Sommerferie, så hvem gider skrive eller læse om GDPR og IT-sikkerhed. Så denne artikel, bliver med fokus på en privat oplevelse.
Det er et af mine faste spørgsmål. Hvis du spørger mine kone eller børn, vil de sige, at når jeg om morgen var gået ud til bilen, gik der 2 minutter, før jeg kom ind igen, for at hente bilnøgler, pung eller mobiltelefon. Jeg finder dem som regel indenfor kort tid.
Læs videre “Hvor er dine bilnøgler?”
Man siger at IT-sikkerhed er “på alles læber”. Også hos bestyrelsen, hvilket jo burde være en god udvikling.
Men er det baseret på facts eller skræmme kampagner?
Læs videre “Hvordan prioriterer du IT-sikkerhed?”
– Windows brugere bliver snart tvunget derover
Som Mac bruger er det mest oplagte browservalg jo Safari. Ikke mindst fordi Apple gør en del for at beskytte vores privatliv, når man anvender Safari.
Læs videre “Jeg er skiftet fra Chrome til Edge”
Det er jo altid et spørgsmål om risiko. Hvad er risikoen ved ikke at gøre det, og kan der ske noget, hvis jeg gør det.
Læs videre “Hvor hurtigt skal du sikkerheds opdatere?”
Igen i de sidste 14 dage har der været vellykkede angreb mod virksomheder. Især to sager, synes jeg, er specielt markante.
Dine filer bliver krypteret, så du ikke længere kan læse dem
Ofte via en bruger, der klikker på en fil, der så krypterer data både lokalt og på netværket. Og ofte udnyttes samtidig en sårbarhed på den pågældende brugers enhed eller andre enheder, til at sprede Ransomware internt.
Det korte svar er ja… som alle andre forretninger, kan de jo kun fortsætte, hvis man leverer det man lover. Og angriberne udleverer typisk krypterings nøglen, til dem der betaler.
Ikke som udgangspunkt, da angriberne jo igen vil gå efter de industrier, som er kendt for at betale. Det er almindelig forretningslogik.
Jeg mener heller ikke at hverken Maersk eller William Demant, som er de meste kendte Ransomware sager i DK, betalte.
Der er mange flere ting du kan gøre, men du skal sikre dig mht ovenstående først.
EU-Domstolen fastslog d. 16 juli 2020 i Schrems II-sagen, at EU-Kommissionens standardkontrakter SCC fortsat er gyldige. Men kun hvis der træffes supplerende foranstaltninger i usikre tredjelande, som f.eks. USA.
Udfordringen er, at ingen kan fortælle os, hvad de “supplerende foranstaltninger” præcis skal være.
Læs videre “7 Gode råd omkring overførsel til 3. lande.”
For at hjælpe kunder med at udnytte integration mellem Qualys VMDR og Patch Management, og reducere tiden med opdatering af kritiske sårbarheder, har Qualys Research-team nu annonceret en månedlig webinarserie “Denne måneds opdateringer.”
Læs videre “Qualys Webinar om aktuelle sårbarheder og hvordan du prioriterer og udbedrer dem.”
Det er der stor chance for. Hvis ikke dig selv, så en i familien eller en du kender. Gmail har idag en markedsandel på 43%, og sendte 304 milliarder mails i døgnet i 2020. Det svarer til 3,5 millioner i sekundet, og de blokerer 100 millioner spam mails i døgnet.
Læs videre “Bruger du Google Mail?”
Apple har valgt at fokusere endnu mere på brugerens privatliv. Rygtet siger, at den iOS 14.5, iPad OS 14.5 og TVos 14.5, som vi kommer til at installere i nærmeste fremtid, vil ændre på hvordan Apps kan sporer dig.
Som jeg skrev i et tidligere nyhedsbrev, Ved du hvad dine Apps opsamler af data om dig?, er det meget forskelligt hvad apps opsamler, og sporer i din adfærd. Denne nye privacy mulighed hedder App Tracking Transparency (ATT).
Fra version 14.5 vil du blive mødt af en pop up, som vil sige noget i retning af “x vil gerne have tilladelse til at spore dig på tværs af apps og websteder, der ejes af andre virksomheder. Dine data vil blive brugt til at levere personlige annoncer til dig.”
Så det nye er, at du skal tilvælge sporing for at modtage bruger tilpassede annoncer.
