Hoppa till innehållet
Avanet
GDPR: så kan Sophos hjälpa dig

GDPR: så kan Sophos hjälpa dig

29. MARS 2018

Det har gått ett bra tag sedan Europaparlamentet den 14 april 2016 antog den nya allmänna dataskyddsförordningen – GDPR. Förordningen börjar gälla den 25 maj 2018, vilket innebär att företag har haft nästan två år på sig att förbereda sig. Under tiden har det skrivits mycket om ämnet, inte minst eftersom även amerikanska företag måste följa General Data Protection Regulation.

I den här artikeln vill vi visa hur Sophos kan hjälpa dig att uppfylla kraven i det nya regelverket. Vi går inte igenom alla detaljer i de 11 kapitlen och 99 artiklarna. Många formuleringar är fortfarande ganska vaga och lämnar utrymme för tolkning. Lobbyisterna har gjort ett bra jobb: stora företag kan kosta på sig fleråriga rättsprocesser kring enstaka ordval. För små och medelstora företag hade tydligare och mer lättbegripliga regler varit att föredra. De första rättsfallen kommer att visa hur vissa artiklar ska tolkas.

För att reda ut en sak direkt: vi på Avanet är baserade i Schweiz – och ja, även schweiziska företag med kunder i EU omfattas av GDPR.

Många företag gör därför i praktiken ingenting just nu och accepterar risken att bli stämda. Vissa EU‑länder har redan meddelat att de helt enkelt inte har resurser att hantera alla klagomål.

Vad handlar det nya regelverket egentligen om?

Här följer några exempel som illustrerar vad det rör sig om och vilken roll IT‑säkerhet kan spela:

  • EU‑medborgare har rätt att begära ut sina personuppgifter från företag.Redan här stöter vissa företag på problem. I värsta fall måste en medarbetare lägga flera timmar på att samla in all relevant information.
  • EU‑medborgare kan begära att deras uppgifter raderas.Även detta är en utmaning för IT, eftersom även säkerhetskopior omfattas. Alla backuplösningar kan inte ta bort enskilda poster, och kravet kan dessutom krocka med regler om arkivering och bevarandeskyldighet.
  • Om ett företag drabbas av ett dataintrång finns en anmälningsplikt – om inte uppgifterna var krypterade.Det är här IT‑säkerheten hamnar i centrum och blir avgörande.

IT‑säkerhet måste tas på allvar

Vi tycker att det är positivt att GDPR ger ytterligare argument för att äntligen ta IT‑säkerhet på allvar. Den som ignorerar detta och fortfarande tror att verksamheten klarar sig utan en robust lösning riskerar förr eller senare att bli straffad för grov oaktsamhet. Vi ser fortfarande alltför många datorer, servrar och andra system som är direktkopplade mot internet utan skydd, där viktiga uppdateringar och säkerhetsfixar ignoreras.

Att Windows XP inte längre får uppdateringar betyder inte att systemet plötsligt är säkert. Det kan låta märkligt, men det finns faktiskt användare som tror det.

Vi ser också ofta att användare surfar med webbläsare som inte har uppdaterats på mycket länge. Använd alltid en modern webbläsare som är uppdaterad ur säkerhetssynpunkt.

Ransomware-branschen anpassar sig

Vi lever i en tid då ransomware och exploits hör till de mest framgångsrika attackmetoderna. Denna ”bransch” förbereder sig naturligtvis också inför den 25 maj. Nya varianter av ransomware har redan observerats: i stället för att kryptera data och kräva Bitcoins för dekrypteringsnyckeln, smyger de ut företagsdata under flera veckors tid och visar sedan ett meddelande i stil med:

Vi har dina data! Betala XXX Bitcoins, annars publicerar vi dem.

I ett sådant läge hjälper det inte längre att bara ha en backup – något som många såg som den perfekta lösningen mot klassisk krypterings‑ransomware. Om de stulna uppgifterna läcks får det två konsekvenser: skadat anseende och en eventuell sanktionsavgift från EU på upp till 20 miljoner euro eller 4 % av den årliga omsättningen.

