Kære læger - brug nu som minimum Windows+L 

Jeg var idag hos lægen med min søn. For det første stod jeg 2 minutter ved skanken og ventede hvor der var op til flere gule lapper med cpr. numre og navne, samt blodprøve svar og telefonnumre til patienter.

Da jeg sammen med min søn skulle vente på, at fingerblodprøven blev analyseret, forlod lægen sin pc ulåst. På skærmen var informationer om patienter - cpr numre, navne, adresser og sygdomsbillede. 

At efterlade sådanne informationer burde være kriminelt. Problemet er vel bare, at ingen vil lytte da det ikke har nogle konsekvenser (endnu), at efterlade data på den måde. Og havde jeg taget et billede af data ville jeg være den kriminelle!

Hvis jeg vidste det havde betydning for lægen om jeg var kunde eller ej ville jeg øjeblikkelig skifte læge, men jeg tror ikke det har nogen effekt da der er patienter nok.

Der er kun en ting at gøre - og det er at bede jer alle sammen om når I er til lægen, at se hvad I kan opsnappe af data og herefter fortælle lægen hvorfor det er hans/hendes ansvar, at handle og passe på følsom data om os alle -> i det mindste bare brug windows+L når pcen forlades!

Hvis I vil dele hvad I oplever har jeg oprettet en blog til formålet så vi på en god måde kan få skabt et fokus på problemet - http://brugwindowsl.wifitest.dk - ligesom i er velkommen til at kommentere her eller på linkedin. 

Nyt Job pr. 1. april 2015

Pr. 1. april 2015 starter jeg som it-security specialist hos KMD Security Analytics Centre (se evt video herunder).

Jeg ser rigtig meget frem til, at arbejde dedikeret med det som jeg fagligt brænder allermest for.


I forhold til mit engagement stopper jeg i Rådet for Digital Sikkerhed og IT-Branchens it-sikkerhedsudvalg samt i Skov Motorsport og Trust Your Network - men tusinde tak til alle jer der i disse sammenhænge har hjulpet mig meget!

Ligeledes stopper jeg hos dbio midtjylland som er det sted jeg har haft den længste ansættelse i samme stilling - næsten 5 år er det blevet til. En stor tak til dbio for meget - bla. for, at have medvirket til at jeg kunne få efteruddannelser indenfor it forensic!

Jeg er glad for, at MultiHouse har skaffet 2 kompetente personer og opruster på arbejdet både i forhold til den interne it-sikkerhed og i forhold til den uvildige rådgivning og awareness uddannelse til virksomheder, ligesom alle relationer og projekter fortsætter uændret.

Mine kontakt info vil blive holdt opdateret på LinkedIn. 

Få it-sikkerheden ind i virksomhedskulturen - 10 test virksomheder søges

I samarbejde med I-TRUST søger vi ti virksomheder der ønsker at teste et gennemprøvet koncept fra udlandet og i det offentlige - vi kalder det nanolearning. 

For 7500.- + moms får viksomheden 12-15 2 minutters "moduler" tilpasset ledere, medarbejdere og it-folk omhandlende it-sikkerhed. Modlerne udsendes med faste intervaller over et år til alle via mail. 

Se en demo her: 

Brug af usbstcks og andre mobile enheder

Kompetencegivende efteruddannelse i it-sikkerhed - målrettet medarbejderne!

Hæv virksomhedens it-sikkerhed markant - samtidig med dine medarbejdere efteruddannes - klik her og se side 84-85!

Kolding og København - bedre kan det næsten ikke blive.

Fakta er at 80-90% af de it-sikkerhedsbrister der sker i Danmark skyldes forhold som kun virksomhederne kan gøre noget ved.

Et af de væsentligste forhold er medarbejdernes viden og adfærd i forhold til it-sikkerhed.

Ved at sende medarbejderne på kompetencegivende kursus vil virksomheden øge deres it-sikkerhed markant, da it-sikkerhed handler om meget mere end firewalls og backup.

Se evt. tidligere blog indlæg  - SMV? - Sådan hæver du it-sikkerheden markant uden det koster kassen!

SMV? Sådan øger du it-sikkerheden uden det koster kassen!

it-sikkerhed bliver ofte degraderet til at handle om backup, firewalls, passwords og virusbeskyttelse,
ting som alle hører med til det grundlæggende forsvar, men samlet set kun udgør en lille grad af beskyttelse mod datatyveri.

Så budskabet er: lad være med at bruge flere/mange penge på det grundlæggende forsvar men gør noget der hvor it-sikkerheden for få midler kan hæves markant.

I dokumentet herunder har eMino Security stillet sin viden til rådighed og beskrevet de steder hvor den grundlæggende it-sikkerhed billigt kan øges markant og hvordan.

Download dokument

Store bøder til virksomheder og det offentlige for datalækage - "ny" EU forordning på vej ...

... og så ikke helt alligevel! 

Det blev på databeskyttelsesdagen meldt ud at forordningen der omhandler databeskyttelse og som indholder stramninger og sanktioner i form af store bøder, ville træde i kraft 1. januar 2015. 

Efter dialog med repræsentantskabet i EU er dette ikke korrekt og det er mere sandsynligt at forordningen kommer igennem i slutningen af 2015 og hertil vil der være en implementeringsperiode (2 år er ikke unormalt!). 

