Eksponeret

Eksponeret Grænser for privatliv i en digital tid Skribenter Anja Møller Pedersen, Birgitte Arent Eiriksson, Birgitte Kofod Olsen, Gry Hasselbalch, Hanne Marie Motzfeldt, Henrik Udsen, Jesper Lund, Kim Aarenstrup, Lene Wacher Lentz, Lone Glahn, Mette Hartlev, Morten Rosted Vang, Pernille Boye Koch, Pernille Tranberg, Rikke Frank Jørgensen Copyright 2018 forfatterne og Gads Forlag A/S ISBN: 978-87-12-05673-7 1. udgave, 1. oplag Printed in Sweden Redaktion: Birgitte Kofod Olsen og Rikke Frank Jørgensen Forlagsredaktion: Mette Højbjerg Omslag: Harvey Macaulay, Imperiet Grafisk tilrettelæggelse: Demuth Grafisk Tryk og indbinding: ScandBook AB Kopiering fra denne bog må kun finde sted på institutioner, der har indgået aftale med COPY-DAN, og kun inden for de i aftalen nævnte rammer. Det er tilladt at citere med kildeangivelse i anmeldelser. www.gad.dk

Eksponeret.indd 4

19/03/2018 15.58

Eksponeret GrĂŚnser for privatliv i en digital tid

Red. Rikke Frank Jørgensen og Birgitte Kofod Olsen

Gads Forlag

Eksponeret.indd 3

19/03/2018 15.58

Indhold

Introduktion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 TEMA: Samfundets interesse i big data . . . . . . . . . . . . . . . . . . . . . . . 11 Sundhedsdata sætter patienters privatliv under pres . . . . . . . . . . . 13 Mette Hartlev Social digital kontrol er på kant med borgernes ret til privatliv . 29 Birgitte Arent Eiriksson Den smarte by kigger med . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 Birgitte Kofod Olsen Når al kommunikation bliver gemt . . . . . . . . . . . . . . . . . . . . . . . . . . . 64 Anja Møller Pedersen FAKTA: Privatlivsbeskyttelse og persondata­beskyttelse som grundrettigheder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78 FAKTA: EU-Domstolen: Logningsdommene . . . . . . . . . . . . . . . . . . . . 80 FAKTA: Udnyttelse af sundhedsdata . . . . . . . . . . . . . . . . . . . . . . . . . . . 82 TEMA: Den datadrevne økonomi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 Når informationsøkonomien bliver personlig . . . . . . . . . . . . . . . . . 86 Rikke Frank Jørgensen Digitalt selvforsvar er nødvendigt . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 Pernille Tranberg Kunstig intelligens efterlader dataetiske spørgsmål . . . . . . . . . . 117 Gry Hasselbalch FAKTA: Den datadrevne økonomi . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 FAKTA: Databeskyttelse gennem design og standardindstillinger 133

Eksponeret.indd 5

19/03/2018 15.58

TEMA: Cybersikkerhed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Efterforskningens grænser på internettet . . . . . . . . . . . . . . . . . . . . Lene Wacher Lentz Digital tryghed er mere end beskyttelse af privatlivet . . . . . . . . . Kim Aarenstrup Har du husket at låse døren til internettet? . . . . . . . . . . . . . . . . . . . Morten Rosted Vang Cybersikkerhed med respekt for grundrettigheder . . . . . . . . . . . . Rikke Frank Jørgensen, Jesper Lund og Birgitte Kofod Olsen FAKTA: Center for Cybersikkerhed . . . . . . . . . . . . . . . . . . . . . . . . . . . . FAKTA: Net- og informationssikkerhed . . . . . . . . . . . . . . . . . . . . . . . .

135 137

TEMA: Tilsyn og kontrol . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kontrollen med FE og PET er begrænset . . . . . . . . . . . . . . . . . . . . . Pernille Boye Koch Retssikkerheden bør følge med den automatiserede forvaltning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Hanne Marie Motzfeldt Rigsrevisionens kontrol af it-sikkerhed . . . . . . . . . . . . . . . . . . . . . . Lone Glahn Effektivt tilsyn med persondatabeskyttelsen er en udfordring . Henrik Udsen FAKTA: Tilsyns- og kontrolinstanser . . . . . . . . . . . . . . . . . . . . . . . . . .

206 208

152 169 184 202 204

227 244 255 270

Register . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 276

Eksponeret.indd 6

19/03/2018 15.58

Introduktion

Det digitale samfund øger presset på vores privatliv, fordi både private virksomheder og offentlige myndigheder har store mængder af data om os. Samtidig har digitaliseringen betydet, at der er kommet et større fokus på, hvor vigtigt det er at beskytte data og privatliv i fremtiden. Det afspejler sig i EU’s databeskyttelsesforordning, der er gældende i Danmark fra 25. maj 2018. Forordningen omsætter retten til persondatabeskyttelse til konkrete krav til databehandling hos virksomheder og myndigheder. Dette medfører, at borgere og forbrugere har ret til at kontrollere data, der vedrører dem selv, samt stiller krav om at anvende teknologier, som indlejrer persondatabeskyttelse i digitale løsninger og processer. Flere virksomheder har fået øje på privatlivsbeskyttelse som et nyt konkurrenceparameter, og et hav af initiativer ser nu på koblingen mellem dataetik og forretningsudvikling. FN har udpeget en ny international specialrapportør for ret til privatliv, og EU har bidraget med både anbefalinger og domme fra EU-Domstolen, der sætter rammerne for indsamling og udveksling af data i en digital tid. Udfordringerne er mange, overblikket sporadisk, og debatten er præget af, at der er forskellige syn på betydningen og vigtigheden af privatlivet og dets beskyttelsesværdige grænser, særligt mellem EU og USA. Den europæiske opfattelse, som den ses i databeskyttelsesforordningen, er knyttet til normen om beskyttelse af individets selvbestemmelsesret og ret til at udvikle sig frit som menneske, mens den amerikanske i højere grad er baseret på en opfattelse af databeskyttelse som en ejendomsret. Som borgere og forbrugere i EU skal vi ikke tåle indgreb i vores privatliv, der ikke er bestemt ved lov eller er ude af proportioner. Denne opfattelse af privatlivets grænser afspejles i den måde, vi i Danmark regulerer myndigheders adgang til borgerens privatsfære for 7