Facebook har selvfølgelig udtrykt deres utilfredshed med denne nye feature, da netop tracking af personers adfærd, er den stor del af deres annonce forretning. Sådan kan udgivelsen af Apple iOS 14 påvirke dine annoncer og din rapportering (linken KRÆVER, at du accepterer Facebook’s cookies)
Nå, men jeg ved godt, hvad jeg vælger når muligheden kommer 😜
Nyere iPhone’s hvor man åbner iPhone ved hjælp af ansigtskendelse, har ikke virket hvis du bar mundbind. Med iOS 14.5 og et opdateret Apple Watch, vil du kunne åbne iPhone ved tryk på Apple Watch.
“End of Life betyder, at softwaren ikke længere kan købes eller supporteres af producenten. Så der kommer ikke flere opdateringer, ej heller hvis der opdages nye sårbarheder. “
Adobe Flash var i mange år den platform, der gav os lyd og video, når vi besøgte hjemmesider. Den blev installeret på ens computer, og blev så aktiveret hvis hjemmeside indeholdt lyd eller video. Derefter startede Adobe Flash inde i selve browseren, og du så videoen.
Hvis du besøgte Youtube, skulle du have Flash installeret, for at kunne se video, indtil Adobe i 2017 annoncerede afslutningen på Adobe Flash.
For de IT sikkerheds ansvarlige var Flash et helvede, fordi der konstant blev fundet nye sårbarheder. Nogle som kunne inficere PC’en, bare man besøgte en hjemmeside med sårbar Adobe Flash installation.
Så Flash blev elsket af angriberne, og hadet af IT sikkerhedsfolk, fordi den var på stort set alle enheder.
Der var endda også spil, som blev afviklet via flash.
Ved nytår var det slut med Flash. De fleste browsere idag vil blokere flash, hvis man kommer til en hjemmeside, der indeholder Flash komponenter. Flash har også en indbygget “kill-switch”, der gerne skulle forhindre eksekvering efter d. 12 januar 2021.
Så der er gjort en del for at forhindre, at flash ikke længere er et problem.
Det jo fint, at der er forsøgt forskellige former for blokering af at flash kan afvikles, men det betyder jo også, at rigtig mange enheder har flash installeret, som aldrig nogensinde bliver opdateret mere.
Ved du hvor mange af dine enheder, der har Flash installeret?
Med den historik Flash har haft omkring sårbarheder, mener jeg ikke, det er utænkeligt, at en eller anden klog person finder ud af at udnytte / finde en ny sårbarhed.
Min pointe er, at du bør have overblik over din installation. Hvad du har på hvilke enheder.
Der findes en del forskelige metoder til at få viden om indeholdet i dit setup.
Jeg tilbyder virksomheder implementerring af Qualys VMDR.
Qualys VMDR, en suite af cloud Security og Compliance services, tilbyder udover at opsamle data om software og hardware, også at berige disse data med viden. Det gælder viden om mere end 1.700 udviklere/firmaer og status på deres 85.000 software frigivelser, samt mere end 100 hardware producenter og deres 45.000 forskellige modeller.
Det betyder, at man i et samlet overblik kan få status på alle enheder i sin infrastruktur.
Kontakt mig gerne, hvis du også gerne vil kende “udløbsdatoen” for din software og hardware.
Et spørgsmål som alle der arbejder med GDPR, skal forholde sig til!
Det afhænger ikke kun af din bedømmelse og argumentation. Det handler også om lovgivninger, som bogføringsloven der siger 5 år, og journaliseringsloven der ofte er 10 år.
Men for de fleste handler det først om at definere, hvor længe har jeg ret (hjemmel) til at beholde de personrelaterede data. Det handler ikke om, hvor længe jeg syntes det kunne være en god ide.
Ja jeg syntes også, at det førhen var fint når jeg søgte efter en mail, at jeg faktisk kunne gå 10 år eller mere tilbage. Det var ikke altid, at det var noget præcist jeg søgte efter, -noget der skete for 10 år siden. Men det var lidt ligesom at kigge på gamle billeder.
Det går ikke mere. Du skal beskrive hvorfor du vælger den sletteregel du nu vælger.
Firmaet modtager en mail fra en ny kunde i deres [email protected], hvor kunden beder om mere info og pris på en vare/ydelse. Mailen bliver besvaret med relevante oplysninger. Kunden vender aldrig tilbage. Hvor længe kan du med god grund beholde denne mail?
Hvis du sælger varer/ydelser med kort beslutnings tid, ja så kan du ikke beholde den ret længe. Måske 3-6 måneder. Hvorimod hvis kunders beslutnings tid ofte er 6-12-18 måneder før køb, så vil jeg vurdere, at 1-2 år vil være OK at opbevare denne mail. Det vigtigste er at du vurderer realistisk, og beskriver din vurdering så detaljeret som muligt.
