Qualys Webinar om aktuelle sårbarheder og hvordan du prioriterer og udbedrer dem.

For at hjælpe kunder med at udnytte integration mellem Qualys VMDR og Patch Management, og reducere tiden med opdatering af kritiske sårbarheder, har Qualys Research-team nu annonceret en månedlig webinarserie “Denne måneds opdateringer.

Webinaret udgives torsdag i den uge hvor “Microsoft Patch Tuesday” udgives.

Her vil Qualys Research-team diskutere de sårbarheder, de mener man bør fokusere på. Inklusiv Microsoft Patch Tuesday.

Agenda for webinaret vil typisk være:

  • Sårbarheds- og trusselsbilledet nu.
  • Hvilke opdateringer man bør fokusere på vurderet ud fra risiko, trussel, og prioritet.
  • Hvordan kan man udnytte prioriterings løsningen i Qualys VMDR
  • Demo der viser hvordan man prioriterer og udfører sine sikkerheds opdateringer baseret på den indsamlede info, udvidet med info fra andre kilder.

Tilmeld dig webinaret Denne Måneds opdateringer

Nysgerrig omkring Qualys VMDR, så kontakt mig endelig.

Læs videre

Bruger du Google Mail?

Det er der stor chance for. Hvis ikke dig selv, så en i familien eller en du kender. Gmail har idag en markedsandel på 43%, og sendte 304 milliarder mails i døgnet i 2020. Det svarer til 3,5 millioner i sekundet, og de blokerer 100 millioner spam mails i døgnet.

Er det et problem at have en Gmail?

Som udgangspunkt nej, og dog.. måske lidt. For hvor mange har læst Gmails privatlivspolitik? Og dermed på et oplyst grundlag vurderet, om den måde hvorpå Google driver deres forretning, stemmer overens med dine holdninger til privatlivspolitik.

Google lever af dine data!

Der er jo ikke noget, der er gratis her i livet. Heller ikke en mail konto. Så selvom du ikke betaler direkte for din Gmail med penge, så betaler du bare med dine data.

Google lever jo af, at du klikker på et annonce link på nettet. Annoncøren betaler så Google for, at han får relevant trafik til sin hjemmeside.

Så jo mere Google ved om dig, jo bedre er de til at give dig de rigtige søgeresultater, som betyder, at du klikker på en annonce.

Gmail har glade “kunder”.

De fleste der har en Gmail konto, er rigtige glade for den, fordi den leverer værdi.

For eksempel:

Gmail prioriterer dine mails for dig, de vigtige og så de andre, i forskellige faner.

De kan jo kun prioritere dine mails, hvis de læser dem. Ikke fysisk, men de læses og indholdet bruges til at profilere dig.

Tidligere blev der vist annoncer ude i margen, som relaterede sig til indholdet i en mail. Men jeg mener, at det er stoppet. Det blev alligevel lidt for specielt til, at Google ville fortsætte med det. Dernæst viste de jo så også med tydelighed, at de læste mail indholdet.

Google smartfunktioner:

Gmail brugere er glade for den værdi Google giver. Den seneste udvikling er Google Smartfunktioner, som Google beskriver som:

Intelligente funktioner og tilpasset styring i Gmail, Chat, Meet og andre Google-tjenester

Hvis du slår Google Smartfunktioner fra.

Følgende funktioner og meget mere deaktiveres, indtil du ændrer indstillingerne:

  • Automatisk filtrering/kategorisering af mails (Primære/Sociale netværk/Promoveringer)
  • Smartsøgning (søgeordsforslag, relevante resultater og meget mere)
  • Notifikationer ved høj prioritet for vigtige mails
  • Skriveassistent (foreslået tekst) i mails
  • Smartsvar (foreslåede hurtige svar) i mails
  • Oversigtskort over mails (rejse, pakkesporing og meget mere)
  • Påmindelser om at svare på glemte mails
  • Udtrækning af oplysninger for at oprette kalenderbegivenheder

Nu er Gmail så bare ikke den samme brugeroplevelse som før. Nu er den blot som en almindelig mail, med en god SPAM beskyttelse. Så mange vælger at køre videre som hidtil med smartfunktionerne aktiveret.

Bare husk, at du næppe vil lade din nabo læse alle dine mails, men du har det altså OK med at Google gør det.

Læs videre

5 gode råd om End of Life software og hvad du bør gøre.

