læs erhvervsstyrelsens anbefalinger til it-sikkerhed · 2 sikkerheds tjekket ledelsens...
TRANSCRIPT
1
sikkerhedstjekket
Anbefalinger
2
sikkerhedstjekket
ledelsens involvering, håndtering og ansvar i forhold til jeres virksomheds IT-sikkerhed
Hvorfor er det vigtigt, at ledelsen forholder sig til virksomhedens IT-sikkerhed?
I dag er stort set alle virksomheder konstant online, hvilket markant øger virksomhedens risiko for at blive ramt af IT-kriminalitet og andre IT-sikkerhedshændelser.
IT-kriminalitet rammer alle organisationer, uafhængig af størrelse, type eller branche.
Ledelsen skal sikre, at der er en sammenhæng mellem den type forretning, som I driver, jeres risikoprofil og jeres valgte sikkerhedsforanstaltninger.Håndteringen af jeres virksomheds IT-sikkerhed er et løbende arbejde, som bør integreres i det samlede ledelsesarbejde og styring af virksomheden. IT-sikkerhed er ledelsens ansvar på lige fod med økonomi, arbejdsmiljø, kundeservice osv.
Derfor bør jeres virksomheds ledelse være direkte involveret i fastlæggelsen af et tilstrækkeligt sikkerhedsniveau og i handlinger og kommunikation signaler, at IT-sikkerheden er prioriteret i jeres virksomhed.
Fastlæggelse af jeres risikovillighed ligger oftest forud for en risikovurdering, hvor ledelsen vurderer, hvilken risiko I er villige til at acceptere for at kunne drive jeres kerneforretning.
For at få et overblik over jeres virksomheds risikovillighed anbefales det, at I starter med at identificere, hvilke systemer, processer og data som er mest kritiske for jeres virksomhed. Se anbefaling om kritiske data og systemer på www.sikkerhedstjekket.dk.
I bør ligeledes forstå, hvilke motiver de IT-kriminelle har for at ramme jeres virksomhed. Er det fx målrettet spionage eller vilkårlig IT-kriminalitet med økonomisk afpresning, som er mest sandsynlig for jeres virksomhed?
I bør overveje, om jeres virksomhed selv har den fornødne viden til at fastlægge jeres risikovillighed og udarbejde en risikoanalyse for jeres virksomhed, eller om I bør søge ekstern sparring.
Anbefalinger til, hvad ledelsen skal tage stilling til
Forstå og beskriv jeres risikovillighed
Forstå og beskriv jeres risikovillighed, dvs. hvilken risiko ledelsen er villig til at acceptere for at kunne drive virksomhedens kerneforretning.
Ledelsen skal påtage sig et ansvar og optræde som rollemodel i forhold til virksomhedens arbejde med IT-sikkerhed.
Ledelsen skal sikre en løbende styring af virksomhedens IT-sikkerhedsarbejde.
Anbefaling 1
Ledelsen skal optræde ansvarligt og som rollemodel
Lederne bør i kraft af deres adfærd vise medarbejderne, hvor vigtigt det er for jeres virksomhed at passe godt på organisationens informationer.
3
sikkerhedstjekket
Ledelsen bør således gå forrest og være med til at skabe en sikkerhedskultur, som matcher jeres virksomheds behov. Ledelsen bør tage ansvar for, at virksomhedens sikkerhedskultur bliver en integreret del af virksomheden.
For at skabe en god sikkerhedskultur bør ledelsen indføre små, men meningsfulde aktiviteter i hverdagen, som matcher virksomhedens forretningsgrundlag. De små daglige aktiviteter skal primært styrke medarbejdernes opmærksomhed på beskyttelse af virksomhedens opbevaring af kundeoplysninger og andre fortrolige informationer. På et kontor, kan en aktivitet være, at medarbejderne ikke må gå fra deres computer, med mindre de låser skærmen, for at undgå, at uvedkommende kan få adgang til computeren. På en byggeplads, hvor mobile devices kan være en væsentlig informationskilde, bør medarbejderne have et stærkt password på de mobile devices.
Arbejdet med jeres virksomheds IT-sikkerhed er en løbende proces, fra forståelse af krav og behov i relation til jeres IT-sikkerhedsniveau og til implementering af sikkerhedsforanstaltninger og opfølgning.
Trusselbilledet ændrer sig konstant; derfor det er vigtigt, at I løbende forholder jer til, hvilke sikkerhedsforanstaltninger jeres virksomhed har brug for. God praktik er mindst én gang om året at revurdere jeres behov og krav til virksomhedens IT-sikkerhedsniveau.
At sikre en løbende håndtering af jeres IT-sikkerhedsarbejde
4
sikkerhedstjekket
fastlæggelse af virksomhedens kritiske informationer og systemer
Hvorfor er det vigtigt, at identificere virksomhedens kritiske informationer og systemer?
Ingen virksomheder har gavn af at beskytte alle informationer og IT-systemer lige meget.
Det er derfor vigtigt, at I tager stilling til, hvilke informationer og IT-systemer der er vigtigst for jeres virksomhed, så I bedre kan sætte ind, hvor det er nødvendigt at bruge jeres ressourcer mest optimalt.
I kan fx definere jeres kritiske informationer og IT-systemer med udgangspunkt i jeres primære produkter, kunder eller kerneforretning. I kan fx definere kritiske informationer og systemer hvor konsekvensen af en sikkerhedshændelse for de pågældende informationer eller IT-systemer er høj samtidig med, at det vurderes sandsynligt eller meget sandsynligt at sikkerhedshændelse vil kunne indtræffe. Dvs. trusler, hvor en risiko ikke kan tolereres.
Se også anbefaling for risikovurdering på www.sikkerhedstjekket.dk.
Anbefaling 2
Anbefalinger til, hvad ledelsen skal tage stilling til
Få overblik over jeres behandling af personoplysninger samt kritiske forretningsdata, og IT-systemer.
Lav en risikovurdering.
Udarbejd retningslinjer for beskyttelse af jeres kritiske informationer og IT-systemer.
5
sikkerhedstjekket
Få overblik over jeres behandling af person- oplysninger samt kritiske forretningsdata, og IT-systemer
Det er vigtigt, at I finder ud af, hvilke typer personoplysninger I håndterer i jeres virksomhed, da persondataloven sætter retningslinjer for behandling og opbevaring af personoplysninger. Se mere i anbefalingen om personoplysninger på www.sikkerhedstjekket.dk.
Eksempler på kritiske forretningsdata kan være informationer om jeres kunder, jeres kunders behov, jeres kunders fortrolige data, prisoplysninger, strategi, økonomiske tal eller hvordan et bestemt produkt er unikt i forhold til jeres forretning.
Når I har fået overblik over, hvilke personoplysninger og kritiske forretningsdata I behandler i jeres virksomhed, skal I fastlægge retningslinjer for, hvordan disse informationer behandles og gemmes, så I er sikre på, at de er beskyttet af jeres sikkerhedsforanstaltninger, fx antivirus, backupproces og adgangsstyring.
For at vurdere, hvilke systemer I er mest afhængige af, kan I tage udgangspunkt i følgende klassificering:
Når I har fået overblikket over, hvilke vigtige it systemer I har i jeres virksomhed, skal I beslutte, hvem der er system- og procesansvarlig for hver af systemerne, således, at I er sikre på, at systemerne bliver korrekt opdateret og efterlever jeres processer.
Kritisk -under 4 timer: Manglende adgang til systemet vil skade virksomheden næsten med det samme, fordi I ikke kan producere eller levere jeres ydelser til jeres kunder.
Moderat - 4- 8 timer: Manglende adgang må helst ikke vare mere end en enkelt arbejdsdag, før det begynder at skade virksomheden.
Lav -under en uge: I kan godt undvære adgang til systemet i op til en uge, men helst ikke mere.
Lav en risikovurdering
Udarbejd retningslinjer for beskyttelse af jeres kritiske informationer og IT-systemer
Anbefalinger til, hvordan I udarbejder en risikovurdering, kan findes i anbefalingen om risikovurdering på www.sikkerhedstjekket.dk.
Når I har fundet ud af, hvilke kritiske informationer og IT-systemer, der er vigtigst for jeres virksomhed at beskytte, bør I finde ud af, om I har de nødvendige sikkerhedsforanstaltninger, eller om I har behov for at optimere jeres eksisterende IT-sikkerhedsløsninger. Har I ikke selv kompetencerne inhouse til at lave denne vurdering, bør I søge sparring hos en ekstern leverandør.
På www.sikkerhedstjekket.dk kan I finde en række anbefalinger inden for tekniske sikkerhedsforanstaltninger, som kan hjælpe jer med at vurdere, om I har de rigtige løsninger og retningslinjer på plads.
6
sikkerhedstjekket
udarbejdelse af risikovurdering
Hvorfor er det vigtigt at kende de trusler, som jeres virksomhed står overfor, og hvilke ricisi disse kan udgøre for jeres virksomhed?
Anbefalinger til udarbejdelse af risiko- vurdering
Alle virksomheder bliver mere og mere digitale, hvilket øger risikoen for, at jeres virksomhed kan blive ramt af sikkerhedshændelser, som kan skade jeres virksomheds økonomi, omdømme og konkurrenceevne.
Formålet med at lave en risikovurdering er, at I får et overblik over, hvad I har af sikkerhedsmæssige risici for bedst muligt at kunne minimere disse. Det er oftest billigere at forebygge fremfor at skulle reparere, når I først er blevet ramt.
