Seneste nyt om cyberforsikring - december 2015

Tine Olsen - mandag d. 11. januar, 2016

Det stigende fokus på cyberrisici medfører tilsvarende en stigende mediedækning af cyberrisici og cyberangreb. Derfor er der konstant relevante nyheder for cyber-interesserede, og Willis Towers Watson har her samlet et udpluk af de mest interessante nyheder fra december måned 2015.


Norden

Det danske folketing blev lagt ned af et DDoS-angreb
Folketingets hjemmeside blev blokeret to gange inden for tre dage på grund af et DDoS-angreb. Angrebet betegnes af eksperterne som værende "ekstremt lille", og kan genereres af en meget lille computer uden den tunge teknik.

Folketinget hoster selv hjemmesiden www.ft.dk, som var genstand for angrebet. Da angrebene ramte hjemmesiden påvirkede det derfor også alle folketingsmedlemmernes internetforbindelse.

Safe Harbor-dom om lagring af data på et Google-drive
Den 6. oktober traf EU-domstolen afgørelse i den såkaldte Safe-Harbor dom, som betyder, at det er ulovligt at gemme data om kunder eller medarbejdere på et Google-drive.

Domstolens afgørelse får den betydning, at Safe Harbor-ordningen formelt set ikke længere kan udgøre en hjemmel for overførsel af personoplysninger til USA.

Dette har stor betydning for de tusindvis af virksomheder, der i dag gemmer personfølsomme data, som f.eks. HR-oplysninger på cloudtjenester som Google Drive, Microsoft OneDrive og Dropbox.

Willis anbefaler, at man søger juridisk rådgivning til afklaring af ovenstående.

62 pct. af danske virksomheder har ikke en it-sikkerhedspolitik
Rapporten fra Danmarks Statistik "It-anvendelse i virksomheder" viser, at 62 pct. af danske virksomheder med 10 eller flere medarbejdere ikke har nogen it-politik.

Dette er ganske bekymrende, idet en it-politik er med til at skabe fokus på it-sikkerhed og hæve sikkerhedskulturen i en virksomhed.
En it-sikkerhedspolitik kan også indeholde en it-bredskabsplan, som er essentielt i tilfælde af en skade eller en uforudset hændelse. Resultatet fra statistikken viser også, at hver fjerde virksomhed sidste år øgede sine investeringer i it-sikkerhed.

It-sikkerhedspolitikken i 84 pct. af de 38 pct., af virksomhederne med en it-politik, siger, at den er udarbejdet eller senest revideret inden for de sidste 24 måneder, men i 13 pct. af virksomhederne er der gået mere end to år, siden it-sikkerhedspolitikken senest fik et eftersyn.

Udover en egentlig sikkerhedspolitik findes der en lang række andre foranstaltninger, en virksomhed kan træffe i forhold til it-sikkerhed – og det gør de fleste. Grundlæggende sikkerhedstiltag og retningslinjer til medarbejderne vedrørende it-sikkerhed er de mest udbredte foranstaltninger.

UdenomBanken offentliggør data om deres kunders lån
Bag et kort over, hvor i landet UdenomBankens kunder bor, kan man finde data, der afslører kundernes adresse, og hvor meget de enkelte kunder har lånt i banken.

Direktøren i banken siger, at dette er fuldt ud lovligt, men alligevel vil Datatilsynet undersøge forholdet.

200 danske virksomheder i Datatilsynets søgelys
Datatilsynet har som følge af den nye Safe-Harbor dom gennemgået sine databaser for at finde frem til de virksomheder, der overfører data til USA.

Mange af virksomhederne har allerede modtaget en henvendelse fra datatilsynet, og skal revidere deres dataoverførsel.


Globalt

Databrud hos legetøjsfabrikant i Hong Kong
Tyveri af data hos legetøjsfabrikanten VTech Holding i Hong Kong fremhæver en række stigende problemer med basis cybersikkerhed hos mindre organisationer, der håndterer elektronisk persondata.

Databruddet hos VTech inkluderede persondata fra kunder, som havde downloaded børnebøger og spil, der indeholder undervisningsmateriale. Bruddet indeholdt således også data angående børn.

Bryce Boland, fra cybersikkerhedsfirmaet FireEye, udtaler, at: mindre virksomheder bliver knap så ofte angrebet, som store virksomheder, men pga. manglende it-ressourcer er deres risiko markant større.

Databruddet berørte 5 millioner kunder.

Target har indgået forlig på $39 millioner efter databrud
Den amerikanske detailkæde Target, der i december 2014 og januar 2015 led et massivt databrud, hvor omkring 110 millioner kundedata blev eksponeret, har siden haft et retsligt efterspil med de banker, der skulle udstede nye kreditkort efter databruddet.

Target har i forliget forpligtet sig til at betale 20,25 millioner dollars direkte til de berørte banker, og 19,11 millioner dollars til MasterCard.