“End of Life betyder, at softwaren ikke længere kan købes eller supporteres af producenten. Så der kommer ikke flere opdateringer, ej heller hvis der opdages nye sårbarheder. “

Adobe Flash var i mange år den platform, der gav os lyd og video, når vi besøgte hjemmesider. Den blev installeret på ens computer, og blev så aktiveret hvis hjemmeside indeholdt lyd eller video. Derefter startede Adobe Flash inde i selve browseren, og du så videoen.

Hvis du besøgte Youtube, skulle du have Flash installeret, for at kunne se video, indtil Adobe i 2017 annoncerede afslutningen på Adobe Flash.

Mareridt for sikkerheds folk.

For de IT sikkerheds ansvarlige var Flash et helvede, fordi der konstant blev fundet nye sårbarheder. Nogle som kunne inficere PC’en, bare man besøgte en hjemmeside med sårbar Adobe Flash installation.

Så Flash blev elsket af angriberne, og hadet af IT sikkerhedsfolk, fordi den var på stort set alle enheder.

Der var endda også spil, som blev afviklet via flash.

Flash sluttede 31.12.2020.

Ved nytår var det slut med Flash. De fleste browsere idag vil blokere flash, hvis man kommer til en hjemmeside, der indeholder Flash komponenter. Flash har også en indbygget “kill-switch”, der gerne skulle forhindre eksekvering efter d. 12 januar 2021.

Så der er gjort en del for at forhindre, at flash ikke længere er et problem.

Hvor mange af dine enheder har stadig Adobe Flash installeret?

Det jo fint, at der er forsøgt forskellige former for blokering af at flash kan afvikles, men det betyder jo også, at rigtig mange enheder har flash installeret, som aldrig nogensinde bliver opdateret mere.

Ved du hvor mange af dine enheder, der har Flash installeret?

Hvad nu hvis der er en sårbarhed?

Med den historik Flash har haft omkring sårbarheder, mener jeg ikke, det er utænkeligt, at en eller anden klog person finder ud af at udnytte / finde en ny sårbarhed.

  • Hvad vil det betyde for enheder, som stadig har flash installeret?
  • Hvad nu hvis Adobe Flash genopstår som Open Source, som nogle har arbejdet på?

5 gode råd om End of Life af software og hardware, samt hvad du bør gøre.

Min pointe er, at du bør have overblik over din installation. Hvad du har på hvilke enheder.

  1. Hvor meget end of life software har jeg?
  2. Hvilken software udløber indenfor de næste 6, 12 eller 24 måneder?
  3. Betaler jeg software support for licenser, der er End-of-Life?
  4. Har jeg hardware, der er end of life, eller bliver det indenfor de næste 6, 12 eller 24 måneder?
  5. Har jeg hardware support på enheder som er End-of-Life?

Hvordan får jeg den viden.

Der findes en del forskelige metoder til at få viden om indeholdet i dit setup.

Jeg tilbyder virksomheder implementerring af Qualys VMDR.

Qualys VMDR, en suite af cloud Security og Compliance services, tilbyder udover at opsamle data om software og hardware, også at berige disse data med viden. Det gælder viden om mere end 1.700 udviklere/firmaer og status på deres 85.000 software frigivelser, samt mere end 100 hardware producenter og deres 45.000 forskellige modeller.

Det betyder, at man i et samlet overblik kan få status på alle enheder i sin infrastruktur.

Kontakt mig gerne, hvis du også gerne vil kende “udløbsdatoen” for din software og hardware.

Læs videre

5. gode råd om slettefrister og GDPR

– Hvor længe vil/må du opbevare persondata?

Et spørgsmål som alle der arbejder med GDPR, skal forholde sig til!

  • 1 uge
  • 1 måned
  • 1, 5 eller 10 år

Det afhænger ikke kun af din bedømmelse og argumentation. Det handler også om lovgivninger, som bogføringsloven der siger 5 år, og journaliseringsloven der ofte er 10 år.

Men for de fleste handler det først om at definere, hvor længe har jeg ret (hjemmel) til at beholde de personrelaterede data. Det handler ikke om, hvor længe jeg syntes det kunne være en god ide.

Slette data.. helst ikke.

Ja jeg syntes også, at det førhen var fint når jeg søgte efter en mail, at jeg faktisk kunne gå 10 år eller mere tilbage. Det var ikke altid, at det var noget præcist jeg søgte efter, -noget der skete for 10 år siden. Men det var lidt ligesom at kigge på gamle billeder.

Det går ikke mere. Du skal beskrive hvorfor du vælger den sletteregel du nu vælger.

Eksempel 1. Mails.

Firmaet modtager en mail fra en ny kunde i deres info@firma.dk, hvor kunden beder om mere info og pris på en vare/ydelse. Mailen bliver besvaret med relevante oplysninger. Kunden vender aldrig tilbage. Hvor længe kan du med god grund beholde denne mail?