Eksponeret.indd 7

19/03/2018 15.58

at efterforske kriminalitet, sanktionere socialt bedrageri, effektivisere forvaltningsprocesser samt fremme sundheden og forskningen. Kontrasten mellem den europæiske tilgang og den amerikanske bliver særlig tydelig, når vi ser på den digitale markedsplads og de sociale netværk og platforme. Disse er domineret af en række magtfulde amerikanske internetvirksomheder og er baseret på en forretningsmodel, hvor den enkelte person stiller sine data til rådighed som ”pris” for at bruge en tjeneste. Det giver brydninger i forhold til den europæiske opfattelse og skaber en aktuel udfordring i forhold til, hvor langt selvbestemmelsesretten kan udnyttes uden at udhule de grundrettigheder, som beskytter vores privatliv og persondata.

Eksponeret: borgeren Koblingen mellem den danske persondatabeskyttelse og retten til respekt for privatliv udfordrer tænkningen og principperne bag velfærdsstaten – og konkret den offentlige digitaliseringsstrategi. Data om borgerne kan nemlig ikke længere ses som en ressource, staten automatisk har råderet over, men som oplysninger, den enkelte borger giver myndighederne adgang til med sit samtykke, eller fordi Folketinget har vedtaget lovgivning, der skaber grundlag for indhentning og samkøring af persondata. Etablering af cybersikkerhed giver også anledning til fornyet refleksion over metoder til at integrere hensynet til den enkelte borger i de tiltag, der er nødvendige af hensyn til den nationale sikkerhed og til effektiv efterforskning. Hvis borgeren ikke selv bidrager med oplysninger, skal retssikkerhedsgarantier være på plads, så det sikres, at der er effektiv kontrol med, at borgernes grundrettigheder ikke tilsidesættes. Databeskyttelsesforordningen styrker borgernes ret til kontrol over egne data og skaber det retlige grundlag for at imødekomme de store udfordringer, der er forbundet med at opretholde principper om transparens, gennemsigtighed og indsigt i en datadreven tid, hvor stadig flere beslutninger sker helt eller delvist automatiseret. Dette gælder både i den offentlige forvaltning og i private virksomheder.

8

Eksponeret.indd 8

19/03/2018 15.58

Eksponeret: forbrugeren Digitalisering, big data og kunstig intelligens præger den digitale tid og skaber stigende informationsasymmetri. Virksomhederne ved stadig mere om den enkelte, til gengæld er beslutningsprocesser i højere grad baseret på algoritmer med minimal transparens som konsekvens. Som forbrugere ved vi kun meget lidt om de processer, vores persondata anvendes i, og hvilke konsekvenser det har for vores hverdag. En anden udfordring er koblet til den digitale infrastruktur, som betyder, at offentlige services rykker over på private platforme eller udbydes som private tjenester. Væksten på disse private platforme er drevet af den personlige informationsøkonomi, hvor oplysninger om den enkeltes adfærd og præferencer udvindes og skaber nye markeder baseret på forudsigelser af menneskelig adfærd. De demokratiske implikationer af dette er uklare: stadig mere transparente individer og en stadig mere uigennemskuelig forvaltning; en økonomi baseret på at indsamle og kortlægge så meget data som muligt om hver enkelt person. Også her er det vigtigt at huske de principper, vores retsstat og demokrati er baseret på og føre dem videre ind i en ny, digital tid. Den enkelte persons kontrol over egne data er en væsentlig forudsætning for at bevare vores tillid til virksomheder og det digitale marked. Nye udfordringer EKSPONERET – grænser for privatliv i en digital tid præsenterer aktuelle danske og internationale udfordringer i en vidensbaseret og tilgængelig form. Bogen skal bidrage til at kvalificere, nuancere og problematisere de mange spørgsmål, der stilles til retten til respekt for privatliv og databeskyttelse og skabe udgangspunkt for at diskutere de risici og det potentiale, den digitale tidsalder rummer. Bogen indeholder i alt 15 bidrag, der behandler centrale problemstillinger om privatlivet og dets grænser. Bidragene er suppleret med faktasider, som kort beskriver de lovgrundlag, begreber og institutioner, der er væsentlige for bogens emner. Bogen er opdelt i fire temaer, der går i dybden med det offentliges brug af data, den kommercielle udnyttelse af personoplysninger, cybersikkerhed samt tilsyn og kontrolmekanismer. Hvert tema indledes med en kort introduktion til den overordnede pro9

Eksponeret.indd 9

19/03/2018 15.58

blemstilling om privatlivets grÌnser, som bidragene behandler, og til forfatterne. Rikke Frank Jørgensen & Birgitte Kofod Olsen, København maj 2018

Eksponeret.indd 10

19/03/2018 15.58

Har du husket at låse døren til internettet? Morten Rosted Vang Uden tillid til digitaliseringen og digitale løsninger får vi ikke skabt den nødvendige udvikling, og uden den rette digitale sikkerhed bliver tilliden hurtigt til mistillid. Og vi er bagud på point. Selvom vi er et af de mest digitaliserede lande i verden, er vi kun nummer 34 i digital sikkerhed1.

