Styring og vedligehold af software i forhold til GDPR

I persondataforordningen stiller man krav om, at virksomhederne også har sikkerhedsmæssigt styr på al software i organisationen.

Illustrativt billede af sky med lås i
Dato:

I en digital verden, hvor vores organisationer er mere forbundne end nogensinde før, udgør software en central, men ofte overset, trussel mod datasikkerheden.

Det gælder ikke kun pc’er og smartphones, men også servere, netværksudstyr og IoT-enheder som overvågningskameraer, sensorer og ja selv intelligente husholdningsapparater.

Hvis softwaren i vores it-udstyr ikke er tilstrækkeligt beskyttet, er personoplysninger udsat for en konstant risiko. Dette gælder især, når udstyret er koblet til netværk – hvad enten det er ens interne netværk, internettet eller begge dele.

Derfor er disse foranstaltninger ifølge Datatilsynet ikke valgfrie – de er nødvendige for at leve op til databeskyttelsesforordningen.

Software er en risikofaktor, man skal have styr på

Datatilsynets definition af software dækker bredt og omfatter alt fra operativsystemer, egenudviklede løsninger, tredjepartsprogrammer og firmware – i alt fra pc’er, smartphones og servere til netværksudstyr og IoT-enheder som overvågningskameraer, medicinsk udstyr og selv kaffemaskiner.

Fælles for dem alle er, at sikkerhedsmæssige huller i softwaren kan udnyttes af ondsindede aktører. Er softwaren ikke korrekt konfigureret fra start, eller hvis den ikke vedligeholdes, kan den udgøre en åben dør for cyberkriminelle.

Her er en række konkrete tiltag, der kan styrke sikkerheden i din organisation:

Ved indkøb af netværksudstyr:

  • Vælg leverandører der tilbyder regelmæssige sikkerhedsopdateringer – og gør det klart, hvordan opdateringerne installeres.
  • Sørg for at unødvendige funktioner og porte kan deaktiveres.
  • Alle adgangskoder skal kunne ændres og være stærke.
  • Al kommunikation til og fra enheden skal være krypteret.
  • Få besked når softwaren ikke længere opdateres eller supporteres.

I den daglige drift:

  • Netværket bør kun acceptere kendte og godkendte enheder.
  • Al software og firmware skal holdes opdateret.
  • Standard-login skal fjernes, og der skal bruges stærke adgangskoder (min. 15 tegn) og gerne flerfaktorautentifikation.
  • Fjernstyring bør kun være muligt internt – og hvis det er nødvendigt udefra, skal det begrænses og sikres med IP-filtrering og MFA.
  • Slå alle ubrugte funktioner og porte fra.
  • Begræns USB-adgang på pc’er og bloker fysisk USB-porte på IoT-enheder.

Langsigtet sikkerhed:

  • Overvåg løbende, hvornår software ikke længere opdateres, og hav en plan for, hvordan du håndterer det.
  • Hvis software ikke kan udskiftes, skal enheden isoleres på netværket.
  • Etabler procedurer, der sikrer, at sikkerheden opretholdes – også ved organisationsændringer og fratrædelser.

Hvis du vil vide mere

Læs mere om ”Sikkerhedsmæssig styring og vedligehold af software” og download hele Datatilsynets foranstaltningskataloget her.

Du kan altid få hjælp og finde svar på vores temaside om persondataforordningen eller deltage i en af vores arrangementer om emnet.

Er du generelt interesseret Etik, Privacy og sikkerhed, skal du måske være med i IT-Branchens Policy Board for cybersikkerhedit.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *