationer kan blive lagt pres på politi og efterretningstjenesten, der kan resultere i grove krænkelser af retssikkerheden og privatlivets fred. Man bør altid som politiker tænke på, om man er villig til at overlade sin egen lovgivning til ens værste fjender. Uanset hvor umulig tanken er, så kan der ske et politisk systemskift. Systemer har ingen samvittighed, det har kun mennesker. Man bør altid som politiker tænke på, om man er villig til at overlade sin egen lovgivning til ens værste fjender. Uanset hvor umulig tanken er, så kan der ske et politisk systemskift. Det var ved årtusindeskiftet helt utænkeligt, at PET nu i kraft af en af de gennemførte terrorpakker har fået bemyndigelse og fri adgang til oplysninger, herunder personfølsomme oplysninger, som ligger hos de offentlige forvaltningsmyndigheder. Det vil i princippet sige, at PET kan gå til sygehusene, socialforvaltninger og told- og skattemyndighederne og få oplysninger, eller de kan gå til ethvert bibliotek i dette land og få udleveret lister over samtlige borgere, der inden for den sidste måned, har lånt Den lille Kemiker. Bibliotekaren har ikke mulighed for at kræve en domstolsvurdering af substansen i begæringen. Associationen til et tankepoliti er nærliggende, og her er det værd at bemærke, at tanken er den eneste absolutte frihed, vi ejer. DET STOPPER IKKE HER. Justitsministeriet haft en arbejdsgruppe siddende, der skal se på brugerregistrering af internetadgang på bibliotekerne, der ellers indtil dato har været et fristed, også i forhold til den efterhånden mere og mere åbenbart meningsløse logningsbestemmelse, som er helt ude af proportioner i forhold til PETs og politiets anvendelse af den. Logningsbestemmelser som i Tyskland er erklæret for forfatningsstridige. Rapporten om de nye indgreb i forhold til bibliotekerne skulle være færdiggjort inden udgangen af Hen over sommeren 2011 blev initiativet omtalt i de danske medier, og heldigvis var der forskellige aktører, som protesterede. Hvis dette tiltag realiseres, er det endnu et eksempel på den stadigt stigende overvågning af almindelige borgere, som terrorbekæmpelsen har sat i system. DER ER FORMENTLIG INGEN TVIVL OM, at en række af de indgreb, vi har set gennem de seneste år, er skabt ud af frygt. Frygten for terror, frygten for den personfarlige kriminalitet. Frygten er en meget smitsom følelse, der kan invalidere vor livskvalitet og underminere vor fornuft og dømmekraft. Vi må ikke glemme, at den som kontrollerer frygten i et samfund, kontrollerer magten i et samfund. Frygt er et effektivt redskab til at holde orden i et samfund. Er det sådan et samfund, vi ønsker? Hans Jørgen Bonnichsen var operativ chef for Politiets Efterretningstjeneste frem til 2006, hvor han gik på pension. Siden har han blandt andet skrevet bogen Frygt & fornuft I terrorens tidsalder. ANNONCE Kom bare i gang med cloud Danske virksomheder vil gerne outsource deres data til cloud computing, men mange tøver stadig. Det er der ingen grund til, mener man hos Secu A/S. It-sikkerhedsfirmaet Secu A/S har mange års erfaring i infrastrukturelle services, og hjælper danske virksomheder med rådgivning og tekniske løsninger, som sikrer Tommy Abrahamsson. deres data ved outsourcing. I dag er cloud den store udfordring, som mange virksomheder gerne vil tage op. Der er store fordele ved cloud, men mange tøver, fordi de er i tvivl om, hvordan de kan bevare kontrollen over deres data og bevare den fleksibilitet, der ligger i selv at have data liggende. Men det kan sagtens lade sig gøre at flytte sin egen it-sikkerhedspolitik med ud i skyen, vælge hvilke data, der skal med, og hvordan de skal klassificeres. Vi har masser af erfaring med at sikre data i cloud, og eksempelvis kryptere data og separere krypteringsnøgler, så det ikke er muligt at bruge de krypterede data for uautoriserede, understreger partner og CTO Tommy Abrahamsson fra Secu A/S. Udnyt fordelene undgå faldgruber Hele øvelsen går ud på at udnytte alle fordelene i cloud og undgå faldgruber. Det gælder i stort set alle brancher, at virksomheder vil have fordele i at lægge data ud i stedet for selv at have et datalager, der skal passes, sikres og opgraderes. Især virksomheder, der alligevel står foran en opgradering af datalageret bør tænke i cloud, mener Tommy Abrahamsson. Vi har eksempelvis hjulpet et stort rederi med at bygge deres globale netværk ind i et cloudmiljø. Man skal huske, at cloud-leverandører som Amazon bruger kolossale summer på sikkerhed ofte mere end et stort dansk firmas årsomsætning. Og det er mere, end den enkelte virksomhed vil bruge på sikkerhed. Så hvis man bruger sin omtanke og fornuft og får god rådgivning så kan man som dansk virksomhed få mange fordele af cloud, påpeger Tommy Abrahamsson fra Secu, som også tilbyder services, der kan overvåge ressourceforbruget i cloudmiljøet og kryptere data, ligesom Secu også har en række løsninger inden for mere traditionel netværkssikkerhed. ANNONCE Unikt samarbejde mod it-kriminelle Med et datagrundlag på 750 mio. mails om måneden kan virksomhederne Sec4IT og Stay Secure i samarbejde hjælpe med at sikre nordiske virksomheder mod it-kriminelle. Stay Secure er Nordens største virksomhed inden for ekstern mailscanning. Virksomheden scanner mails og webtrafik for spam og virus for brugere i Norden i alt bliver det til 750 mio. mails hver måned. 99 procent af de mange mails er spam eller mails fra it-kriminelle, der prøver at lokke oplysninger fra brugerne, og det giver os det bedste datagrundlag for at finde ud af, hvad der netop nu florerer af trusler. Vi har mere end 30 års erfaring med dette arbejde, og i Kaj Møller Holmquist, Sec4IT, og Esben Arnøy Jørgensen, Stay Secure. samarbejde med Sec4IT kan vi advare eksempelvis banker og virksomheder mod trusler, siger Esben Arnøy Jørgensen fra Stay Secure. Sec4IT benytter den store database af mails til at danne et overblik over trusler, og advare de virksomheder, der abonnerer på Sec4IT s service. Tilsammen kan de to virksomheder stoppe spam og it-kriminelle, der forsøger at tilegne sig data som kontonumre, brugernavne & password, samt identitets tyveri. Det er et helt unikt samarbejde, og jeg tror ikke andre har et så stort datamateriale at arbejde ud fra. Det giver os mulighed for at være med til at blokere for hjemmesider ved hjælp af Stay Secures WebFilter og lukke for phising sites, der er konstrueret af it-kriminelle, og betyder at vi hurtigt kan gribe ind, når de kriminelle finder nye veje. Det er jo et våbenkapløb hvor de kriminelle hele tiden er lidt foran, men ved at samarbejde kan vi næsten holde trit og forhindre megen kriminalitet, siger Kaj Møller Holmquist fra Sec4IT. I dag forsøger mange it-kriminelle via falske mails at få ofrene til at indbetale mindre beløb, som en virksomhed måske ikke bemærker, mens andre forsøger via falske mails og hjemmesider at lokke kreditkortoplysninger og andre personlige oplysninger fra brugerne. Den slags kriminalitet forsøger Sec4IT og Stay Secure i fællesskab at bekæmpe

19 ANNONCE God sikkerhed kræver ledelsens engagement Sikkerhedstrusler kan ikke altid løses med teknik, og derfor er det vigtigt, at også topledelsen er opmærksom på problematikken, viser en global undersøgelse. En af verdens største rådgivere, Ernst & Young, gennemfører hvert år en global undersøgelse af tendenserne inden for informationssikkerhed. Og den viser, at virksomhederne dels er bekymret for informationssikkerheden, dels ofte bruger ressourcerne forkert, når de skal dække sig ind. Langt den største trussel er internt i virksomheden, hvor bekymringen går på bla. brugen af nye teknologier som Ipads og smartphones på virksomhedens netværk. De bruger mange penge på teknisk sikkerhedsudstyr, men har ikke altid gjort sig klart, hvad behovet egentligt er, siger executive director Martin H. Nielsen fra Ernst & Young. Han peger på at virksomhederne skal gøre sig klart, hvor deres kritiske informationer ligger, og hvilke aspekter, der skal beskyttes, i stedet for at sætte ind over en bred kam. Og så skal medarbejderne kunne se fornuften i at sikre de vigtige informationer ellers virker sikkerhedspolitikken ikke. Vi så eksempelvis en stor virksomhed som mente at de havde et godt sikkerhedsniveau, og var ISO certificeret. Problemet er, at en certificering kun er effektiv, hvis den bliver fulgt op hele tiden, og i det konkrete tilfælde var certifikatet nok mest en falsk tryghed. Derfor skal ledelsen gå aktivt ind i processen, understreger executive director Thomas Kühn. Sikkerhed skal forankres i organisationen It-sikkerhed skal forankres i organisation og direktion, ellers bliver det let et paradenummer med flotte politikker, men uden virkning. Da de færreste virksomheder har erfaring med tilrettelæggelse af informationssikkerhed, kan det ofte være en god hjælp, at konsulenter udefra strukturerer processen og analyserer det aktuelle sikkerhedsniveau, men grundlæggende handler det om, at virksomheden og ledelsen selv kigger sine arbejdsgange efter i sømmene. Det er uhyggeligt svært at få forankret en sikkerhedskultur i virksomhederne, viser vores globale undersøgelse. Selv om det kan koste millioner i mistede data og tabt produktionstid, gør virksomhederne ofte først noget effektivt ved problemet, når det er gået galt. De bruger mange penge på teknik, men det er ikke nok at give it-afdelingen en pose penge. Man skal se den forretningsmæssige ide i at sikre sig, og der kan vi som rådgivere ofte se tingene ovenfra og være et bindeled mellem forretningsdelen og teknikken. Men det er virksomheden selv, der skal gøre indsatsen, påpeger Martin H. Nielsen fra Ernst & Young. Thomas Kühn, executive director. Martin H. Nielsen, executive director. ANNONCE Sikkerhed styrker kerneforretningen Det er vigtigt for kerneforretningen at afklare alle væsentlige risici i virksomheden. Det gælder i høj grad også risici i it-anvendelsen. PwC har mange store virksomheder blandt kunderne og oplever, at risikostyring relateret til informationssikkerhed bliver en stadig vigtigere forretningsparameter. I en kompliceret virksomhedsstruktur kan det være svært for ledelsen at overskue, hvor truslerne kommer fra, og hvilke dele af virksomheden der er sårbare. Uanset om det er en privat eller offentlig virksomhed, er det vigtigt at vurdere risikoen. De fleste vil sige, at økonomisystemet er vigtigt at beskytte, men hvor længe kan virksomheden klare sig uden it-dækning i eksempelvis Supply Chain (produktion og logistik) kan man servicere borgere eller kunder uden it og hvor længe? spørger partner Jesper Parsberg fra PwC. Printer var nøgleleddet Som et eksempel nævner han en virksomhed, hvor en printer, der udskrev ordresedler, var et vigtigt led i produktionen. Måske banalt, men ingen tænker måske over, at her er et nøgleled, der kan standse produktionen i timer eller dage og koste virksomheden mange penge. For mange virksomheder er sikkerheden en teknisk it-øvelse mere end et ledelsesfokus, og det skaber problemer. Det er selve kerneforretningen, det drejer sig om, og derfor skal ledelsen have fokus på det. Mange har ikke en beredskabsplan for, hvad der sker, hvis de mister adgangen til systemer eller data. Her bør der være planer både for reetablering af it, for hvordan og hvor længe forretningen kan drives videre uden it og for hvordan håndtering af kunder og leverandører kan fortsætte, understreger Jesper Parsberg. Erfaringer fra et globalt marked PwC har som rådgiver i et globalt marked erfaringer fra mange forskellige virksomheder i forskellige brancher. Dermed kan PwC hjælpe kunderne med at kortlægge det aktuelle risikobillede og de behov for beredskabsforanstaltninger og kontroller, der værner mod ubehagelige overraskelser. Vi kan hjælpe med at starte processen eller facilitere et projekt internt hos kunden. It- og informationssikkerhed er helt sikkert en ledelsesopgave, og vi kan være med til at støtte op om ledelsens arbejde og hjælpe dem med en køreplan. Det kræver fortrolighed, tillid og integritet, men i dag er mange virksomheder blevet opmærksomme på problemstillingerne, og vil heldigvis gerne gøre noget ved det, siger Jesper Parsberg. Jesper Parsberg, partner fra PwC. PwC har 1555 medarbejdere fordelt på 17 kontorer over hele landet. PwC har 45 medarbejdere, der arbejder med it- og informationssikkerhed. Få opdateret viden tilpasset dig ilmeld dig nyhedsbrevet Dialog på