Forordningen er interessant, at læse for alle private og offentlige virksomheder der har eller opbevarer personfølsomme eller personhenførbare data for andre. Og selvom det er i god tid præsenteres herunder en appetizer og miniguide til forordningen, da det vil være fornuftigt at medtænke i sine it-strategier allerede nu! Det skal nævnes at forordningen blev vedtaget med stort flertal i Parlamentet (621 for - ud af 754).

Forordningen er til for at passe på data men man kan forestille sig, at bøderne vil give hackere et nyt incitiament til, at finde og lække personlige oplysninger da der nu vil være en mulighed for økonomisk trussel mod virksomheden, hvis virksomheden vil undgå at skulle betale en bøde (se bødestørrelser nederst i denne blog).

Hent forordningen på dansk

Deltag i LinkedIn gruppen om forordningen

Der er 139 betragtninger forud for forordningen hvoraf mange handler om den enkeltes rettigheder til at vide hvad der er opbevaret af viden om dem. Betragtningerne giver et godt billede af de stremninger der vil komme.

Formålet: 

Forordningen fastsætter regler om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og regler om fri udveksling af personoplysninger

Instanser: 

Der vil blive nedsat et overordnet råd i EU (artikel 64). Ligeledes vil de enkelte lande skulle sikre et eller flere nationale tilsyn hvis virke er beskrevet i forordningen (artikel 46-63). 

Databeskyttelsesansvarlig i virksomheder med over 250 ansatte: 

I virksomheder med mere end 250 ansatte skal der være en databeskyttelsesansvarlig (artikel 35) og der er i forordningen beskrevet krav om, at den databeskyttelsesansvarlige inddrages rettidig i spørgsmål vedrørende beskyttelse af personfølsomme oplysninger (artikel 36)

Privatpersoners ret:

Hvis en privatperson eller nogen der varetager dennes interesse oplever et brud, er der ret til at indgive en klage. 

Enhver har ret til at få rettet ukorrekt data ligesom enhver har ret til, at få slettet egne data og få en kopi af data (artikel 16 - 18)

Forordningen beskriver et særligt ansvar overfor børn og deres særlig ret til at få slettet data. 

Der kan kun opbevares personhenførbar data efter udtrykkelig samtykke og med ovenstående rettigheder for sletning som gældende til hver en tid. Det er den registeransvarlige der bærer ansvaret for at dokumenterer, at der er givet samtykke til behandling af personfølsomme oplysninger (artikel 7)

Sundhedsoplysninger: 

Der er særlig skærpelse i forhold til opbevaring af sundhedsoplysninger

Tidsfrister:

Flere steder i forordningen er der tidsfrister der skal overholdes - f.eks. skal der ske en anmeldes senest 24 timer efter et brud til tilsynsmyndigheden. Der er 1 måneds frist efter anmodning at fremskaffe data og det skal ske GRATIS (Se artikel 14 for hvad der som minimum skal udleveres). 

Risikovurdering:

Artikel 30 indeholder krav om risikovurdering

Dokumetation: 

Der er beskrevet minimum oplysninger der skal dokumenteres såsom bla. navn på den registeransvarlige og databeskyttelsesansvarlige, formål med behandlingen af data, beskrivelse af kategorierne af personfølsomme oplysninger, hvem oplysninger videregives til og tidsfrister for sletning (artikel 28).

Certificeringer:

Artikel 39 tilskynder til certificeringer på europæisk niveau således den enkelte person hurtigere kan foretage en vurdering af beskyttelsesniveauet for den virksomhed der opbevarer personfølsomme oplysninger. 

Bøder (artikel 79): 

Der kommer med forordningen et minimum af administrative sanktioner. De er opdelt i følgende trin alt efter hvor mange af forordningens regler der ikke er fulgt. 

- Skriftlig advarsel kan gives hvis en fysisk person behandler personoplysninger uden kommerciel interesse eller en virksomhed ELLER en organisation der beskæftiger under 250 personer, udelukkende behandler personoplysninger som en aktivitet u tilknytning til dens hovedaktivitet

- Bøde på op til 250.000 EUR eller på 0,5% af virksomhedens globale omsætning hvis der forsætligt eller uagtsomt ikke overholdes regler og tidsfrister i forhold til anmodninger om indsigt i egen personfølsomme data eller hvis der opkræves gebyr for at få oplysningerne. 

- Bøde på 500.000 EUR eller 1% af virksomhedens globale omsætning (se liste over overtrædelser)

- Bøde på 1 million EUR eller 2% af den globale omsætning (se liste over overtrædelser)

Certified Network Forensics Examiner (CNFE)

Endnu en forensic certificering på plads!


Det er økonomisk smart, at betragte it som et aktiv, der på lige fod med virksomhedens øvrige aktiver, skal passes på. Derfor er det klogt, at investere i it sikkerhed. 

Når den erkendelse er nået, er det tid til at tænke endnu smartere og se på hvilke muligheder man har for at sikre beviser i forhold til ekstern og intern it kriminalitet. 

Og det er her virksomhedens forensic team eller eksterne forensic samarbejdspartner kommer til sin ret. Intelligent it forensic kan betragtes som en forsikring der sparer virksomheden for en ubehagelig og uoprettelig merudgift.

Jeg vil i efteråret 2014 deltage i to større proof-of-concept projekter omkring hensigtsmæssig brug af netværksefterforskning - så følg med her på bloggen. 


Kenneth B. Jørgensen
CCFE & CNFE