Hvor hurtigt skal du sikkerheds opdatere?

Plaster Windows

Det er jo altid et spørgsmål om risiko. Hvad er risikoen ved ikke at gøre det, og kan der ske noget, hvis jeg gør det.

Spørgsmålet blev for mange pludselig virkelighed, da deres mailsystem måtte lukkes på grund af en sårbarhed i Microsoft Exchange. Jeg skrev om denne hændelse d. 14 marts 2021 Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

4 minutter og 59 sekunder.

Det var den tid du havde, til at opdatere din Exchange server, inden angrebene begyndte. Ifølge firewall producenten Palo Alto, begyndte angriberne, 5 minutter efter at Microsoft annoncerede sårbarheden, at scanne aktivt, og dermed inficere og overtage virksomhedens mailsystem.

Det er nemt at angribe!

I dag kan man leje sig ind på en server i skyen for 100kr og udføre dedikerede scanninger efter kendte sårbarheder, -i dette tilfælde HAFNIUM.

Det er dog ikke kun HAFNIUM, der scannes efter kontinuerligt. En af de andre, der søges rigtig meget efter, er Remote Desktop, som gennem de senere år har haft flere sårbarheder.

4 Gode råd:

  1. Få overblik over enheder, både dem du kender, og de ukendte, som du finder ved at overvåge netværkstrafikken for ukendte enheder.
  2. Prioriter dine enheder. Hvor vigtige er de for forretningen, og kan de tilgåes direkte ude på internettet.
  3. Prioriter din opdateringer, så du altid fokuserer på dem med størst risiko.
  4. Hav realtids viden om dine enheder, netværk, servere, klienter, cloud services, mobile enheder og hjemmearbejdspladser, så du hurtigt kan skabe dig et overblik, når en ny sårbarhed annonceres og bruge din fokus de rigtige steder.

Så svar på hvor hurtig du skal opdatere er:

Hurtigt, baseret på konkret prioriteret viden!

Kontakt mig gerne på 4025 3921, hvis du vil vide mere om, hvordan du kommer på forkant med sårbarheder.

Læs videre

6 gode råd om beskyttelse mod Ransomware:

Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.

  1. Angreb mod de systemer der styrer en 8.000 km lang olie distributions ledning i USA, som betød, at der pludselig blev mangel på benzin til de forslugne amerikanske biler.
  2. Angreb mod det Irske sundhedsvæsen, som betød problemer med COVID-19 tests og andre sundheds services.

Hvad sker der i et Ransomware angreb?

Dine filer bliver krypteret, så du ikke længere kan læse dem

Hvordan kommer Ransomware typisk ind i virksomheden?

Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.

Hvordan får jeg mine filer igen?

  1. Betaler angriberen den løsesum “ransom” han kræver.
  2. Restore ved hjælp af dit backup system.

Får man sine filer igen, hvis man betaler angriberen?

Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.

Bør man betale?

Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.

  1. Olielednings firmaet skulle efter sigende havde betalt 30 millioner kr. for at modtage krypteringsnøglen. Så jeg er sikker på, at de er et emne igen for ny Ransomware.
  2. Det Irske sundhedsvæsen har tilsyneladende afvist at betale.

Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.

6 gode basis råd til at undgå Ransomware

  1. Kend dit setup. Sikre dig at alle enheder opdateres, både servere, klienter, operativsystemer og 3. parts software. Jeg bruger Qualys til dette.
  2. Check alle ind- og udgående mails for links og vedhæftede filer.
  3. Hav et backup system, hvor data også findes udenfor virksomheden, så backup data ikke også bliver krypteret. Se denne blog artikel om: Hvorfor er backup 3-2-1 vigtig for dig
  4. Check at du kan restore kritiske data mindst hver 6. måned.
  5. Brug et anerkendt ransomware produkt/service til at beskytte klienter og servere.
  6. Fortæl brugere, at hvis de er i tvivl, så klik aldrig på links eller ukendte filer.

Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.

Læs videre

7 Gode råd omkring overførsel til 3. lande.

EU-Domstolen fastslog d. 16 juli 2020 i Schrems II-sagen, at EU-Kommissionens standardkontrakter SCC fortsat er gyldige. Men kun hvis der træffes supplerende foranstaltninger i usikre tredjelande, som f.eks. USA.

Udfordringen er, at ingen kan fortælle os, hvad de “supplerende foranstaltninger” præcis skal være.

Datatilsynet

Jeg har været i dialog med Datatilsynet om supplerende foranstaltninger i relation til overførsel til 3. Land.