Hvis du sælger varer/ydelser med kort beslutnings tid, ja så kan du ikke beholde den ret længe. Måske 3-6 måneder. Hvorimod hvis kunders beslutnings tid ofte er 6-12-18 måneder før køb, så vil jeg vurdere, at 1-2 år vil være OK at opbevare denne mail. Det vigtigste er at du vurderer realistisk, og beskriver din vurdering så detaljeret som muligt.

Hvis kunden derimod køber, så har du nu en aktiv relation, som betyder, at du kan have en slettefrist der siger, at du ikke sletter aktive kunders data.

Mail sendes rundt i virksomheden.

Tingene bliver ofte mere komplicerede, når man også internt i virksomheden sender kunde mails rundt. Den modtagne mail til info@firma.dk modtages og videresendes så til en sælger. Sælger skal lige have nogle tekniske ting på plads, så han videresender den til teknisk afdeling, som besvarer den med priser.

Nu ligger den mail i 3 mailbokse, info@firma.dk, sælger@firma.dk, teknik@firma.dk. Og køber han ikke, skal den slettes i alle 3 mailbokse. Køber han, kan man opbevare den indtil han ikke længere er kunde, og så skal den stadig slettes i alle mailbokse.

Skraldespanden.

Husk også at slette skraldespanden. De fleste mail klienter lægger blot slettede mails i en “skraldespand”, der først slettes helt, når du aktivt beder den om det.

Nogle mail klienter tilbyder at tømme skraldespanden, når brugeren lukker sin mail klient. “Skal skraldespanden tømmes nu? DU KAN IKKE FORTRYDE DETTE! … øh jeg tror jeg venter, kan ikke lige overskue det i dag … så du udskyder… måske for evigt.

Eksempel 2. Bruger kundens mobilnummer som KundeID.

Hvis du bruger mobilnummer som KundeID, risikerer du, at du IKKE kan overholde slettefristen, da man kan identificere en person via mobilnummer. En måde at slette kunder på, er ved at anonymisere data, så du stadig kan trække en statistik på salget 6 år tilbage. Men der vil være kunder du ikke kan identificere mere, fordi de er stoppet og din slettefrist betød, at de skulle anonymiseres.

Men hvis din database “eksploderer” hvis ikke den har de gamle kunde ID’er, ja så er du på den, hvis kunde id’et var et mobil nummer. Du kan sagtens bruge mobilnummer til at søge efter kunden, da kunden kan huske det selv, men lad være med at gøre det til “nøglen i databasen”.

5 gode råd

  1. Brug aldrig telefon eller CPR som unik KundeID, hvis ikke det kan slettes igen i dit system.
  2. Brug ikke mails til at sende kundedata rundt i virksomheden, men opret såvel kunder som potentielle kunder i et centralt system, CRM, og drøft tingene der. Så er der kun et sted, du skal slette efterfølgende.
  3. Se om du kan lave en automatisk, løbende tømning af skraldespanden, uden at brugeren spørges.
  4. Tænk “slette politik” ind allerede ved implementering af en løsning.
  5. Husk at overholde dine slettefrister, ellers kan det blive dyrt.

Hvad er konsekvensen, hvis jeg ikke sletter?

Bøde!! Ilva overholdt ikke deres slettefrist, og Datatilsynet indstillede dem til en bøde på 1.5 million kroner i juni 2019. Tilsyn med IDdesigns behandling af personoplysninger. Den kom så for domstolen februar 2021, Stor møbelkæde dømt for overtrædelse af GDPR-reglerne , hvor bøden blev fastsat til 100.000 kr. ,mendommen ankes af anklagemyndigheden.

Så prisen kendes ikke endnu

Læs videre

Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.

Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.

I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.

Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.

Hvad er en Zero-day sårbarhed?

“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.

Jeg bruger Microsoft Exchange – er jeg så i fare?

Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.

Hvem er bag angrebet?

Ifølge en blog post fra Microsoft peger de på Kina.

Hvem opdagede det?

Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.

Hvad bør jeg gøre nu?

  1. Opdater din Exchange server. Microsoft har frigivet en udførlig beskrivelse af hvordan du skal sikkerhedsopdatere.
  2. Check om du allerede er angrebet med succes ved at følge denne Microsoft vejledning. Den indeholder også et script, som er udviklet af Microsoft Exchange Server Team til at hjælpe dig med beskrivelse og gennemgang af dine Exchange log filer.
  3. Hvis ikke du kan opdatere, så bør du følge Microsoft alternative metode og herunder begrænse adgangen til Exchange serveren udefra. Jeg ved godt, at det betyder at remote brugere ikke kan hente deres mail. Men det er det bedste alternativ lige nu, kontra et vellykket angreb, hvor angriberne måske får adgang til dine interne systemer.

