At følge dine data er en stor del af overholdelsen af den nye NIS2-direktiv udstedt af EU. Men… hvordan sporer du dine data?
I dagens verden er det lige så vigtigt at vide, hvor dine data rejser, som selve dataene. Forestil dig data som virksomhedens livsblod, essentielt for dens daglige drift og langsigtede succes. Efterhånden som virksomheder vokser og producerer flere data, bliver det en kompleks opgave at håndtere disse data sikkert og følge reglerne. Det er som at forsøge at holde styr på alt, hvad der sker i en travl by, hvor du ikke nødvendigvis har direkte kontrol over det hele.
EU har indført NIS2-direktivet, som sætter fokus på virksomhedernes behov for at have et klart billede af deres datas rejse. Det handler ikke kun om at låse data sikkert inde; det handler om at forstå hvert eneste skridt, de tager, hvem der ser dem, og hvad de gør med dem. Tænk på det som at vide præcis, hvor dine data rejser hen, hvem de besøger, og hvilke eventyr de oplever. Denne viden er afgørende for at holde data sikre og sikre, at virksomheder følger reglerne.
Vigtigheden af at Følge Dine Data
NIS2 handler ikke kun om at afkrydse bokse for at sige, at du er i overensstemmelse med loven. Det handler om virkelig at vise, at du beskytter data. Det betyder, at du skal kende hele din datas rejse — fra det øjeblik, de bliver oprettet, til de bliver slettet.
NIS2 Artikel 21, Stykke 2, Punkt d og Punkt e beskriver dette som:
“d) sikkerhed i forsyningskæden, herunder sikkerhedsrelaterede aspekter vedrørende forholdet mellem hver enhed og dens direkte leverandører eller tjenesteudbydere;
(e) sikkerhed i forbindelse med anskaffelse, udvikling og vedligeholdelse af netværks- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder
Hvad dette betyder på almindeligt engelsk er, at du har ansvaret for at kontrollere, hvor dine data går under hele rejsen. Det betyder, at du skal vide, hvem dine databehandlere er, og hvilke databehandlere de selv bruger.
At forstå, hvor dine data går hen, og hvordan de kommer dertil, er nøglen til at spotte, hvor ting kan gå galt, sikre, at de er beskyttet, og forhindre, at oplysninger, der ikke bør komme ud, lækkes. Din virksomhed håndterer måske data sikkert, og du har måske endda en certificering som ISO 27001, men hvad sker der, når data forlader din kontrol?
Fordele og strategier
En vigtig grund til, at det er vigtigt at følge data, er, at cyberangreb bliver stadig smartere, og de går ikke kun efter de data, du har, men også de data, som andre virksomheder opbevarer om dig. Vi hører alle om en stor hack fra tid til anden, hvor du måske endda er blevet berørt.
Hvis du ikke ved præcist, hvor dine data er, og hvordan de opbevares sikkert, kan du ikke rigtig sige, hvor sikre du er mod disse trusler. Ved at holde øje med dine data på hver eneste trin af deres rejse, bygger du en forsvarsstrategi mod cyberangreb.
Risikostyring
Nogle gange kan data ende med at blive flyttet, brugt eller opbevaret på måder eller steder, du ikke havde planlagt. Hvert nyt skridt, dine data tager, kan medføre nye farer, og ved at vide, hvor dine data går hen, kan du spotte disse problemer tidligt. Dette giver dig mulighed for at finde hurtige løsninger for at rette op på disse problemer, før de udvikler sig til større problemer.
Byg tillid
I dag vil de fleste mennesker, fra kunder til forretningspartnere, gerne vide, at deres oplysninger er sikre, og at reglerne bliver fulgt. At vise, at du ved, hvor dine data er på alle tidspunkter, hjælper dig ikke kun med at overholde lovgivningen og holde tingene sikre; det hjælper også med at opbygge tillid.
Udfordringer og Overvejelser
At holde styr på dine data kan dog være svært. Hvert firma, der håndterer dine data, som cloudtjenester eller underleverandører, har sin egen måde at gøre tingene på. Desuden ændrer digitale virksomheder sig hele tiden, hvilket betyder, at måden, dine data bevæger sig på, også kan ændre sig.