  • Datatilsynet anbefaler, at man altid forsøger, at bruge en udbyder der opbevarer data i EU/EØS.
  • Datatilsynet bekræfter også, at der vil være tilsyn i nærmeste fremtid omkring dette emne.
  • Datatilsynet kan ikke fortælle mig konkret hvad “supplerende foranstaltninger” er.

Er det slut med at anvende USA services?

Det tror jeg ikke. Der er jo nødt til at komme en brugbar løsning til dataoverførsel især mellem EU og USA. Jeg håber, at nogen inden sommerferien 2021 finder en varig løsning på denne udfordring. Man må også sige, at indtil den er fundet, kan man risikere at Datatilsynet pålægger, at man stopper med at bruge en service hvor data overføres til USA. 😢

7 gode råd.

  1. Tjek hvilke af dine databehandlere der indebærer overførsel til 3. lande.
  2. Tjek om dine nuværende databehandlere benytter underdatabehandlere i 3. lande. Jeg ser ofte, at danske services benytter services i USA.
  3. Tjek at databehandleraftalen inkluderer – eller på anden vis bekræfter, at de lever op til Standard Contractual Clauses (SCC)
  4. Tjek med din databehandler, at de krypterer dine data såvel under transmission som under opbevaring. Det sidste er der desværre ikke så mange der gør.
  5. Udfør en risikovurdering, og beskriv hvorfor du mener at dit valg af leverandør/service stadig sikrer den registreredes rettigheder. Herunder også hvilke supplerende foranstaltninger der er foretaget for at sikre data.
  6. Hvis du overfører fortrolige eller følsomme oplysninger til 3. lande, vil jeg råde dig til at vurdere, om du snarest kan flytte disse services til EU/EØS land.
  7. Vurder altid om der findes en service indenfor EU/EØS du kan bruge, i stedet for en der kræver overførsel til 3. lande.

Mere info.

Læs videre

Qualys Webinar om aktuelle sårbarheder og hvordan du prioriterer og udbedrer dem.

For at hjælpe kunder med at udnytte integration mellem Qualys VMDR og Patch Management, og reducere tiden med opdatering af kritiske sårbarheder, har Qualys Research-team nu annonceret en månedlig webinarserie “Denne måneds opdateringer.

Webinaret udgives torsdag i den uge hvor “Microsoft Patch Tuesday” udgives.

Her vil Qualys Research-team diskutere de sårbarheder, de mener man bør fokusere på. Inklusiv Microsoft Patch Tuesday.

Agenda for webinaret vil typisk være:

  • Sårbarheds- og trusselsbilledet nu.
  • Hvilke opdateringer man bør fokusere på vurderet ud fra risiko, trussel, og prioritet.
  • Hvordan kan man udnytte prioriterings løsningen i Qualys VMDR
  • Demo der viser hvordan man prioriterer og udfører sine sikkerheds opdateringer baseret på den indsamlede info, udvidet med info fra andre kilder.

Tilmeld dig webinaret Denne Måneds opdateringer

Nysgerrig omkring Qualys VMDR, så kontakt mig endelig.

Læs videre

Bruger du Google Mail?

Det er der stor chance for. Hvis ikke dig selv, så en i familien eller en du kender. Gmail har idag en markedsandel på 43%, og sendte 304 milliarder mails i døgnet i 2020. Det svarer til 3,5 millioner i sekundet, og de blokerer 100 millioner spam mails i døgnet.

Er det et problem at have en Gmail?

Som udgangspunkt nej, og dog.. måske lidt. For hvor mange har læst Gmails privatlivspolitik? Og dermed på et oplyst grundlag vurderet, om den måde hvorpå Google driver deres forretning, stemmer overens med dine holdninger til privatlivspolitik.

Google lever af dine data!

Der er jo ikke noget, der er gratis her i livet. Heller ikke en mail konto. Så selvom du ikke betaler direkte for din Gmail med penge, så betaler du bare med dine data.

Google lever jo af, at du klikker på et annonce link på nettet. Annoncøren betaler så Google for, at han får relevant trafik til sin hjemmeside.

Så jo mere Google ved om dig, jo bedre er de til at give dig de rigtige søgeresultater, som betyder, at du klikker på en annonce.

Gmail har glade “kunder”.

De fleste der har en Gmail konto, er rigtige glade for den, fordi den leverer værdi.

For eksempel:

Gmail prioriterer dine mails for dig, de vigtige og så de andre, i forskellige faner.

De kan jo kun prioritere dine mails, hvis de læser dem. Ikke fysisk, men de læses og indholdet bruges til at profilere dig.

Tidligere blev der vist annoncer ude i margen, som relaterede sig til indholdet i en mail. Men jeg mener, at det er stoppet. Det blev alligevel lidt for specielt til, at Google ville fortsætte med det. Dernæst viste de jo så også med tydelighed, at de læste mail indholdet.

