BLOGGPOST
CYBER SECURITY

"9 GDPR-myter avslöjade" - min analys

De ökade kraven på datasäkerhet engagerar, lyfter fram digitalsamhällets möjliga svagheter, stressar och skrämmer. I CIO Swedens artikel från den 14 augusti, ”9 myter om GDPR avslöjade”, vill man sticka hål på de myter som florerar kring GDPR, den nya EU-lagen för dataskydd. Som Cyber Security-expert och GDPR-specialist vill jag passa på att kommentera artikeln och bidra till debatten kring vad som är myter och inte.

ÄNTLIGEN börjar alla råd, tips och försök till att försöka möta myterna kring GDPR för att få en mer realistisk och sansad tolkning/ton. Hatten av till IDG:s journalist Lars Danielsson! Jag håller med Lars om att man bör ha koll på detta. Min krassa erfarenhet är att näringslivet är de som har den största kollen idag, om än i vissa udda fall, en koll som gör att de spelar rysk roulett med GDPR och dess konsekvenser av att inte leva i enlighet med samma lag. Min erfarenhet är även att många myndigheter som i skattebetalarens/medborgarens ögon bör ha mest koll inte riktigt har det än. Jag vill betona att jag inte källkritiskt kontrollerat själva statistiken i den länkade artikeln kring Sveriges komplettering kring GDPR, men vill nog påstå att det finns en smärtsam "nära nog- sanning" i siffrorna sett till myndigheterna och deras koll på GDPR.

Läs labcenters artikel om den svenska kompletteringen kring GDPR här. 
Läs Lars Danielssons artikel här om du inte redan gjort det!

Låt mig då försöka kommentera Lars Danielssons 9 GDPR-myter mer i detalj.

Myt 1: GDPR är som år 2000
Helt rätt analyserat av Danielsson. GDPR är inte en Y2K-bugg som är over-and-done with när den 25 maj 2018 är här. Inte heller när ni gjort er första konsekvensanalys, köpt på er dyr datasäkerhet, går det att luta sig tillbaka och skörda frukterna av ert arbete. Vi måste förstå att detta är en lag/förordning som kommer att leva med oss – länge. Dock kommer den att ändras och semantiskt/juridiskt kommer den att författas om efter hand. Ny praxis, domar och annat, vilket kommer att bli relevant för efterlevnaden från det offentliga, näringslivet och för individen. Alltså kommer konsekvenserna, som vi ser på dem nu, inte se ut så här långsiktigt. Utmaningen för mig och mina kolleger på Sogeti är just att hjälpa kunderna långsiktigt. Att planera i de obligatoriska konsekvensanalyserna utifrån just detta – långsiktigheten som ett faktum. Jag förutsätter att samma angreppssätt gäller för mina andra kolleger i andra bolag.

Myt 2: Ingen kommer att bli bötfälld
Någon kommer att bli bötfälld, var så säker. Lars Danielsson gör en helt korrekt analys, som jag tolkar det. Datainspektionen, DI, har redan en lista, enligt min spekulation, över de som borde stå på en svart lista och som sannolikt har ett nedslag att vänta kopplat till GDPR och personlig information. Om det är samma bolag/myndigheter eller där tillhörande som leker rysk roulett med GDPR låter jag Datainspektionen svara på. ”Ingen minns en fegis” är en militär devis, men i detta fall stämmer det med en twist – ingen kommer glömma en GDPR-chansare.

Myt 3: Alla kommer att få böta fyra procent
Myt 4: Det är lugnt så länge inget intrång skett
Myt 5: Det blir bara böter på två procent om intrång skett
Här vill jag försöka ge min syn på genom att kommentera både myterna 3, 4 och 5. Mycket riktigt är det en fråga om vilka ansvar man har, vilka åtgärder man tagit, vilket skydd man har, vad branschen som man verkar inom har för code of conduct (vilken också spelar in), och hur man efterlever densamma. Det beror också på vad man borde ha gjort, vad man borde ha förstått, sett till det som är värt att skyddas. Så med detta sagt kommer någon få betala 2%, någon får betala 4%, någon kommer inte att få betala någonting alls då man efterlever GDPR enligt konstens alla regler, men ändå råkar ut för ett intrång. Och några verksamheter kommer att anlita stjärnjurister som hittar kryphål och tolkningar. Sannolikt kommer man då från juridiskt håll att försöka ”täppa till” för att åtgärda detta.