Schmitto A/S kunder der anvender Qualys VMDR:

Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.

Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View

VMDR Exchange 0-day Dahsboard
VMDR Exchange 0-day Dahsboard

Mere info om Qualys VMDR?

Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via ole@schmitto.com eller 40253921.

Læs videre

Skatteguiden ApS beder om dine følsomme oplysninger

– Jeg forstår det ikke!

Nyhederne har skrevet om Skatteguiden, og 45.401 personer, har i følge skatteguidens hjemmeside, givet Skatteguiden adgang til meget følsomme oplysninger.

Skatteguiden skriver:

“Tidlig årsopgørelse! For første gang nogensinde, kan du få et smugkig på din årsopgørelse 2 uger før tid. Vores algoritme kan på et splitsekund analysere din data og allerede nu estimere din skat for 2020. Download appen, autoriser Skatteguiden på skat.dk og få resultatet.

Glemte fradrag? Der er mange forskellige fradrag, og det kan være svært at vide hvilke du er berettiget til – og hvordan du får dem udbetalt. Skatteguiden gør det nemt at tjekke dine fradrag, og sørge for at du modtager fradrags-udbetalinger fra Skat direkte på din Nemkonto. Tjek dine fradrag for 2017, 2018 og 2019. “

Er Skatteguiden gratis at bruge?

Ja! Vi er pt et gratis bindeled til skat.dk. Og det er uanset om du finder et glemt fradrag eller ej.

  • Så hvad er forretningsmodellen? Hvordan vil de betale for at sikre mine følsomme data?

Er nogen virkelig så forhippet på at få disse data, 14 dage før SKAT oplyser dem på deres hjemmeside, at man vil give et privat firma, Skatteguiden ApS, adgang til alle disse private følsomme data, som de gemmer på deres server jvf deres privatlivspolitik??

Jeg forstår det ikke!

Mit bedste råd er, træk dit samtykke tilbage, og bed dem bekræfte at ALLE DINE DATA ER SLETTET NU.

Læs videre

Hvad vil Datatilsynet fokusere på i 2021?

Datatilsynet har oplyst hvilke områder de vil fokusere på i 2021.

Overskrifterne er:

  • Kreditoplysningsbureauer, advarselsregistre og spærrelister
  • Inkassobureauers oplysningspligt og sletning
  • Pengeinstitutters procedurer for indsigtsanmodninger
  • Tv-overvågning
  • Myndigheders videregivelse af personnumre til borgere
  • Forskning
  • Behandling af personoplysninger om hjemmesidebesøgende (cookies)
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden
  • Kontrol med databehandlere
  • Overførsel af personoplysninger til tredjelande
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • PNR-loven (Kommentar: Lov om indsamling, anvendelse og opbevaring af oplysninger om flypassagerer)
  • Retshåndhævelsesloven

Hvad betyder det for mig?

Nogle af områderne henvender sig til specifikke brancher, typer af virksomheder og myndigheder. Men der hvor jeg kan se, at det stort set rammer alle er på:

  1. TV-overvågning, som mange idag har, hvilket også er tilladt hvis man følger reglerne. F.eks. må man som udgangspunkt ikke optage offentlige steder, med undtagelse af visse brancher, men gerne sin egen facade og indgang. Vigtigt er også som sædvanligt, beskrivelsen af hvorfor man optager samt slette fristen. Du skal også huske at skilte med TV-overvågning.
  2. Behandling af personoplysninger om hjemmesidebesøgende (cookies), gælder jo for alle der har en hjemmeside. Jeg skrev for 1 år siden om Datatilsynet har nye retningslinjer for behandling af personoplysninger til hjemmeside ejere. Den gang afsluttede jeg artiklen med at Datatilsynet nok ikke vil give anmærkning eller bøder. Men nu er der gået 1 år, så nu kan man nok forvente, at de vil være mere strikse.
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden, er jo store dele af GDPR delen generelt. Men der nævnes brud på persondatasikkerheden. Så det tolker jeg som, at man vil kontrollere, at virksomheder har styr på hændelser, der omhandler personsikkerhed. Man skal f.eks. beskrive enhver hændelse, der involverer personhenførbare oplysninger. Det mest almindelige i følge Datatilsynets opgørelse er, at der bliver sendt en mail med personoplysninger til den forkerte modtager. Men der kan være andre hændelser, der ikke nødvendigvis kræver en anmeldelse til Datatilsynet. Men du skal stadig registrere hændelsen, så det er vigtigt, at du har en fast proces til dette. Lexoforms, som er den online service mine kunders GDPR data ligger i, har netop introduceret et hændelses modul.
  • Kontrol med databehandlere Du skal huske at kontrollere dine databehandlere. Du har indgået en aftale, men du er stadig den dataansvarlige. Så derfor skal du føre tilsyn med, at tingene er som aftalt. Nogle databehandlere får udført ekstern revisions kontrol, som du skal gennemse. Andre må du sende relevante sprøgsmål til, med det formål at sikre, at den databehandler aftale i har indgået, stadig lever op til jeres aftale. Jeg har skrevet denne artikel .Skal jeg føre tilsyn med mine Databehandlere?”
  • Overførsel af personoplysninger til tredjeland Med EU’s dom om at US Privacy Shield er ikke længere er gyldigt, har vi siden 16 juli 2020 ventet på en løsning. Der har været flere møder i EU, så forventningen er stadig, at EU og USA finder en løsning. EU’s udspil er Standard Contractual Clauses (”SCC”), så alt tyder på, at EU vil fastholde sin position. Høringsfristen for denne nye aftale var 10 december 2020, du kan følge udviklingen her. Nogle US baserede firmaer har udvidet deres aftaler med at respektere SCC, desværre har jeg ikke fundet et sted med oversigt over hilse firmaer som har tilsluttet sig SCC.

Du kan læse mere her om datatilsynets fokusområder

Læs videre

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.
Læs videre

”Støjfri” browsing på iPad, iPhone og Mac

– Slip for annoncer i Safari på iPhone, iPad og Mac

Svenskeren Joel Arvidsson har udviklet en udvidelse HUSH til Safari for iPad, iPhone og Mac. Udvidelsen giver en mere “ren” oplevelse, og her ser jeg ikke længere reklamer og får langt færre pop-ups på mine enheder.

Det er et open source projet, som jo betyder at koden er offentligt tilgængelig.

Jeg anbefaler den til alle der bruger Safari

Du kan læse mere på hjemmesiden, hvor der også er links til udvidelsen.

Læs videre

Nyt om Privacy Shield-afgørelsen

Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.

EU-Domstolen har for nylig truffet en afgørelse om overførsel af personoplysninger til lande uden for EØS. I dommen når EU-Domstolen bl.a. frem til, at Privacy Shield-afgørelsen, som har stor betydning for overførsler til USA, er ugyldig. Det har skabt megen usikkerhed.

Vi har fået lidt hjælp.

Den 10. november 2020 har Det Europæiske Databeskyttelsesråd vedtaget to dokumenter, som er helt grundlæggende, når vi skal overføre personoplysninger til lande uden for EØS. Det drejer sig om:

  1. Anbefalinger om 4 europæiske væsentlige garantier. De er endeligt vedtaget og
  2. Anbefalinger om supplerende foranstaltninger. De skal i offentlig høring inden endelig vedtagelse.

DE 4 EUROPÆISKE VÆSENTLIGE GARANTIER

Som tredjelandene, herunder USA anbefales at opfylde, er beskrevet her, men vi har endnu ikke Kommissionens ord for, om USA har en lovgivning, der opfylder disse 4 garantier, så det er op til os selv at vurdere, dels om vi vil følge anbefalingerne, og dels om vi anser anbefalingerne for overholdt i lovgivningen i tredjelandet, f.eks. i USA.

Hvilke er så de 4 krav/garantier?

A. Behandling bør baseres på en lovgivning med klare, præcise og tilgængelige regler.

Der skal være f.eks. en overvågningslovgivning i tredjelandet, f.eks. i USA, der skal beskrive de konkrete formål med lovgivningen. Overvågning kan kun ske med den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov. Loven skal beskrive rækkevidden og anvendelsen af den pågældende overvågning/foranstaltning. Lovgivningen skal indeholde minimumsgarantier, en definition af de kategorier af mennesker, der kan være underlagt overvågning, en begrænsning af overvågningens/foranstaltningens varighed, den procedure, der skal følges for undersøgelse, brug og opbevaring af de opnåede data og de forholdsregler, der skal træffes, når de videregiver dataene til andre parter.

