Hackerne er i fuld gang med at udnytte GDPR

2018-08-07

Fra Atea Security Operations Center, der overvåger trusler mod danske virksomheders it-sikkerhed, er meldingen klar: Et støt stigende antal hackere er i fuld gang med at teste, om virksomhederne har styr på deres personfølsomme oplysninger.

 

Skæringsdatoen for offentlige- og private virksomheders GDPR-compliance den 25. maj 2018 er passeret. Det er ikke særlig længe siden. Men i Ateas Security Operations Center (SOC), der overvåger it-sikkerheden hos driftskunderne, peger flere konkrete indikatorer på, at GDPR allerede har indflydelse på det trusselsbillede danske virksomheder står overfor.

 

Ifølge Henrik Limkilde, teknisk leder af SOC, er hackere lige nu i fuld gang med at ’trykprøve’, om virksomhederne virkelig har implementeret GDPR, herunder kravene til sikker håndtering af personfølsomme oplysninger.

 

”Hver dag registrerer Ateas it-sikkerhedskonsulenter via vores systemer et stigende antal forespørgsler om bl.a. CPR-numre på vore kunders hjemmesider. Der er er tale om et tydeligt mønster på tværs af vores kunder, som indikerer, at hackere lige nu prøver at skaffe sig adgang til fortrolige oplysninger,” siger Henrik Limkilde.

Værdifulde data bruges til afpresning

For ham er der ingen tvivl om, at den øgede interesse for virksomhedernes personfølsomme oplysninger hænger uløseligt sammen med EU’s persondataforordning. GDPR har øget værdien af personfølsomme data massivt, fordi virksomheder, der ikke overholder persondataforordningen, kan risikere at skulle betale en bøde svarende til 4% af omsætningen på globalt plan.

 

GDPR har dermed meget konkret værdisat virksomhedernes data – for multinationale virksomheder vil 4% af den globale omsætning svare til store millionbeløb. Derudover vil mange virksomheder også helst undgå den offentlige gabestok, og det troværdighedstab der følger med, når hackere viser, at der ikke er styr på dataopbevaringen og it-sikkerheden.

 

Derfor har hackere fået mulighed for at afpresse virksomheder for langt højere beløb end tidligere. Data er, med andre ord, langt mere værd i dag end før den 25. maj.

 

Læs om Atea Security Operations Center - klik her

Cyberkriminelle har god tid

Selv nævner Henrik Limkilde, at hackernes incitament for at ’høste’ personfølsomme oplysninger fra danske virksomheder umiddelbart ikke er ligeså stor herhjemme som i udlandet. Fx har Datatilsynet ikke bemyndigelse til at udskrive million-bøder direkte til virksomheder, der ikke overholder GDPR.

 

Eventuelle sanktioner mod virksomhederne bliver afsagt ved domstolene efter langvarige retssager, men det tidsperspektiv er ikke noget der afskrækker hackerne, lyder det fra Henrik Limkilde.

 

”Hackere har god tid. Derfor vil mange hackere afvente den første GDPR-retssag ved domstolene. Her vil det vise sig, hvor meget et GDPR-lovbrud koster den enkelte virksomhed, ” siger Henrik Limkilde og fortsætter:

 

”Så selvom en sådan retssag måske ligger flere år ude i fremtiden, samler hackerne allerede nu kompromitterende data, som de efterfølgende kan afpresse virksomhederne med.”

Scanner netværk for hackere

Før det kommer så vidt, skal hackerne dog være i stand til at snige sig usete rundt under radaren på Ateas SOC, hvor monitorering af kundernes netværk 24/7 er en af kerneopgaverne.

 

Ved hjælp af AI og individuelt fintunede sikkerhedssystemer, der er tilpasset den enkelte virksomheds trusselsbillede, kan Ateas it-sikkerhedskonsulenter hurtigt opfange unormal adfærd og usædvanlige brugermønstre - fx i forhold til et øget antal forespørgsler på CPR-numre på kundernes hjemmesider. Sker dette advarer SOC den ramte kunde, der efterfølgende kan tage de nødvendige forhåndsregler.

 

Få styr på it-sikkerheden i dag

 

Overvågningen og advarslerne fra SOC bliver efterfølgende fulgt op af yderligere finjustering af sikkerhedsforanstaltningerne, så kunderne altid har den bedst mulige beskyttelse.

 

Men ifølge Henrik Limkilde kan virksomhederne selv gøre en hel del for at undgå de værste sårbarheder.

 

”Hackere scanner jer lige nu. Sørg for at I ved, hvor data ligger, og slet de data I alligevel ikke bruger!”

 

Om Henrik Limkilde
  • Til daglig teknisk leder af Atea Security Operations Center
  • Har titel af Certified Ethical Hacker
  • Limkilde har et internationalt diplom på, at han gerne må hacke sig ind i netværk for at finde fejl, og at han er forpligtet til aldrig at misbruge det, han finder ud af, men tværtimod advare om fejl eller brister