20 ANNONCE Lilian Jensen, administrerende direktør, og Ib Christian Henricson, product manager, fra Capevo. Vi udvikler Danmarks digitale fremtid Capevos digitale selvbetjeningsløsninger frigør store ressourcer og sparer virksomheder og samfundet for tid og penge. Når vi som borgere benytter selvbetjening på nettet eksempelvis hos kommunen vil vi bare have at det virker og er sikkert. Så længe det virker upåklageligt, interesserer vi os ikke for, hvem der står bag løsningen. Derfor kender kun de færreste danskere navnet Capevo. Men Capevo er i virkeligheden kendt af alle gennem en årrække. For det er Capevo, der står bag udviklingen af Xform en effektiv platform der eksempelvis sikrede en smidig registrering af donationer under Danmarksindsamlingen, skabte en onlineformular til bestilling af BroBizz, og mange andre velkendte løsninger. Vi arbejder med et standardprodukt, som så igen er ultraspecialiseret og tilpasset den enkelte kundes behov. Vi har gennem årene udviklet en stor base af standardintegrationer, som vi konstant vedligeholder og udbygger. For os er borgernes sikkerhed og kvaliteten af data afgørende for, at vi kan udvikle en løsning, der passer til kundens forretning, men det kræver også, at vi har en udpræget forståelse for kundens forretningsgange, forklarer product manager Ib Christian Henricson fra Capevo, som udvikler selvbetjeningsløsninger til både offentlige og private virksomheder. Brug for first movers I Danmark er det besluttet, at borgerne så vidt muligt skal betjene sig selv digitalt i de offentlige systemer. Derfor er det vigtigt, at der er first movers som Capevo, der siden 2007 har udviklet løsninger, som sparer milliarder af offentlige kroner. Hele øvelsen går jo ud på, at når borgerne kan betjene sig selv, sparer stat, regioner og kommuner penge, der kan bruges til service andre steder. Det kræver selvfølgelig dels, at vi kan sikre at borgernes personlige oplysninger behandles fortroligt, dels at det er nemt at bruge. Og vi har for længst skabt løsninger, som sikrer, at data opbevares forsvarligt, understreger administrerende direktør Lilian Jensen. Capevo satser på cloud computing, og virksomheden er parat med sikre løsninger allerede i dag, så Capevo også her er i front, når lovgivningen omkring cloud computing er klar. Cloud kræver klare aftaler om, hvor data skal befinde sig eksempelvis skal data fra offentlige kunder befinde sig i Danmark. Decentrale løsninger Digitaliseringen indebærer mange fordele. Eksempelvis er den med til at decentralisere sagsbehandlingen, fordi man med vores produkter kan lave også helt små løsninger og kontaktformularer, som den enkelte sagsbehandler kan bruge, og som så efterhånden kan stige i kompleksitet. Naturligvis udviklet, så systemerne kan snakke sammen indbyrdes. Vi har ingen interesse i at sætte os på kundens løsning derfor udvikler vi leverandør-uafhængige løsninger, som ikke binder kunderne, siger Ib Christian Henricson. Han peger også på andre oplagte områder, hvor digitaliseringen kan benyttes. Smartphones og tablets er oplagte at benytte i undervisningsog sundhedssektoren, og i den private sektor er pensionsselskaber og telebranchen blandt dem, der har behov for digitale selvbetjeningsformularer. Alt sammen områder, hvor Capevo satser stærkt. Det vigtige er, at serviceniveauet skal blive bedre, ikke ringere. Det kan digitaliseringen hjælpe med, og selv om ikke alle vil kunne bruge løsningerne endnu, så bliver der frigjort ressourcer netop til at hjælpe der hvor der er behov. Og der er mange flere områder, der efterhånden vil kunne digitaliseres til gavn for samfundet, påpeger Lilian Jensen fra Capevo. Capevo A/S er et dansk softwarehus med ekspertise i at udvikle, implementere og drive digitale indberetnings- og selvbetjenings-løsninger. Capevo A/S har siden 2007, leveret en lang række succesfulde selvbetjeningsløsninger til offentlige myndigheder og private virksomheder.

O Guide til it-sikkerhed

O Guide til it-sikkerhed It-kriminalitet O Guide til it-sikkerhed Hvad din virksomhed bør vide om it-kriminalitet, og hvordan du kan forebygge det codan.dk 2 Forord 3 o Er I ordentligt sikret mod it-kriminalitet? Mange virksomheder

Læs mere

guide til it-sikkerhed

guide til it-sikkerhed Codans guide til it-sikkerhed Hvad du som virksomhed bør vide om it-kriminalitet og hvordan du kan forebygge det Indhold Side 3...Forord Side 4...Virksomhedernes tanker om it-kriminalitet Side 5...Sådan

Læs mere

Mini-guide: Sådan sikrer du din computer mod virus

Mini-guide: Sådan sikrer du din computer mod virus Mini-guide: Sådan sikrer du din computer mod virus Efter Java-hullet: Væn dig til det din computer bliver aldrig 100 % sikker. Men derfor kan vi jo godt prøve at beskytte den så vidt mulig alligevel. Vi

Læs mere

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016

Programbeskrivelse. 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning. 1. Formål og baggrund. August 2016 Programbeskrivelse 7.2 Øget sikkerhed og implementering af EU's databeskyttelsesforordning 1. Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde et acceptabelt

Læs mere

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning

Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Programbeskrivelse - øget sikkerhed og implementering af sikkerhedsreglerne i EU's databeskyttelsesforordning Formål og baggrund Afhængigheden af digitale løsninger vokser, og udfordringerne med at fastholde

Læs mere

Sådan beskytter du din computer mod angreb

Sådan beskytter du din computer mod angreb Sådan beskytter du din computer mod angreb It-kriminelle har fundet et hul i sikkerheden, så de lige nu kan stjæle din net-identitet. Her bliver du klogere på, hvordan du garderer dig. Af Kenan Seeberg

Læs mere

Torben Waage www.kromannreumert.com/insights. Partner

Torben Waage www.kromannreumert.com/insights. Partner Torben Waage IT-SIKKERHEDEN SKAL OP PÅ LEDELSESNIVEAU Hvert år bliver der brugt milliarder af kroner på at beskytte digitale aktiver, så fortrolige informationer undgår at finde vej til offentligheden.

Læs mere

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen

Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting. Vi skaber muligheder & realiserer potentialet sammen Deloitte, Finansagenda 2015 Birgitte Kofod Olsen, partner, Ph.D., Carve Consulting Vi skaber muligheder & realiserer potentialet sammen Et højt niveau af it-sikkerhed og privatlivsbeskyttelse er med til

Læs mere

Trusselsvurdering Cyberangreb mod leverandører

Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering Cyberangreb mod leverandører Trusselsvurdering: Cyberangreb mod leverandører Fremmede stater og kriminelle angriber ofte deres mål gennem forsyningskæden ved at kompromittere leverandører.

