Låge nr. 5

The basics: Hvornår er der sket et sikkerhedsbrud?

Hvad er et brud på persondatasikkerheden?

Et brud på persondatasikkerheden er i databeskyttelsesforordningens artikel 4, nr. 12, defineret som et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Det er derfor alene de sikkerhedshændelser, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er omfattet af databeskyttelsesforordningens definition af et brud på persondatasikkerheden. En sikkerhedshændelse vil derfor ikke altid være et brud på persondatasikkerheden, hvorimod det omvendte altid vil være tilfældet.

Som et eksempel kan nævnes flere forgæves forsøg på log-in, som vil være at betragte som en sikkerhedshændelse, uden at der samtidig er tale om et decideret brud på persondatasikkerheden.

Læs mere i Datatilsynets vejledning til håndtering af brud på persondatasikkerheden her.

 

Totale sikkerhedsbrud fordelt på hændelsestyper (2020/2021)

* Datagrundlaget for diagrammet er anmeldelser om brud på persondatasikkerheden fra uge 17 (2020) frem til uge 44 (2021). Årsagen til starttidspunktet er, at Datatilsynet fra uge 17 i 2020 begyndte at klassificere anmeldelserne i bestemte  hændelsestyper.

Når Datatilsynet visiterer og vurderer de modtagne anmeldelser om brud på persondatasikkerheden, bliver hver enkelt anmeldelse – og dermed hver enkelt hændelse – klassificeret i en eller flere typer. På den måde kan vi danne os et overordnet billede af de mest typiske sikkerhedshændelser.

Ovenfor ses en fordeling af de modtagne anmeldelser i de forskellige typer. En anmeldelse kan falde i flere kategorier på samme tid, ligesom der findes typen "Andet", der bruges til de anmeldelser, der ikke falder i en eller flere af de øvrige kategorier.

I første halvår af 2021 modtog Datatilsynet 4131 anmeldelser om brud på persondatasikkerheden.

I 2020 blev der i øvrigt anmeldt næsten 9000 sikkerhedsbrud til Datatilsynet. I de uger der blev modtaget flest, var tallet op i mod 300 på én uge. 

Menneskelige og tekniske fejl

Groft sagt kan man dele sikkerhedsbruddene op i to kategorier - alt efter om de skyldes menneskelige fejl eller tekniske årsager.

Hyppigst ser vi menneskelige fejl, f.eks. fejlindtastninger (utilsigtede offentliggørelser og videregivelser), klippe-klistre-fejl, manglende fjernelse af personoplysninger ved "anonymisering", flettebreve, auto-complete og lignende, der medfører, at modtageren bliver indtastet forkert eller ikke verificeret inden afsendelsen af en mail.
 
Af tekniske årsager til sikkerhedsbrud er typetilfældene: dårlig kode, URL’er hvor personoplysninger (telefonnummer, cpr mv.) er en del af en offentliggjort URL, manglende kryptering, manglende validering af brugere, manglende patchning, ingen eller kun dårligt konfigureret firewall, manglende hærdning af eksponerede komponenter, "test"-systemer med livedata, og manglende segmentering af netværk / krydscontaminering m.m.

Dato: 05-12-2021

(Podcast: #13) Hvad er et sikkerhedsbrud, og hvad gør jeg, hvis der opstår et sikkerhedsbrud?

Lyt her