Hvis kunden derimod køber, så har du nu en aktiv relation, som betyder, at du kan have en slettefrist der siger, at du ikke sletter aktive kunders data.
Tingene bliver ofte mere komplicerede, når man også internt i virksomheden sender kunde mails rundt. Den modtagne mail til [email protected] modtages og videresendes så til en sælger. Sælger skal lige have nogle tekniske ting på plads, så han videresender den til teknisk afdeling, som besvarer den med priser.
Nu ligger den mail i 3 mailbokse, [email protected], sæ[email protected], [email protected]. Og køber han ikke, skal den slettes i alle 3 mailbokse. Køber han, kan man opbevare den indtil han ikke længere er kunde, og så skal den stadig slettes i alle mailbokse.
Husk også at slette skraldespanden. De fleste mail klienter lægger blot slettede mails i en “skraldespand”, der først slettes helt, når du aktivt beder den om det.
Nogle mail klienter tilbyder at tømme skraldespanden, når brugeren lukker sin mail klient. “Skal skraldespanden tømmes nu? DU KAN IKKE FORTRYDE DETTE! … øh jeg tror jeg venter, kan ikke lige overskue det i dag … så du udskyder… måske for evigt.
Hvis du bruger mobilnummer som KundeID, risikerer du, at du IKKE kan overholde slettefristen, da man kan identificere en person via mobilnummer. En måde at slette kunder på, er ved at anonymisere data, så du stadig kan trække en statistik på salget 6 år tilbage. Men der vil være kunder du ikke kan identificere mere, fordi de er stoppet og din slettefrist betød, at de skulle anonymiseres.
Men hvis din database “eksploderer” hvis ikke den har de gamle kunde ID’er, ja så er du på den, hvis kunde id’et var et mobil nummer. Du kan sagtens bruge mobilnummer til at søge efter kunden, da kunden kan huske det selv, men lad være med at gøre det til “nøglen i databasen”.
Bøde!! Ilva overholdt ikke deres slettefrist, og Datatilsynet indstillede dem til en bøde på 1.5 million kroner i juni 2019. Tilsyn med IDdesigns behandling af personoplysninger. Den kom så for domstolen februar 2021, Stor møbelkæde dømt for overtrædelse af GDPR-reglerne , hvor bøden blev fastsat til 100.000 kr. ,mendommen ankes af anklagemyndigheden.
Hvis ikke du har fulgt med, så er tusinde af Microsoft Exchange servere rundt om i verden blevet angrebet med succes via en Zero-day sårbarhed, HAFNIUM, et angreb som også ses udført med succes mod danske virksomheder.
Det norske folketing Stortinget utsatt for IT-angrep er et af ofrene, der også bekræfter, at der er hentet data ud af deres systemer.
I starten tydede det på, at angrebet gik mod udvalgte, men det er nu udbredt, så det rammer alle.
Det betyder, at der kan være mange små og større virksomheder samt offentlige, der allerede er angrebet med succes.
“0-dag” betyder, at der ikke findes en opdatering, der kan lukke den nu kendte sårbarhed. Så dem der er ansvarlige for sikkerhed, har ikke en sikkerhedsopdatering de kan installere på det sårbare system.
Hvilken version af Microsoft Exchange bruger du? Hvis du bruger Microsoft Office 365, er du ikke i fare. Det er typisk de virksomheder, der selv har deres Exchange mail server stående enten lokalt eller i et hostet miljø, der er i fare.
Ifølge en blog post fra Microsoft peger de på Kina.
Blandt andet Dubex, der også er krediteret i den ovennævnte Microsoft blog post.
Qualys har frigivet en blog hvori de beskriver hvordan man med Qualys VMDR kan identificere de sårbare Exchange servere, og dynamisk tilføje en Tag (markering) til disse enheder, så man kan få dem opdateret.
Du kan tilføje nedenstående VMDR Dashboard, for nemt overblik.: Exchange Server 0-Day Dashboard | Critical Global View
Hør mere om hvordan Qualys VMDR kan hjælpe dig, så kontakt mig via [email protected] eller 40253921.
Nyhederne har skrevet om Skatteguiden, og 45.401 personer, har i følge skatteguidens hjemmeside, givet Skatteguiden adgang til meget følsomme oplysninger.
“Tidlig årsopgørelse! For første gang nogensinde, kan du få et smugkig på din årsopgørelse 2 uger før tid. Vores algoritme kan på et splitsekund analysere din data og allerede nu estimere din skat for 2020. Download appen, autoriser Skatteguiden på skat.dk og få resultatet.