Summa summarum. Vite blir det, överklagningar blir det, utredningar kommer följa på utfall, och praxis kommer att etableras. Men frågan är om man som företag eller myndighet vill ha en approach kopplat till GDPR och synliggöras som en verksamhet som leker rysk roulett med denna förordning snarare än investerar en bråkdel av dyra vitekostnader och konsulterar riktiga experter. Dessa kommer att göra så att man efterlever lagen och kan skylta till marknaden att man gör just det – är ”GDPR compliant”. Min högst personliga tolkning och analys är att det kommer dyka upp ”Svanenmärkning” kopplat till detta. Du hittar hemsidor och reklam med just detta; GDPR märkning/certifikat i enlighet med ISO 27000 m.fl.

Myt 6: Alla intrång måste rapporteras inom 72 timmar
Lars Danielsson har rätt. Bara intrång eller dataläckage (breaches) som gäller persondata behöver rapporteras. Och om man för sin verksamhet utför sin konsekvensanalys rätt torde detta vara tämligen självklart. det vill säga vad som måste rapporteras och inte. Tyvärr speglar inte verkligheten experternas syn på detta, än mindre lyssnar man till dem.

Myt 7: Det är bäst att inte rapportera intrång
Tillåt mig hänvisa till Transportstyrelsen för vidare kommentar om hur ”stoppa huvudet i sanden”-taktik fungerar i praktiken. Likt mycket annat – sanningen kommer göra er fria och den kommer alltid fram. Dålig personalpolitik är en akilleshäl sett till visselblåsare. Hörde jag NSA någon?

Myt 8: Man måste kryptera allt
Här använder sig Lars Danielsson av summeringen ”det beror på” som legitimerar mitt jobb inom Sogeti. Detta är den vanligaste frasen i dessa dagar kopplat till GDPR och vilken gör att mitt råd verkligen är att KONSULTERA EN EXPERT innan exkrementet träffar fläkten, för helt riktigt, det beror på vilken information vi pratar om. Och det måste redas ut på ett korrekt sätt i annat fall än att man vill att DI kommer och knackar på dörren.

Myt 9: Man kan outsourca GDPR-ansvaret
Sant! Det går att outsourca. Men långt ifrån allt. ANSVAR går inte att outsourca, så se till att outsourca med omsorg. Kanske är att skaffa en tjänst som Security Operation Center ett alternativ som många bör överväga. Sett till kostnad så ja, den är dyr. Men inte i jämförelse med vad krisen kostar. Igen, fråga Transportstyrelsen. En korrekt utförd konsekvensanalys bör också kunna vara på frågan om det går, i det fall man har skyddsvärdinformation. Här skiljer vi agnarna från vetet i min bransch. Det finns inte omöjliga scenarier, utan maskerade möjligheter, som vi behöver förhålla oss till på ett innovativt sätt.

Avslutningsvis vill jag försöka förmedla något som också verkar fallit från ledningsrummets mötesbord – juridiken (GDPR i detta fall) är inget hinder, utan en möjliggörare. Försök att simma emot strömmen för all del. Men ingen kommer glömma försöket kopplat till GDPR när det kostar enorma summor om man leker rysk roulett med denna förordning. Använd experter, och simma medströms, så kommer den 25 maj 2018 bli bara ännu en dag på jobbet. Någon mycket duktig på säkerhetsområdet sa en gång, säkerhet är inget du har, utan något du gör. Gör rätt, gör det nu.

Robert Willborg

todo todo
KONTAKTPERSON
  • Robert Willborg
    Robert Willborg
    Cyber Security-expert
    076-128 71 77