Læs mere

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed Den 18. december 2014 DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed 1. Overordnet vurdering En række sager med store datatab fra vigtige danske dataejere, som f.eks. CPR, SSI,

Læs mere

Forslag til folketingsbeslutning om styrket beskyttelse af personnummeret

Forslag til folketingsbeslutning om styrket beskyttelse af personnummeret 2012/1 BSF 100 (Gældende) Udskriftsdato: 30. juni 2016 Ministerium: Folketinget Journalnummer: Fremsat den 4. april 2013 af Peter Skaarup (DF), Pia Adelsteen (DF), Kim Christiansen (DF), Kristian Thulesen

Læs mere

hackere guide Sådan beskytter du dig mod sider Så galt kan det gå Kendt dj: Ikke megen hjælp at hente

hackere guide Sådan beskytter du dig mod sider Så galt kan det gå Kendt dj: Ikke megen hjælp at hente Foto: Iris guide Juni 2013 - Se flere guider på bt.dk/plus og b.dk/plus 8 sider Sådan beskytter du dig mod hackere Så galt kan det gå Kendt dj: Ikke megen hjælp at hente CPR-tyveri INDHOLD I DETTE HÆFTE:

Læs mere

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER

8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 8 PRINCIPPER FOR GOD NET-ADFÆRD FOR PRIVATPERSONER 1 BESKYT DIN COMPUTER OG ANDRE ENHEDER 2 BESKYT DINE PERSONLIGE OPLYSNINGER 3 BESKYT DINE ELEKTRONISKE

Læs mere

Muligheder og risici ved eprivacy

Muligheder og risici ved eprivacy Europaudvalget 2017 KOM (2017) 0010 Bilag 1 Offentligt Jesper Lund IT-Politisk Forening Europaudvalget, 3. februar 2017 Muligheder og risici ved eprivacy Tak for invitationen til dette møde. Min baggrund

Læs mere

FULD DIGITAL KOMMUNIKATION I 2015

FULD DIGITAL KOMMUNIKATION I 2015 FULD DIGITAL KOMMUNIKATION I 2015 Regeringen, kommunerne og regionerne arbejder sammen om at skabe et digitalt Danmark, som frigør resurser til bedre kernevelfærd samtidig med at servicen moderniseres

Læs mere

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm

Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Rigsrevisionen, digitalisering og dokumentation Statens Arkiver den 5. november 2014 v/rigsrevisor Lone Strøm Offentlig revision Folketinget Finansudvalget Øvrige politiske udvalg De af Folketinget valgte

Læs mere

Udvalget for Videnskab og Teknologi UVT alm. del, endeligt svar på spørgsmål 229 Offentligt

Udvalget for Videnskab og Teknologi UVT alm. del, endeligt svar på spørgsmål 229 Offentligt Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del, endeligt svar på spørgsmål 229 Offentligt Ministeren for videnskab, teknologi og udvikling Udvalget for Videnskab og Teknologi Folketinget Christiansborg

Læs mere

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation)

Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk digital kommunikation) Erhvervs- og Vækstministeriet Slotsholmsgade 10-12 1216 København K Sendt til: om2@evm.dk Høringssvar vedrørende forslag til lov om ændring af lov om aktie- og anpartsselskaber og forskellige love (Obligatorisk

Læs mere

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED? NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED? WEBCRM, SEPTEMBER 2017 Indholdsfortegnelse Overblik 3 Hvad indebærer GDPR? 4 Hvorfor er GDPR så vigtigt for alle virksomheder? 7 Hvordan skal

Læs mere

ATP s digitaliseringsstrategi 2014-2018

ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi 2014-2018 ATP s digitaliseringsstrategi samler hele ATP Koncernen om en række initiativer og pejlemærker for digitalisering i ATP. Den støtter op om ATP Koncernens målsætning

Læs mere

JENS KOLDBÆK Borger på nettet for seniorer

JENS KOLDBÆK Borger på nettet for seniorer JENS KOLDBÆK Borger på nettet for seniorer INDHOLDSFORTEGNELSE Bliv en del af det digitale Danmark... 7 Jesper Bove-Nielsen, forlagsdirektør KAPITEL ET... 9 Godt i gang som digital borger NemID...11 Bestil

Læs mere

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet

DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet DI og DI ITEKs vejledning om beskyttelse mod elektronisk industrispionage fra udlandet Sammenfatning Denne vejledning adresserer risikoen for industrispionage fra statssponserede aktører i udlandet mod

Læs mere

Europaudvalget 2008 KOM (2008) 0704 Bilag 2 Offentligt

Europaudvalget 2008 KOM (2008) 0704 Bilag 2 Offentligt Europaudvalget 2008 KOM (2008) 0704 Bilag 2 Offentligt GRUNDNOTAT TIL FOLKETINGETS EUROPAUDVALG 5. december 2008 Forslag til Europa-Parlamentets og Rådets forordning om kreditvurderingsbureauer. KOM(2008)704

Læs mere

Retningslinjer for behandling af cookies og personoplysninger

Retningslinjer for behandling af cookies og personoplysninger Gældende fra 27. juni 2017 Retningslinjer for behandling af cookies og personoplysninger MDL ApS ( MDL vi, os, vores ) ved, hvor vigtig fortrolighed er i forhold til vores kunder, og vi bestræber os på

Læs mere

Kære medarbejder og leder

Kære medarbejder og leder Kære medarbejder og leder Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen. Hvis vi ikke har adgang

Læs mere

GDPR PIXIBOG TIL SCLEROSEFORENINGENS LOKALAFDELINGER

GDPR PIXIBOG TIL SCLEROSEFORENINGENS LOKALAFDELINGER GDPR PIXIBOG TIL SCLEROSEFORENINGENS LOKALAFDELINGER GDPR TIL LOKALAFDELINGERNE Det her er en pixi-udgave af, hvad GDPR betyder for dig, der er frivillig i Scleroseforeningen. Som frivillig kan du have

Læs mere

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank

Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Gode råd til netbankbrugere - sikring af en typisk hjemme-pc med adgang til netbank Af BEC og FortConsult, januar 2005. Hvad kan du konkret gøre for at beskytte din pc? Målgruppe Denne vejledning er skrevet

Læs mere

Sikker på nettet. Tryg selvbetjening. Din kontakt med det offentlige starter på nettet

Sikker på nettet. Tryg selvbetjening. Din kontakt med det offentlige starter på nettet Sikker på nettet Tryg selvbetjening Din kontakt med det offentlige starter på nettet Det offentlige bliver mere digitalt Oplysninger om folkepension og andre offentlige ydelser, ændringer af selvangivelsen,

Læs mere

JERES SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR. Indledning. Hvad er temaet i denne artikel? Hvornår sætter vi digitale fodspor?

