Strategier for IT-sikkerhed
Da Apple frigav deres seneste operativ system til Mac og iPhone, macOS 11.1 and iOS 14.3, introducerede de et nyt system, der skal give dig overblik klart over, hvilke data de enkelte apps opsamler. Du kan se disse oplysninger både i Mac App store og på iOS/iPadOS.
Læs videre
WhatsApp bruges af rigtig mange mennesker, og er en billig måde at lave især udenlandske opkald med. De vil nu kræve, at du afleverer flere oplysninger, og hvis ikke du vil godkende de nye betingelser, må du forlade tjenesten.
Læs videre
Hvor sårbar er din hjemmeside? – For dig og for dine kunder? Det kan du nu teste på hjemmesiden sikkerpånettet.dk
Sikkerpånettet.dk er udviklet af DK Hostmaster og en række partnere, som et led i arbejdet med at fremme internetudviklingen i samfundet.
Læs videre
I februar 2020 skrev jeg en artikel om Datatilsynet har nye retningslinjer for behandling af oplysninger herunder kravene dertil.
Læs videre
Det har været en rigtig stor sikkerheds udfordring i mange år, men andre teknologier har over tid erstattet Adobe Flash teknologien. I July 2017 annoncerede Microsoft, at de ikke ville supportere Adobe Flash efter 31-12-2020.
Læs videre
Virksomheder kan have forskellige grunde til, at de gerne vil optage indkomne telefonsamtaler. Grundlæggende ser jeg to overordnede formål:
Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.
EU-Domstolen har for nylig truffet en afgørelse om overførsel af personoplysninger til lande uden for EØS. I dommen når EU-Domstolen bl.a. frem til, at Privacy Shield-afgørelsen, som har stor betydning for overførsler til USA, er ugyldig. Det har skabt megen usikkerhed.
Den 10. november 2020 har Det Europæiske Databeskyttelsesråd vedtaget to dokumenter, som er helt grundlæggende, når vi skal overføre personoplysninger til lande uden for EØS. Det drejer sig om:
Som tredjelandene, herunder USA anbefales at opfylde, er beskrevet her, men vi har endnu ikke Kommissionens ord for, om USA har en lovgivning, der opfylder disse 4 garantier, så det er op til os selv at vurdere, dels om vi vil følge anbefalingerne, og dels om vi anser anbefalingerne for overholdt i lovgivningen i tredjelandet, f.eks. i USA.
Der skal være f.eks. en overvågningslovgivning i tredjelandet, f.eks. i USA, der skal beskrive de konkrete formål med lovgivningen. Overvågning kan kun ske med den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov. Loven skal beskrive rækkevidden og anvendelsen af den pågældende overvågning/foranstaltning. Lovgivningen skal indeholde minimumsgarantier, en definition af de kategorier af mennesker, der kan være underlagt overvågning, en begrænsning af overvågningens/foranstaltningens varighed, den procedure, der skal følges for undersøgelse, brug og opbevaring af de opnåede data og de forholdsregler, der skal træffes, når de videregiver dataene til andre parter.
Overvågningen skal være forudsigelig med hensyn til dens virkning for den enkelte for at give ham / hende tilstrækkelig og effektiv beskyttelse mod vilkårlig indblanding og risikoen for misbrug, dvs. loven i tredjelandet/USA skal være tilstrækkelig klar til at give borgerne en tilstrækkelig indikation af, under hvilke omstændigheder og på hvilke betingelser offentlige myndigheder har beføjelse til at anvende sådanne foranstaltninger.
Rettighederne til privatlivets fred og databeskyttelse kan kun begrænses, hvis det er nødvendigt og virkelig opfylder mål af almen interesse anerkendt af Unionen eller behovet for beskytte andres rettigheder og friheder. Der skal foretages en afvejning af alvoren i at begrænse rettighederne til privatlivets fred og databeskyttelse over for behovet for det offentliges interesse i f.eks. overvågningen f.eks. pga. en alvorlig trussel mod den nationale sikkerhed.
Lovgivning i et tredjeland, der ikke angiver nogen begrænsninger i den beføjelse, den tillægger at gennemføre overvågningsprogrammer med henblik på udenlandsk efterretningstjeneste, kan ikke sikre et beskyttelsesniveau, der i det væsentlige svarer til kravene i proportionalitetsprincippet.