Google smartfunktioner:

Gmail brugere er glade for den værdi Google giver. Den seneste udvikling er Google Smartfunktioner, som Google beskriver som:

Intelligente funktioner og tilpasset styring i Gmail, Chat, Meet og andre Google-tjenester

Hvis du slår Google Smartfunktioner fra.

Følgende funktioner og meget mere deaktiveres, indtil du ændrer indstillingerne:

  • Automatisk filtrering/kategorisering af mails (Primære/Sociale netværk/Promoveringer)
  • Smartsøgning (søgeordsforslag, relevante resultater og meget mere)
  • Notifikationer ved høj prioritet for vigtige mails
  • Skriveassistent (foreslået tekst) i mails
  • Smartsvar (foreslåede hurtige svar) i mails
  • Oversigtskort over mails (rejse, pakkesporing og meget mere)
  • Påmindelser om at svare på glemte mails
  • Udtrækning af oplysninger for at oprette kalenderbegivenheder

Nu er Gmail så bare ikke den samme brugeroplevelse som før. Nu er den blot som en almindelig mail, med en god SPAM beskyttelse. Så mange vælger at køre videre som hidtil med smartfunktionerne aktiveret.

Bare husk, at du næppe vil lade din nabo læse alle dine mails, men du har det altså OK med at Google gør det.

Læs videre

iPhone iOS 14.5

Vil du spores skal du sige ja

Apple har valgt at fokusere endnu mere på brugerens privatliv. Rygtet siger, at den iOS 14.5, iPad OS 14.5 og TVos 14.5, som vi kommer til at installere i nærmeste fremtid, vil ændre på hvordan Apps kan sporer dig.

Som jeg skrev i et tidligere nyhedsbrev, Ved du hvad dine Apps opsamler af data om dig?, er det meget forskelligt hvad apps opsamler, og sporer i din adfærd. Denne nye privacy mulighed hedder App Tracking Transparency (ATT).

Fra version 14.5 vil du blive mødt af en pop up, som vil sige noget i retning af “x vil gerne have tilladelse til at spore dig på tværs af apps og websteder, der ejes af andre virksomheder. Dine data vil blive brugt til at levere personlige annoncer til dig.”

Så det nye er, at du skal tilvælge sporing for at modtage bruger tilpassede annoncer.

Facebook har selvfølgelig udtrykt deres utilfredshed med denne nye feature, da netop tracking af personers adfærd, er den stor del af deres annonce forretning. Sådan kan udgivelsen af Apple iOS 14 påvirke dine annoncer og din rapportering (linken KRÆVER, at du accepterer Facebook’s cookies)

Nå, men jeg ved godt, hvad jeg vælger når muligheden kommer 😜

Åben telefonen med uret når du bærer mundbind 😷

Nyere iPhone’s hvor man åbner iPhone ved hjælp af ansigtskendelse, har ikke virket hvis du bar mundbind. Med iOS 14.5 og et opdateret Apple Watch, vil du kunne åbne iPhone ved tryk på Apple Watch.

Læs videre

5 gode råd om End of Life software og hvad du bør gøre.

“End of Life betyder, at softwaren ikke længere kan købes eller supporteres af producenten. Så der kommer ikke flere opdateringer, ej heller hvis der opdages nye sårbarheder. “

Adobe Flash var i mange år den platform, der gav os lyd og video, når vi besøgte hjemmesider. Den blev installeret på ens computer, og blev så aktiveret hvis hjemmeside indeholdt lyd eller video. Derefter startede Adobe Flash inde i selve browseren, og du så videoen.

Hvis du besøgte Youtube, skulle du have Flash installeret, for at kunne se video, indtil Adobe i 2017 annoncerede afslutningen på Adobe Flash.

Mareridt for sikkerheds folk.

For de IT sikkerheds ansvarlige var Flash et helvede, fordi der konstant blev fundet nye sårbarheder. Nogle som kunne inficere PC’en, bare man besøgte en hjemmeside med sårbar Adobe Flash installation.

Så Flash blev elsket af angriberne, og hadet af IT sikkerhedsfolk, fordi den var på stort set alle enheder.

Der var endda også spil, som blev afviklet via flash.

Flash sluttede 31.12.2020.

Ved nytår var det slut med Flash. De fleste browsere idag vil blokere flash, hvis man kommer til en hjemmeside, der indeholder Flash komponenter. Flash har også en indbygget “kill-switch”, der gerne skulle forhindre eksekvering efter d. 12 januar 2021.

Så der er gjort en del for at forhindre, at flash ikke længere er et problem.

Hvor mange af dine enheder har stadig Adobe Flash installeret?