JERES SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR. Indledning. Hvad er temaet i denne artikel? Hvornår sætter vi digitale fodspor? JERES SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR Hvad er temaet i denne artikel? Dette tema handler om at være overvåget både i det offentlige rum og online. Vi kommer omkring - overvågning og

Læs mere

Säker Digital Post från myndigheterna

Säker Digital Post från myndigheterna 1 Säker Digital Post från myndigheterna Oplæg på ESV-dagen v/ Lone Boe Rasmussen 11. oktober 2016 DIGITAL POST I DANMARK ANNO 2016 Tak for invitationen til ESV-dagen Fortælle om rejsen, som vi har været

Læs mere

Generelt om persondata og EU s persondataforordning

Generelt om persondata og EU s persondataforordning SSV-Udvikling aps 2017 1 Generelt om persondata og EU s persondataforordning Persondata er i Danmark allerede beskyttet af Persondataloven. Her stilles strenge krav til omgangen med persondata, og disse

Læs mere

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1

Kontorchef Cecile Christensen, Center for sikkerhed og systemforvaltning. 5. november 2014 1 Tilgængelighed, fortrolighed og integritet. Høj kvalitet i informationssikkerhed og dokumentation Hvilken betydning har principper og anbefalinger i sikkerhedsstandarden ISO 27001 for kvaliteten af dokumentationen?

Læs mere

Kort og godt om NemID. En ny og sikker adgang til det digitale Danmark

Kort og godt om NemID. En ny og sikker adgang til det digitale Danmark Kort og godt om NemID En ny og sikker adgang til det digitale Danmark Hvad er NemID? NemID er en ny og mere sikker løsning, når du skal logge på offentlige hjemmesider, dit pengeinstitut og private virksomheders

Læs mere

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Bilag til brev til Europaudvalget af 19. november 2008 19. november 2008 Martin Salamon Dok. 66500/ps Telekom-pakken Rådet har indledt

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) (ekstern persondatapolitik) for MHT ApS vedr. behandling af persondata Version 1 Dato 28.05.2018 Godkendt af Jette Petersen Antal sider 11 Side 1 af 11 Tak, for at du har valgt at bruge vores produkter/services.

Læs mere

Privatlivspolitik ekstern persondatapolitik

Privatlivspolitik ekstern persondatapolitik Privatlivspolitik ekstern persondatapolitik for Shine Danmark miljøvenlig rengøring vedr. behandling af persondata Version 1 Dato 22.05.2018 Godkendt af Christina L. Johansen Antal sider 14 Side 1 af 10

Læs mere

e-boks præsentation - januar 2014 16 JANUARY 2014 2014 COPYRIGHT E-BOKS

e-boks præsentation - januar 2014 16 JANUARY 2014 2014 COPYRIGHT E-BOKS 1 e-boks præsentation - januar 2014 2 Agenda e-boks kort fortalt Værdi for afsendere og slutbrugere Løsninger fra e-boks 3 e-boks kort fortalt 4 Ideen bag e-boks Fra omkostningstunge fysiske breve til

Læs mere

KL s holdning til Europa-Kommissionens generelle forordning om databeskyttelse

KL s holdning til Europa-Kommissionens generelle forordning om databeskyttelse Europaudvalget 2012 KOM (2012) 0011 Bilag 5 Offentligt KL s holdning til Europa-Kommissionens generelle forordning om databeskyttelse Baggrund Europa-Kommissionen fremlagde den 25. januar 2012 forslag

Læs mere

Retsudvalget Folketinget Christiansborg 1240 København K

Retsudvalget Folketinget Christiansborg 1240 København K Ministeren for videnskab, teknologi og udvikling Retsudvalget Folketinget Christiansborg 1240 København K 4. maj 2011./. Til udvalgets orientering fremsendes hermed mit talepapir fra Videnskabsudvalgets

Læs mere

HVERT SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR. Indledning. Hvad er temaet i denne artikel? Hvornår sætter vi digitale fodspor?

HVERT SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR. Indledning. Hvad er temaet i denne artikel? Hvornår sætter vi digitale fodspor? HVERT SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR Hvad er temaet i denne artikel? Dette tema handler om at være overvåget både i det offentlige rum og online. Vi kommer omkring - overvågning og

Læs mere

Bilag 1.Talepapir ved samråd i KOU den 8. oktober

Bilag 1.Talepapir ved samråd i KOU den 8. oktober Kommunaludvalget 2014-15 KOU Alm.del endeligt svar på spørgsmål 3 Offentligt Bilag 1.Talepapir ved samråd i KOU den 8. oktober Samrådsspørgsmål: Finansministeren bedes redegøre for kritikken af sikkerheden

Læs mere

Informationssikkerhed i det offentlige

Informationssikkerhed i det offentlige Informationssikkerhed i det offentlige KMD Analyse Briefing April 2015 HALVDELEN AF DE OFFENTLIGT ANSATTE KENDER TIL BRUD PÅ INFORMATIONSSIKKERHEDEN PÅ DERES ARBEJDSPLADS DANSKERNE USIKRE PÅ AT UDLEVERE

Læs mere

Troværdighedsbranchen: Krav og forventninger til revisor i dag og i morgen

Troværdighedsbranchen: Krav og forventninger til revisor i dag og i morgen Erhvervs- og vækstminister Henrik Sass Larsens tale på FSR s årsmøde danske revisorer Revisordøgnet 2013, den 26. september 2013 Troværdighedsbranchen: Krav og forventninger til revisor i dag og i morgen

Læs mere

Databeskyttelse INDSAMLER OPBEVARER BRUGER DU DATA? Hvad er personoplysninger? Bedre regler for små virksomheder. Januar 2017 DA

Databeskyttelse INDSAMLER OPBEVARER BRUGER DU DATA? Hvad er personoplysninger? Bedre regler for små virksomheder. Januar 2017 DA Databeskyttelse 0100101000011010100010001010110101101111000101000 00101000011010100010001010110101101111000101 01001001010000110101000100010101101011011110001 Bedre regler for små virksomheder Bedre regler

Læs mere

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed Rapport Anbefaling God IT-sikkerhed er god forretning. En brist i jeres IT-sikkerhed kan koste din virksomhed mange penge i genopretning af dine systemer, data og ikke mindst dit omdømme hos dine kunder

Læs mere

11/10/2017 Ny rapport giver fire bud på fremtidens forsyningssektor - Altinget: forsyning

11/10/2017 Ny rapport giver fire bud på fremtidens forsyningssektor - Altinget: forsyning ƒforsyning Ny rapport giver re bud på fremtidens forsyningssektor Klaus Ulrik Mortensen 11. oktober 2017 kl. 3:00 0 kommentarer (Foto: Colourbox) SCENARIER: En statslig multiforsyning, som styrer hele

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) (ekstern persondatapolitik) for Tabellae A/S vedr. behandling af persondata Version 1.1 Dato for seneste opdatering 25.10.2018 Godkendt af Stefan Reina Antal sider 13 Side 1 af 12 Tak, for dit besøg på

Læs mere

Instrukser for brug af it

Instrukser for brug af it it sikkerhed Instrukser for brug af it Må Skal ikke Kan Januar 2010 Version 1.0 Indhold Forord................................................... 3 Resumé.................................................

