Databrud rammer bundlinjen endnu hårdere

torsdag d. 26. oktober, 2017

Den nye persondataforordning stiller skærpede krav til den måde, virksomhederne behandler persondata. Størrelsen på bøderne til de virksomheder, der ikke overholder kravene, er øget og vil ved et databrud have store konsekvenser for bundlinjeresultatet.

Af Kristine Seest

Bøder på op til 20 millioner euro eller op til fire procent af en virksomheds årlige globale omsætning. Det kan fra den 25. maj 2018 blive konsekvensen, hvis man som virksomhed ikke behandler persondata efter reglerne i den nye persondataforordning. Derfor skal alle virksomheder sørge for at tilpasse sig reglerne i den nye persondataforordning.

»De nye EU-regler skærper både kravene til virksomheders behandling af persondata og konsekvenserne ved manglende overholdelse. Persondata findes overalt, og som virksomhed skal man skabe overblik over alt persondata, der håndteres af virksomheden samt indrette procedurer og backup, der er i overensstemmelse med persondataforordningen. De økonomiske konsekvenser ved databrud bliver større med den nye forordning, men databrud kan også ramme virksomheden på andre parametre – eksempelvis på virksomhedens omdømme og kundernes loyalitet,« siger Cyber Risk-ekspert Tine Olsen fra Willis Towers Watson.

Tine Olsen, Cyber Risk-ekspert i Willis Towers Watson

Når en virksomhed lækker persondata, er der tale om et databrud. Persondata er som udgangspunkt data om identificerbare personer, det vil sige data, som en virksomhed typisk opbevarer om kunder, medarbejdere og leverandører. Persondata kan være alt fra navne, familieforhold, uddannelse, løn og strafferetlige forhold til oplysninger om økonomiske forhold og andre oplysninger, der kan karakteriseres som følsomme privatlivsoplysninger.

De fem værste brud

De fem værste databrud igennem de seneste par år tegner et billede af, hvor omfattende et databrud kan være. I eksemplerne nedenfor er det store virksomheder, der er repræsenteret, men det er væsentligt at understege, at selv mindre virksomheder bør være opmærksomme på risikoen for et databrud.

1. Equifax – 143 millioner brugerkonti kompromitteret
Databruddet for kreditbureauet Equifax er det seneste og største angreb. Her har hackere fået adgang til 142 millioner menneskers oplysninger og har lækket data som cpr-numre, adresser, kørekortnumre og kreditkortnumre. Equifax er blevet kritiseret for at vente flere uger med at informere om angrebet, og for at tre ledere solgte deres egne aktier i perioden mellem angrebet og offentliggørelsen af det.

2. Yahoo – 1,5 milliarder brugerkonti kompromitteret
I september 2016 offentliggjorde Yahoo, at de i 2014 havde været udsat for historiens største databrud. Hackerne havde via en algoritme fået adgang til navne, fødselsdatoer, e-mailadresser og kodeord. Nyheden om databruddet blev estimeret til at koste Yahoo 350 millioner dollars, da de i 2016 blev købt af Verizon.

3. Adult Friend Finder – mere end 412 millioner brugerkonti kompromitteret
Et datanetværk, der angiveligt indeholdt personlige oplysninger fra en række dating-hjemmesider, blev hacket i 2016, hvor mere end 20 års data blev frigivet til hackerne, der blandt andet brugte dataene til afpresning og offentlig ydmygelse af en række brugere.

4. eBay – 145 millioner brugere kompromitteret
Ebay blev i 2014 udsat for et databrud, hvor hackerne fik adgang til netværket ved at stjæle og anvende tre ansattes initialer og koder. Hackerne havde dermed fuld adgang til eBays systemer i 229 dage, før de blev opdaget.

5. Target Stores – 110 millioner brugere kompromitteret
I december 2015/januar 2016 led detailkæden Target et gigantisk databrud, hvor hackere via et betalingssystem fra en af Targets leverandører havde fået adgang til Targets opbevaring af kreditkortinformationer på cirka 110 millioner brugere. Det er estimeret, at Target har brugt cirka 162 millioner dollars på at udbedre skaden efter databruddet. 

Hvad kan en cyberforsikring? 
Tine Olsen, Cyber-Risk ekspert i Willis Towers Watson, forklarer, at en cyberforsikring både kan dække en række af de økonomiske konsekvenser, der følger i kølvandet på et databrud, og hjælpe virksomheden med at begrænse den aktuelle krise. Afhængig af cyberforsikringens omfang kan den give virksomheden dækning for:

  • Erstatningskrav mod virksomheden som følge af et databrud (for eksempel et gruppesøgsmål)
  • Omkostninger til advokater til en eventuel sag om uberettiget offentliggørelse af persondata
  • Omkostninger til advokater for at undersøge om berørte personer og/eller myndigheder (Datatilsynet) skal underrettes om et databrud
  • Omkostninger til eksterne it-konsulenter, der kan bistå med at undersøge omfanget af databruddet – en undersøgelse, der redegør for, hvordan bruddet stoppes og undgås fremadrettet, og hvordan forsvundet eller ødelagt data kan genetableres eller genskabes

»Ved databrud befinder en virksomhed sig i en akut krisesituation. Her kan det være en stor hjælp at tegne en forsikring, der giver adgang til et beredskab af advokater, it-konsulenter og PR-rådgivere. I kraft af cyberforsikringen kan virksomheden benytte en form for hotline, hvor de straks får aktiveret disse personer og dermed hjælp til at håndtere skaden,« siger Tine Olsen.

Du er velkommen til at kontakte Willis Towers Watson for at høre mere om mulighederne for at tegne en cyberforsikring og få adgang til et beredskab af eksperter. 

kristine.seest@willistowerswatson.com