Det jo fint, at der er forsøgt forskellige former for blokering af at flash kan afvikles, men det betyder jo også, at rigtig mange enheder har flash installeret, som aldrig nogensinde bliver opdateret mere.

Ved du hvor mange af dine enheder, der har Flash installeret?

Hvad nu hvis der er en sårbarhed?

Med den historik Flash har haft omkring sårbarheder, mener jeg ikke, det er utænkeligt, at en eller anden klog person finder ud af at udnytte / finde en ny sårbarhed.

  • Hvad vil det betyde for enheder, som stadig har flash installeret?
  • Hvad nu hvis Adobe Flash genopstår som Open Source, som nogle har arbejdet på?

5 gode råd om End of Life af software og hardware, samt hvad du bør gøre.

Min pointe er, at du bør have overblik over din installation. Hvad du har på hvilke enheder.

  1. Hvor meget end of life software har jeg?
  2. Hvilken software udløber indenfor de næste 6, 12 eller 24 måneder?
  3. Betaler jeg software support for licenser, der er End-of-Life?
  4. Har jeg hardware, der er end of life, eller bliver det indenfor de næste 6, 12 eller 24 måneder?
  5. Har jeg hardware support på enheder som er End-of-Life?

Hvordan får jeg den viden.

Der findes en del forskelige metoder til at få viden om indeholdet i dit setup.

Jeg tilbyder virksomheder implementerring af Qualys VMDR.

Qualys VMDR, en suite af cloud Security og Compliance services, tilbyder udover at opsamle data om software og hardware, også at berige disse data med viden. Det gælder viden om mere end 1.700 udviklere/firmaer og status på deres 85.000 software frigivelser, samt mere end 100 hardware producenter og deres 45.000 forskellige modeller.

Det betyder, at man i et samlet overblik kan få status på alle enheder i sin infrastruktur.

Kontakt mig gerne, hvis du også gerne vil kende “udløbsdatoen” for din software og hardware.

Læs videre

5. gode råd om slettefrister og GDPR

– Hvor længe vil/må du opbevare persondata?

Et spørgsmål som alle der arbejder med GDPR, skal forholde sig til!

  • 1 uge
  • 1 måned
  • 1, 5 eller 10 år

Det afhænger ikke kun af din bedømmelse og argumentation. Det handler også om lovgivninger, som bogføringsloven der siger 5 år, og journaliseringsloven der ofte er 10 år.

Men for de fleste handler det først om at definere, hvor længe har jeg ret (hjemmel) til at beholde de personrelaterede data. Det handler ikke om, hvor længe jeg syntes det kunne være en god ide.

Slette data.. helst ikke.

Ja jeg syntes også, at det førhen var fint når jeg søgte efter en mail, at jeg faktisk kunne gå 10 år eller mere tilbage. Det var ikke altid, at det var noget præcist jeg søgte efter, -noget der skete for 10 år siden. Men det var lidt ligesom at kigge på gamle billeder.

Det går ikke mere. Du skal beskrive hvorfor du vælger den sletteregel du nu vælger.

Eksempel 1. Mails.

Firmaet modtager en mail fra en ny kunde i deres info@firma.dk, hvor kunden beder om mere info og pris på en vare/ydelse. Mailen bliver besvaret med relevante oplysninger. Kunden vender aldrig tilbage. Hvor længe kan du med god grund beholde denne mail?

Hvis du sælger varer/ydelser med kort beslutnings tid, ja så kan du ikke beholde den ret længe. Måske 3-6 måneder. Hvorimod hvis kunders beslutnings tid ofte er 6-12-18 måneder før køb, så vil jeg vurdere, at 1-2 år vil være OK at opbevare denne mail. Det vigtigste er at du vurderer realistisk, og beskriver din vurdering så detaljeret som muligt.

Hvis kunden derimod køber, så har du nu en aktiv relation, som betyder, at du kan have en slettefrist der siger, at du ikke sletter aktive kunders data.

Mail sendes rundt i virksomheden.

Tingene bliver ofte mere komplicerede, når man også internt i virksomheden sender kunde mails rundt. Den modtagne mail til info@firma.dk modtages og videresendes så til en sælger. Sælger skal lige have nogle tekniske ting på plads, så han videresender den til teknisk afdeling, som besvarer den med priser.

Nu ligger den mail i 3 mailbokse, info@firma.dk, sælger@firma.dk, teknik@firma.dk. Og køber han ikke, skal den slettes i alle 3 mailbokse. Køber han, kan man opbevare den indtil han ikke længere er kunde, og så skal den stadig slettes i alle mailbokse.

Skraldespanden.