Læs mere

KÆRE MEDARBEJDER OG LEDER

KÆRE MEDARBEJDER OG LEDER Region Hovedstaden 1 KÆRE MEDARBEJDER OG LEDER Adgang til informationer i it-systemer og elektronisk kommunikation er for de fleste medarbejdere i Region Hovedstaden en selvfølgelig del af arbejdsdagen.

Læs mere

Velkommen som ung i Nykredit

Velkommen som ung i Nykredit Dig og dine penge Velkommen som ung i Nykredit Som ung i Nykredit har du en Ung Konto, som du kan beholde, indtil du fylder 36 år. Med den kan du få hjælp til at holde styr på økonomien, mens du er ung,

Læs mere

Lunar Way Business Privatlivspolitik

Lunar Way Business Privatlivspolitik Lunar Way Business Privatlivspolitik 1. Formål og beskyttelse I denne privatlivspolitik henviser Lunar Way, vi, os og vores til Lunar Way A/S. Hos Lunar Way tager vi beskyttelsen af vores brugeres privatliv,

Læs mere

TEENAGERE. deres private og offentlige liv på sociale medier Online-survey februar 2013

TEENAGERE. deres private og offentlige liv på sociale medier Online-survey februar 2013 TEENAGERE deres private og offentlige liv på sociale medier Online-survey februar 2013 De sociale medier medfører store forandringer i vores sociale liv - og dermed også vores fællesskab, kultur og omgangsformer.

Læs mere

Fortrolighedspolitik og erklæring om personoplysninger

Fortrolighedspolitik og erklæring om personoplysninger Fortrolighedspolitik og erklæring om personoplysninger Beskyttelse af dine data er vigtig for ScanDis, og det er vigtigt for os, at du fortsat har tillid til os. Hos ScanDis bestræber vi os derfor på at

Læs mere

Det er dine oplysninger tag kontrol over dem

Det er dine oplysninger tag kontrol over dem Det er dine oplysninger tag kontrol over dem VEJLEDNING TIL BORGERNE OM DATABESKYTTELSE I EU Retlige Anliggender og Forbrugere BESKYTTELSE AF DINE OPLYSNINGER I EU Vi deler stadig flere af vores personoplysninger,

Læs mere

Offentlig Digitalisering Per Andersen, direktør, DANSK IT

Offentlig Digitalisering Per Andersen, direktør, DANSK IT Offentlig Digitalisering Per Andersen, direktør, DANSK IT Agenda DANSK IT Danmark 3.0 IT i Praksis Offentlig digitaliseringsstrategi Hvad arbejder DIT for? Forening for IT professionelle med 7.400 medlemmer

Læs mere

Bilag 4. Diskussionsoplæg: Dataetik

Bilag 4. Diskussionsoplæg: Dataetik Bilag 4. Diskussionsoplæg: Dataetik Disruptionrådets sekretariat Februar 2018 J.nr. 2017-179 Hvad er god dataetik? Når man taler om ansvarlig anvendelse af data og ny teknologi, italesættes ofte værdier

Læs mere

Informationsteknologi D Gruppe 16 Opgaver. Gruppe 16. Informationsteknologi D

Informationsteknologi D Gruppe 16 Opgaver. Gruppe 16. Informationsteknologi D Opgaver Gruppe 16 Informationsteknologi D IT Opgaver Her kan du se alle de IT opgaver som vi har lavet i løbet at vores informationsteknologi D periode. Media College Aalborg Side 0 af 7 Indholdsfortegnelse

Læs mere

Digitaliseringsstrategi

Digitaliseringsstrategi Digitaliseringsstrategi Godkendt i xx den xx.xx.2010 Digitalisering i Viborg Kommune skal understøtte en helhedsorienteret og effektiv service over for borgere og virksomheder effektivisere de kommunale

Læs mere

Profil Search s Persondatapolitik

Profil Search s Persondatapolitik Profil Search s Persondatapolitik Hvad er det Profil Search værner om privatlivets fred, og vi er naturligvis forpligtet til at beskytte den. I overensstemmelse med den generelle databeskyttelsesforordning

Læs mere

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning? Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.

Læs mere

Formand for Finans Danmark og koncernchef i Nykredit Michael Rasmussens tale til Finans Danmarks årsmøde, mandag d. 3.

Formand for Finans Danmark og koncernchef i Nykredit Michael Rasmussens tale til Finans Danmarks årsmøde, mandag d. 3. Talepapir Formand for Finans Danmark og koncernchef i Nykredit Michael Rasmussens tale til Finans Danmarks årsmøde, mandag d. 3. december 2018 **DET TALTE ORD GÆLDER** Kære gæster, Velkommen til Finans

Læs mere

Sikker forretning i en digitaliseret tid!

Sikker forretning i en digitaliseret tid! Sikker forretning i en digitaliseret tid! St ar t Justin Det kan være svært at følge med udviklingen, der sker inden for sikkerhedsområdet, hvis man er en mindre virksomhed. Ikke mindst nu, hvor digitaliseringens

Læs mere

facebook på jobbet - en guide til facebook-politik på virksomheden

facebook på jobbet - en guide til facebook-politik på virksomheden facebook på jobbet - en guide til facebook-politik på virksomheden Facebook på jobbet Facebook er blevet utrolig populært i Danmark - også på arbejdspladsen. De sidste tal viser at knapt 2 mio. danskere

Læs mere

HVERT SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR. Indledning. Hvad er temaet i denne artikel? Hvornår sætter vi digitale fodspor?