Ingen virksomheder har gavn af at beskytte alt lige meget. En risikovurdering skal derfor hjælpe jer med at vurdere, hvilke områder I bør prioritere højest ud fra, hvilken sandsynlighed og konsekvens en given trussel har for jeres virksomhed.
Anbefaling 3
Forstå, hvilke trusler der kan ramme jeres virksomhed.
Forstå, hvilken konsekvens det har, hvis en given trussel rammer jeres virksomhed.
Find ud af, om I er beskyttet og planlæg, hvilke sikkerhedsforanstaltninger jeres virksomhed har brug for.
Forstå, hvilke trusler der kan ramme jeres virksomhed
Alle virksomheder er som udgangspunkt forskellige. Det er derfor vigtigt, at I forholder jer til, hvilke trusler der er gældende specifikt for jeres virksomhed.
Nogle af de mest almindelige trusler, som små- og mellemstore virksomheder bør overveje, er fx:
IT-kriminalitet, herunder:
Hændelser ift. fysiske rammer, herunder tyveri, brand og skader på virksomhedens IT-udstyr
Medarbejderrelaterede hændelser, hvor medarbejderne ulovligt anvendelser virksomhedens informationer eller ubevidst lækker data.
Social engineering /phishing-angreb mod virksomhedens medarbejdere.
Cyber-spionage med et motiv for at stjæle virksomhedens forretningshemmeligheder.
IT-kriminalitet med et økonomisk motiv for enten at få penge fra virksomheden eller sælge virksomhedens data.
DDoS-angreb, hvor virksomhedens website bliver overbelastet, hvorefter man ikke kan få adgang til hjemmesiden.
7
sikkerhedstjekket
Leverandørrelaterede hændelser, hvor virksomhedens afhængighed til en leverandør kan få store konsekvenser, fx hvis leverandøren ikke lever op til lovgivningen, går konkurs, eller i situationer, hvor I ønsker at skrifte leverandør, men er ude af stand til dette uden ekstraordinær store omkostninger.
Forstå, hvilken konsekvens det har, hvis en sikkerhedshændelse rammer jeres virksomhed
En risikovurdering bør tage udgangspunkt i jeres virksomheds evne til at håndtere fortrolighed, integritet og tilgængelighed, hvilket betyder:
De forretningsmæssige konsekvenser for en given trussel bør vurderes ud fra, hvilken betydning truslen vil have for jeres virksomhed og driften af jeres kerneforretning. I bør således overveje, om konsekvensen af en given trussel har størst indflydelse på jeres omdømme, tab af arbejdstid, økonomisk tab eller manglende overholdelse af lovgivning. Denne vurdering af konsekvensen for en given trussel kan inddeles i kategorierne lille, mellem eller høj.
Derefter kan risikoen for en given trussel vurderes ud fra sandsynligheden for, at truslen vil ske. Sandsynligheden kan vurderes ud fra lille sandsynlighed, sandsynligt eller meget sandsynligt.
Som risikomodel kan I tage udgangspunkt i følgende model:
Fortrolighed: At jeres informationer og systemer er sikre, så uvedkommende personer ikke kan få adgang.
Integritet: At I kan kunne regne med, at data gemt i jeres systemer ikke er ændret af uvedkommende personer.
Tilgængelighed: At man kan få adgang til jeres systemer og website, når der er behov for det. Det indebærer også de IT-systemer, der anvendes i jeres produktion.
8
sikkerhedstjekket
Find ud af, om i er beskyttet og planlæg, hvilke sikkerheds- foranstaltninger jeres virksomhed har brug for
Når I har fundet ud af, hvilke trusler der er vigtigst for jeres virksomhed at beskytte organisationen imod, bør I finde ud af, om I har de nødvendige sikkerhedsforanstaltninger, eller om I har behov for at optimere jeres eksisterende IT-sikkerhedsløsninger. Har I ikke selv kompetencerne inhouse til at lave denne vurdering, bør I søge sparring hos en ekstern leverandør.
Anbefalinger til tekniske sikkerhedsforanstaltninger kan findes på www.sikkerhedstjekket.dk under backup, antivirus, beskyttelse af netværk, opdateringer af IT-programmer, ændringer i IT-systemer og fysisk sikkerhed.
Hvis du vil vide mere Digitaliseringsstyrelsens anbefaling til risikostyrring – og risikovurdering: http://www.digst.dk/~/media/Files/Arkitektur-og-standarder/Informationssikkerhed-efter-ISO27001/Anbefaling-IT-risikostyring-og-vurdering_februar-2015.pdf
Center for Cybersikkerhed: Myndigheden udgiver løbende nye trusselvurderinger for danske virksomheder. Se: https://fe-ddis.dk/cfcs/Situationsbilleder/Pages/cybertruslen.aspx
DKCERT er Danmarks akademiske CSIRT, der overvåger netsikkerheden for institutioner på forskningsnettet. DKCERT varsler om akutte trusler mod IT-sikkerheden. Se deres trendrapport 2016: https://www.cert.dk/trendrapport2016/DKCERT_Trendrapport_2016.pdf
9
sikkerhedstjekket
dokumenteret arbejde med IT-sikkerhed
Hvorfor er det vigtigt at dokumentere jeres IT-sikkerhedsarbejde?
IT-sikkerheds retningslinjer eller en IT-sikkerhedspolitik skal beskrive virksomhedens IT-sikkerhedsmæssige målsætning, ansvarsfordeling og overordnede tilgang for virksomhedens arbejde med IT-sikkerhed.
Dokumentationen bør skabe rammen for et fælles ambitionsniveau og bevidsthed om, hvordan virksomhedens informationer og systemer beskyttes bedst.
Det er vigtigt, at IT-sikkerhedsdokumentationen passer til jeres virksomheds særlige kendetegn, og at de relevante krav til organisationens IT-sikkerhedsniveau også matcher jeres forretningsformål.
For effektivt at kunne kommunikere jeres krav og forventninger til medarbejdernes IT-sikkerhedsarbejde er det vigtigt, at jeres sikkerhedsregler er veldokumenterede og tager højde for de relevante områder.
Kommunikationen til medarbejderne bør ske i et omfang, så I sikrer, at medarbejderne kender retningslinjerne og dermed overholder IT-sikkerhedskravene i hverdagen.
Samtidig kan dokumentationen også være et signal til kunder eller samarbejdspartnere om, at man i virksomheden arbejder struktureret med IT-sikkerhed.
Anbefaling 4
Anbefalinger til at dokumentere jeres IT-sikkerhedsarbejde
I bør udarbejde en overordnet IT-sikkerhedspolitik for virksomheden.
Der skal udarbejdes konkrete retningslinjer eller processer for virksomhedens IT-sikkerhedsarbejde.
Udarbejdelse af virksom- hedens overordnede IT-sikkerhedspolitik
Der er ingen formelle krav til, hvordan en IT-sikkerhedspolitik bør udformes, men et godt udgangspunkt er de emner, der fremgår af ISO 27001, som er standarden for styring af informationssikkerhed. Følgende punkter foreslås som elementer i jeres overordnede IT-sikkerhedspolitik:
Beskrivelse af ledelsens ansvar og fokus: Ledelsen skal i jeres IT-sikkerhedspolitik forpligte sig til løbende at udvikle og forbedre IT-sikkerhedsniveauet i virksomheden. Ledelsen skal ligeledes forpligte sig til, at roller og ansvar for styring af virksomhedens IT-sikkerhed er defineret og beskrevet i politikken.
Udarbejdelse af IT-risikovurdering og jeres risikohåndtering: Sikkerhedsniveauet skal vurderes og besluttes på grundlag af gennemførte IT-risikovurderinger. Se anbefaling om risikovurdering på www.sikkerhedstjekket.dk. Der skal stå i politikken, hvordan og hvor ofte I laver risikovurderinger.
Udarbejdelse og kommunikation af jeres sikkerhedsregler for medarbejderne: IT-sikkerhedspolitikken bør definere virksomhedens forventninger til medarbejdernes IT-sikkerhedshåndtering, fx krav til passwords, håndtering af mails, overholdelse af retningslinjer for behandling af persondata mv.
10
sikkerhedstjekket
Beskrivelse af konsekvenser for brud på IT-sikkerhedspolitikken: Det bør fremgå af politikken, hvilke konsekvenser der er for medarbejderne ved overtrædelse af forskellige dele af politikken, fx advarsler, politianmeldelser mv.
Udarbejdelse af konkrete retningslinjer og processer
Retningslinjer for virksomhedens risikovurdering.
Retningslinjer for virksomhedens håndtering af persondata.
Retningslinjer for medarbejdernes IT-adfærd.
Retningslinjer for ændringer i virksomhedens IT-programmer og –systemer.
Retningslinjer for opdateringer af IT-programmer og –systemer.
Retningslinjer for virksomhedens krav til password- og brugeradgangsstyring.
Retningslinjer for virksomhedens backupproces.
Retningslinjer for beskyttelse af virksomhedens netværk.
Retningslinjer for virksomhedens krav til antivirus.
Retningslinjer for virksomhedens beskyttelse af fysiske forhold.
Retningslinjer for virksomhedens beredskabsplan.
Retningslinjer for logning af virksomhedens data.
Retningslinjer for virksomhedens leverandørsamarbejde, herunder databehandleraftale.