Husk også at slette skraldespanden. De fleste mail klienter lægger blot slettede mails i en “skraldespand”, der først slettes helt, når du aktivt beder den om det.

Nogle mail klienter tilbyder at tømme skraldespanden, når brugeren lukker sin mail klient. “Skal skraldespanden tømmes nu? DU KAN IKKE FORTRYDE DETTE! … øh jeg tror jeg venter, kan ikke lige overskue det i dag … så du udskyder… måske for evigt.

Eksempel 2. Bruger kundens mobilnummer som KundeID.

Hvis du bruger mobilnummer som KundeID, risikerer du, at du IKKE kan overholde slettefristen, da man kan identificere en person via mobilnummer. En måde at slette kunder på, er ved at anonymisere data, så du stadig kan trække en statistik på salget 6 år tilbage. Men der vil være kunder du ikke kan identificere mere, fordi de er stoppet og din slettefrist betød, at de skulle anonymiseres.

Men hvis din database “eksploderer” hvis ikke den har de gamle kunde ID’er, ja så er du på den, hvis kunde id’et var et mobil nummer. Du kan sagtens bruge mobilnummer til at søge efter kunden, da kunden kan huske det selv, men lad være med at gøre det til “nøglen i databasen”.

5 gode råd

  1. Brug aldrig telefon eller CPR som unik KundeID, hvis ikke det kan slettes igen i dit system.
  2. Brug ikke mails til at sende kundedata rundt i virksomheden, men opret såvel kunder som potentielle kunder i et centralt system, CRM, og drøft tingene der. Så er der kun et sted, du skal slette efterfølgende.
  3. Se om du kan lave en automatisk, løbende tømning af skraldespanden, uden at brugeren spørges.
  4. Tænk “slette politik” ind allerede ved implementering af en løsning.
  5. Husk at overholde dine slettefrister, ellers kan det blive dyrt.

Hvad er konsekvensen, hvis jeg ikke sletter?

Bøde!! Ilva overholdt ikke deres slettefrist, og Datatilsynet indstillede dem til en bøde på 1.5 million kroner i juni 2019. Tilsyn med IDdesigns behandling af personoplysninger. Den kom så for domstolen februar 2021, Stor møbelkæde dømt for overtrædelse af GDPR-reglerne , hvor bøden blev fastsat til 100.000 kr. ,mendommen ankes af anklagemyndigheden.

Så prisen kendes ikke endnu

Læs videre

Microsoft Exchange HAFNIUM sårbarhed – Hvad gør jeg?

Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.

Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.

I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.

Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.

Hvad er en Zero-day sårbarhed?

“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.

Jeg bruger Microsoft Exchange – er jeg så i fare?

Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.

Hvem er bag angrebet?

Ifølge en blog post fra Microsoft peger de på Kina.

Hvem opdagede det?

Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.

Hvad bør jeg gøre nu?

  1. Opdater din Exchange server. Microsoft har frigivet en udførlig beskrivelse af hvordan du skal sikkerhedsopdatere.
  2. Check om du allerede er angrebet med succes ved at følge denne Microsoft vejledning. Den indeholder også et script, som er udviklet af Microsoft Exchange Server Team til at hjælpe dig med beskrivelse og gennemgang af dine Exchange log filer.
  3. Hvis ikke du kan opdatere, så bør du følge Microsoft alternative metode og herunder begrænse adgangen til Exchange serveren udefra. Jeg ved godt, at det betyder at remote brugere ikke kan hente deres mail. Men det er det bedste alternativ lige nu, kontra et vellykket angreb, hvor angriberne måske får adgang til dine interne systemer.

Schmitto A/S kunder der anvender Qualys VMDR:

Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.

Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View

VMDR Exchange 0-day Dahsboard
VMDR Exchange 0-day Dahsboard

Mere info om Qualys VMDR?

Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via ole@schmitto.com eller 40253921.

Læs videre

Skatteguiden ApS beder om dine følsomme oplysninger

– Jeg forstår det ikke!

Nyhederne har skrevet om Skatteguiden, og 45.401 personer, har i følge skatteguidens hjemmeside, givet Skatteguiden adgang til meget følsomme oplysninger.

Skatteguiden skriver:

“Tidlig årsopgørelse! For første gang nogensinde, kan du få et smugkig på din årsopgørelse 2 uger før tid. Vores algoritme kan på et splitsekund analysere din data og allerede nu estimere din skat for 2020. Download appen, autoriser Skatteguiden på skat.dk og få resultatet.

Glemte fradrag? Der er mange forskellige fradrag, og det kan være svært at vide hvilke du er berettiget til – og hvordan du får dem udbetalt. Skatteguiden gør det nemt at tjekke dine fradrag, og sørge for at du modtager fradrags-udbetalinger fra Skat direkte på din Nemkonto. Tjek dine fradrag for 2017, 2018 og 2019. “

Er Skatteguiden gratis at bruge?