For at håndtere disse udfordringer skal du være grundig og proaktiv i at bestemme, hvordan du holder styr på data. Dette betyder at udføre detaljerede kontrolforanstaltninger for at forstå præcist, hvordan data bevæger sig, og hvor de går hen. At oprette stærke regler for håndtering af data hjælper med at sikre, at alle, der håndterer dine data, gør det på en sikker og lovlig måde, og det er ikke en engangsindsats.
Hvordan du følger dine data
Nu, hvor vi ved, hvorfor det er vigtigt og endda fordelagtigt at følge dine data, vil jeg give dig et par retningslinjer, der kan hjælpe dig med at gøre det selv.
Det første, du skal gøre for at holde styr på dine data, er at finde ud af, hvordan de bevæger sig, både internt og eksternt i din virksomhed. Det betyder at kortlægge hvert skridt, hvor data oprettes, opbevares og behandles.
Når du kortlægger dataflowet, skal du også notere, hvilke data du indsamler, hvorfor du indsamler dem, hvor de opbevares, hvordan de bevæger sig fra et sted eller en tjeneste til et andet, og hvem der kan få adgang til dem på hvert skridt. Et kort som dette hjælper dig med at forstå og pege på, hvor der kan være svage punkter eller potentielle problemer.
Trin 1: Engager dig med serviceudbydere
Trin et af at følge dine data er stadig ret ligetil. Dine data ender ofte med at blive behandlet eller opbevaret af andre, for eksempel dine cloudtjenester, analyseværktøjer eller kundestyringssystemer. Det er virkelig vigtigt at tale med disse udbydere for at forstå, hvordan de håndterer dine data. Du bør virkelig undersøge, hvordan de følger reglerne, hvad de gør for at holde data sikre, og om de bruger andre virksomheder til at hjælpe dem.
Et godt gennemsigtigt firma vil hjælpe dig med de spørgsmål, du måtte have. En anden måde at sikre, at alt fungerer godt, er at indgå databehandlingsaftaler. Det er aftaler, der angiver forpligtelser, som du og din serviceudbyder har til at beskytte personlige data. Det er ikke altid nemt at få og finde disse dokumenter, da nogle virksomheder gør det svært at finde dem, hvilket allerede viser, hvor vigtigt det er at arbejde med pålidelige serviceudbydere.
Trin 2: Identificer og vurder subprocessorer
Næste trin kan være lidt mere udfordrende. En stor hindring for at holde øje med dine data er at følge dem, når de bevæger sig gennem subprocessorer. Det er de tredjeparter, som dine hovedserviceudbydere bruger til at behandle data for dem. Det er afgørende at finde ud af, hvem disse subprocessorer er, og hvordan de håndterer dine data for at få et klart billede af, hvad der sker med dataene fra start til slut. Når du ved, hvem de er, skal du kontrollere, hvor sikre og compliant de er. Dette kan betyde, at du ser på deres sikkerhedscertificeringer (som ISO 27001), tjekker deres operationer gennem revisioner eller beder om bevis på, hvordan de beskytter data. Du vil sikre, at hver virksomhed, der rører ved dine data, er lige så dedikeret til at holde dem sikre og følge reglerne som du er.
Dataflow ud over direkte kontrol
Dine data går ofte steder, der ligger uden for din direkte kontrol. Listen over subprocessorer er nogle gange lang, og vi taler ikke engang om subprocessorerne af subprocessorerne. Denne lange kæde af steder, hvor dine data behandles og opbevares, kan gøre det svært at spore dem. Du skal være proaktiv, holde et konstant øje med tingene og virkelig forstå de aftaler, der er indgået mellem din virksomhed og de tjenester, den bruger.
Andre ting at overveje
Noget du også bør bemærke er, at nogle virksomheder måske ikke kun bruger subprocessorer, men de kan også sælge data. Et af mange eksempler er Microsofts nye Outlook-app, som, når du accepterer privatlivserklæringen, får lov til at sælge data fra alle e-mails, du tilføjer til den, til mere end 750 tredjeparter.