Det er kun 10 år siden, at den første smartphone kunne købes, og i dag har 88 % af danskerne en smartphone i lommen.2 Den teknologiske udvikling og udbredelse tager også syvmileskridt på andre områder og fører væsentlige ændringer af vores dagligdag med sig. Tænk bare på sociale medier og streaming af musik og tv. Og det sker konstant. Tal fra Danmarks Statistik viser3, at 86 % af unge danskere tjekker Facebook flere gange dagligt eller mindst én gang om dagen. 67 % er dagligt på Snapchat, en app, der blev lanceret for blot fem år siden. Det første billede blev delt på Instagram i 2010 – i dag tiltrækker tjenesten ca. 130.000 daglige brugere blandt danske unge. Vi er alle blevet digitale samfundsborgere. Som udgangspunkt skal vi kommunikere digitalt med offentlige myndigheder og betjene os selv digitalt. Også virksomhederne tager de digitale muligheder til sig, hvad enten der er tale om nye forretningsmuligheder eller smartere måder at gøre tingene på. Omkring 40 % af DI’s virksomhedspanel4 ser muligheder for, at nye teknologier som Internet of Things, big data og anvendelse af robotter kan skabe øget produktivitet og forretningsmuligheder for virksomhederne. Men vil vi udnytte mulighederne, hvis vi ikke har tillid til løsningerne og produkterne? Hvis vi frygter, at vores NemID bliver misbrugt, efter at 169

Eksponeret.indd 169

19/03/2018 15.58

vi har brugt det til at rette i vores forskudsopgørelse? Hvis vi er bange for, at vores kreditkortoplysninger stjæles, når vi handler på nettet? Hvis vi er usikre på, om vores personlige informationer og billeder deles med andre, end vi havde til hensigt, når vi bruger sociale medier eller e-handelsløsninger? Som forbruger vil man måske være mere varsom med at prøve en ny digital løsning af, hvis man har været udsat for cyberkriminalitet og digitalt misbrug, og en virksomhed vil måske fravælge en smartere digital løsning, hvis den to gange de sidste år er blevet ramt af ransomware-angreb. Mistillid til de digitale muligheder kan starte i det små, men ende med at være gift for digitaliseringen og udnyttelse af de digitale muligheder. Vi ved, at potentialet er stort i udnyttelsen af de digitale muligheder, men potentialet for at misbruge sårbarhederne er tilsvarende stort. Den grundlæggende problematik tager derfor udgangspunkt i vores altoverskyggende afhængighed af digitale data, netværk og tjenester – fra vores privatsfære over vores arbejdsliv til vores samfunds drift. I det store billede er afhængigheden kommet på ganske få år, og udfordringen er, at vi ikke har nået at tænke sikkerheden med på samme måde, som vi i dag gør det på eksempelvis transportområdet, og det har vi brug for, hvis vi skal skabe tryghed og tillid i en digital verden. Derfor bør man ikke tale om digital tillid uden at tale om informa­ tionssikkerhed og vice versa.

Verden er blevet farlig Når vores samfund er gennemdigitaliseret, og vi er et af de mest digitaliserede samfund i verden, er det en logisk konsekvens, at truslen mod tryghed i den digitale verden er mangeartet. Vælger vi at fokusere på virksomheder, kan vi ikke engang skære ned på antallet af trusler, for vi er ikke kun medarbejdere eller virksomhedsejere. Vi er også private individer og samfundsborgere, og der er ikke længere tale om en reel adskillelse af vores privatsfære og arbejdsliv i den digitale verden. Vi kan have en arbejdsgiverbetalt mobiltelefon, der både fungerer som arbejdstelefon og privat telefon. Vi arbejder hjemme 170

Eksponeret.indd 170

19/03/2018 15.58

og bruger wi-fi i hjemmet og måske også egne digitale enheder i form af tablets og computere til hjemmearbejde. Samtidig kan vi tjekke sociale medier, private mails osv. på arbejdspladsen. Så digitalt kan vi i de fleste tilfælde ikke se isoleret på henholdsvis vores arbejdsliv og privatliv i dagens Danmark, og det har betydning for de trusler, som vi skal forholde os til. Forsvarets Efterretningstjeneste har de seneste tre år5 placeret cybertruslen i top tre over de væsentligste trusler mod Danmark, og i den nye risikovurdering af truslen mod Danmark sættes cybertruslen endda over truslen fra Rusland og terror. Selvom cybertruslen for første gang er udpeget som den største trussel mod landets sikkerhed, er det ikke alene en udfordring, der skal løses af samfundet. Det er heller ikke en udfordring, der alene skal løses af virksomhederne, selvom eksempelvis over to tredjedele af danske virksomheder blev ramt af ransomware i 2016.6 Det er i høj grad også os selv som individer, der skal tage det første skridt i at håndtere truslen. Vi kan se, at det i en fjerdedel af tilfældene er en intern medarbejder, der bevidst eller ubevidst er skyld i brud på datasikkerheden hos virksomheder7, og samtidig afgiver vi ukritisk generelt vores personlige oplysninger på internettet i langt over halvdelen af gangene.8 Vi er derfor både som samfund, virksomheder og enkeltindivider løbende udsat for helt konkrete trusler i den digitale verden. Når vi ser på de angrebsmetoder, som cyberkriminelle og andre – i nogle tilfælde – statssponsorerede aktører anvender, står det klart, at alle veje ind til målet bliver undersøgt, og at det ofte er den korteste vej til målet, som bliver brugt. Og har man som privatperson eller virksomhed fulgt alle gode råd om informationssikkerhed, skal man kigge et led ud. For ens venner, bekendte, leverandører og samarbejdspartnere kan i stedet blive vejen ind for cyberaktørerne. På det helt simple niveau har vi alle prøvet at få mystiske mails fra venner og bekendte, når de er blevet udsat en computervirus, men det er også set, at leverandører bliver hacket for at åbne en vej ind til en anden virksomhed. Pointen er, at truslerne i den digitale verden spænder vidt. Truslen er mod samfundet som helhed, mod erhvervslivet og mod det enkelte individ, og selvom man som individ eller virksomhed er duksen i informationssikkerhedsklassen, kan man ikke hvile på laurbærrene, for man 171

Eksponeret.indd 171

19/03/2018 15.58

kan blive ramt gennem leverandører, samarbejdspartnere, venner og bekendte. Truslerne skal derfor tages alvorligt på alle niveauer og fra alle sider. I dag risikerer vi både at blive ramt af unge, uorganiserede hackere med aktivistiske motiver, af organiserede hackergrupper med politiske motiver, af enkeltstående cyberkriminelle, der køber hackerværktøjerne på nettet, af organiserede professionelle cyberkriminelle, der svindler eller truer sig til økonomisk udbytte, af statssponsorerede hackere, der udøver industrispionage og traditionel spionage, og af fremmede stater, der udfører cyberangreb med destruktive motiver. Kort sagt gennemsyrer truslerne mod informationssikkerheden vores dagligdag, og tilliden i den digitale verden er derfor meget skrøbelig.

Det skal gøre ondt, før det bliver godt Men er det ikke blot en masse konspirationsteoretikere, der råber ”ulven kommer”? Hvorfor skulle cyberkriminelle være efter mig? Og hvad sker der ved, at jeg bliver ramt af malware eller bliver hacket – jeg har jo ikke noget at skjule, og min virksomhed kan da umuligt være interessant for kriminelle? Man kan naturligvis godt blive overvældet af alle advarslerne og pressehistorierne og tænke, hvad sker der egentlig ved at blive ramt af et cyberangreb, og hvorfor skulle det ske for mig? Problemstillingen og en stillingtagen til investeringer i it-sikkerhed og databeskyttelse generelt kan på mange områder sidestilles med køb af forsikringer. Så længe man ikke får stjålet sin cykel eller andre værdigenstande, kan en indboforsikring se ud som spild af penge. Det er først, når uheldet er ude, at man værdsætter sin forsikring. På samme måde kan værdien af at prioritere it-sikkerhed og databeskyttelse tydeligst ses, når prioriteringen ikke har været stor nok, og virksomheden rammes af et cyberangreb eller brud på it-sikkerheden i det hele taget. Derfor er det også vigtigt, at virksomheder i stigende grad udviser åbenhed, når de rammes af et ransomware-angreb, er blevet hacket eller har mistet data. Tidligere har der været tradition for, at en ramt virksomhed gik meget stille med dørene. Åbenhed medfører en øget opmærksomhed på konsekvenserne af et cyberangreb, som giver os alle en konkret viden til bedre at kunne foretage en risikovurdering og til at tage 172

Eksponeret.indd 172

19/03/2018 15.58

de nødvendige it-sikkerhedsforholdsregler i den enkelte situation. Men åbenhed kan også skabe positiv opmærksomhed og ligefrem medvirke til at skabe mere omsætning for virksomheden. Det har eksempelvis været tilfældet med autovirksomheden RTT, der blev ramt af ransomware og fik krypteret sine filer. Virksomheden fortalte i medierne9 om angrebet, hvordan de håndterede angrebet, og på hvilken måde de har øget it-sikkerhedsforanstaltningerne i virksomheden. Også teleselskabet 3 og et flagskib i dansk erhvervsliv, Mærsk, har valgt at stå frem og fortælle om cyberangreb på deres virksomheder. I sidstnævnte tilfælde har den almene positive effekt af at være åben om angrebet været særlig stor, da det både viser, at alle kan blive ramt uanset størrelse, og at det kan have en voldsom økonomisk pris at blive udsat for et vellykket cyberangreb. Ifølge Mærsk selv var de direkte omkostninger som følge af cyberangrebet op imod 2 milliarder kroner10. Generelt set kan cyberangreb have store konsekvenser for den enkelte virksomhed. Der kan være tale om produktivitetstab, mens systemerne er utilgængelige, og man kan miste nye ordrer. Datatyveri kan betyde tab af forretningshemmeligheder, og hackere kan svindle eller true sig til penge fra virksomheden. En mere indirekte konsekvens kan være tab i form af mistet kundeloyalitet eller forringet omdømme. Endelig kan der være store omkostninger til reetablering af systemer og data, hvis der har været tale om et omfattende cyberangreb, ligesom virksomhedens forsikringspræmier kan stige på grund af cyberangrebet – hvis man har valgt at forsikre sig. Der findes mange forskellige vurderinger af, hvad det helt konkret koster en virksomhed at blive ramt af et cyberangreb i kroner og øre. Alt fra 2,5 milliarder kr., som Yahoos salgspris11 i 2016 faldt med som følge af to hackerangreb, til sikkerhedsfirmaet Kasperskys12 vurdering af, at gennemsnitsomkostningerne ved et hackerangreb for en stor virksomhed er 5,7 millioner kr. I en dansk kontekst indikerer undersøgelser, at hver tredje danske virksomhed, der rammes af et cyberangreb, har følgeomkostninger på over en million kr.13 Når persondataforordningen får virkning den 25. maj 2018, kommer der et nyt aspekt i følgeomkostningerne af et cyberangreb. Mister virksomheden registrerede personoplysninger, og kan det påvises, at sikker173

Eksponeret.indd 173

19/03/2018 15.58

hedsbruddet er sket pga. utilstrækkelige it-sikkerhedsforanstaltninger, kan virksomheden idømmes bøde under persondataforordningens regler, hvor bødestørrelsen går op til 70 mio. kr. eller 2 % af koncernens globale omsætning – alt afhængigt af hvad der er højest. Så databeskyttelse og privatlivsbeskyttelse har på mange måder en tæt relation til it- og cybersikkerhed. Og så har vi alene fokuseret på konsekvenserne for den enkelte virksomhed. Derudover er der konsekvenserne for tilliden til samfundets bærende funktioner som betalingsinfrastruktur, digital kommunikation med det offentlige og til udnyttelse af de digitale vækstmuligheder. Og cyberangreb på samfundsniveau kan have mange konsekvenser. Danmark kan stå uden mobilkommunikation eller internetforbindelse, dele af eller hele landet kan være uden strøm, betalingskort vil ikke fungere, og vandforsyningen kan påvirkes. Men der er også en risiko for, at der sker cyberangreb på samfundsvigtige funktioner af mere destruktiv karakter med død, personskade, skade på fysiske objekter, ødelæggelse eller forandring af samfundsvigtige data og software eller store økonomiske konsekvenser til følge. Center for Cybersikkerhed har i juli 201714 vurderet, at risikoen for, at danske myndigheder og virksomheder rammes af destruktive cyberangreb, er vokset.

Sikkerhed ind med modermælken Trusselsbilledet er et udtryk for, at vi som individer, virksomheder og som samfund i stadig større omfang udnytter digitaliseringens muligheder og potentiale og derfor i højere og højere grad flytter vores sårbarheder og afhængigheder til en digital kontekst. Afhængigheden er stigende, og truslerne er voksende. Det ville derfor være rationelt, at vi i samme omfang prioriterer sikkerheden i vores digitale relationer, værdier og værktøjer. Både som privatpersoner og virksomheder er vi som udgangspunkt vant til sikkerhed i den fysiske verden. Vi låser døren, når vi forlader hjemmet, virksomheder har videoovervågning af deres lager, og nogle har også valgt at have alarmer eller vagtordninger. Realiteten er, at vi ikke med samme naturlighed tænker sikkerhed i den digitale verden og derfor ikke agerer sikkert som udgangspunkt. 174

Eksponeret.indd 174

19/03/2018 15.58

Et eksempel er, at mange ikke konsekvent opdaterer deres programmer og systemer, når der er opdateringer parat. Det er en simpel aktivitet, der har stor effekt på, hvorvidt man fx rammes af malware. Scanning for kendte sårbarheder står på side 1 i hackerhåndbogen, og sørger man for, at programmer og systemer altid er opdateret, er man i mange tilfælde ikke længere i den umiddelbare farezone. Så hvorfor er der ikke flere, der sørger for, at deres programmer altid er opdaterede? Det er kendt viden, at omkring 8 ud af 10 cyberangreb kunne være undgået, hvis nedenstående fire simple råd15 blev fulgt: 1. Udarbejdelse af positivliste over godkendte programmer for at forhindre kørsel af ondsindet eller uønsket software 2. Opdatering af programmer som fx Adobe Reader, Microsoft Office, Flash Player og Java med seneste sikkerhedsopdateringer 3. Opdatering af operativsystemer med seneste sikkerhedsopdateringer 4. Begrænsning af antallet af brugerkonti med domæne- eller lokaladministratorrettigheder. Passwords er relevante for alle – både privat og i erhvervsmæssig henseende. Vi kan se, at 81 % af hackerrelaterede sikkerhedsbrud skyldes stjålne og/eller svage kodeord16. Vi kan desuden se, at det også har stor betydning, at ens password er langt. Særligt et password på 12 tegn er stærkt. Ved brug af rå computerkraft tager det en standard-pc ca. 8 dage at knække et kodeord på 7 tegn, 208.000 år at knække et kodeord på 10 tegn og 2 milliarder år at knække et kodeord på 12 tegn. Er det et mellemstort botnet, der forsøger at knække et kodeord på 7 tegn, tager det kun 1 sekund. Er kodeordet på 10 tegn, tager det 6 dage, mens et kodeord på 12 tegn vil være modstandsdygtigt i 2.000 år over for et mellemstort botnet17. Så hvorfor er der så mange, der har svage passwords, sjældent skifter dem og gerne genbruger dem på tværs af sociale medier, mailkonti og systemadgang på arbejdet? Svaret på begge spørgsmål er, at vi ikke har fået skabt en tradition for ikke at gøre det. Det ligger ikke i vores DNA at tage sikkerhed i den digitale verden alvorligt på samme måde som i den fysiske verden. Så 175