Ja! Vi er pt et gratis bindeled til skat.dk. Og det er uanset om du finder et glemt fradrag eller ej.

  • Så hvad er forretningsmodellen? Hvordan vil de betale for at sikre mine følsomme data?

Er nogen virkelig så forhippet på at få disse data, 14 dage før SKAT oplyser dem på deres hjemmeside, at man vil give et privat firma, Skatteguiden ApS, adgang til alle disse private følsomme data, som de gemmer på deres server jvf deres privatlivspolitik??

Jeg forstår det ikke!

Mit bedste råd er, træk dit samtykke tilbage, og bed dem bekræfte at ALLE DINE DATA ER SLETTET NU.

Læs videre

Hvad vil Datatilsynet fokusere på i 2021?

Datatilsynet har oplyst hvilke områder de vil fokusere på i 2021.

Overskrifterne er:

  • Kreditoplysningsbureauer, advarselsregistre og spærrelister
  • Inkassobureauers oplysningspligt og sletning
  • Pengeinstitutters procedurer for indsigtsanmodninger
  • Tv-overvågning
  • Myndigheders videregivelse af personnumre til borgere
  • Forskning
  • Behandling af personoplysninger om hjemmesidebesøgende (cookies)
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden
  • Kontrol med databehandlere
  • Overførsel af personoplysninger til tredjelande
  • Behandling af personoplysninger i fælleseuropæiske informationssystemer
  • PNR-loven (Kommentar: Lov om indsamling, anvendelse og opbevaring af oplysninger om flypassagerer)
  • Retshåndhævelsesloven

Hvad betyder det for mig?

Nogle af områderne henvender sig til specifikke brancher, typer af virksomheder og myndigheder. Men der hvor jeg kan se, at det stort set rammer alle er på:

  1. TV-overvågning, som mange idag har, hvilket også er tilladt hvis man følger reglerne. F.eks. må man som udgangspunkt ikke optage offentlige steder, med undtagelse af visse brancher, men gerne sin egen facade og indgang. Vigtigt er også som sædvanligt, beskrivelsen af hvorfor man optager samt slette fristen. Du skal også huske at skilte med TV-overvågning.
  2. Behandling af personoplysninger om hjemmesidebesøgende (cookies), gælder jo for alle der har en hjemmeside. Jeg skrev for 1 år siden om Datatilsynet har nye retningslinjer for behandling af personoplysninger til hjemmeside ejere. Den gang afsluttede jeg artiklen med at Datatilsynet nok ikke vil give anmærkning eller bøder. Men nu er der gået 1 år, så nu kan man nok forvente, at de vil være mere strikse.
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden, er jo store dele af GDPR delen generelt. Men der nævnes brud på persondatasikkerheden. Så det tolker jeg som, at man vil kontrollere, at virksomheder har styr på hændelser, der omhandler personsikkerhed. Man skal f.eks. beskrive enhver hændelse, der involverer personhenførbare oplysninger. Det mest almindelige i følge Datatilsynets opgørelse er, at der bliver sendt en mail med personoplysninger til den forkerte modtager. Men der kan være andre hændelser, der ikke nødvendigvis kræver en anmeldelse til Datatilsynet. Men du skal stadig registrere hændelsen, så det er vigtigt, at du har en fast proces til dette. Lexoforms, som er den online service mine kunders GDPR data ligger i, har netop introduceret et hændelses modul.
  • Kontrol med databehandlere Du skal huske at kontrollere dine databehandlere. Du har indgået en aftale, men du er stadig den dataansvarlige. Så derfor skal du føre tilsyn med, at tingene er som aftalt. Nogle databehandlere får udført ekstern revisions kontrol, som du skal gennemse. Andre må du sende relevante sprøgsmål til, med det formål at sikre, at den databehandler aftale i har indgået, stadig lever op til jeres aftale. Jeg har skrevet denne artikel .Skal jeg føre tilsyn med mine Databehandlere?”
  • Overførsel af personoplysninger til tredjeland Med EU’s dom om at US Privacy Shield er ikke længere er gyldigt, har vi siden 16 juli 2020 ventet på en løsning. Der har været flere møder i EU, så forventningen er stadig, at EU og USA finder en løsning. EU’s udspil er Standard Contractual Clauses (”SCC”), så alt tyder på, at EU vil fastholde sin position. Høringsfristen for denne nye aftale var 10 december 2020, du kan følge udviklingen her. Nogle US baserede firmaer har udvidet deres aftaler med at respektere SCC, desværre har jeg ikke fundet et sted med oversigt over hilse firmaer som har tilsluttet sig SCC.