HVERT SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR. Indledning. Hvad er temaet i denne artikel? Hvornår sætter vi digitale fodspor? HVERT SKRIDT TÆLLER! - OM OVERVÅGNING OG DIGITALE FODSPOR Hvad er temaet i denne artikel? Dette tema handler om at være overvåget både i det offentlige rum og online. Vi kommer omkring - overvågning og

Læs mere

Få helt styr på Digital post WWW.KOMPUTER.DK

Få helt styr på Digital post WWW.KOMPUTER.DK KOMPUTER FOR ALLE Få helt styr på Digital post NU ER DET SLUT MED ALMINDELIG PAPIRPOST: Sådan får du digital post fra det offentlige Fra den. november skal du have en digital postkasse for at kommunikere

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) Privatlivspolitik (ekstern persondatapolitik) for Defco A/S vedr. behandling af persondata Version 1.0 Dato 24-05-2018 Godkendt af Jan B. Jensen Antal sider 13 Side 1 af 13 Privatlivspolitik Tak, for dit

Læs mere

BDO s digitale produkter

BDO s digitale produkter BDO s digitale produkter Altid med, altid opdateret Download vores app Mit BDO i App Store og Google Play og få adgang til: Login til Mit BDO BDO s guide Skat, moms og personalegoder Indscanning af bilag,

Læs mere

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik.

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik. Fortrolighedspolitik Effektiv fra: 8. november 2017 Introduktion Pagobox ApS ( "Pleo", "os", "vi" eller "vores") driver Pleo.io webstedet, Pleo webapplikationen, Pleo mobilapplikationen og tilbyder Pleo

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) Privatlivspolitik (ekstern persondatapolitik) for Visuel Print A/S vedr. behandling af persondata Version 1.1. Dato 24.05.2018 Godkendt af Lars Alkemade Antal sider 11 Side 1 af 11 Privatlivspolitik Tak,

Læs mere

Mobning på nettet er et stigende problem, der særligt er udbredt blandt unge. Problemet omtales ofte i forskellige medier.

Mobning på nettet er et stigende problem, der særligt er udbredt blandt unge. Problemet omtales ofte i forskellige medier. Om Prøveopgaver Forudsætningen for at kunne løse en opgave tilfredsstillende er, at man ved, hvad opgaven kræver. Prøveopgaver består af en række forløb, hvor eleverne træner i at aflæse opgaver, som bliver

Læs mere

ANALYSENOTAT Når erhvervslivet at blive klar til de nye persondataregler?

ANALYSENOTAT Når erhvervslivet at blive klar til de nye persondataregler? ANALYSENOTAT Når erhvervslivet at blive klar til de nye persondataregler? AF CHEFKONSULENT MALTHE MUNKØE, FAGCHEF FOR DIGITALISERING JANUS SANDSGAARD EU s persondataforordning (GDPR General Data Protection

Læs mere

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer

Digitalisering og sikkerhed i den offentlige sektor. Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen Projekter Dilemmaer Digitalisering og sikkerhed i den offentlige sektor Sikkerhed & Revision 2012 6. september 2012 Digitalisering og sikkerhed i den offentlige sektor Om Digitaliseringsstyrelsen Sikkerhedsopgaverne i Digitaliseringsstyrelsen

Læs mere

FORTROLIGHEDSPOLITIK OG ERKLÆRING OM PERSONOPLYSNINGER

FORTROLIGHEDSPOLITIK OG ERKLÆRING OM PERSONOPLYSNINGER FORTROLIGHEDSPOLITIK OG ERKLÆRING OM PERSONOPLYSNINGER Beskyttelse af dine data er vigtig for Instrulog A/S, og det er vigtigt for os, at du fortsat har tillid til os. Hos Instrulog A/S bestræber vi os

Læs mere

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem

Databehandleraftale. Dags dato er indgået nedenstående aftale mellem Dags dato er indgået nedenstående aftale mellem Københavns Kommune Teknik- og Miljøforvaltningen Njalsgade 13 2300 København S CVR.nr.: 64 94 22 12 (Herefter benævnt Kunden) og [Firmanavn] CVR.nr.: [CVR.nr.]

Læs mere

Privatlivspolitik (ekstern persondatapolitik)

Privatlivspolitik (ekstern persondatapolitik) Privatlivspolitik (ekstern persondatapolitik) for Holms Støbeteknik vedr. behandling af persondata Version Versions 1.01 Dato 18/-2018 Godkendt af Bettina Holm Antal sider 12 Side 1 af 12 Privatlivspolitik

Læs mere

Undersøgelse af SMV ers syn på revisionspligten. Små selskaber vil have lempet revisionspligten. Resume

Undersøgelse af SMV ers syn på revisionspligten. Små selskaber vil have lempet revisionspligten. Resume Undersøgelse af SMV ers syn på revisionspligten Små selskaber vil have lempet revisionspligten Resume Denne undersøgelse viser, at selvstændige i halvdelen af de små og mellemstore virksomheder mener,

Læs mere

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre. Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler

Læs mere

Hvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål

Hvad er persondata? Vi indsamler persondata på flere måder. Vi indsamler og bruger dine persondata til bestemte formål Hvad er persondata? Persondata kan være mange ting. Det kan være navn, adresse og telefonnummer. Det kan også være et billede eller en IP-adresse. Persondata er alle former for information, som kan bruges

Læs mere

Bæredygtigt forbrug: Ny bæredygtig app

Bæredygtigt forbrug: Ny bæredygtig app 22. februar 2012 /cwg Sag Høringssvar: Ideer og input til national handlingsplan for 'Open Government' Erhvervsstyrelsen har ideer til tre initiativer, der kunne indgå i handlingsplanen for Open Government.

Læs mere

> DKCERT og Danskernes informationssikkerhed

> DKCERT og Danskernes informationssikkerhed > DKCERT og Danskernes informationssikkerhed Fujitsu Security Event, 29. januar 2019 Henrik Larsen 28 January, 2019 S 1 > Hvem er DKCERT? > Grundlagt 1991 efter en af de første store hackersager i Danmark

Læs mere

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA

VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA VEJLEDNING TIL BEBOERREPRÆSENTANTER - BESKYTTELSE AF PERSONDATA HVILKE PERSONOPLYSNINGER LIGGER I INDE MED? Side 1 af 10 Oktober 2018 BESKYTTELSE AF PERSONDATA - DET ER OGSÅ JERES ANSVAR Som beboerrepræsentanter

Læs mere

Er danskerne parat til digital kommunikation med det offentlige?