Eksponeret.indd 175

19/03/2018 15.58

vi har brug for at skabe en it-sikkerhedskultur, der eksempelvis vil gøre opdateringer og sund passwordanvendelse til naturlig adfærd på samme måde som at låse sin hoveddør i den fysiske verden. Det er naturligvis lettere sagt end gjort, men man kan inspireres fra andre sektorer – fx transportsektoren. En køretur fra Aarhus til København ville ikke være det samme, hvis vi havde en transportsektor uden sikkerhedsforståelse. Eller med andre ord: hvis vi ikke havde vedligeholdelse af vejene, trafiklys, hastighedsbegrænsning og andre færdselsregler, sikkerhedsseler og airbags i bilerne, NCAP-crashtest af biler, obligatorisk bilsyn, krav om kørekort, cykelprøve i skolerne, og hvis vi ikke fra en tidlig alder lærte vores børn at færdes sikkert i trafikken. Tager vi fat i transportsektoren som forbillede eller inspiration for den digitale verden, er sikkerheden indarbejdet i designet, lovreguleret, understøttet gennem samfundsmæssige infrastrukturelle investeringer. Sikkerheden er et parameter hos forbrugeren, leverandøren, myndigheden, politikeren og i trafikkulturen. Transportsektoren har en stærk sikkerhedskultur, som man kunne lære af, når der skal opbygges en stærk sikkerhedskultur i den digitale verden. At skabe en it-sikkerhedskultur kræver en flerstrenget indsats lige fra generel information og digital dannelse i folkeskolen over indførelse af sikkerhed gennem design og via standardindstillinger i digitale systemer og løsninger til et samfundsmæssigt fokus på forsvar mod cyberangreb. Det kan lyde gennemgribende, men det handler grundlæggende om, at når vi er på internettet, er situationen lidt den samme som at stå i en tætpakket bus i København eller gå på Strøget i turistsæsonen. Vi skal ikke lade være, men det er en god ide at have sin pung i forlommen i stedet for i baglommen.

Fremtidens trusler bliver skabt i dag Det vil være rettidig omhu for virksomheder at have processer på plads til at vurdere, hvilke trusler der kommer til at dominere i morgendagens digitale verden. Tendenserne lige nu peger i retning af, at ransomware-angreb, hvor virksomhedens data krypteres og kun frigives for en løsesum, er den hyp176

Eksponeret.indd 176

19/03/2018 15.58

pigst forekommende form for cyberangreb. På et enkelt år er antallet af ransomware-angreb tredoblet. Samtidig vurderer NC318 (politiets cybercrime-enhed), at hackerbaseret svindel som CEO-fraud og invoice-fraud, hvor medarbejdere narres til at overføre store beløb til hackernes konti, er i kraftig vækst. Også bødestørrelserne ved overtrædelse af persondataforordningen kan fra maj 2018 give anledning til afpresning, hvis hackere tilegner sig oplysninger om en virksomheds regelbrud i behandlingen af persondata. Kigger vi lidt længere frem, kommer sikkerhedsudfordringer knyttet til Internet of Things (IoT) i søgelyset, hvor produkter, der ikke normalt er internetforbundne, nu bliver det. Eksempler er alt fra smart-tv og køleskabe til printere. I 2017 kom det eksempelvis frem, at en bestemt type professionel opvaskemaskine havde en usikkerhed, der muliggjorde hackerangreb på tilkoblede netværk. Med store nye digitale potentialer i alt fra kunstig intelligens til IoT kan mistillid til disse nye forbundne produkter have store omkostninger. Og i efteråret 2016 blev almindelige elektronikenheder koblet til internettet (eller smartenheder) som fx babyalarmer, dvd-afspillere og printere ejet af private eller små virksomheder misbrugt til et storstilet DDoS-angreb, der gjorde store serviceudbydere som Netflix, Amazon, Paypal og Twitter utilgængelige. Også hybride servermiljøer og mangel på sikkerhedsstrategier for mobile enheder udgør i den nære fremtid trusler mod sikkerheden i den digitale verden. Men den bedste viden om de cybertrusler, der kommer, vil være at se på i dag. Så længe vi ikke har en etableret it-sikkerhedskultur, skaber vi fremtidens trusler nu. Det gør vi især, hvis vi ikke medtænker sikkerhed, når vi udvikler nye produkter, og de eksempelvis er svære at opdatere eller ikke giver mulighed for individuelle sikkerhedsindstillinger. Og det gør vi også, når vi ikke prioriterer it-sikkerhed i virksomhedernes ledelse eller ikke får uddannet nok af de it-specialister, som det ifølge Erhvervsstyrelsen forventes at vi kommer til at mangle 19.000 af i 2030. Tryghed og tillid i den digitale verden kræver også, at vi udnytter de muligheder for at styrke it-sikkerheden, som allerede eksisterer. Et eksempel er DMARC og DNSSEC, der kan forhindre misbrug af ens maildomæne og af ens hjemmesidedomæne. 177

Eksponeret.indd 177

19/03/2018 15.58

I øjeblikket er det en mulighed, at begge sikkerhedsforanstaltninger bliver tilknyttet ens hjemmesidedomæne og maildomæne. Hvis den strukturelle it-sikkerhed skal skærpes – så it-sikkerhed på den generelle infrastruktur og de mest udbredte løsninger ikke er et tilvalg, men et udgangspunkt – bør det overvejes, at eksempler som DMARC og DNSSEC bliver obligatoriske dele af løsningerne i stedet for bare en mulighed. Vejen frem mod større sikkerhed for virksomheder i den digitale verden er altså en udbredelse af basale it-sikkerhedsløsninger, etablering af en it-sikkerhedskultur og en prioritering af strukturel it-sikkerhed, der gør sikkerhed til en integreret og naturlig del af vores digitale verden – ligesom det er det i den fysiske verden.

