Strengere love og regler inden for bl.a. ePrivacy og GDPR betyder, at alle virksomheder er nødt til at udvikle sig teknologisk og organisatorisk, for at kunne leve op til både lovgivernes krav om god datasikkerhed og forventningerne fra kunder, leverandører og samarbejdspartnere.

Digitale trusler ændrer sig konstant

I takt med at der transporteres flere og flere følsomme data, øges risikoen i form af digitale trusler. Såkaldt phishing er en type trussel, der kan påføre virksomheder store omkostninger. Derudover er der mange tilfælde af afpresning med såkaldt ransomware, hvor data stjæles, og hvor både virksomhederne selv og deres kunder afkræves løsepenge.

Truslerne ændrer med tiden også karakter, og en kombination af phishing og ransomware bliver mere og mere udbredt. Hvis det ikke umiddelbart lykkes hackerne at få fat i offeret, kan de skaffe sig adgang via organisationens leverandører.

Henning Mortensen, formand for Rådet for Digital Sikkerhed

– Vi har set, hvordan hackere trænger ind hos IT-leverandører, der i mange år har befundet sig i selve hjertet af forskellige organisationer og dermed haft fuldstændig styr på organisationens struktur og forskellige netværkskomponenter. På den måde kan skadelig kode finde vej ind i organisationen via opdateringer. Forleden var der f.eks. en organisation, der fik skadelig kode via et Microsoft-certifikat, og det skader tilliden til certifikaterne, siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.

Henning Mortensen har igennem en årrække været en markant stemme i den danske sikkerhedsdebat. Han står bag en lang række vejledninger om forskellige former for informationssikkerhed rettet mod danske virksomheder.

Sikkerhedsrelateret kommunikation

Leverandørerne skal for at imødegå de nye typer digitale trusler kunne vise, hvad de gør for at sikre deres kunders data. Der foregår en hel del sikkerhedsrelateret kommunikation mellem dem, der ejer data, og dem, der behandler dem, i form af revision og certificeringer, for at vise omverdenen at de har styr på tingene. I Sverige har man f.eks. ISO 27001-certificering, der udstedes af uafhængige IT-revisorer og bl.a. omfatter ledelsessystemer, informationssikkerhed, cybersikkerhed og databeskyttelse.

Martin Nyberg, Chief Compliance Officer i PostNord Strålfors

– Det er et stort og vigtigt område, som vi har arbejdet med i rigtig lang tid, og vi er gode til det, vi gør. Vores kunders forventninger om og behov for at føle sig trygge og sikre betyder, at vi hele tiden bliver bedre og bedre til at opfylde forventningerne. Hos os er datasikkerhed – også i forhold til det, vi arbejder med, som er håndtering af følsomme kundedata – en integreret del af vores mindset, siger Martin Nyberg, Chief Compliance Officer i PostNord Strålfors.

– PostNord Strålfors har i årevis haft flere certificeringer og godkendte revisioner, og den solide erfaring, det har givet os, kommer vores kunder til gode. Samtidig med at risikoen stiger, og kundernes forventninger bliver større, styrkes vores egen integritet og ambitioner. Sikkerhed har altid topprioritet hos os, slutter Martin Nyberg.