Därför måste företag satsa på it-säkerhet inför GDPR
GDPR Efter den 25 maj kan en slapphänt it-säkerhet ge kännbara viten. Experterna hos Citrix och VMware konstaterar att många bolag behöver modernisera sina tekniklösningar inför GDPR.
EU:s nya personuppgiftslag har för avsikt att hindra företag från att samla på sig onödig data om sina och andras kunder – samt stärka medborgarnas skydd från att uppgifterna används felaktigt. Den 25 maj ersätts PUL av ”General Data Protection Regulation”.
Citrix har märkt en ökad efterfrågan från kunderna kring hjälp med anpassningen till GDPR. Bolaget konstaterar dock att många har en överraskande tillbakalutad inställning till det nya regelverket.
– GDPR kommer frekvent upp på agendan, men vi märker inte av någon direkt panik – och det är kanske förvånande i sig. De upplever en stark känsla av att det brådskar, men de borde kanske också ha en känsla av panik med tanke på hur lite tid som är finns kvar, säger Mats Ericson, Sverigechef på Citrix.
Många kommer inte efterleva lagen
Den nya lagen ställer långt högre krav än PUL. Bland annat måste bolag och organisationer veta exakt vilka data de har, varför de sitter på uppgifterna, och vem som har tillgång till dem. Alla bör göra en riskbedömning – för en slapp it-säkerhet kan bli kostsamt.
– Tittar man på var vi står i dag så kommer det vara en skrämmande hög andel som inte efterlever regelverket. Men det kommer märkas först vid en breach. Jag tror att vi ganska snart efter den 25 maj kommer se ett antal mål som skapar prejudikat kring hur reglerna ska tolkas, säger Peter Söderholm, teknisk chef på Citrix.
Använder applikationsvirtualisering
En stor fråga är hur man ska hinna utbilda personalen så att de inte jobbar vidare på samma sätt som tidigare. En annan utmaning är att kunna möta kravet från verksamheten kring att inte vara bunden till kontoret – och ändå upprätthålla samma säkerhet. I Citrix lösning ingår bland annat applikationsvirtualisering, som en viktig komponent, vilket innebär att applikationerna körs centralt i ett datacenter eller i en molntjänst och sedan visas på användarens enhet.
– Det blir lite som Netflix fast med applikationer, där man själv väljer var och från vilken enhet man vill arbeta och kan återuppta sessionen där man lämnade den. Konceptet kring det här handlar om att ge flexibilitet till användarna samtidigt som man begränsar exponeringsytorna av IT, säger Peter Söderholm.
Lösningen ger användarna tillgång till applikationer och data som hela tiden är krypterad oavsett vilken enhet användaren använder. Samtidigt får företaget en säker hantering av information då systemet säkerställer att rätt person har rätt data vid rätt tillfälle. Och via deras Analytics-verktyg får man en tydligare bild av var en eventuell breach har skett.
Bolagen har fler intrång än de erkänner
Jan Hedlund är Senior Business Solution Strategist på VMware. Han berättar att svenska företag och myndigheter råkar ut för fler intrång än vad de erkänner. Exempelvis kan finansiella institut räkna med 85 riktade intrångsförsök i snitt per år.
– De allra flesta utsätts för intrångsförsök hela tiden. GDPR reglerar bland annat att man måste anmäla intrång till Datainspektionen inom 72 timmar – men verkligheten i dag ser annorlunda ut. För något år sedan låg snittiden till upptäckt på 142 dagar, säger Jan Hedlund.
Företag får räkna med att bli utsatta för intrång och riskera utpressningsförsök. Det skadar anseendet hos kunderna – och bolag som bryter mot GDPR kan få böta motsvarande fyra procent av sin omsättning.
Biter sig själv i svansen
Jan Hedlund poängterar att man också kan bita sig själv i svansen genom att inte berätta för ledningen om alla intrång, för då får man mindre pengar att investera i säkerhet.
– Förväntningarna från marknaden är att det ska komma ut nya tjänster snabbare, och då är det lättare att få pengar till det än till säkerhet. Det är lite av en snedprioritering. Vi måste ta det här på allvar, säger han.
Räcker inte med skalskydd
Jan Hedlund anser att alla har en slags gemensam skuld att betala för att man har eftersatt säkerheten. Och när applikationer som tidigare ändrades på årsbasis nu ändras flera gånger på en dag så krävs ökad automatisering av förändringar och en arkitektur som är säker enligt design.
– Varje komponent måste vara säker i sig själv. Det räcker inte med skalskydd. Vi måste även förbättra säkerheten i äldre system. Det är ett stort arbete i hela branschen säger Jan Hedlund.