Databeskyttelse og beskyttelse mod cybertrusler – to alen af et stykke Der er et grundlæggende interessesammenfald mellem beskyttelse mod cybertrusler og databeskyttelse i virksomheder. Når vi taler om EU’s persondataforordning, handler databeskyttelse først og fremmest om beskyttelse af den registreredes oplysninger og behandlingen af disse i virksomheden, mens beskyttelse mod cyberangreb handler om beskyttelse af alle virksomhedens data og systemer. Der er således både et overlap i data og et fælles formål om at beskytte data, selvom fokus er forskelligt – henholdsvis på virksomhedens data og på den registreredes data. For virksomheden er det vigtigt i begge tilfælde, at der er overblik over, hvilke data virksomheden behandler, hvor data befinder sig, og hvem der har adgang til dem. Samtidig har det betydning, hvilke typer eller kategorier af data der er i virksomheden, og hvilken klassifikation data har. Det helt afgørende interessesammenfald er, at det er vigtigt i begge tilfælde, at kun de aktører, som det er tiltænkt, har adgang til virksomhedens systemer og data. Og det kræver tilstrækkelige it-sikkerhedsforanstaltninger. Når vi taler it-sikkerhed, kan det som nævnt være svært at prioritere det tilstrækkeligt, fordi betydningen af manglende it-sikkerhed først viser sig, når det er gået galt – forsikringsanalogien. Det er med andre ord op til virksomheden selv at foretage risikovurderingen og den konkrete prioritering af virksomhedens it-sikkerhed. Det kommer til at ændre sig, når persondataforordningen er gældende, og virksomheden kan 178

Eksponeret.indd 178

19/03/2018 15.58

idømmes bøde for utilstrækkelig it-sikkerhed, hvis der er sket et brud på databeskyttelsen, og den registreredes personoplysninger er kommet i de forkertes hænder. I det tilfælde er det op til Datatilsynet at vurdere, hvorvidt virksomhedens it-sikkerhedsforanstaltninger er tilstrækkelige, og har vurderingen et negativt udfald, er det som tidligere nævnt persondataforordningens sanktioner med en bøderamme på op til 70 mio. kr., som bliver aktiveret. Det er det negative perspektiv, som naturligvis er et incitament i sig selv til at have fokus på it-sikkerhed i virksomheden, men der er også mere positive incitamenter. At få styr på sine data, systemer og processer, både når man arbejder med databeskyttelse og it-sikkerhed, kan give virksomheden mere strømlinede processer og altså mere effektivitet, men også nye forretningsmuligheder gennem bedre kendskab til data i virksomheden. Og frem for alt skaber det tillid hos virksomhedens kunder og samarbejdspartnere, hvis virksomheden aktivt beskytter personoplysninger og prioriterer den nødvendige it-sikkerhed. Udfordringen i forhold til sidstnævnte er, at it-sikkerhed ikke er en statisk størrelse. Den rigtige it-sikkerhed er en it-sikkerhed i balance mellem de konkrete risici, den fornødne brugervenlighed og en it-sikkerhedskultur i organisationen, der prioriterer indsatsen.

Den digitale detektiv og den bevidst sikre virksomhed Trusler i den digitale verden er et mangehovedet uhyre, som virksomhederne ikke alene kan bekæmpe. Hvis vi hæver perspektivet højt over hovedet, er der i hvert fald tre indsatsområder, der kan gøre en forskel: internationalt samarbejde, mere cyberpoliti og sikkerhed ud af teknikerrummet og op til ledelsen som en del af forretningen. Digital Genève-konvention Digitaliseringen har ikke bare gjort vores verden digital og skabt en række nye forretningsmuligheder. International politik er også blevet digital, og når vi oplever statssponsorerede cyberangreb på virksomheder og hacking af valgprocesser, der kan destabilisere tilliden til demokratiet, har det aktualiseret behovet for et stærkt internationalt regelsæt for nationalstaters ageren på det digitale område. 179

Eksponeret.indd 179

19/03/2018 15.58

Krig, efterretningsvirksomhed, meningsdannelse og ytringsfrihed har fået nye digitale former, hvor grænsen mellem stater, virksomheder og individer er blevet mere flydende i den digitale internationale verden. Der er derfor brug for en digital Genève-konvention, der skal beskytte borgere og virksomheder mod en ny tids digitale trusler. Ligesom den nuværende Genève-konvention beskytter civile mod nationalstaterne i krigstid, kan en ny digital Genève-konvention give beskyttelse mod digitale angreb på civile og virksomheder i fredstid. I forhold til erhvervslivet er der behov for beskyttelse af de virksomheder, der gennem digital infrastruktur, digitale platforme, styresystemer og datacentre leverer rygraden i den digitale økonomi m.m. Ligeledes bør det brede erhvervsliv beskyttes mod digital industrispionage. Og de første skridt er taget. I 2015 indgik Kina og USA en aftale om, at de to lande ikke ville udføre eller støtte cybertyveri af intellektuelle rettigheder. En sådan international digital konvention – som foreslået af blandt andet Microsoft – vil skabe øget tryghed i det digitale samfund og revitalisere internationalt samarbejde på et højaktuelt politikområde. Samtidig vil det være en fordel for en småstat som Danmark, at der er juridiske rammer for staters adfærd i den digitale verden.

Styrket bekæmpelse af cyberkriminalitet Populært sagt er det kun de dumme kriminelle, der laver traditionel kriminalitet og ikke cyberkriminalitet. Kombinationen af et hurtigt og stort udbytte med en lav opdagelsesrisiko ligger bag den voldsomme stigning i cyberkriminalitet, som vi har set de seneste år. Men når kriminaliteten i højere og højere grad bliver digital, må virksomhederne også kunne forvente, at politiet følger op med retsbeskyttelse, håndhævelse og bekæmpelse på cybersikkerhedsområdet. Virksomhederne skal kunne forvente, at politiet handler, når de anmelder cyberkriminalitet, og at cyberkriminelle skal se sig over skulderen efter politiet. Der er derfor brug for flere efterforskningsressourcer til politiets bekæmpelse af cyberkriminalitet og håndhævelse af retstilstanden – også i den digitale verden. Samtidig er vi også nødt til at se på, om politiet 180

Eksponeret.indd 180

19/03/2018 15.58

har de rigtige værktøjer til at bekæmpe kriminalitet i den digitale verden frem for den analoge verden. Og her er der ikke lette løsninger, men tværtimod dilemmaer. Vil vi fx have mere cybersikkerhed, hvis det kræver mere overvågning? Retssikkerheden må ikke udhules, og sagen kan fx blive sat på spidsen i forbindelse med omfanget af logning af tele- og datatrafik, af adgang til individers profiler på sociale medier eller krav om bagdøre til kryptering.