Du kan læse mere her om datatilsynets fokusområder

Læs videre

Microsoft Authenticator Chrome Extension var falsk og snød mig.

Microsoft password manager

Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.

Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.

Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.

Her blev jeg snydt!

På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.

Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.

Det gjorde jeg, men responsen efter login gjorde mig mistænksom.

Hvad skete der?

  • Den Chrome extension som ligger derinde, er IKKE fra Microsoft, selvom den udgiver sig for det.
  • Hvis man holder musen henover “Kontakt Udvikler”, kan man se, at den mail adresse er en Gmail.
Kontakt udvikler mail adressen er en Gmail.

Hvad er problemet?

Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.

Hvad var konsekvensen for mig?

  1. At jeg stoppede med at skrive omkring Microsoft Authenticator, og skrev denne artikel i stedet for.
  2. At jeg omgående udskiftede mit password på min konto
  3. At snyderen aldrig får fat i min konto, da jeg bruger 2-faktor godkendelse.

Hvad lærte jeg?

  1. Stol ikke blindt på Google Chrome udvidelser inden du installerer.
  2. Vær mistænksom når 1Password Manager pludselig ikke viser brugernavn og password, når du skal logge ind. Det gør den nemlig kun på det korrekte domain. I dette tilfælde skal det være Microsoft, som det så ikke var, -men derimod hackerens domain.
  3. Husk altid at checke hvem der står som udvikler, og klik på besøg udvikler, og kontakt udvikler, for at sikre at det virker rigtigt.

Hvad gjorde jeg udover ovenstående?

  1. Anmeldte udvidelsen som “snyd” til Google Chrome
  2. Skrev til den danske Direktør for Teknologi og Sikkerhed hos Microsoft Danmark, Ole Kjeldsen.
Læs videre

”Støjfri” browsing på iPad, iPhone og Mac

– Slip for annoncer i Safari på iPhone, iPad og Mac

Svenskeren Joel Arvidsson har udviklet en udvidelse HUSH til Safari for iPad, iPhone og Mac. Udvidelsen giver en mere “ren” oplevelse, og her ser jeg ikke længere reklamer og får langt færre pop-ups på mine enheder.

Det er et open source projet, som jo betyder at koden er offentligt tilgængelig.

Jeg anbefaler den til alle der bruger Safari

Du kan læse mere på hjemmesiden, hvor der også er links til udvidelsen.

Læs videre

Nyt om Privacy Shield-afgørelsen

Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.

EU-Domstolen har for nylig truffet en afgørelse om overførsel af personoplysninger til lande uden for EØS. I dommen når EU-Domstolen bl.a. frem til, at Privacy Shield-afgørelsen, som har stor betydning for overførsler til USA, er ugyldig. Det har skabt megen usikkerhed.

Vi har fået lidt hjælp.

Den 10. november 2020 har Det Europæiske Databeskyttelsesråd vedtaget to dokumenter, som er helt grundlæggende, når vi skal overføre personoplysninger til lande uden for EØS. Det drejer sig om:

  1. Anbefalinger om 4 europæiske væsentlige garantier. De er endeligt vedtaget og
  2. Anbefalinger om supplerende foranstaltninger. De skal i offentlig høring inden endelig vedtagelse.

DE 4 EUROPÆISKE VÆSENTLIGE GARANTIER

Som tredjelandene, herunder USA anbefales at opfylde, er beskrevet her, men vi har endnu ikke Kommissionens ord for, om USA har en lovgivning, der opfylder disse 4 garantier, så det er op til os selv at vurdere, dels om vi vil følge anbefalingerne, og dels om vi anser anbefalingerne for overholdt i lovgivningen i tredjelandet, f.eks. i USA.

Hvilke er så de 4 krav/garantier?

A. Behandling bør baseres på en lovgivning med klare, præcise og tilgængelige regler.

Der skal være f.eks. en overvågningslovgivning i tredjelandet, f.eks. i USA, der skal beskrive de konkrete formål med lovgivningen. Overvågning kan kun ske med den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov. Loven skal beskrive rækkevidden og anvendelsen af den pågældende overvågning/foranstaltning. Lovgivningen skal indeholde minimumsgarantier, en definition af de kategorier af mennesker, der kan være underlagt overvågning, en begrænsning af overvågningens/foranstaltningens varighed, den procedure, der skal følges for undersøgelse, brug og opbevaring af de opnåede data og de forholdsregler, der skal træffes, når de videregiver dataene til andre parter.