Skydd: enkelt och relativt kostnadseffektivt

Det finns några grundläggande regler som alltid bör följas:

  • Använd ett modernt operativsystem (på datorer, servrar, smartphones och IoT‑enheter).
  • Installera programuppdateringar regelbundet.
  • Använd ett professionellt antivirusprogram. → Enligt vår mening räcker lösningar som Avira, Avast, Windows Defender m.fl. inte till om man tittar på den bakomliggande tekniken. Vi betonar teknik, eftersom marknadsföringen och produkttexterna ofta är väldigt övertygande. Den som tror fullt ut på dessa beskrivningar får lätt intrycket att gratisprodukter skyddar mot allt. Dessutom rekommenderar vi alltid Sophos Intercept X. För servrar finns Sophos Server Protection.
  • Kryptera dina lagringsmedier (hårddiskar, USB‑minnen osv.). → Detta är till stor hjälp om en enhet skulle tappas bort eller bli stulen. BitLocker för Windows och FileVault för macOS är bra alternativ. På några få enheter kan detta aktiveras manuellt; vid större miljöer kan man använda Sophos Device Encryption för central hantering.
  • Kryptera filer. → Det finns program som VeraCrypt (gratis efterföljare till TrueCrypt) och Cryptomator. VeraCrypt lägger alla data i en enda container, vilket är opraktiskt och inte optimalt säkerhetsmässigt (t.ex. ett lösenord för all data). Cryptomator (också gratis) har en bättre modell: varje fil krypteras med en egen nyckel (inklusive filnamnet), och filerna förblir separata – något som även är en fördel vid säkerhetskopiering. Vad erbjuder Sophos här? För mindre företag finns enligt vår uppfattning ännu ingen perfekt lösning, om man inte vill drifta en Windows‑server med databas och AD‑integration – då är Sophos SafeGuard ett bra alternativ. Oavsett produkt vilar ett bra krypteringskoncept på starka lösenord – som dessutom inte bör vara identiska överallt.

GDPR nämner uttryckligen kryptering som en lämplig metod för att skydda data vid en incident (artikel 34).

  • Utbilda användarna. → Skyddsmekanismer bör finnas, men helst aldrig behöva användas – precis som backup. Tyvärr är vissa användare inte medvetna om detta och klickar på allt, eller reagerar fel på phishing‑mejl, vilket kan få allvarliga konsekvenser för IT‑säkerheten. Här kommer Sophos Phish Threat in i bilden. Med det kan du skapa phishing‑kampanjer, testa användarna och sedan utbilda dem. Målet är att öka medvetenheten om att ett mejl inte alltid är äkta, även om det ser perfekt ut.
  • Skydda mobila enheter. → Företagsmejl, kontakter och kalendrar finns ofta på mobila enheter. Dessutom bär vi i allt större utsträckning med oss företagsdata. Bärbara datorer, smartphones och surfplattor måste därför skyddas, styras av konsekventa policys och – vid behov – kunna raderas på distans. Sophos Central Mobile hjälper dig med detta.
  • Säkra nätverket. → När du har kommit en bra bit på väg med punkterna ovan – säg minst 50 % – är det dags att fokusera på nätverkssäkerhet. En korrekt konfigurerad brandvägg kan göra stor skillnad och skydda även trådlösa nätverk. Se även Sophos XG Firewall.
  • Kryptera e‑post. → Vi har pratat om e‑postkryptering i många år, men utanför vissa branscher är det fortfarande ovanligt – framför allt för att det inte är särskilt bekvämt. Sophos har flera lösningar på området, men vi anser att de ännu inte är fullt mogna eller särskilt väl lämpade för mindre och medelstora företag.

Detta är i korthet de viktigaste åtgärderna som vi rekommenderar för att inte höra till de första som oavsiktligt bryter mot GDPR. 😉

Patrizio

Patrizio

Patrizio ar en erfaren natverksspecialist med fokus pa Sophos-brandvaggar, switchar och accesspunkter. Han stottar kunder och IT-team med konfiguration, migrering och ren natverkssegmentering.