Lovgivninger “som generelt bemyndiger lagring af alle personoplysninger om alle de personer, hvis data er overført fra Den Europæiske Union (…) uden nogen differentiering , begrænsning eller undtagelse foretages i lyset af det forfulgte mål og uden, at der er fastlagt et objektivt kriterium, hvormed man kan bestemme grænserne for de offentlige myndigheders adgang til dataene og efterfølgende anvendelse til formål, der er specifikke, strengt begrænset og i stand til at retfærdiggøre den indblanding, som både adgang til dataene og deres anvendelse medfører ”, er ikke i overensstemmelse med dette princip
C. Der bør eksistere en uafhængig tilsynsmekanisme a la det danske datatilsyn
Enhver indblanding i retten til privatliv og databeskyttelse skal være underlagt et effektivt, uafhængigt og upartisk tilsynssystem, der skal sørges for enten af en dommer eller af et andet uafhængigt organ (f.eks. en administrativ myndighed som et Datatilsyn eller et parlamentarisk organ).
Der skal også tages hensyn til den faktiske drift af aflytningssystemet, herunder kontrol og balance mellem magtudøvelse og eksistens eller fravær af faktisk misbrug, og et tilsyn der dækker alle de enkelte overvågningsforanstaltninger.
I tilfælde af berettiget hastværk kan overvågningen/ foranstaltningerne finde sted uden en forudgående gennemgang af tilsynsmyndigheden. Der kræves dog stadig, at den efterfølgende revision finder sted inden for kort tid.
Den endelige europæiske væsentlige garanti er knyttet til personens klageadgang. Der skal være et effektivt middel til at gennemføre personens rettigheder, når personen mener, at de ikke er blevet respekteret.
F.eks. ved indsamling af trafik- og lokaliseringsdata i realtid, er meddelelse til de registrerede personer nødvendig for at gøre det muligt for dem at udøve deres rettigheder, men det er på den anden sige også ok, at underretning kun sker i det omfang, og på det tidspunkt, hvor underretning ikke længere bringer de opgaver, som disse myndigheder er ansvarlige for, i fare.
En domstol eller et andet upartisk organ tilbyder tilstrækkelige klagemuligheder, hvis den opfylder en række kriterier for at være et uafhængigt og upartisk organ, og som ikke kræver en bevismæssig byrde, der skal overvindes for at indgive en klage til den.
Domstolens eller organets uafhængighed skal sikres, især fra den udøvende magt, med alle nødvendige garantier, herunder med hensyn til dets betingelser for afskedigelse eller tilbagekaldelse af udnævnelsen,
Vurderingen af tredjelandsovervågningsforanstaltningerne kan føre til to konklusioner:
Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.
Læs videre
I november 2019 skrev jeg artiklen Reglerne omkring sikker mail er skærpet af Datatilsynet, der beskriver de forskellige måder, til at sende mails på en sikker måde. Der beskrives også, hvordan du som afsender skal kunne dokumentere, at du sendte mail’en på en sikker måde.
Dette er faktisk en udfordring, da mail systemer som Office 365 og Google Workspace kun tilbyder såkaldt opportunistisk TLS, hvor man indstiller sine mailservere til at sende TLS, hvis det er muligt. Hvis modtagerens server (eller en af de servere mailen passerer undervejs) IKKE understøtter TLS, sendes e-mailen alligevel – ukrypteret.
Så konklusionen er stadig, at afsendelse af mails med personfølsomme oplysninger kræver et “tillæg” til den normale løsning. Dette sikrer, at hvis ikke modtagerens posthus kan kommunikere sikkert (TLS), sendes mail’en ikke. Den fremsendes så på en anden sikker måde, som du kan læse mere om her.
Der har dog været usikkerhed om, hvordan man er stillet, når man modtager uopfordrede personfølsomme mails.
Nej, det må du ikke, er det korte svar. Hvis du beder om, at der sendes fortrolige oplysninger, skal du tilbyde en løsning, der sikrer at kommunikationen mellem posthusene er sikret på samme måde som beskrevet i denne artikel.