I sidste uge advarede den hollandske efterretningstjeneste (CIA i Holland) os om sikkerhedsproblemer, der opstår i forbindelse med den amerikanske regering. Det kom endda i de nationale nyheder (hollandsk artikel). Det handler om, at den amerikanske regering kan se alle data fra amerikanske virksomheder i henhold til deres Patriot Act og Cloud Act. Det gælder også vigtige virksomheder og statslige organisationer i Holland og resten af verden.
Trackingmekanismer
Ud over at vide, hvordan data bevæger sig, og kontrollere serviceudbydere, er det vigtigt at implementere både teknologiske løsninger og regler for at holde øje med dine data, mens det sker. Dette kan betyde at bruge datahåndteringsværktøjer, der gør det muligt for dig at se, hvor dine data går hen, oprette adgangskontroller for at holde styr på, hvem der har adgang til dine data, og hvorfor, samt kryptere dine data, uanset om de bare opbevares eller bevæger sig rundt. Det er nemmest, hvis din serviceudbyder giver dig mulighed for at administrere dette selv, hvilket giver dig mere kontrol.
Det er heller ikke bare en engangsopgave; det er en kontinuerlig indsats. En anden vigtig del af at holde øje med dine data, der nogle gange overses, er den menneskelige faktor. Det er meget vigtigt at undervise dit team om, hvorfor det er afgørende at følge data og holde sig til reglerne. Det kan betyde at informere dem om NIS2, hvordan din organisation forventer, at data behandles, og hvad de skal gøre, hvis de opdager et databrud. Et team, der ved, hvad de skal gøre, og er opmærksomt, hjælper din virksomhed med at håndtere data korrekt.
Identificering af subprocessorer
Lad os tage et tættere kig på subprocessorer, da denne del af datarejsen kan være temmelig vag.
Den første udfordring for organisationer er at få klart indblik i subprocessor-økosystemet, da specifikationer af disse relationer måske er skjult i serviceaftaler eller slet ikke deles. Eller endnu værre, bevidst skjult. Du skal måske kigge gennem offentlige kilder, som udbyderens hjemmeside eller brancheanalyser, for at få et mere fuldstændigt billede af, hvordan de håndterer data. Målet er at udarbejde en detaljeret liste over subprocessorer, hvilket lægger grundlaget for en mere grundig undersøgelse.
Risikovurdering og Engagement
Efter at have identificeret subprocessorer, er næste skridt at evaluere dataets kæde for eventuelle risici. Det kræver et tæt kig på sikkerhedsprotokollerne og compliance-niveauerne for hver subprocessor. Vigtige faktorer at overveje inkluderer, hvor dataforarbejdningen finder sted, de lovgivningsmæssige regler i disse steder og de specifikke databeskyttelses- og sikkerhedscertificeringer, som hver subprocessor har.
Direkte interaktion med subprocessorer, eller gennem dine primære serviceudbydere, er nøglen til at få den information, du har brug for. Det kan inkludere brug af spørgeskemaer eller udførelse af revisioner.
Denne form for engagement med udbydere åbner også en kommunikationslinje for at håndtere eventuelle problemer, der måtte opstå. Det er altid godt at dokumentere disse interaktioner, da de bidrager til overholdelsesbeviset, du har brug for under NIS2.
Eksempel: Microsoft
De produkter, som Microsoft tilbyder, bruges stadig af mange virksomheder. Lad os se på, hvordan en analyse ville se ud med Microsoft, uden at gå for meget i detaljer om, hvorvidt dine data faktisk er sikre mod analyse af udenlandske regeringer, og om du vil have dine data hos et firma, der blev bødet med milliarder af euro, med et B, for privatsbrud sidste år.
For det første udgør Microsoft en betydelig udfordring i forhold til gennemsigtighed, hvilket komplicerer virksomhedernes bestræbelser på at sikre grundlæggende cybersikkerhed og overholdelse. Mens Microsoft offentliggør en liste, der inkluderer 47 subprocessorer og 36 datacentre på tidspunktet for skrivningen, forbliver de specifikke detaljer vedrørende deres operationer, hvordan de håndterer data og deres sikkerhedsprotokoller mindre klare.