Jeres overordnede IT-sikkerhedspolitik kan understøttes af nogle konkrette retningslinjer eller processer. Det anbefales, at retningslinjerne er korte og opstilles som handlingsorienterede regler, som bruges aktivt i jeres virksomhed. I bør overveje, hvilke af følgende områder det vil være gavnligt for jeres virksomhed at få beskrevet – evt. som bilag til jeres IT-sikkerhedspolitik:
I kan finde inspiration til handlingsorienterede regler for hver af ovennævnte politikker på www.sikkerhedstjekket.dk
Hvis du vil vide mere Se Digitaliseringsstyrelsens anbefalinger om udarbejdelse af en informationssikkerhedspolitik: http://www.digst.dk/Arkitektur-og-standarder/Videnscenter-for-implementering-af-ISO27001/Anbefalinger-om-sikkerhedsarbejdet/Informationssikkerhedspolitik
11
sikkerhedstjekket
håndtering af personoplysninger
Hvorfor er det vigtigt, at jeres virksomhed håndterer person- oplysninger korrekt?
Som arbejdsgiver er I i besiddelse af forskellige personlige oplysninger om jeres medarbejdere. Det kan være fx være lønoplysninger, referencer, advarsler, helbredsoplysninger og personlighedstest.
I har måske også personlige oplysninger om jeres kunder som fx kundedata, indkøbsmønstre, sundheds- og skadeoplysninger osv.
Alle personoplysninger er omfattet af persondataloven, uanset om de findes i en e-mail, et word-dokument eller i en fysisk personalesag.
Det er vigtigt, at I gør jer klart, hvilke typer af personoplysninger I behandler, da der gælder forskellige regler for, hvordan de forskellige personoplysninger må behandles.
Udtrykket ”behandling af oplysninger” dækker over en række forskellige måder at håndtere personoplysninger på. Udtrykket omfatter fx både indsamling, systematisering, registrering, opbevaring, brug og videregivelse af oplysninger samt modtagelse af oplysninger fra kunder og medarbejdere.
I det følgende gennemgås de forskellige typer af personoplysninger, og hvordan I skal behandle disse.
I april 2016 blev den nye databeskyttelsesforordning (General Data Protection Regulation) vedtaget, som skal være implementeret den 25. maj 2018. Forordningen stiller yderligere krav til behandling af persondata. En måde at komme godt i gang med den nye databeskyttelsesforordning, er ved at overholde eksisterende persondatalovgivning.
Anbefaling 5
Hvilke typer af person- oplysninger behandler jeres virksomhed
Behandlingen af personoplysninger opdeles i henhold til persondataloven i følgende typer:
Følsomme personoplysninger.
Andre typer personoplysninger om private forhold.
Almindelige personoplysninger.
Når jeres virksomhed indsamler personoplysninger, skal det være klart, hvilket formål oplysningerne skal bruges til, og formålet skal være sagligt. Det er ikke tilladt at indsamle personoplysninger, hvis man ikke aktuelt har noget at bruge dem til, men blot forventer, at der senere viser sig et formål.
Reglerne for, under hvilke betingelser offentlige myndigheder og private virksomheder, foreninger mv. må behandle personoplysninger, er i vidt omfang skønsmæssige. Det vil derfor ofte afhænge af en konkret vurdering i den enkelte situation, om betingelserne er opfyldt. Er I i tvivl, kan I søge råd hos Datatilsynet. Se links nederst i denne anbefaling.
12
sikkerhedstjekket
Hvad er følsomme personoplysninger?
Følsomme oplysninger dækker blandt andet over:
Behandling af følsomme oplysninger kan håndteres, hvis én af følgende betingelser gør sig gældende:
For dybere kendskab og anbefaling til behandling af følsomme persondata henvises til Datatilsynets hjemmeside.
Oplysninger om racemæssig eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, seksuelle forhold og væsentlige sociale problemer.
Oplysninger om helbredsforhold, herunder misbrug af nydelsesmidler, alkohol mv.
Oplysning om medlemskab af en fagforening.
Oplysninger om strafbare forhold.
Såfremt personen (oftest en medarbejder eller kunde) har givet udtrykkeligt samtykke til dette, hvilket skal være frivilligt, specifikt og informeret. En ansættelseskontrakt anses som værende et samtykke til opbevaring af kontraktmæssige oplysninger.
Såfremt det er nødvendigt at opfylde bestemmelser i lovgivningen. Der kan fx registreres helbredsoplysninger i nødvendigt omfang i forbindelse med en aftale i henhold til dagpengeloven. Et andet eksempel er funktionærloven, hvor virksomheden fx har ret til at registrere årsagen til en afskedigelse.
Behandling af oplysninger om fagforeningsmæssige tilhørsforhold kan endvidere ske, hvis behandlingen er nødvendig for overholdelsen af jeres virksomheds arbejdsretlige forpligtelser eller specifikke rettigheder. Der vil herudover kun være begrænset mulighed for at registrere følsomme personoplysninger. Det kan fx være lovligt at registrere følsomme personoplysninger i forbindelse med fastlæggelse af, om nogen har et retskrav. En virksomhed kan fx registrere en arbejdsskade eller en medarbejders underslæb, hvis dette er nødvendigt for at kunne gøre virksomhedens krav om erstatning gældende.
Hvad er andre typer personoplysninger om private forhold?
Andre typer personoplysninger om menneskers private forhold anses også for at være følsomme.
Andre typer oplysninger om private forhold er informationer om strafbare forhold, væsentlige sociale problemer og lignende følsomme privatlivsoplysninger, fx bortvisning fra jobbet, personlighedstest, registreret partner samt oplysninger om interne familieforhold, herunder familiestridigheder, tvangsfjernelse af børn, separations- og skilsmissebegæringer og adoptionsforhold.
Virksomheder må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold, hvis personen har givet sit udtrykkelige samtykke til det.
13
sikkerhedstjekket
Uden personens samtykke kan indsamling og registrering kun undtagelsesvis ske. Det kræver, at det er nødvendigt for at varetage en berettiget interesse, og denne interesse klart overstiger hensynet til personen. Som eksempel kan nævnes en virksomheds registrering af oplysninger om strafbare forhold med henblik på at indgive politianmeldelse, fx om butikstyveri.
Videregivelse af disse oplysninger vil normalt kun kunne ske med personens samtykke, eller hvis man skal give oplysningerne videre som følge af regler i love eller bekendtgørelser.
Hvad er almindelige oplysninger?
Hvis du vil vide mere
Almindelige personoplysninger er fx identifikationsoplysninger, adresse, telefonnummer, e-mail, adresse, telefonnummer, e-mailadresse, fødselsdato, købshistorik, IP-adresse, faktureringsoplysninger, familieforhold, oplysninger om uddannelse, tidligere beskæftigelse, nuværende stilling, arbejdsopgaver, arbejdstider, oplysninger om løn, skat, sygefravær og sygdomsperiode uden sygdomsbeskrivelse, oplysninger om andet fravær fra arbejdet, oplysninger om pensionsforhold, kildeskatteoplysninger, oplysninger om kontonummer - oplysninger som henfører til en unik person.
Personoplysningerne skal altid behandles i overensstemmelse med god databehandlingsskik, hvilket bl.a. indebærer, at I skal have et formål med at indsamle oplysningerne. Behandling af almindelige oplysninger kræver som udgangspunkt en udtrykkeligt samtykke for, at I må behandle oplysningerne. I kan se evt. undtagelse på Datatilsynets hjemmeside.
Datatilsynets hjemmeside – oplysninger om persondataloven: https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/Persondatalovspjece/Persondatalovspjece.htm Datatilsynets hjemmeside – behandling af personaleoplysninger: https://www.datatilsynet.dk/erhverv/personaleadministration/behandling-af-personaleoplysninger/
PrivacyKompasset tilbyder anbefaling i reglerne om persondatabeskyttelse samt en mulighed for at generere en skræddersyet privatlivspolitik. Se: https://privacykompasset.erhvervsstyrelsen.dk
14
sikkerhedstjekket
STYRING AF MEDARBEJDERNES ADGANG TIL JERES INFORMATIONER OG SYSTEMER
Hvorfor er det vigtigt at have en proces for håndtering af ændringer i jeres IT-systemer?
IT-systemer skal løbende ændres og opdateres. Når man udfører ændringer i IT-systemer og software, sker det ofte, at man kommer til at lave sikkerhedshuller, hvis ikke ændringerne er nøje styret. Manglende styring af processen for håndtering af ændringer kan således føre til fejl i systemerne og dermed medføre, at medarbejderne ikke kan få adgang til det pågældende system i en kortere eller længere periode, at virksomheden kan miste data, og at genetableringsprocessen kan være lang og vanskelig.
En proces for håndtering af ændringer i jeres IT-systemer, IT-programmer og IT-produktionsapparat skal kvalitetssikre jer mod sådanne situationer.
Anbefaling 6
Anbefalinger til håndtering af ændringer i IT-systemer
I skal udarbejde retningslinjer for ændringer i jeres IT-systemer – både hvis I selv foretager ændringerne, eller hvis de bliver udført af jeres IT-leverandør. I skal sørge for at have den rigtige bemanding og evt. support fra jeres IT-leverandør, når I foretager ændringerne.
I skal stille krav til, hvordan jeres IT-leverandør håndterer ændringerne i jeres systemer.
Udarbejdelse af retnings- linjer for ændringer i jeres IT-systemer
Hvis I selv håndterer ændringerne i jeres systemer, bør I have en ensartet, afstemt og evt. nedskrevet håndtering af, hvordan, hvornår og af hvem ændringerne skal foretages. Samme retningslinjer bør gælde for jeres IT-leverandør.