Det er kundens valg. Datatilsynet skriver
Som myndighed eller virksomhed er man derimod ikke ansvarlig for forsendelsesmåden, hvis borgeren uopfordret sender oplysninger af fortrolig eller følsom karakter via en ukrypteret forbindelse, eller hvis borgeren – til trods for en opfordring til at sende oplysningerne krypteret – alligevel anvender en usikker forsendelsesmåde.
Kilde: Datatilsynet
Så det nye er, at Datatilsynet nu bekræfter, at det er kundens valg, om han vil sende fortrolige oplysninger, uden at transmissionen er krypteret.
Som afsender af mails, anses du for at være dataansvarlig, fra du afsender mailen til den modtages på kundens mailserver. Hvis kunden har valgt at oprette en mail på en usikker server, er det ikke dit ansvar.
Du skal dog huske, at som dataansvarlig er det altid dit ansvar, hvad der sker på din ”mailserver” Hvad enten du selv driver den internt eller har en mail udbyder som for eksempel Microsoft O365 eller Google Workspace.
Læs videre
I forbindelse med den seneste iPhone og iPad opdatering, er det nu muligt at skifte default mail og browser app, ligesom man har kunnet på sin computer i årtier.
Hvis du eksempelvis er Outlook bruger på din computer, er du det måske også på din iPad og iPhone. Så nu kan du altså skifte, så Outlook på alle dine enheder er sat som default app til mails. Når du for eksempel trykker på et mail link, dokument eller hjemmeside, ja så vil Outlook starte. Det er ikke som tidligere, den indbyggede Mail klient der starter. Og som du måske kun brugte, når du trykkede på et link.
Bruger du Chrome på din computer, kan det jo også her være en fordel, at din default browser ændres fra Safari til Chrome. For eksempel kan du vælge at synkronisere bogmærker, så de er de samme på alle enheder.
Indstillinger, scroll ned indtil du finder den app du ønsker skal være default app, tryk på den, og den understøtter funktionen. Du kan vælge “Standard app til e-mails henholdsvis browser”, og derinde kan du så vælge den installerede app, du ønsker skal være default.
Læs videre
Jeg modtager en mail fra en af mine gode venner, der beder mig kigge på en forretningsplan.
Det første der slår mig er, at den er sendt til rigtig mange personer. Dernæst er det ikke måden denne person ville bede mig kigge på en forretningsplan på.
Jeg ringer til vedkommende, og med det samme konstaterer jeg at det er en falsk mail, der kunne have det formål at inficere modtagerens PC. Jeg checker de tekniske data på mail’en, det kan de fleste mail klienter, hvor man kan se afsenders SMTP, og om mail er verificeret via SPF, DMARC og DKIM. Alting indikerede, at mail’en var afsendt fra kontaktens konto. Så det betyder, at en fremmede har adgang til hans mail konto.
I mail’en er der et link til forretningsplanen, og linket er placeret i afsenders OneDrive, så dokumentet er placeret på det korrekte domain. Så her er der jo gjort alt for, at denne mail skal opfattes af modtager som OK.
Det første jeg foreslår er, at password ændres, så vi med det samme lukker angriberen ude. Det viste sig desværre, at 2-faktor ikke var aktiveret her.
Det specielle er, at man kan ikke se den afsendte mail i send boksen. Jeg returnerer nu den afsendte mail, så han kan se den, men den kommer aldrig frem. Det viser sig her, at den ligger i skraldespanden, sammen med en del andre indkomne mails.
Jeg beder ham logge ind på hans O365 online konto på https://outlook.Office.com og derinde trykke på “tandhjulet” oppe i højre hjørne, i søgefelt skrive “regler” og så vælge “regler for inboks”. Her finder vi en regel der siger, at ALLE indgående mails sendes direkte til skraldespanden.
2-faktor aktivering på mail konto ville have forhindret angriberen i at logge ind. Den ville også have givet et hint om, at der var nogen, der havde ens brugernavn og passwords, for man ville jo modtage en besked om 2-faktor godkendelse, selvom man ikke selv havde bedt om det.
Udover at beskytte sin mailkonto mod uautoriseret adgang, bør man også beskytte den mod indkomne trusler.
Office 365 Advanced Threat Protection giver dig bedre sikkerhed på mails, blandt andet i forbindelse med vedhæftede filer og links.
3. parts løsninger som Trend Micro tilbyder også løsninger, der giver endnu bedre mail sikkerhed.