Glemte fradrag? Der er mange forskellige fradrag, og det kan være svært at vide hvilke du er berettiget til – og hvordan du får dem udbetalt. Skatteguiden gør det nemt at tjekke dine fradrag, og sørge for at du modtager fradrags-udbetalinger fra Skat direkte på din Nemkonto. Tjek dine fradrag for 2017, 2018 og 2019. “
Ja! Vi er pt et gratis bindeled til skat.dk. Og det er uanset om du finder et glemt fradrag eller ej.
Er nogen virkelig så forhippet på at få disse data, 14 dage før SKAT oplyser dem på deres hjemmeside, at man vil give et privat firma, Skatteguiden ApS, adgang til alle disse private følsomme data, som de gemmer på deres server jvf deres privatlivspolitik??
Mit bedste råd er, træk dit samtykke tilbage, og bed dem bekræfte at ALLE DINE DATA ER SLETTET NU.
Datatilsynet har oplyst hvilke områder de vil fokusere på i 2021.
Nogle af områderne henvender sig til specifikke brancher, typer af virksomheder og myndigheder. Men der hvor jeg kan se, at det stort set rammer alle er på:
Siden december har Microsoft testet en ny password-manager feature i deres Authenticator app, der hedder på dansk hedder Autofyld 🤔.
Jeg har længe brugt denne app i forbindelse med min Microsoft Office 365 konto, og den gør 2-faktor login nemt. Jeg opdagede en ny fane i appen i starten af februar. Det nye er, at Authenticator nu tilbyder at gemme andre passwords, ikke bare O365. Denne ekstra funktionalitet er med til at sikre dine andre konti som en Password Manager.
Det skulle være emnet for mit nyhedsbrev, men jeg skal jo lige teste funktionaliteten. Microsoft siger, at den kan bruges på såvel Android og iOS, samt Edge og Chrome browsere.
På Google webstore, hvor man henter udvidelser til sin Google Chrome, søgte jeg efter Microsoft Authenticator, fandt den og tilføjede den til min Google Chrome.
Da jeg aktiverede den, bad den mig logge ind til min Office 365 konto.
Det gjorde jeg, men responsen efter login gjorde mig mistænksom.
Problemet er, at når man har installeret denne Chrome Extension, og skal logge ind for synkronisering af password via Mircrosoft Office 365, så afleverer man brugernavn og password til hackeren, så han får kontrol over din Microsoft Office 365 konto. Du kan selv forestille dig konsekvensen af dette. Ingen adgang til dine egne mails, en anden sender mails på dine vegne, har adgang til alle dine dokumenter etc.
Svenskeren Joel Arvidsson har udviklet en udvidelse HUSH til Safari for iPad, iPhone og Mac. Udvidelsen giver en mere “ren” oplevelse, og her ser jeg ikke længere reklamer og får langt færre pop-ups på mine enheder.
Det er et open source projet, som jo betyder at koden er offentligt tilgængelig.
Jeg anbefaler den til alle der bruger Safari
Du kan læse mere på hjemmesiden, hvor der også er links til udvidelsen.
Da Apple frigav deres seneste operativ system til Mac og iPhone, macOS 11.1 and iOS 14.3, introducerede de et nyt system, der skal give dig overblik klart over, hvilke data de enkelte apps opsamler. Du kan se disse oplysninger både i Mac App store og på iOS/iPadOS.
Læs videre “Ved du hvad dine Apps opsamler af data om dig?”
WhatsApp bruges af rigtig mange mennesker, og er en billig måde at lave især udenlandske opkald med. De vil nu kræve, at du afleverer flere oplysninger, og hvis ikke du vil godkende de nye betingelser, må du forlade tjenesten.
Læs videre “WhatsApp verdens største telefonselskab vil vide alt om dig”
Hvor sårbar er din hjemmeside? – For dig og for dine kunder? Det kan du nu teste på hjemmesiden sikkerpånettet.dk
Sikkerpånettet.dk er udviklet af DK Hostmaster og en række partnere, som et led i arbejdet med at fremme internetudviklingen i samfundet.
Læs videre “Sådan fik jeg topscore på min hjemmeside hos “Sikker på nettet””
I februar 2020 skrev jeg en artikel om Datatilsynet har nye retningslinjer for behandling af oplysninger herunder kravene dertil.
Læs videre “Dansk Golf Union påtale & alvorlig kritik fra Datatilsynet.”