I skal overveje, hvilke elementer der er nødvendige ved implementering af en ændringen. Dette kan fx være:
Kategorisering: Er det en mindre og ikke kompleks ændring eller en større opdatering?
Prioritering: Hvor meget haster ændringen, og er der forhold, som kræver, at den implementeres (fx lovgivning, der skal overholdes)?
Implementeringsplan: Trinvis plan inkl. vurdering af tidsforbrug med de handlinger, som skal gennemføres i forbindelse med ændringen.
Roll-back plan: Trinvis plan inkl. tidsforbrug for, hvordan den tidligere tilstand kan genetableres i tilfælde af, at ændringen mislykkes.
Resultat af test: Hvis ændringen er testet, eksempelvis i et testmiljø, bør testresultaterne i tilfælde af gode erfaringer implementeres i processen.
15
sikkerhedstjekket
Sikring af rigtig bemanding ved ændringer i jeres IT-systemer
I bør beslutte og gerne skriftlig dokumentere, hvilken medarbejder der har ansvaret for ændringen, og om I har behov for andre støttende kompetencer undervejs i forløbet.
I bør vurdere, om ændringen skal godkendes af en leder, og på hvilket niveau.
Såfremt I selv foretager ændringerne, bør I vurdere, om der er behov for en permanent ordning eller en tilkaldeordning under/efter implementering af ændringen med jeres IT-leverandør, hvilket bør defineres i jeres kontrakt med leverandøren.
Hvis jeres IT-leverandør varetager ændringer i jeres systemer, bør I stille krav til deres kvalitetssikring i henhold til proces og bemanding.
16
sikkerhedstjekket
kvalitetssikring af ændringer i jeres IT-systemer
Hvorfor er det vigtigt at styre medarbejdernes adgang til jeres informati-oner og systemer?
Mange virksomheder giver uden nogen overvejelser medarbejdere adgang til alle virksomhedens systemer, hvilket dels øger risikoen for, at nogle medarbejdere får adgang til data, som ikke er hensigtsmæssige, og dels øger hele virksomhedens eksponering, hvis IT-kriminelle får adgang til en enkelt medarbejders computer.I virksomhedens risikovurdering bør I vurdere, om insiderkriminalitet og utilsigtede medarbejderfejl er en reel trussel for jeres virksomhed. Dvs. om I har en reel trussel i forhold til, at jeres medarbejdere videregiver fortrolige oplysninger om jeres virksomhed, medtager fortrolige oplysninger i forbindelse med jobskifte eller skader virksomheden ved utilsigtede medarbejderfejl. I disse tilfælde er det særligt væsentligt, at I skærper brugeradgangen, således at jeres medarbejdere kun får adgang til de systemer, som de har behov for i henhold til deres arbejde.
Anbefaling 7
Anbefalinger til styring af brugeradgange
Beslut, hvordan I vil håndtere medarbejdernes adgang til forskellige systemer.
Undgå at give alle medarbejdere administratorrettigheder.
Stil krav til medarbejdernes passwords.
Beslut, hvordan i vil håndtere medarbejdernes adgang til forskellige systemer
Undgå at give alle medarbejdere administratorrettigheder
Når I skal tildele brugeradgange i jeres virksomhed, bør i tage udgangspunkt i, hvilke systemer jeres medarbejdere har behov for i henhold til deres arbejde.
I bør undgå, at flere medarbejdere deler brugeradgang, fx hvis de benytter den samme computer.
Udpeg en medarbejder, som er ansvarlig for administration af virksomhedens brugerrettigheder. Medarbejderen skal oprette brugeradgange, når nye medarbejdere starter, og ændre brugeradgange, hvis en medarbejder fx får nyt ansvarsområde, og slette brugeradgange, når medarbejdere stopper.
Hvis jeres IT-leverandør håndterer styring af jeres brugeradgange, er det vigtigt, at I stiller krav til deres håndtering og kvalitetssikring af brugerstyringen.
Undgå så vidt muligt at give almindelige brugere administratorrettigheder til et system eller til medarbejderens computere.
Administratorrettighederne øger risikoen for, at medarbejderen utilsigtet kommer til at ændre opsætninger, som kan gøre det lettere for IT-kriminelle at få adgang til systemerne.
Tildel kun medarbejderne de rettigheder, som er relevante i forhold til deres jobfunktion.
17
sikkerhedstjekket
Stil krav til medarbejdernes passwords
Stil krav til medarbejdernes passwords, så alle medarbejdere har sikre passwords, som er svære at gætte.
Medarbejdernes passwords skal være på mindst seks karakterer, som indeholder både store og små bogstaver, tal og tegn.
Skift jævnligt password – gerne hver tredje måned. Og hav ikke nedskrevne password liggende frit fremme på skrivebordet eller i skuffen.
18
sikkerhedstjekket
en uvildig gennemgang af jeres IT- sikkerhed
Hvorfor er det vigtigt at få en uvildig gennemgang af jeres IT-sikkerhedsni-veau?
Det kan ofte være svært at vurdere, om man har et tilstrækkeligt IT-sikkerhedsniveau for at kunne imødekomme de aktuelle sikkerhedstrusler.
En uvildig ekspertgennemgang af jeres IT-sikkerhedsniveau skal derfor afdække jeres sikkerhedsniveau, og give forslag til forbedringer i forhold til jeres sikkerhedsprocesser og tekniske forsvarsværker.
Gennemgangen kan ligeledes være en nyttig anledning til at kontrollere, om jeres IT-leverandør lever op til jeres kontraktmæssige sikkerhedsniveau.
Anbefaling 8
Anbefalinger til uafhængig gennemgang af IT-sikkerheden
Få vurderet, om jeres eksisterende IT-sikkerhedsniveau matcher jeres trusselniveau.
Få vurderet, om I har en robust IT-arkitektur.
Få simuleret et cyberangreb mod jeres IT-systemer.
Matcher jeres IT-sikkerhedsniveau jeres trusselniveau?
Robust IT-arkitektur
Simulering af et cyberangreb mod jeres IT-systemer
Som en start kan i benytte sikkerhedstjekket, www.sikkerhedstjekket.dk, for at få en overordnet vurdering af, om jeres IT-sikkerhedsniveau matcher jeres risikoprofil.
Ønsker I at få en dybere ekspertgennemgang, kan I få en uvildig leverandør til at foretage en risiko- eller modenhedsanalyse af jeres IT-sikkerhedsniveau.
Når i vælger en uvildig ekspertleverandør, er det en god ide at spørge ind til leverandørens certificeringer og referencer på området.
En uvildig leverandør kan validere robustheden af jeres IT-arkitektur ud fra opbygningen af jeres tekniske forsvarsværker.
Hvis I har mange systemer, som er tilgængelige fra internettet, er det en god ide at få en ekstern ekspertgennemgang af jeres IT-arkitektur én gang årligt. Ligeledes kan det være anbefalelsesværdigt at få en uvildig ekspertvurdering, såfremt I har fået nye operativsystemer eller andre systemer, større opgraderinger eller opdateringer af systemerne eller har skiftet til nye leverandører. I sådanne tilfælde kan I nøjes med at foretage en uvildig ekspertgennemgang af den konkrete ændring - eksempelvis det system, som er blevet opdateret.
Et simuleret og kontrolleret angreb mod jeres IT-systemer kan i mange tilfælde afdække, hvor modstandsdygtige jeres infrastruktur er overfor trusler fra internettet.
Et simuleret angreb kan identificere jeres systemers sårbarheder, hvorefter ekspertgennemgangen skal munde ud i anvisninger til, hvordan sårbarhederne elimineres.
19
sikkerhedstjekket
effektiv backupproces
Hvorfor er det vigtigt at tage backup?
Bliver jeres virksomhed udsat for systemnedbrud, brand, virusangreb eller andet datatab, er det afgørende, at vigtige informationer løbende er blevet gemt og kan genskabes.
Mangelfuld backup er en de mest udbredte årsager til, at virksomheder mister data.
Gode backuprutiner er derfor en effektiv måde at beskytte jeres virksomhed mod tab af informationer, hvis uheldet er ude.
Backup er i praksis en sikkerhedskopi af jeres data, der er lagret et andet, separat sted end originalen. Jo oftere I får taget backup af jeres informationer, jo mindre er risikoen for, at I mister data.
Hvis jeres IT-leverandør varetager backup af jeres systemer, bør I stille krav til deres kvalitetssikring i henhold til processer og bemanding.
Anbefaling 9
Anbefalinger til backup Fastlæg, hvilke backuprutiner I har brug for.
Udpeg en medarbejder eller vælg en leverandør, som tager backup.
Tjek, at jeres backup virker.
Fastlæg, hvilke backuprutiner I har brug for
Udpeg, hvem der er ansvarlig for backup
I skal fastlægge, hvor ofte der skal tages backup af jeres forskellige data. Stil jer selv spørgsmålet: hvor meget arbejde kan I tåle at miste?
I skal ligeledes fastlægge, hvordan i opbevarer jeres backup, dvs. på hvilket medie og hvilken lokation i gemmer backuppen.
Hvis I vælger at tage backup via en tjeneste over internettet, bør I sikre jer, at tjenesten giver de fornødne garantier for, at I kan få jeres data tilbage, hvis I får behov for det.
Hvis I fx bruger bånd, dvd’er eller eksterne harddiske til at tage backup på, bør I vælge at opbevare dem et andet sted end i virksomheden, fx i banken, hjemme hos en betroet medarbejder eller et helt tredje sted, der mindsker risikoen for, at både jeres arbejdsdata og backup bliver ødelagt ved fx brand, tyveri eller vandskade.