Læs videre
Den “personlige” virksomhed, har ofte billeder af sine ansatte på hjemmesiden. Jeg syntes faktisk det er god service, at jeg kan finde oplysninger om en ansat, hvis jeg lige har haft kontakt til virksomheden. Ofte kan man finde folk på Linkedin, men jeg syntes det giver virksomheden en mere personlig profil, hvis de ansattes billeder er på hjemmesiden. Det er jo mennesker, der handler med mennesker.
At du skal have samtykke af den ansatte, før du må sætte billedet på hjemmesiden. Samtykker kan tilbagekaldes, så du dermed skal slette billederne på hjemmesiden.
DMR A/S (Dansk Miljørådgivning) glemte dette, og fik en bøde af Datatilsynet for manglende sletning af billeder, YouTube videoer, og Facebook opslag.
Hvis dit samtykke ikke beskriver, at du godt må bruger de Youtube videoer, eller Facebook opslag, øvrig marketing materiale som virksomheden har produceret, måske med personen om centrum, eller bare i rummet, ja så skal du fjerne personen. Dette kan jo nemt betyde hele indholdet. Det er da rigtig ærgerligt, hvis man lige har produceret noget godt marketing, trænings materiale, som nu blot kan destrueres.
“Google det” er jo ofte et udtryk man bruger. Udfordringen er så nogle gange, at det kan være svært at definere, hvad man skal skrive, når man Google’er.
Google Lens der er en kunstig intelligens teknologi, kan ikke bare identificere et objekt foran kameraet, men kan også andre ting, som oversætte og meget mere.
Kort fortalt så forsøger Google lens, at identificere det du peger den imod, og komme med relevante oplysninger… så det bliver nemmere at “Google det”
Hvor finder jeg Google Lens
Men husk, at Google er Google. De lever af reklamer, så det du viser Google, gemmer Google om dig. Og selvom servicen er gratis, giver du Google mere info om dig selv, til brug for profilering, og til at vise dig relevante annoncer.
Læs videre21-3-2019 beslutter jeg mig til at købe:
Samlet pris 14.696,-
Læs videre
Torsdag bragte Danmarks Radio en historie om at 7 ud af 20 ministres kodeord ligger åbent tilgængeligt på nettet. Danmark Radio har formentlig via hjemmesiden “Have I Been Pwned” indtastet politikernes arbejds mail. Dermed kunne de se, hvis svaret var: “Oh no – pwned!”, at de havde brugt deres folketings mail til hjemmesider som Linkedin, MyFitnessPal, DropBox med flere.
Læs videre
Som jeg tidligere har skrevet, skal du føre: Tilsyn med Databehandlere.
Læs videre
De fleste der snydes af modtagne SMS’er eller mail’s, hvor man får modtageren til at klikke, og måske videregive sine kreditkort oplysninger, siger ofte bagefter: “De syntes godt nok det var lidt mistænkeligt, men beskeden kom jo fra deres bank. “
Læs videre
Hvis har et Garmin ur, har man siden d. 23 juli oplevet problemer med at synkronisere sine data med Garmin online services.
Læs videre
D. 16 juli 2020 afsagde EU-Domstolen dom i den såkaldte Schrems II-sag. Domstolen erklærede ”Privacy Shield-afgørelsen” ugyldig, mens EU-Kommissionens standardkontrakter som udgangspunkt fortsat er gyldige. Dommen rejser således en række spørgsmål, der skal undersøges nærmere. Det Europæiske Databeskyttelsesråd drøftede konsekvenserne af dommen d. 17 juli 2020.
Læs videre
Google Chrome tilbyder nu at udføre et Chrome sikkerhedstjek, samt et tjek af om de passwords, du har gemt i Chrome, er kendt af hackerne. Apropos at gemme password i Chrome. Det fraråder jeg! Du bør i stedet bruge 1Password.
I Chrome gå til chrome://settings/ og lidt nede er “Sikkerhedstjek”.
Læs videre
Med indførelsen af persondataforordningen, er det nu et krav, at man som dataansvarlig skal lave en risikovurdering.
Riskovurderingen bliver grundlaget for hvilke sikkerhedsforanstaltninger, der skal implementeres, og vil også blive brugt i forbindelse med tilsyn af databehandleren.
Læs videre