It-sikkerhed som aktivt dansk konkurrenceparameter Danske virksomheder, der aktivt prioriterer it-sikkerhed og databeskyttelse, kan også potentielt anvende sikkerhed som et konkurrenceparameter – det gør, at virksomheden berettiget fremstår tillidsvækkende, troværdig og kompetent i sammenligning med andre virksomheder. It-sikkerhed er allerede et vitalt konkurrenceparameter for danske virksomheder, men vi skal gøre en dyd ud af nødvendigheden og aktivt agere efter, at it-sikkerhed skal være en dansk styrkeposition, så dansk it-sikkerhed optimalt kan træde i dansk designs fodspor og blive et efterspurgt varemærke. Der er brug for en central prioritering af midler til en bred indsats for at løfte kompetencer, beredskab og innovative it-sikkerhedsløsninger ved eksempelvis: • • • • •

Fokus på digital dannelse i uddannelsessystemet Uddannelse af flere it-specialister Øget forskning på cyberområdet Bedre varsling om cyberangreb til virksomhederne Identifikation af og satsning på de nicher, hvor danske virksomheder kan blive førende på it-sikkerhedsområdet.

En kultur for mere cyber i sikkerheden Samlet set er vores største aktuelle udfordring, når vi taler om informationssikkerhed, it-sikkerhed og cybersikkerhed, skabelsen af en kultur, der har mere cyber i sikkerhedsforståelsen. Når truslerne og vores afhængigheder i større og større omfang flyttes fra den fysiske til den digitale verden, skal vores sikkerhedsforståelse også digitaliseres. 181

Eksponeret.indd 181

19/03/2018 15.58

Det er en udfordring for både samfund, virksomheder og individer. Uden en it-sikkerhedskultur, der reducerer den menneskelige faktor i it-sikkerhed, prioriterer både it-sikkerhedsløsninger og sikkerhed i it-løsningerne samt skaber digital dannelse, bliver truslerne ikke færre, men flere. For første gang nogensinde har Forsvarets Efterretningstjeneste udpeget cybertruslen som den største trussel mod Danmark. Det er næppe en overraskelse, at truslen fra cyberspionage, cyberkriminalitet og hackerangreb er høj, set i lyset af de mange cyberangreb og deres store konsekvenser bare det seneste år. Men når Forsvarets Efterretningstjeneste gør cybertruslen til den største trussel, er der grund til at være særligt opmærksom. Forsvarets Efterretningstjeneste baserer nemlig deres risikovurdering på konkrete efterretninger, som andre sjældent har adgang til. Det er derfor vigtigere end nogensinde med en central plan for, hvordan vi styrker cybersikkerheden for hele Danmark, hvis vi skal bevare tilliden til de digitale løsninger og fastholde modet til at udnytte de digitale muligheder til at skabe vækst og forretningsudvikling. 1

International Telecommunication Union (ITU), ”Global Cybersecurity Index 2017”.

2 https://www.dr.dk/nyheder/viden/10-aar-med-iphone-i-dag-har-naesten-alleen-smartphone-i-lommen. 3

It-anvendelse i befolkningen, Danmarks Statistik, november 2016.

4

http://di.dk/SiteCollectionDocuments/Digitaliseringsindsatsen/ Virksomheder%20h%C3%B8ster%20de%20lavth%C3%A6ngende%20 digitale%20frugter.pdf.

5

Forsvarets Efterretningstjenestes årlige risikovurdering 2015, 2016 og 2017. https://fe-ddis.dk/SiteCollectionDocuments/FE/ EfterretningsmaessigeRisikovurderinger/Risikovurdering2017.pdf.

6 https://www.pwc.dk/da/nyt/publikationer/cybercrime-survey-2016.html. 7

Verizon Data Breach Investigations Report 2017.

8

Danmarks Statistik ”it-anvendelsen i befolkningen 2016”.

9 http://di.dk/dibusiness/nyheder/Pages/Den-dag-cyberkriminelle-laaste-allefilerne-hos-RTT.aspx. 10 https://www.business.dk/transport/maersk-ramte-af-flere-cyberangreb-iefteraaret.

182

Eksponeret.indd 182

19/03/2018 15.58

11 https://finans.dk/investor/ECE9382083/hackerangreb-skaerer-millardbeloebaf-yahoos-salgspris?ctxref=ext. 12 Measuring the Financial Impact of IT Security of Businesses, Kaspersky, 2016. 13 https://www.pwc.dk/da/nyt/publikationer/cybercrime-survey-2016.html. 14 https://fe-ddis.dk/cfcs/nyheder/arkiv/2017/Pages/ Destruktivecyberangrebkanrammedanskevirksomhederogmyndigheder.aspx. 15 https://www.asd.gov.au/infosec/top-mitigations/top-4-strategies-explained. htm; https://fe-ddis.dk/cfcs/publikationer/Documents/Cyberforsvar%20 der%20virker%20-%202017_110117.pdf; https://www.computerworld.dk/ art/236848/fe-chefens-bedste-sikkerhedsr-d-disse-fire-skridt-reducerer-dinrisiko-med-80-procent?utm_source=RSS&utm_medium=RSS&utm_ campaign=RSS. 16 Verizon Data Breach Investigations Report 2017. 17 Passwordvejledning, Center for Cybersikkerhed, september 2016. 18 http://publikationer.di.dk/dikataloger/752/ DI Business, februar 2017.

Eksponeret.indd 183

19/03/2018 15.58