Det er vigtigt, at I udpeger en person, der er ansvarlig jeres backup, og som har ansvaret for med jævne mellemrum at afprøve, om backuppen virker.
20
sikkerhedstjekket
Tjek at jeres backup virker Mange virksomheder opdager først, når det er gået galt, at deres backup eller dele af backuppen ikke fungerer efter hensigten. Derfor bør I løbende teste, at jeres backup virker og er fri for fx virus og fejl. Hvor ofte I skal teste jeres backup afhænger af jeres risikovurdering, dvs. Hvor afhængige I er af at kunne genskabe backuppen.
Tjek, at backuppen indeholder det, den skal, og at jeres data kan genskabes og lægges tilbage på IT-systemerne.
Hvis jeres IT-leverandør håndterer jeres backupproces, er det vigtigt, at I stiller krav til deres håndtering og kvalitetssikring af backupprocessen.
21
sikkerhedstjekket
styrkelse af medarbejdernes IT-sikkerheds-viden
Hvorfor er det vigtigt, at styrke jeres medarbejderes viden om IT-sikkerhed?
En stor del af de sikkerhedshændelser, som hvert år rammer danske virksomheder, sker, fordi medarbejderne mangler viden om, hvordan de bedst muligt understøtter virksomhedens IT-sikkerhedshåndtering.
IT-kriminelle forsøger at narre den enkelte medarbejder til fx at klikke på links med skadelig kode, udlevere kodeord mv.
Alle jeres medarbejdere bør derfor uddannes, trænes og løbende holdes opdateret om, hvordan de bedst muligt understøtter virksomhedens IT-sikkerhedsretningslinjer i det omfang, det er relevant for deres jobfunktion.At styrke medarbejdernes viden om IT-sikkerhed er en hurtig og billig metode til at minimere jeres virksomheds IT-sikkerhedsrisiko.
Anbefaling 10
Anbefalinger til styrkelse af medarbejdernes viden om IT-sikkerhed
I skal beslutte, hvilke IT-sikkerhedsemner I vil kommunikere til jeres medarbejdere.
I skal løbende uddanne, informere og diskutere sikkerhedsspørgsmål med jeres medarbejdere.
I skal løbende opdatere medarbejdernes vidensniveau om IT-sikkerhed.
Beslut, hvilke emner i vil kommunikere til jeres medarbejdere
Uddan, informer og diskuter sikkerhedsspørgsmål med medarbejderne
Det anbefales, at ledelsen i jeres virksomhed beslutter, hvilke temaer inden for IT-sikkerhed i vil kommunikere til jeres medarbejdere. Af eksempler kan nævnes:
Virksomhedens krav til stærke password samt forskellige unikke passwords til hvert enkelt system for at forhindre, at en hacker kan få adgang til flere systemer samtidigt, hvis en kode bliver knækket
Information om hvordan medarbejderne agerer, såfremt deres computer bliver inficeret med et virusangreb (fx at medarbejderne straks skal frakoble den virusinficerede maskine fra netværket og derefter hurtigst muligt udføre en fuld antivirusscanning)
Virksomhedens krav til fysisk sikkerhed (fx personlige adgangskort og krav om, at gæster skal følges rundt i huset)
Opmærksomhed på mails fra fremmede med enten et link til en mistænkelig hjemmeside eller vedhæftede dokumenter, som kan være inficeret med virus.
I skal sikre, at jeres medarbejdere er informeret og uddannet i, hvordan de bedst muligt beskytter virksomhedens informationer og IT-systemer.Der er flere forskellige måder, hvorpå I kan diskutere sikkerhedsspørgsmål med medarbejderne. Af eksempler kan nævnes:
22
sikkerhedstjekket
I kan afholde medarbejdermøder, hvor I mundtligt kommunikerer jeres IT-sikkerheds-retningslinjer.
I kan dele retningslinjerne i form af en pjece eller via plakater på arbejdspladsen.
I kan præsentere jeres gode IT-sikkerhedsråd på plakater rundt omkring i bygningen.
I kan købe eller få anbefaling om en awareness-kampagne hos en ekstern leverandør.
Løbende opdatering af medarbejdernes vidensniveauet om IT-sikkerhed
Hvis du vil vide mere
Trusselbilledet ændres konstant, hvorfor det er vigtigt, at I løbende overvejer nye emner om IT-sikkerhed, som skal kommunikeres til medarbejderne.
God praktik er, at I mindst én gang om året laver denne vurdering.
Der er ligeledes god praktik, at man én gang om året tester medarbejdernes IT-sikkerhedsviden. Såfremt I ikke selv ønsker at udarbejde en IT-sikkerhedstest, kan I købe materialet hos eksterne leverandører.
Digitaliseringsstyrelsens anbefaling om awareness-kampagner: http://www.digst.dk/arkitektur-og-standarder/videnscenter-for-implementering-af-iso27001/anbefalinger-om-sikkerhedsarbejdet/uddannelse-og-oplysning
Rådet for digital sikkerhed: Sådan undgår du phishing: http://www.digitalsikkerhed.dk/undg-du-phishing/
23
sikkerhedstjekket
beskyttelse af jeres datanetværk
Hvorfor er det vigtigt at beskytte jeres datanetværk?
Virksomhedens datanetværk (hvor computere, printere m.v. er forbundet) kan angribes både indefra og udefra og skal derfor sikres bedst muligt. Hvis I ikke beskytter jeres datanetværk på forsvarlig vis, øges jeres risiko for IT-sikkerhedshændelser.
Beskyttelse af jeres datanetværk skal sikre jeres virksomhed mod en ekstern trussel, hvor IT-kriminelle forsøger at trænge ind i jeres netværk og skade jeres virksomhed.
Beskyttelsen af datanetværket skal ligeledes sikre jeres virksomhed mod en intern trussel, hvor en medarbejder utilsigtet eller bevidst afslører/stjæler data, der er fortrolige for jeres virksomhed.
Anbefaling 11
Anbefalinger til beskyttelse af jeres datanetværk
Etabler en firewall mellem Internettet og virksomhedens datanetværk.
Del jeres netværk op i segmenter (afgrænsede områder).
Etabler adgangskontrol til jeres netværk.
Etabler sikker opkobling til hjemmearbejdspladser.
Etabler en firewall mellem internettet og virksomhedens netværk
Del jeres netværk op i segmenter
For at sikre tilgangen til jeres datanetværk og samtidig begrænse uvedkommendes adgang til jeres systemer bør I etablere en firewall mellem jeres interne netværk og internettet.
En firewall er netværksudstyr eller en softwareløsning, der på baggrund af et regelsæt udvælger, hvad/hvem der har adgang fra den ene side af firewallen til den anden side.
I bør starte med at undersøge, om I har en firewall tilgængelig via jeres teleudbyder, og om standardopsætningen i denne firewall evt. Matcher jeres behov. (I skal undersøge, hvilke regler denne standardopsætning har, og om disse regler imødekommer jeres behov) I skal også vurdere, om I har behov for at få læserettigheder til firewallens log, hvilket dog kræver, at I har en IT-medarbejder, som besidder denne kompetence.
Ved stigende kompleksitet i datanetværk eller øget datatrafik bør I overveje, om I skal investere i virksomhedens egen firewall.
Har I ikke de tekniske kompetencer, er det en god ide at søge sparring hos en ekstern leverandør.
For at styrke robustheden i jeres datanetværk bør I inddele jeres netværk i adskilte segmenter. Fx et medarbejdersegment, et gæstesegment, et serversegment, et produktionssegment og et segment til kundevendte webapplikationer.
24
sikkerhedstjekket
Tjek, at jeres backup virker
Etabler adgangskontrol til jeres netværk
Etabler sikker opkobling til hjemmearbejdsplads
I bør undgå, at organisationens servere er placeret i samme netværksstruktur som medarbejdernes computere.
I bør ligeledes undgå, at jeres interne systemer ligger på samme fysiske maskine eller i samme netværksstruktur som de systemer, der er forbundet med internettet.
Beskyt jeres netværk med passwords – både jeres datanetværk og jeres trådløse netværk.
Passwords til henholdsvis jeres datanetværk og jeres trådløse netværk skal sikre, at en ekstern person, som får kode til jeres trådløse netværk, ikke også kan komme på jeres interne datanetværk.
I bør ligeledes overveje, om I skal etablere et separat trådløst netværk til gæster og andre, som ikke skal have adgang til virksomhedens interne trådløse netværk.
Det anbefales, at jeres virksomhed benytter vpn (virtuelt privat netværk), når medarbejderne skal have adgang til virksomhedens datanetværk fra deres hjemmearbejdsplads.
Vpn krypterer data over internettet og sikrer dermed kommunikationen mellem virksomhedens netværk og hjemmearbejdspladsen.
Det anbefales, at I anvender en 2-faktorvalidering for at sikre jeres medarbejders identitet ved tilgang til virksomhedens netværk via vpn.
2-faktorvalidering er en bekræftelse af medarbejderens påståede identitet. Bekræftelsen opnås ved en kombination af to forskellige komponenter, fx brugerlogin sammen med fx en sms-kode.
25
sikkerhedstjekket
sikkerhedsmæssig opdatering af jeres IT-systemer og -programmer
Hvorfor er det vigtigt at opdatere jeres IT-syste-mer og -programmer?
Der opstår årligt flere tusinde sårbarheder i IT-systemer og software. Hvis ikke disse sårbarheder løbende udbedres, kan de bruges af IT-kriminelle til at få adgang til virksomhedens systemer.
Leverandørerne af jeres IT-systemer udsender jævnligt opdateringer til jeres eksisterende systemer. Med opdateringerne lukker leverandørerne løbende de opdagede huller i systemets sikkerhed.
Ved at holde jeres systemer opdateret begrænser I risikoen for at blive udsat for IT-kriminalitet.
Løbende opdateringer af jeres systemer kan ligeledes hjælpe jer i en supportsituation, da leverandørerne ofte ikke yder support på meget forældede og ikke-opdaterede versioner af systemerne.
Anbefaling 12
Anbefalinger til opdatering af IT-systemer og -programmer
Vurder, hvilke systemer og programmer, I kan/bør opdatere.
Beslut, hvor ofte I bør opdatere jeres systemer og programmer.
Udpeg en ansvarlig for opdateringerne.
Vurder, hvilke systemer i kan/bør opdatere
Beslut, hvor ofte I bør opdatere jeres systemer
I bør som udgangspunkt løbende opdatere alle systemer, herunder firewalls, antivirus, netværksdrev, printerserver, mailserver samt alle programmer på medarbejdernes computere, så snart leverandørerne frigiver nye opdateringer.
Hvis I har programmer eller systemer, som af den ene eller den anden grund ikke kan opdateres (fx hvis produktet ikke udvikles eller supporteres længere), bør I overveje at erstatte det med en nyere version.
Nogle systemer kan opsættes til automatisk opdatering. For andre systemer er det et krav, at jeres virksomhed håndterer opdateringen af sårbarhederne. Spørg evt. jeres leverandør, hvad kravene til jeres systemer er.
I bør opdatere jeres programmer og systemer regelmæssigt – fx en gang om måneden.
Det kan være en fordel at undersøge, hvor ofte leverandørerne udgiver opdateringer til jeres programmer og systemer.
Microsoft (Windows, Office mv.) Udgiver fx nye opdateringer en gang om måneden. For andre systemer kan der være kvartalsvise eller ad hoc-opdateringer.
I bør overveje, om I har systemer, der er så kritiske, at opdateringen skal testes i et testmiljø, før I installerer opdateringen i de systemer, som medarbejderne arbejder med.
26
sikkerhedstjekket
I bør ligeledes sikre, at der er taget backup, inden opdateringen går i gang, så systemet kan rulles tilbage i tilfælde af, at opdateringen ikke går efter hensigten.
Udpeg en ansvarlig person for opdateringer
Opdatering af systemer er et væsentlig element i jeres IT-sikkerhedsarbejde, hvorfor I bør udpege en person, som har ansvaret for, at alle systemer bliver opdateret i henhold til jeres behov.
Hvis jeres IT-leverandør varetager opdatering af jeres systemer og programmer, bør I stille krav til dennes kvalitetssikring i forhold til, hvordan de identificerer og udbedrer sårbarheder i jeres systemer og programmer.
27
sikkerhedstjekket
beskyttelse mod virusangreb og malware
Hvorfor er det vigtigt at beskytte virksomheden mod virusangreb og malware?
Virusangreb er et af de ældste og mest udbredte sikkerhedsproblemer på internettet. Mange virksomheder er blevet ramt af virusangreb, ofte med meget skadelige konsekvenser til følge.
Malware (eller virus) er ondsindet software, som har til formål at skade virksomhedens programmer og informationer. Det ondsindede software kan fx slette jeres data eller stjæle informationer. Malware kan også være kodet til at tilslutte kamera eller mikrofon fra mobile enheder og sende optagelserne videre til IT-kriminelle, uden at brugeren kan registrere det. Malware og virusangreb kan således gøre stor skade på kort tid, hvis ikke I er påpasselige.
Malware og virus kommer oftest via en e-mail i form af links eller vedhæftninger, usb-nøgler, der er inficeret med virus, eller via inficerede websider eller webreklamer.
Et virusangreb kan både være besværligt og dyrt, og det kan tage lang tid, før virksomheden er tilbage til normal drift - især hvis man ikke har taget backup af sine data.
I dag er malware og virusangreb ofte komplicerede og svære at beskytte sig effektivt imod. Nedenstående forholdsregler minimerer risikoen for, at jeres virksomhed kan blive ramt.
Anbefaling 13
Anbefalinger til beskyttel-se mod virusangreb
Installer et antivirusprogram.
Tag backup.
Uddan jeres medarbejdere i god IT-adfærd på nettet.
Hav en plan – hvis uheldet er ude.
Installer et antivirusprogram
For at kunne beskytte jeres virksomhed mod malware og virusangreb er det helt grundlæggende, at i har installeret antivirusprogrammer på alle virksomhedens computere og servere.
I bør overveje, hvilke øvrige enheder der skal beskyttes imod virusangreb. Det kan fx være computere, som er offentligt tilgængelige eller delt mellem flere medarbejdere (fx en delt pc på et værksted eller i en butik). Benytter I smartphones, bør I ligeledes overveje at beskytte disse med antivirusprogrammer.
Når I investerer i et antivirusprogram, er det vigtigt at kontrollere, om antivirusprogrammet er aktivt hele tiden, samt at antivirusprogrammet automatisk opdateres, minimum hver dag. Læs grundigt specifikationerne for produktet for at sikre dette.
28
sikkerhedstjekket
Tag backup
Uddan jeres medarbejdere i god IT-adfærd på nettet
Hav en plan - hvis uheldet er ude
Hvis du vil vide mere
Virusangreb ødelægger ofte data, der kan være kritiske for jeres virksomhed.
Sørg derfor for at tage hyppig backup af jeres vigtige data. Se anbefaling for backup på www.sikkerhedstjekket.dk.
Langt de fleste virusangreb skyldes medarbejdernes manglende viden og utilsigtede fejl på internettet.
Mange af de virusangreb, der eksisterer i dag, er desværre designet specifikt til at omgå antivirusprogrammer. Det er derfor vigtigt, at jeres medarbejdere er bevidste om, hvordan de bedst muligt undgår at blive inficeret med malware og virus.
Se anbefaling om ”styrkelse af medarbejdernes IT-sikkerhedsviden” på www.sikkerhedstjekket.dk.
Hvis jeres virksomhed bliver ramt af et virusangreb, er det vigtigt at I har en plan, så medarbejderne ved, hvordan de hurtigt og effektivt skal reagere. Skaden kan blive meget større, hvis virusangreb ikke håndteres korrekt og hurtigt inddæmmes.
Det er vigtigt, at jeres medarbejdere er klar over, at de straks skal frakoble den virusinficerede maskine fra netværket og derefter hurtigst muligt udføre en fuld antivirusscanning. Denne information bør være en del af jeres kommunikation om IT-sikkerhed til jeres medarbejdere.
Det kan ofte være svært at komme helt af med virus, hvis man først er inficeret. Oftest vil det være sikrest at genetablere hele computeren.Det kan være en god ide at søge hjælp fra eksperter, hvis først uheldet er ude for derved at sikre at de IT-kriminelle ikke har installeret ”bagdøre”, som de efterfølgende kan benytte.
Se også anbefaling om ”styrkelse af medarbejdernes IT-sikkerhedsviden” på www.sikkerhedstjekket.dk.
Forbrugerrådet Tænk 6 råd til bedre sikkerhed på mobil og tablet:https://taenk.dk/test-og-forbrugerliv/digitale-tjenester/6-raad-til-bedre-sikkerhed-paa-mobil-og-tablet
Rådet for digital sikkerhed: Sådan undgår du phishing: http://www.digitalsikkerhed.dk/undg-du-phishing/
29
sikkerhedstjekket
BESKYTTELSE AF DEN FYSISKE ADGANG TIL VIRKSOMHEDENS IT-UDSTYR
Hvorfor er det vigtigt at beskytte jeres fysiske forhold for sikring af jeres IT-udstyr?
Ikke alt tyveri/tab af data foregår elektronisk. Sommetider kan tab af data foregå ved, at de forkerte får fysisk adgang til systemer og områder, som de ikke burde have adgang til. Fysisk sikring af systemer er derfor vigtig at have med i sine overvejelser, når I skal planlægge virksomhedens IT-sikkerhed.
Det er vigtigt, at I beskytter jeres fysiske adgangsforhold og dermed virksomhedens værdier mod uvedkommendes indtrængen, tyveri, hærværk, brand, vand, røg og varme.
Anbefaling 14
Anbefalinger til beskyt-telse af fysiske adgans-forhold til virksomhedens IT-udstyr
Vurder, om jeres lokaler er sikre nok mod indbrud.
Beskyt jeres it bedst muligt mod skade ved vand, brand eller storm.
Vurder, om jeres elforsyning og internetforbindelse er stabile nok.
Vurder, om jeres lokaler er sikre nok mod indbrud
Beskyt jeres it bedst muligt mod skade ved vand, brand eller storm
I skal vurdere, hvordan I beskytter jeres informationer og IT-udstyr i virksomhedens lokaler. I bør som minimum have lås og tyverialarm på eksterne adgangsveje og have installeret brandalarmer.
I tilfælde af tyveri kan I styrke beskyttelsen af jeres informationer ved opbevaring i ekstra sikrede skabe eller ved at fjerne informationerne fra lokalerne, når den sidste medarbejder går hjem.