Overvågningen skal være forudsigelig med hensyn til dens virkning for den enkelte for at give ham / hende tilstrækkelig og effektiv beskyttelse mod vilkårlig indblanding og risikoen for misbrug, dvs. loven i tredjelandet/USA skal være tilstrækkelig klar til at give borgerne en tilstrækkelig indikation af, under hvilke omstændigheder og på hvilke betingelser offentlige myndigheder har beføjelse til at anvende sådanne foranstaltninger.

B. Nødvendigheden og proportionaliteten med hensyn til de forfulgte legitime mål skal påvises.

Rettighederne til privatlivets fred og databeskyttelse kan kun begrænses, hvis det er nødvendigt og virkelig opfylder mål af almen interesse anerkendt af Unionen eller behovet for beskytte andres rettigheder og friheder. Der skal foretages en afvejning af alvoren i at begrænse rettighederne til privatlivets fred og databeskyttelse over for behovet for det offentliges interesse i f.eks. overvågningen f.eks. pga. en alvorlig trussel mod den nationale sikkerhed.

Lovgivning i et tredjeland, der ikke angiver nogen begrænsninger i den beføjelse, den tillægger at gennemføre overvågningsprogrammer med henblik på udenlandsk efterretningstjeneste, kan ikke sikre et beskyttelsesniveau, der i det væsentlige svarer til kravene i proportionalitetsprincippet.

Lovgivninger “som generelt bemyndiger lagring af alle personoplysninger om alle de personer, hvis data er overført fra Den Europæiske Union (…) uden nogen differentiering , begrænsning eller undtagelse foretages i lyset af det forfulgte mål og uden, at der er fastlagt et objektivt kriterium, hvormed man kan bestemme grænserne for de offentlige myndigheders adgang til dataene og efterfølgende anvendelse til formål, der er specifikke, strengt begrænset og i stand til at retfærdiggøre den indblanding, som både adgang til dataene og deres anvendelse medfører ”, er ikke i overensstemmelse med dette princip

C. Der bør eksistere en uafhængig tilsynsmekanisme a la det danske datatilsyn

Enhver indblanding i retten til privatliv og databeskyttelse skal være underlagt et effektivt, uafhængigt og upartisk tilsynssystem, der skal sørges for enten af en dommer eller af et andet uafhængigt organ (f.eks. en administrativ myndighed som et Datatilsyn eller et parlamentarisk organ).

Der skal også tages hensyn til den faktiske drift af aflytningssystemet, herunder kontrol og balance mellem magtudøvelse og eksistens eller fravær af faktisk misbrug, og et tilsyn der dækker alle de enkelte overvågningsforanstaltninger.

I tilfælde af berettiget hastværk kan overvågningen/ foranstaltningerne finde sted uden en forudgående gennemgang af tilsynsmyndigheden. Der kræves dog stadig, at den efterfølgende revision finder sted inden for kort tid.

D. Effektive retsmidler skal være tilgængelige for den enkelte

Den endelige europæiske væsentlige garanti er knyttet til personens klageadgang. Der skal være et effektivt middel til at gennemføre personens rettigheder, når personen mener, at de ikke er blevet respekteret.

F.eks. ved indsamling af trafik- og lokaliseringsdata i realtid, er meddelelse til de registrerede personer nødvendig for at gøre det muligt for dem at udøve deres rettigheder, men det er på den anden sige også ok, at underretning kun sker i det omfang, og på det tidspunkt, hvor underretning ikke længere bringer de opgaver, som disse myndigheder er ansvarlige for, i fare.

En domstol eller et andet upartisk organ tilbyder tilstrækkelige klagemuligheder, hvis den opfylder en række kriterier for at være et uafhængigt og upartisk organ, og som ikke kræver en bevismæssig byrde, der skal overvindes for at indgive en klage til den.

Domstolens eller organets uafhængighed skal sikres, især fra den udøvende magt, med alle nødvendige garantier, herunder med hensyn til dets betingelser for afskedigelse eller tilbagekaldelse af udnævnelsen,

Konklusion

Vurderingen af tredjelandsovervågningsforanstaltningerne kan føre til to konklusioner:

  1. Den omhandlede tredjelandslovgivning garanterer ikke de 4 væsentlige garantier: i dette tilfælde vil tredjelandslovgivningen ikke tilbyde et beskyttelsesniveau, der i det væsentlige svarer til det, der er garanteret i EU.
  2. Den omtvistede tredjelandslovgivning opfylder alle 4 garantier.
  3. Ved vurderingen af tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45 i GDPR bliver Kommissionen nødt til at evaluere, om de 4 garantier er opfyldt som en del af de elementer, der skal overvejes for at garantere, at tredjelandslovgivningen som helhed tilbyder et beskyttelsesniveau, der i det væsentlige svarer til den, der er garanteret i EU.

Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.

Læs videre