Overvej flerfaktorlogin på internetvendte systemer

Dato: 14-03-2024

Datatilsynet modtager ofte anmeldelser af brud på persondatasikkerheden, hvor uvedkommende – f.eks. gennem phishing eller brute force-angreb – har fået adgang til internetvendte systemer, hvor der behandles personoplysninger. Årsagen til bruddene er typisk, at systemerne kan tilgås med et brugernavn og et kodeord alene.

I disse situationer fortryder de dataansvarlige som regel, at de ikke havde beskyttet adgangen til systemerne med yderligere sikkerhedsforanstaltninger. Og det er da også Datatilsynets opfattelse – afhængig af behandlingens karakter og kategorierne og mængden af personoplysninger – at adgangen til internetvendte systemer, hvori der behandles personoplysninger, som udgangspunkt ikke skal være mulig kun ved brug af brugernavn og kodeord.

Den mest oplagte foranstaltning er flerfaktorautentifikation (MFA), som du kan læse mere om i Datatilsynets foranstaltningskatalog.