Derudover kan det være en god ide at etablere et særlig sikret område, afhængig af hvilke typer af informationer uvedkommende kan få adgang til. Rum med kritiske IT-udstyr (fx serverrum) kan evt. udstyres med adgangskontrolanlæg, hvor kun særligt betroede medarbejdere har adgang. Et særligt sikret område med højere sikkerhedsniveau, fx køling og brandslukningsanlæg, skal placeres hensigtsmæssigt i forhold til resten af jeres lokaler.
Jeres virksomheds data og IT-udstyr kan også blive skadet under en oversvømmelse eller vandskade, fx fra utætte vandrør.
Der kan også ske skader ved overophedning, brand eller under en storm, hvilket I bør være opmærksomme på, når I indretter jeres fysiske lokaler.
I bør derfor sørge for, at jeres IT-udstyr står over vandlinjen for at undgå større vandskader. Ligedes bør I sørge for udluftning og evt. køling i jeres serverrum for at undgå overophedning.
30
sikkerhedstjekket
Vurder, om jeres elforsy-ning og internetforbindel-se er stabile nok
Hvis du vil vide mere
For at jeres IT-systemer kan fungere, skal der selvfølgelig være elektricitet til stede og ofte også adgang til internettet.
Til kritiske systemer kan I evt. tilkøbe en UPS til nødstrøm, som kører på batteri, fx til et kasseapparat eller en kritisk server.
ITEK og DI’s anbefaling i fysiske IT-sikkerhed. Se: http://di.dk/SiteCollectionDocuments/Shop/AnbefalingiFysiskSikkerhed_final.pdf?productid=6438&downloadType=Produkt
Forsikringsselskaberne stiller en række krav, når du skal forsikre din virksomhed. Se: http://www.forsikringogpension.dk/virksomheder/fpsikring/tyveri/sikringsniveauer_og_varegrupper/Sider/sikringsniveauer_og_varegrupper.aspx
31
sikkerhedstjekket
EFFEKTIV PLAN VED SIKKERHEDSHÆNDELSER
Hvorfor er det vigtigt at have en effektiv plan for at opdage og håndtere brud på sikkerheden?
Det stigende antal sikkerhedshændelser for alle typer brancher og virksomhedsstørrelser stiller større krav til et godt beredskab, hvis uheldet er ude. Hvis en virksomhed bliver udsat for en sikkerhedshændelse, sætter situationen hurtigt virksomheden under et stort pres. Samtidig kan man gøre mere skade end gavn, hvis man ikke ved, hvordan man skal reagere. Formålet med en effektiv plan er at sikre, at jeres virksomhed kan reagere på den mest optimale måde ved en sikkerhedshændelse, begrænse skaderne mest muligt og hurtigst muligt komme tilbage til en normal situation.
Anbefaling 15
Anbefalinger til adarbej-delse af en effektiv plan ved brud på jeres sikkerhed
Udform en effektiv plan
Stil krav til jeres leverandørs beredskab
Gennemfør evt. test af beredskabet.
Eksempel: Planen træder i kraft, når et brud på sikkerheden ikke kan håndteres inden for rammerne af jeres normale processer, arbejdsgange og ressourcer. I bør definere, hvad der specifikt aktiverer beredskabet for jeres virksomhed – fx med udgangspunkt i, hvilken maksimal nedetid I kan acceptere, eller hvad I på forhånd kan definere som kritiske situationer.
Beskrivelse af hvordan medarbejdere afrapporterer brud på sikkerheden.
Beskrivelse af roller og ansvar for IT-beredskabssituationer. Hvem har ansvaret for at lede situationen og bringe virksomheden tilbage til normal drift, og hvem bistår i processen med praktiske opgaver?
Beskrivelse af forskellige scenarier for sikkerhedshændelser, som vil aktivere planen. Scenarier skal udgangspunkt i de trusler, som jeres virksomhed dokumenteret i jeres risikovurdering
Kriterier for, at jeres plan aktiveres:
Oversigt over virksomhedens mest kritiske forretningsprocesser med dertil hørende tilgængelighedskrav og liste af understøttende IT-systemer.
Udform en IT-beredskabsplan
Formålet med en effektiv plan er at fastlægge de overordnede rammer for jeres virksomheds håndtering ved sikkerhedsbrud.En effektiv plan bør indeholde:
32
sikkerhedstjekket
En kontaktliste, indeholdende følgende:
Kommunikationsplan. Indeholdende de interessenter, som skal kontaktes i tilfælde af en sikkerhedshændelse. Det kan fx være kunder, leverandører, myndigheder, mv.
Leverandørstyring. Såfremt jeres kritiske IT-systemer eller datanetværk håndteres af en ekstern IT-leverandør, vil denne i de fleste tilfælde skulle varetage de praktiske opgaver med at reetablere situationen. Det er derfor vigtigt, at I på forhånd har taget stilling til, hvilket beredskab jeres IT-leverandør skal have, hvilke opgaver jeres IT-leverandør skal varetage, og hvordan I kommunikerer i beredskabssituationen, og at I har defineret kravene til jeres IT-leverandør i jeres kontrakt. Hvis ikke I på forhånd har afstemt forventningerne med jeres IT-leverandør, er der risiko for, at IT-leverandørens beredskab ikke er tilstrækkeligt i forhold til jeres behov.
Efter enhver sikkerhedshændelse bør I evaluere og opdatere jeres plan.
Beredskabsledelse.
Leverandører på de forskellige IT-systemer.
Evt. relevante myndigheder. Det kan fx være Datatilsynet, såfremt en sikkerhedshændelse indeholder følsomme persondata.
Gennemfør test af bered-skabet
Hvis du vil vide mere
Formålet med at udføre test af jeres beredskabsplan kan dels være at vurdere og efterprøve, om beredskabsplanen er tilstrækkelig, dels at træne beredskabsplanens aktører i at udfylde deres rolle.
Den mest simple form for test af et beredskab er afholdelse af en ”skrivebordstest”, hvor de involverede personer gennemgår forskellige tænkte scenarier og beskriver, hvordan hver part vil reagere.
I kan ligeledes hente support og sparring hos en ekstern leverandør.
Se Digitaliseringsstyrelsens anbefalinger om IT-beredskabstest:http://www.digst.dk/Arkitektur-og-standarder/Videnscenter-for-implementering-af-ISO27001/Anbefalinger-om-sikkerhedsarbejdet/Beredskabsplanlaegning
33
sikkerhedstjekket
OVERVÅGNING OG LOGNING AF VIRKSOMHEDENS IT-SYSTEMER
Hvorfor er overvågning og logning vigtigt?
Overvågning og logning af jeres systemer er især vigtigt, hvis jeres virksomhed behandler og opbevarer forretningshemmeligheder og/eller følsomme personoplysninger.
Mange virksomheder, som er blevet ramt af IT-kriminalitet i Danmark, har ikke efterfølgende haft mulighed for at analysere, hvilke data der blev stjålet, og hvordan de IT-kriminelle kom ind i netværket, fordi virksomheden ikke opsamlede logs, dvs. registreringer af aktiviteter, i deres datanetværk.
God overvågning og opsamling af logs fra jeres systemer er afgørende for, at I kan opdage, hvis noget går galt, eller sikre beviser til efterforskning, hvis fx data er gået tabt.
Overvågning af logs kræver ofte specialistviden for at kunne identificere nye typer af hackerangreb. I bør derfor overveje, om jeres logovervågning skal håndteres af en ekstern leverandør.
Anbefaling 16
Anbefalinger til overvåg-ning og logning af jeres IT-systemer
Forstå de juridiske krav i forhold til jeres medarbejdere.
Tag en risikobaseret tilgang til overvågning og logning.
Fastlæg en proces for overvågning af logs.
Udarbejd retningslinjer for arkivering af logs.
Forstå de juridisk krav til overvågning i forhold til jeres medarbejdere
Tag en risikobaseret tilgang til logning
Inden I indfører overvågning og logning, skal I være opmærksomme på, at medarbejderne skal informeres herom.
Medarbejderne skal på forhånd - på en klar og utvetydig måde - være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med virksomhedens retningslinjer herom.
I skal starte med at bestemme, hvilke logs I har behov for at opsamle.
I bør primært logge systemer med forretningshemmeligheder og følsomme personoplysninger - gerne på baggrund af jeres risikovurdering. Se anbefaling om risikovurdering på www.sikkerhedstjekket.dk
Det anbefales, at I overvejer logning af følgende komponenter:
IT-sikkerhedsløsninger: Firewall, antivirus og IDS/IPS m.m.
Netværkskomponenter: Mail exchange-server, webservere, web proxy, domain controller, Virtual Private Network (VPN)
Systemer med forretningshemmeligheder og følsomme personoplysninger.
34
sikkerhedstjekket
Proces for overågning af logs
Udarbejd retningslinjer for arkivering af logs
Når I har besluttet, hvad I vil logge, skal I tage stilling til, hvordan de enkelte logs skal bruges.
I bør beslutte, om I vil gennemgå logs regelmæssigt, eller om I kan nøjes med at bruge loggene, når der sker en sikkerhedshændelse. Ligeledes kan I vælge enten at gennemgå logs manuelt eller I kan opsamle logs via et overvågningssystem, kaldet et SIEM-værktøj (Security Information & Event Management) for derefter at kunne identificere mønstre og sammenhænge på tværs af systemerne.
Af hensyn til et eventuelt udredningsarbejde ved en sikkerhedshændelse er det af afgørende betydning, at alle logs er tidssynkroniseret op imod samme tidsserver. På den måde bliver det nemmere at spore eventuelle hændelsesmønstre igennem jeres IT-infrastruktur.