Er danskerne parat til digital kommunikation med det offentlige? Side 1 af 6 TDC A/S, Presse 13. oktober 2014 BWJ/IKJE Final Er danskerne parat til digital kommunikation med det offentlige? Fra den 1. november 2014 skal vi vænne os til, at der ikke længere kommer brevpost

Læs mere

Studér denne folder for vores sikkerheds skyld

Studér denne folder for vores sikkerheds skyld Studér denne folder for vores sikkerheds skyld Pas på vores værdifulde viden Vi fremskaffer og formidler viden. Elektronisk, skriftligt og mundtligt. Det er Københavns Universitets væsentligste aktivitet

Læs mere

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017

Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017 Regler for NemID til netbank og offentlig digital signatur v5, 1. marts 2017 1 Indledning NemID er en sikkerhedsløsning, du kan bruge til din netbank, offentlige og private hjemmesider. Du kan også bruge

Læs mere

FREMTIDENS MEDARBEJDER I FINANSSEKTOREN

FREMTIDENS MEDARBEJDER I FINANSSEKTOREN FREMTIDENS MEDARBEJDER I FINANSSEKTOREN 1 1 INDLEDNING Finanssektorens Arbejdsgiverforening (FA) har taget et kig ud i fremtiden for at se nærmere på de toneangivende tendenser, der påvirker arbejdsgivernes

Læs mere

Dansk Erhvervs Perspektiv

Dansk Erhvervs Perspektiv DANSK ERHVERVS PERSPEKTIV Dansk Erhvervs Perspektiv Analyse, økonomi, baggrund EU s Persondataforordning koster danske virksomheder ca. 8 mia. kr. Den 25. maj træder EU s Persondataforordning (GDPR General

Læs mere

It-sikkerhedstekst ST9

It-sikkerhedstekst ST9 It-sikkerhedstekst ST9 Single Sign-On og log-ud Denne tekst må kopieres i sin helhed med kildeangivelse. Dokumentnavn: ST9 Version 1 Juli 2015 Single Sign-On og log-ud Betegnelsen Single Sign-On (SSO)

Læs mere

Er I klar til den nye persondataforordning?

Er I klar til den nye persondataforordning? Er I klar til den nye persondataforordning? Nye regler om persondata på vej I december 2015 blev der opnået enighed om en ny persondataforordning. Forordningen indeholder en række nye og ændrede regler

Læs mere

Vi er bekendt med og overholder europæisk og dansk lovgivning på området.

Vi er bekendt med og overholder europæisk og dansk lovgivning på området. BAUER MEDIA GROUP: PRIVACY POLICY 1. VORES DATALØFTE TIL DIG Bauer Media Group forpligter sig til at respektere og beskytte dine data, så længe de er opbevaret hos os. Vi indsamler personlige data, fordi

Læs mere

Afsluttende rapport for initiativ 1.1: Digital post til alle borgere i 2014

Afsluttende rapport for initiativ 1.1: Digital post til alle borgere i 2014 Afsluttende rapport for initiativ 1.1: Digital post til alle borgere i 2014 Stamdata Tabel 1: Stamdata for initiativ 1.1 Initiativnavn Digital Post til alle borgere i 2014 Ministerium Finansministeriet

Læs mere

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed

Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Almindelig sund fornuft med IT Gode råd og regler om IT sikkerhed Langeland Kommune Sikkerhed i Langeland Kommune Sikkerhed er noget vi alle skal tænke over. Vi behandler følsomme informationer om vores

Læs mere

e-boks kort fortalt Trends Løsninger fra e-boks Værdi for afsendere Værdi for brugere Cases

e-boks kort fortalt Trends Løsninger fra e-boks Værdi for afsendere Værdi for brugere Cases Præsentation 1 e-boks kort fortalt Trends Løsninger fra e-boks Værdi for afsendere Værdi for brugere Cases 2 e-boks kort fortalt 3 Vi gør det nemt, trygt og effektivt at kommunikere og agere i et digitalt

Læs mere

pwc.dk/tillidsbarometer Tillidsbarometeret 1. halvår 2018

pwc.dk/tillidsbarometer Tillidsbarometeret 1. halvår 2018 pwc.dk/tillidsbarometer Tillidsbarometeret 1. halv 18 Indholdsfortegnelse Introduktion til Tillidsbarometeret...3 s tillid til hinanden...4 Tillid til offentlige myndigheders databehandling...5 Tillid

Læs mere

retssikkerhed AdvokAtrådets program 2009

retssikkerhed AdvokAtrådets program 2009 retssikkerhed Advokatrådets program 2009 BEHOV FOR ØGET RETSSIKKERHED Balancen mellem hensynet til at beskytte borgerne mod overgreb fra staten og hensynet til terrorbekæmpelse har ændret sig markant.

Læs mere

En introduktion til. IT-sikkerhed 16-12-2015

En introduktion til. IT-sikkerhed 16-12-2015 En introduktion til 16-12-2015 1 En rettesnor for din brug af IT I Dansk Supermarked Group forventer vi, at du er orienteret om, hvordan du skal bruge IT, når du er ansat hos os. I denne guide kan du læse

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

Timengo. Digitalisering med en Microsoft platformen Kenneth Wohlers, Timengo. Timengo

Timengo. Digitalisering med en Microsoft platformen Kenneth Wohlers, Timengo. Timengo Digitalisering med en Microsoft platformen Kenneth Wohlers, Agenda Sikker post Nye muligheder Vores løsning - VMG Scenarier Teknisk overblik Hvad er Sikker post Teknologi Certifikater Standarder Formål

Læs mere

certifiedkid.dk Hej, jeg hedder Lotte og er 12 år. Skal vi skrive sammen? 50.000 gange om året oplever børn og unge en skjult voksen på internettet.

certifiedkid.dk Hej, jeg hedder Lotte og er 12 år. Skal vi skrive sammen? 50.000 gange om året oplever børn og unge en skjult voksen på internettet. Udvalget for Videnskab og Teknologi 2009-10 UVT alm. del Bilag 287 Offentligt TIL ELEVER OG FORÆLDRE certifiedkid.dk ONLINE SECURITY FOR KIDS 9 16 POWERED BY TELENOR Hej, jeg hedder Lotte og er 12 år.

Læs mere

EU s Persondataforordning. for danske virksomheder. ca. 8 mia. kr. ANALYSE

EU s Persondataforordning. for danske virksomheder. ca. 8 mia. kr. ANALYSE ANALYSE EU s Persondataforordning koster danske virksomheder ca. 8 mia. kr. Den 25. maj træder EU s Persondataforordning (GDPR General Data Protection Regulation) i kraft. Forordningen er blandt den mest

Læs mere

Brug af sociale medier i SUF

Brug af sociale medier i SUF Brug af sociale medier i SUF Indhold Indledning... 3 Retningslinjer og politikker... 3 Ytringsfrihed... 3 Når du bruger Facebook på jobbet... 4 Når du deltager i debatten... 4 Tænk i øvrigt over:... 4

Læs mere