Dette problem bliver mere komplekst på grund af den globale spredning af subprocessorer, som arbejder under forskellige databeskyttelseslove afhængigt af deres placering. Selvom Microsoft sikrer, at subprocessorer overholder GDPR, skal vi huske på, at Microsoft selv fortsat overtræder GDPR, så du kunne spørge dig selv, hvad deres ord faktisk betyder. Det siger heller ikke nødvendigvis noget om databeskyttelse, da de også har haft mange hacks og brud på sikkerheden sidste år.
Det er faktisk meget svært at kontrollere subprocessorer selv, da moderselskaberne af disse subprocessorer kommer fra forskellige lande, hvilket tilføjer mere kompleksitet og potentielle sikkerhedsrisici. Mens en subprocessor måske er placeret i USA, er moderselskabet ikke altid der. Du kan selv tjekke dette, men du ender med at finde kinesisk statsejede virksomheder flere gange, hvis du følger sporet.
Desuden giver mange af disse subprocessorer ikke en offentliggjort liste over subprocessorer eller privatlivsrelaterede politikker, hvilket kræver, at du kontakter dem på en eller anden måde, og det tager også tid og kan vise sig at være praktisk umuligt.
Synlig ændring på markedet
Hvis det er din opgave at vurdere Microsoft i lyset af NIS2, kunne du overveje at opgive dit job og flytte til et andet land, og du ville ikke være den eneste, der føler, at dette er en skræmmende opgave. Hvad vi bemærker er, at denne erkendelse, sammen med bekymringer om privatliv og sikkerhed, har fået flere og flere virksomheder og offentlige organisationer til at skabe politikker imod deres serviceudbydere, der bruger subprocessorer til databehandling, eller i det mindste begrænse dem. Denne ændring drives af forståelsen af, at subprocessorer tilføjer lag af kompleksitet til databeskyttelse, hvilket gør det nogle gange ekstremt svært at sikre omfattende beskyttelse.
Ved at reducere eller helt undgå involvering af subprocessorer gør du dit liv meget lettere. Som den danske efterretningstjeneste sagde i sidste uges artikel, er det i øjeblikket ufatteligt, at båndene til USA forværres, men du ved aldrig, hvad der kan ske i fremtiden. Vi mener, at EU vil fortsætte med at investere i lokal infrastruktur og med det nye love og direktiver. Så det kan være en anden grund til at overveje at have dine data fuldstændigt inden for EU’s grænser.
Hvordan du forenkler din NIS2-overholdelse
Hvis du overvejer alt dette, er det det perfekte tidspunkt at tage afstand fra de udbydere, du måske bruger nu, for at spare dig selv og din virksomhed for meget unødvendigt arbejde og samtidig forbedre din sikkerhed og privatlivsstandarder.
Der er mange virksomheder i EU, der tilbyder alle slags tjenester og har mange produkter til de forskellige udfordringer, som din virksomhed måske står overfor. Du skal bare finde de virksomheder, der passer til dine forretningspolitikker.
Hvis vi sammenligner en forenklet datarejse med Microsoft, ville du gå fra situationen i billedet nedenfor, med dusinvis af subprocessorer i forskellige lande og den mulige salg af dine data…
… til situationen nedenfor, med færre udbydere, færre subprocessorer og hosting i EU. I tilfælde af vBoxx ville det betyde produkter, der er hostet i Nederlandene uden subprocessorer og med personlig support.
Dine Næste Skridt
Den hollandske regering har udgivet et værktøj, der hjælper dig med hurtigt at tjekke, om du overholder NIS2 (hollandsk). Vi kan varmt anbefale dette værktøj.
Hvis du vil diskutere din use-case, hjælper vi dig gerne med at finde ud af, hvad du måske har brug for. Vi tilbyder meget af det, din virksomhed har brug for, såsom cloud-lagring, e-mail, videoopkald, password management, men også servere, webhosting og meget mere.
Vi har ingen subprocessorer, vi og vores datacenter er ISO 27001-certificerede og fuldt EU-ejede, så der er ingen ikke-EU-moderfirmaer involveret. Send os bare en e-mail, ring til os eller start en chat, og du vil blive hjulpet med det samme.