Overvågningen skal være forudsigelig med hensyn til dens virkning for den enkelte for at give ham / hende tilstrækkelig og effektiv beskyttelse mod vilkårlig indblanding og risikoen for misbrug, dvs. loven i tredjelandet/USA skal være tilstrækkelig klar til at give borgerne en tilstrækkelig indikation af, under hvilke omstændigheder og på hvilke betingelser offentlige myndigheder har beføjelse til at anvende sådanne foranstaltninger.

B. Nødvendigheden og proportionaliteten med hensyn til de forfulgte legitime mål skal påvises.

Rettighederne til privatlivets fred og databeskyttelse kan kun begrænses, hvis det er nødvendigt og virkelig opfylder mål af almen interesse anerkendt af Unionen eller behovet for beskytte andres rettigheder og friheder. Der skal foretages en afvejning af alvoren i at begrænse rettighederne til privatlivets fred og databeskyttelse over for behovet for det offentliges interesse i f.eks. overvågningen f.eks. pga. en alvorlig trussel mod den nationale sikkerhed.

Lovgivning i et tredjeland, der ikke angiver nogen begrænsninger i den beføjelse, den tillægger at gennemføre overvågningsprogrammer med henblik på udenlandsk efterretningstjeneste, kan ikke sikre et beskyttelsesniveau, der i det væsentlige svarer til kravene i proportionalitetsprincippet.

Lovgivninger “som generelt bemyndiger lagring af alle personoplysninger om alle de personer, hvis data er overført fra Den Europæiske Union (…) uden nogen differentiering , begrænsning eller undtagelse foretages i lyset af det forfulgte mål og uden, at der er fastlagt et objektivt kriterium, hvormed man kan bestemme grænserne for de offentlige myndigheders adgang til dataene og efterfølgende anvendelse til formål, der er specifikke, strengt begrænset og i stand til at retfærdiggøre den indblanding, som både adgang til dataene og deres anvendelse medfører ”, er ikke i overensstemmelse med dette princip

C. Der bør eksistere en uafhængig tilsynsmekanisme a la det danske datatilsyn

Enhver indblanding i retten til privatliv og databeskyttelse skal være underlagt et effektivt, uafhængigt og upartisk tilsynssystem, der skal sørges for enten af en dommer eller af et andet uafhængigt organ (f.eks. en administrativ myndighed som et Datatilsyn eller et parlamentarisk organ).

Der skal også tages hensyn til den faktiske drift af aflytningssystemet, herunder kontrol og balance mellem magtudøvelse og eksistens eller fravær af faktisk misbrug, og et tilsyn der dækker alle de enkelte overvågningsforanstaltninger.

I tilfælde af berettiget hastværk kan overvågningen/ foranstaltningerne finde sted uden en forudgående gennemgang af tilsynsmyndigheden. Der kræves dog stadig, at den efterfølgende revision finder sted inden for kort tid.

D. Effektive retsmidler skal være tilgængelige for den enkelte

Den endelige europæiske væsentlige garanti er knyttet til personens klageadgang. Der skal være et effektivt middel til at gennemføre personens rettigheder, når personen mener, at de ikke er blevet respekteret.

F.eks. ved indsamling af trafik- og lokaliseringsdata i realtid, er meddelelse til de registrerede personer nødvendig for at gøre det muligt for dem at udøve deres rettigheder, men det er på den anden sige også ok, at underretning kun sker i det omfang, og på det tidspunkt, hvor underretning ikke længere bringer de opgaver, som disse myndigheder er ansvarlige for, i fare.

En domstol eller et andet upartisk organ tilbyder tilstrækkelige klagemuligheder, hvis den opfylder en række kriterier for at være et uafhængigt og upartisk organ, og som ikke kræver en bevismæssig byrde, der skal overvindes for at indgive en klage til den.

Domstolens eller organets uafhængighed skal sikres, især fra den udøvende magt, med alle nødvendige garantier, herunder med hensyn til dets betingelser for afskedigelse eller tilbagekaldelse af udnævnelsen,

Konklusion

Vurderingen af tredjelandsovervågningsforanstaltningerne kan føre til to konklusioner:

  1. Den omhandlede tredjelandslovgivning garanterer ikke de 4 væsentlige garantier: i dette tilfælde vil tredjelandslovgivningen ikke tilbyde et beskyttelsesniveau, der i det væsentlige svarer til det, der er garanteret i EU.
  2. Den omtvistede tredjelandslovgivning opfylder alle 4 garantier.
  3. Ved vurderingen af tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45 i GDPR bliver Kommissionen nødt til at evaluere, om de 4 garantier er opfyldt som en del af de elementer, der skal overvejes for at garantere, at tredjelandslovgivningen som helhed tilbyder et beskyttelsesniveau, der i det væsentlige svarer til den, der er garanteret i EU.

Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.

Læs videre

Må man opfordre kunder til at sende følsomme data via en ukrypteret forbindelse?

I november 2019 skrev jeg artiklen Reglerne omkring sikker mail er skærpet af Datatilsynet, der beskriver de forskellige måder, til at sende mails på en sikker måde. Der beskrives også, hvordan du som afsender skal kunne dokumentere, at du sendte mail’en på en sikker måde.

Dette er faktisk en udfordring, da mail systemer som Office 365 og Google Workspace kun tilbyder såkaldt opportunistisk TLS, hvor man indstiller sine mailservere til at sende TLS, hvis det er muligt. Hvis modtagerens server (eller en af de servere mailen passerer undervejs) IKKE understøtter TLS, sendes e-mailen alligevel – ukrypteret.

Så konklusionen er stadig, at afsendelse af mails med personfølsomme oplysninger kræver et “tillæg” til den normale løsning. Dette sikrer, at hvis ikke modtagerens posthus kan kommunikere sikkert (TLS), sendes mail’en ikke. Den fremsendes så på en anden sikker måde, som du kan læse mere om her.

Der har dog været usikkerhed om, hvordan man er stillet, når man modtager uopfordrede personfølsomme mails.

Så retur til artiklens emne.

Må man opfordre kunder til at sende følsomme data via en ukrypteret forbindelse?

Nej, det må du ikke, er det korte svar. Hvis du beder om, at der sendes fortrolige oplysninger, skal du tilbyde en løsning, der sikrer at kommunikationen mellem posthusene er sikret på samme måde som beskrevet i denne artikel.

Må en kunde uopfordret sende fortrolige oplysninger?

Det er kundens valg. Datatilsynet skriver

Som myndighed eller virksomhed er man derimod ikke ansvarlig for forsendelsesmåden, hvis borgeren uopfordret sender oplysninger af fortrolig eller følsom karakter via en ukrypteret forbindelse, eller hvis borgeren – til trods for en opfordring til at sende oplysningerne krypteret – alligevel anvender en usikker forsendelsesmåde.

Kilde: Datatilsynet

Så det nye er, at Datatilsynet nu bekræfter, at det er kundens valg, om han vil sende fortrolige oplysninger, uden at transmissionen er krypteret.

Hvor langt går mit ansvar?

Som afsender af mails, anses du for at være dataansvarlig, fra du afsender mailen til den modtages på kundens mailserver. Hvis kunden har valgt at oprette en mail på en usikker server, er det ikke dit ansvar.

Du skal dog huske, at som dataansvarlig er det altid dit ansvar, hvad der sker på din ”mailserver” Hvad enten du selv driver den internt eller har en mail udbyder som for eksempel Microsoft O365 eller Google Workspace.

Læs videre

Sådan skifter du default mail og browser på din iPhone.

I forbindelse med den seneste iPhone og iPad opdatering, er det nu muligt at skifte default mail og browser app, ligesom man har kunnet på sin computer i årtier.

Hvorfor skulle jeg skifte?

Mail:

Hvis du eksempelvis er Outlook bruger på din computer, er du det måske også på din iPad og iPhone. Så nu kan du altså skifte, så Outlook på alle dine enheder er sat som default app til mails. Når du for eksempel trykker på et mail link, dokument eller hjemmeside, ja så vil Outlook starte. Det er ikke som tidligere, den indbyggede Mail klient der starter. Og som du måske kun brugte, når du trykkede på et link.

Browser:

Bruger du Chrome på din computer, kan det jo også her være en fordel, at din default browser ændres fra Safari til Chrome. For eksempel kan du vælge at synkronisere bogmærker, så de er de samme på alle enheder.

Hvordan skifter jeg?

Indstillinger, scroll ned indtil du finder den app du ønsker skal være default app, tryk på den, og den understøtter funktionen. Du kan vælge “Standard app til e-mails henholdsvis browser”, og derinde kan du så vælge den installerede app, du ønsker skal være default.

Læs videre

Vil du lige checke denne forretningsplan?

Jeg modtager en mail fra en af mine gode venner, der beder mig kigge på en forretningsplan.

Det første der slår mig er, at den er sendt til rigtig mange personer. Dernæst er det ikke måden denne person ville bede mig kigge på en forretningsplan på.

Jeg ringer til vedkommende, og med det samme konstaterer jeg at det er en falsk mail, der kunne have det formål at inficere modtagerens PC. Jeg checker de tekniske data på mail’en, det kan de fleste mail klienter, hvor man kan se afsenders SMTP, og om mail er verificeret via SPF, DMARC og DKIM. Alting indikerede, at mail’en var afsendt fra kontaktens konto. Så det betyder, at en fremmede har adgang til hans mail konto.

