Indberetninger af databrud kan og skal udnyttes bedre

I Danmark går vi glip af store mængder vigtig viden vedrørende sikkerhedshændelser. Med konkrete tiltag kan der sikres større indsigt og bedre anvendelse af data, så it-sikkerheden fremadrettet styrkes, skriver Thomas Aschengreen fra IT-Branchen i dette synspunkt.
Brødtekst

Siden maj 2018, hvor databeskyttelsesloven trådte i kraft, har Datatilsynet modtaget over 18.000 indberetninger om databrud. Dermed er det kun Holland og Irland i Europa, som modtager flere indberetninger pr. indbygger end Danmark.

Det er selvfølgelig et tal der dækker over uønskede databrud, men også noget, som kan vise sig som et stærkt og vigtigt våben mod fremtidige databrud, hvis vi altså bruger disse indberetninger rigtigt og effektivt. Desværre er dette ikke tilfældet.

IT-Branchen og Rådet for Digital Sikkerhed foreslår derfor i et nyt indspil, at der i forbindelse med den kommende Strategi for Cyber- og Informationssikkerhed igangsættes et arbejde, der skal sikre, at indberetninger om hændelser til bl.a. Datatilsynet samt Politiets Landsdækkende center for it-relateret økonomisk kriminalitet (LCIK) kan systematiseres og anvendes til at øge vores viden om sikkerhedshændelser. 

Med initiativet ønsker man at gøre det klart, at der rent faktisk ligger en enorm mængde værdifuld, data og viden tilgængeligt, der ikke udnyttes optimalt i dag. Viden som skal bearbejdes og anvendes bedre end det gøres i dag, så både myndigheder og virksomheder kan stå stærkere overfor cybertrusler.

Seks anbefalinger

For at sikre at vi får bragt al denne data i spil, er der i initiativet udarbejdet seks konkrete anbefalinger.

1. Brugbar tilbagemelding til dem, som foretager indberetning
De, der indberetter data, har generelt en oplevelse af, at dataene sendes ind i et sort hul, fordi der ikke kommer en tilbagemelding fra myndigheden, om data overhovedet er blevet brugt, til hvad de er blevet brugt, og om virksomhedernes bidrag på nogen måde har gavnet.

Der bør derfor ske en fornuftig tilbagemelding til de aktører, der bruger tid på at indsamle data og indberette disse. På den måde sikrer man et incitament til flere indberetninger.

2. Et overblik over myndigheder dannes
Der er behov for at, der bliver skabt et overblik over alle de forskellige kilder, hvor der indberettes og deles oplysninger om sikkerhed til og med offentlige myndigheder. Dette inkluderer f.eks. Datatilsynet, LCIK, Finanstilsynet og DCIS-samarbejdet. Ellers forsvinder alt for meget brugbar information i lukkede systemer.  

3. Data skal systematiseres
Der bør etableres en række datavarehuse, hvor al data fra kilderne kan samles og systematiseres. Datavarehusene bør placeres hos den pågældende dataejer for at sikre bedst mulig kvalitetssikring og anvendelse af data.

4. Normalisering og anonymisering af data igangsættes
For at sikre flere indberetninger, og for at gøre bedre brug af de indberetninger som allerede modtages, bør der igangsættes en indsats, som skal normalisere, anonymisere og udstille de indsamlede data, så de kan komme flest muligt til gavn. 

På denne måde kan initiativet være første led i etablering af en egentlig hændelsesdatabase.

5. Hjemmel sikres
Der bør igangsættes et arbejde, der skal sikre, at der er hjemmel til at anvende de indberettede data i denne sammenhæng og udstille dem i anonymiseret form. 

6. Kan der stilles mere præciserende spørgsmål ved indberetning?
For at øge værdien af de indsamlede data bør man undersøge, om indberetningsskemaerne skal revideres, så der i højere grad indsamles data, der giver værdi til virksomhedernes og myndighedernes indsats for bedre sikkerhed.

Det kan f.eks. være yderligere oplysninger om sikkerhedshændelsen i form af tidsstempler, IP-adresser og anvendt skadelig kode, hvad der forsagede den og hvilke sikkerhedsforanstaltninger man har anvendt.