Hvis I vælger at bruge et SIEM-værktøj, bliver jeres logs samlet i dette system.
Hvis I ikke har en SIEM-løsning, bør I på anden måde lagre jeres logs centralt, hvor de sikres imod uautoriserede ændringer.
Sidst men ikke mindst skal I tage stilling til, i hvor lang tid I vil opbevare de enkelte logs.
I mange tilfælde er der gået uger eller måneder, fra et hackerangreb er udført og til virksomheden har opdaget hændelsen. I en sådan situation er det vigtigt, at de relevante logs ikke er blevet slettet eller overskrevet.
I bør opbevare de enkelte logs i så lang tid, som det giver mening for jeres virksomhed. Det amerikanske National Institute of Standards and Technology (NIST) har følgende guide til opbevaringsperiode i forhold til betydning:
Lav betydning: Opbevaring 1-2 uger
Medium betydning: Opbevaring 1-3 måneder
Høj betydning: 3-12 måneder
Hvis du vil vide mere Se logningsanbefaling fra Center fra Cybersikkerhed. https://fe-ddis.dk/cfcs/publikationer/Documents/Anbefalinger_final_260416.pdf
35
sikkerhedstjekket
SIKKERHEDSASPEKTER I RELATION TIL VIRKSOMHEDENS SAMARBEJDSPARTNERE
Hvorfor er det vigtigt at stille sikkerhedskrav til jeres IT-leverandører?
Mange virksomheder vælger at outsource dele af deres IT-drift til eksterne samarbejdspartnere eller at dele data med andre. Det er stadig jeres eget ansvar, at sikkerheden er i orden, og at I har taget højde for IT-sikkerheden via formaliserede samarbejdsaftaler.
I kan ikke fraskrive jeres ansvar eller give ansvaret videre til jeres IT-leverandør. I kan derimod stille relevante krav til jeres IT-leverandør for at begrænse jeres risiko for at sikkerhedshændelser ske eller når sikkerhedshændelsen er sket.
Det er vigtigt, at I har et aktivt samarbejde med jeres IT-leverandør med løbende opfølgning på, at I får det, som leverandøren har lovet jer i kontrakten.
Anbefaling 17
Anbefalinger til leveran-dørstyring
Stil relevante krav til jeres leverandørs kvalitetssikring af deres IT-sikkerhedsniveau samt deres sikkerhedsforanstaltninger.
Sikre overholdelse af gældende lovgivning.
Krav til periodisk backup og løbende test af, om backuppen virker
Krav til antivirus med automatiserede opdateringer
Krav til netværkssikkerhed, hvor kontrakten bør definere, hvilke krav I stiller til tekniske IT-sikkerhedsforanstaltninger
Krav til segmentering af netværk samt regler for, hvilke typer datatrafik der tillades mellem segmenterne
Krav til netværksdokumentation. IT-leverandøren skal til enhver tid kunne fremvise en samlet og opdateret netværksdokumentation inkl. en grafisk netværksoversigt
Krav til proces for opdatering af systemer
Krav til proces for ændring af systemer og programmer
Krav til styring af brugeradgange med fastlagte processer for bruger-/rettighedsstyring og sikring af nødvendig, løbende kontrol
Stil relevante krav til jeres IT-leverandørs kvalitetssikring af deres IT-sikkerhedsniveau samt deres sikkerhedsforanstatninger
Kravene til jeres IT-leverandør bør tage udgangspunkt i jeres virksomheds behov for sikring af tilgængelighed, integritet og fortrolighed. Se anbefaling om risikovurdering på www.sikkerhedstjekket.dk. Ligeledes bør I sikre, at I lever op til de lovmæssige krav, fx persondataloven.
Når I indgår en kontrakt med en IT-leverandør, skal I sørge for at stille relevante sikkerhedskrav i forhold til de anbefalinger, som I kan finde i anbefalingerne under sikkerhedstjekket, herunder:
36
sikkerhedstjekket
Krav til leverandørens overvågning og logning af netværket
Krav til leverandørens håndtering af persondata
Krav til leverandørens IT-beredskab, som præciserer, hvorledes IT-leverandøren skal agere i tilfælde af sikkerhedshændelser. Ved sikkerhedshændelser bør jeres IT-leverandør have indberetningspligt til jer, så snart de opdager en hændelse
Krav til IT-leverandørens løbende gennemførelse af tests til sikring af det etablerede sikkerhedsniveau
Krav om IT-leverandørens fortrolighed, dvs. IT-leverandørens medarbejdere har tavshedspligt i forhold til den information, som de får om jeres virksomhed
Krav om oplysning af datas geografiske placering, dvs. hvor servere mv. er placeret
Krav til værnetingsregler, dvs. hvor en evt. kontraktlig tvist skal afgøres, fx Sø- og Handelsretten.
Såfremt jeres leverandør udvikler softwarekode for jeres virksomhed, er det vigtigt, at I får afklaret, hvem der beholder de immaterielle rettigheder. I skal sørge for at have en kopi af konfigurationsfiler/systemkodeord i tilfælde af, at I ønsker at skifte leverandør.
Det anbefales, at I foretager en løbende opfølgning på, om jeres IT-leverandør lever op til kontrakten og dermed styrer jeres sikkerhed forsvarligt.
Overholdelse af gældende lovgivning
Hvis behandling af personoplysninger indgår i aftalen med jeres IT-leverandør, er det lovpligtigt, at I indgår en databehandleraftale med leverandøren.
En databehandleraftale sikrer, at jeres IT-leverandør træffer de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, når de behandler persondata på vegne af jer. Se anbefaling om databehandleraftaler på www.sikkerhedstjekket.dk
37
sikkerhedstjekket
DATABEHANDLERAFTALE
Hvorfor er det vigtigt at have en databehandleraf-tale?
En databehandleraftale er en skriftlig aftale mellem jeres virksomhed og jeres IT-driftsleverandør om opbevaring og behandling af jeres persondata.
Når jeres virksomhed overlader opbevaring og behandling af personoplysninger til en anden virksomhed, er det et lovkrav i henhold til persondataloven, at der indgås en databehandleraftale.
Persondataloven gælder både for offentlige og private virksomheder, foreninger og organisationer.
Anbefaling 18
Anbefalinger til databe-handleraftaler
Forstå og implementere kravene til en databehandleraftale
Overhold kravene i persondataloven.
Hvilke specifikke databehandlinger jeres leverandør foretager.
Hvilke typer data, der er tale om, fx CPR- nr., helbredsoplysninger mv.
De sikkerhedsforanstaltninger, jeres virksomhed og leverandøren tager for at hindre, at oplysningerne ikke bliver lækket eller hacket.
Hvordan I følger op på, at sikkerhedsforanstaltningerne er tilstrækkelige og bliver overholdt.
Krav om, at leverandøren straks skal underrette jer skriftligt ved enhver afvigelse fra instrukserne i aftalen.
Krav om, at medarbejderne hos jeres leverandør har tavshedspligt.
Forstå og implementer kravene til en databehandleraftale
Overhold kravene i persondataloven
Databehandleraftalen skal være en skriftlig aftale mellem jeres virksomhed og jeres leverandør.
Aftalen skal indeholde:
Persondataloven deler personoplysninger op i tre typer, som er følsomme oplysninger, andre typer personoplysninger og almindelige personoplysninger. Se anbefaling om håndtering af personoplysninger på www.sikkerhedstjekket.dk
Jeres databehandleraftale er et vigtigt og lovpligtigt dokument. I bør derfor vurdere, om I selv kan udforme aftalegrundlaget, eller om I bør søge ekstern hjælp.
38
sikkerhedstjekket
Hvis jeres organisation indsamler, registrerer eller videreformidler personoplysninger, betegnes jeres virksomhed som dataansvarlig. Det er dermed jeres ansvar at definere, hvad formålet er med at indsamle, registrere, opbevare og dele de personoplysninger, som jeres virksomhed har, samt at definere, hvilke systemer der må benyttes til behandling af personoplysningerne under jeres ansvar.
Ifølge persondataloven er det jeres virksomhed som dataansvarlig, der er ansvarlig for, at persondataloven overholdes.
Hvis I benytter en ekstern IT-driftsleverandør, betegnes de som databehandler. Databehandleren opbevarer og behandler oplysningerne på jeres vegne. Dvs. at en databehandler skal handle efter instruks fra jeres virksomhed. Det er derfor alene jeres virksomhed, som har ansvaret for, at oplysningerne opbevares og behandles korrekt.
For at fastlægge jeres lovgivningsmæssige forpligtelser er det derfor vigtigt, at I afklarer, om I er dataansvarlige, og hvem der evt. er jeres databehandlere.
I april 2016 blev den nye databeskyttelsesforordning (General Data Protection Regulation) vedtaget, som skal være implementeret den 25. maj 2018. Forordningen stiller yderligere krav til behandling af persondata. En måde at komme godt i gang med den nye databeskyttelsesforordning på er at overholde eksisterende persondatalovgivning.
Hvis du vil vide mere Datatilsynets hjemmeside – hvornår er man henholdsvis dataansvarlig og databehandler?: https://www.datatilsynet.dk/erhverv/dataansvarlig-databehandler/hvornaar-er-man-henholdsvis-dataansvarlig-og-databehandler/
Datatilsynets hjemmeside – krav om skriftlig kontrakt med databehandlere:https://www.datatilsynet.dk/erhverv/dataansvarlig-databehandler/databehandler/