I mail’en er der et link til forretningsplanen, og linket er placeret i afsenders OneDrive, så dokumentet er placeret på det korrekte domain. Så her er der jo gjort alt for, at denne mail skal opfattes af modtager som OK.

Oprydningen

Det første jeg foreslår er, at password ændres, så vi med det samme lukker angriberen ude. Det viste sig desværre, at 2-faktor ikke var aktiveret her.

Det specielle er, at man kan ikke se den afsendte mail i send boksen. Jeg returnerer nu den afsendte mail, så han kan se den, men den kommer aldrig frem. Det viser sig her, at den ligger i skraldespanden, sammen med en del andre indkomne mails.

Jeg beder ham logge ind på hans O365 online konto på https://outlook.Office.com og derinde trykke på “tandhjulet” oppe i højre hjørne, i søgefelt skrive “regler” og så vælge “regler for inboks”. Her finder vi en regel der siger, at ALLE indgående mails sendes direkte til skraldespanden.

Hvad skete der egentlig?

  1. Adgang til mail i O365 Angriberen har på et tidspunkt fået adgang til O365 mail konto, med brugernavn og password, og da personen ikke har aktiveret 2-faktor, er det alt, der kræves for at få adgang.
  2. Dokument der redirigerer Angriben har lagt sit dokument indeholdende en URL, der automatisk henviser til en hjemmeside, angriberen kontrollerer.
  3. Inficering af PC når du trykker på linket i mail’en, sendes du altså til angriberens hjemmeside. Den tjekker hvilken browser du bruger, forsøger at udnytte sårbarheder i denne og ransomware fil hentes. Brugeren skal måske klikke på “dokumentet”, for at installere et program der krypterer harddisken og alle dens data, og man skal nu betale “løsesum” for at få sine data igen, eller genskabe fra backup.
  4. Inboks regel i O365, der tager alle indkomne mails og sletter dem. Da det er i skyen, er reglen altid aktiv, hvad enten PC’en kører eller ej.

Hvordan undgår man et sådan angreb?

2-faktor aktivering på mail konto ville have forhindret angriberen i at logge ind. Den ville også have givet et hint om, at der var nogen, der havde ens brugernavn og passwords, for man ville jo modtage en besked om 2-faktor godkendelse, selvom man ikke selv havde bedt om det.

Beskyttelse mod indkomne trusler

Udover at beskytte sin mailkonto mod uautoriseret adgang, bør man også beskytte den mod indkomne trusler.

Office 365 Advanced Threat Protection giver dig bedre sikkerhed på mails, blandt andet i forbindelse med vedhæftede filer og links.

3. parts løsninger som Trend Micro tilbyder også løsninger, der giver endnu bedre mail sikkerhed.

Læs videre

Samtykke billeder af ansatte

Den “personlige” virksomhed, har ofte billeder af sine ansatte på hjemmesiden. Jeg syntes faktisk det er god service, at jeg kan finde oplysninger om en ansat, hvis jeg lige har haft kontakt til virksomheden. Ofte kan man finde folk på Linkedin, men jeg syntes det giver virksomheden en mere personlig profil, hvis de ansattes billeder er på hjemmesiden. Det er jo mennesker, der handler med mennesker.

Hvad er udfordringen?

At du skal have samtykke af den ansatte, før du må sætte billedet på hjemmesiden. Samtykker kan tilbagekaldes, så du dermed skal slette billederne på hjemmesiden.

DMR A/S (Dansk Miljørådgivning) glemte dette, og fik en bøde af Datatilsynet for manglende sletning af billeder, YouTube videoer, og Facebook opslag.

Model samtykke?

Hvis dit samtykke ikke beskriver, at du godt må bruger de Youtube videoer, eller Facebook opslag, øvrig marketing materiale som virksomheden har produceret, måske med personen om centrum, eller bare i rummet, ja så skal du fjerne personen. Dette kan jo nemt betyde hele indholdet. Det er da rigtig ærgerligt, hvis man lige har produceret noget godt marketing, trænings materiale, som nu blot kan destrueres.

Læs videre
  • Vil du holde dig opdateret med seneste nyt inden for GDPR & IT sikkerhed?

    Du får tips og rådgivning til IT-sikkerhed direkte i din indbakke hver anden fredag.

    Schmitto A/S vil bruge den info som du har givet til og udsende email med nyheder, tips og tricks, invitationer til webinar og måske også et godt tilbud