28
Digital sikkerhed i Danmark 2014 Årsrapport fra Rådet for Digital Sikkerhed

Digital Sikkerhed i Danmark 2014

Embed Size (px)

DESCRIPTION

Årsrapport fra Rådet for Digital Sikkerhed

Citation preview

Page 1: Digital Sikkerhed i Danmark 2014

Digital sikkerhed i Danmark 2014Årsrapport fra Rådet for Digital Sikkerhed

Page 2: Digital Sikkerhed i Danmark 2014
Page 3: Digital Sikkerhed i Danmark 2014

INDHOLD

2 FORORD – TILLID SOM FUNDAMENT FOR DIGITAL VÆKST

4 RÅDETS ARBEJDE

7 TRUSSELSBILLEDET I 2014

8 SIKKERHEDSUDSIGTEN FOR 2015

9 BEHOV FOR NYE KRYPTERINGSSTANDARDER

10 INTERN SIKKERHED I VIRKSOMHEDER

11 TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATA

12 UDFASNING AF CPR-NUMMERET

13 NÆSTE GENERATION AF ELEKTRONISK ID I DANMARK

15 ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHED

16 ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN

17 BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATABESKYTTELSESMYNDIGHED

18 AKTIVITETER I TAL

19 RESUMEÉR FRA RÅDETS UDMELDINGER

22 ÅRSREGNSKAB 2012/13

23 MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHED

Page 4: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 20142

FORORD

TILLID SOM FUNDAMENT FOR DIGITAL VÆKST

Rådet for Digital Sikkerhed (RfDS) har i 2014 vedvarende italesat, at den hastigt fremskridende digitalisering kræver et tilsvarende øget fokus på informationssikkerhed, her­under privatlivsbeskyttelse. Rådet har løbende bidraget med kommentarer, analyser, vurderinger og rådgivning, og det har hen over året uden tvivl styrket sin rolle som en troværdig og seriøs aktør.

Udgangspunktet for Rådets aktiviteter er en bred kreds af eksperter og praktikere. Rådets medlemmer omfatter såvel store som mellemstore og små virksomheder, univer-siteter og forskningsinstitutioner, branche­ og interesseor-ganisationer samt repræsentanter fra kommuner, regioner og ministerier. Vi trækker på deres viden og indsigt i alle vores indsatser og arbejder i en konsensus­orienteret struk tur med bestyrelsens 19 medlemmer og et aktivt for mandskab som omdrejningspunkt. Vi står derfor på et solidt videns­ erfaringsfundament, når vi indgår i dialog og samarbejde med andre aktører om tryg digitalisering i Danmark.

Vores status som medlemsbaseret forening, der er uaf­hængig af politiske og kommercielle interesser, giver os en unik platform for at udvikle Rådets vurderinger og aktiviteter. Vi agerer gerne vagthund, når internationale standarder for informationssikkerhed og privatlivsbeskyt-telse efter Rådets vurdering ikke iagttages eller gennem-føres effektivt. Vi bidrager ligeså gerne med konstruktive bud på, hvordan danske virksomheder, myndigheder og forskere kan styrke den digitale vækst på en sikker måde. Vi fokuserer på at få alle relevante aktører til at aktivere og udnytte deres kompetencer inden for informationssikker-hed og privatlivsbeskyttelse for på den måde at være med til at udvikle nye metoder, redskaber og processer, der kan sikre borgernes tillid til den digitaliserede dagligdag.

Rådets indsats fra juli 2013 til december 2014 har favnet mange emner. Fra kritik af den fortsatte misforståede brug af cpr­nummeret som identitetsbevis hos både offentlige og private aktører til anbefaling af nye krav til fremtidens danske eID­løsning. Fra behovet for systema­tisk implemen tering af ISO27000­serien af standarder i den offentlige og private sektor – herunder som specifikt krav ved outsourcing – til et bredere og mere principielt

krav om integrering af privacy by design og privacy impact assessment i alle nye it­løsninger.

Rådet har i samarbejde med Digitaliseringsstyrelsen og Undervisningsministeriet igangsat flere specifikke målret-tede projekter til forbedring af sikkerheden i Danmark: • I forlængelse af regeringens nye informations­ og

cyber sikkerhedsstrategi har Rådet taget initiativ til et åbent samarbejde om udvikling af undervisnings­materiale til folkeskolerne, hvilket vil kunne hjælpe elever, forældre og lærere til at opnå bedre forståelse for informationssikkerhed. Materialet udvikles, så det passer ind i folkeskolens læseplaner, og indsatsen sker i samarbejde med Undervisningsministeriet, Medie­rådet for Børn og Unge, Forbrugerrådet, Digitaliserings-styrelsen og IT­Branchen.

• Aktualiseret af CSC­sagen og Se og Hør­sagen er der kommet øget fokus på danske virksomheders og myndigheders formåen i forhold til at beskytte danske borgers data. Rådet er i denne sammenhæng i dialog og arbejder sammen med blandt andre IT­Branchen, Digitaliseringsstyrelsen og Erhvervsstyrelsen på at øge informationssikkerheden. Målet er at udvikle red ska ber til virksomheder, så de kan etablere et sikkerhedsniveau, der passer til deres behov og den kontekst, de arbejder i, samtidig med at der tages hen-syn til økonomi og sikres brugervenlighed. For dansk erhvervsliv er øget informationssikkerhed specielt relevant i forhold til virksomheders anvendelse og opbevaring af personfølsomme oplysninger og sikker opbevaring af immaterielle produkter som fx ophavs-rettigheder. Mangel på informationssikkerhed kan føre til tab og kan skade danske virksomheders konkurren-ceevne.

Der arbejdes i dette regi også på at finde muligheder for tryg indberetning af sikkerhedshændelser i virk-somhederne, så viden om omfang og typer af sådanne hændelser fremadrettet kan indgå i forebyggende sikkerhedsindsatser

I den forløbne periode er masseovervågning kommet højt på dagsordenen, blandt andet på grund af Edward

Page 5: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 3

Snowdens afsløringer. Den danske tele­ og sessionslog-ning, lovgrundlaget for Center for Cybersikkerhed under Forsvarets Efterretningstjeneste samt politiets ønske om at registrere nummerplader på alle bilister gav Rådet anledning til at understrege vigtigheden af at opretholde demokratiske principper og værdier om borgernes grund­rettigheder, transparens, tilsyn og kontrol. Det sker i en tid, hvor Danmarks sikkerhed og virksomhedernes forretnings­hemmeligheder udfordres af terrorister, kriminelle og andre fjendtlige aktører. Netop på grund af trusselsbilledet har vi også spillet aktivt ind i dialoger om, hvordan der opbygges mere viden og uddannelse i cybersikkerhed på universite terne, skoler, i statslige institutioner og i virk-somheder. Disse emner vil fortsat være indsatsområder for Rådet.

Vi forventer, at der fremover vil komme øget fokus på adgang til og brug af sundhedhedoplysninger, herunder beskyttelse af borgernes følsomme oplysninger. Adgang til sundhedsoplysninger spiller en afgørende rolle for tilrettelæggelse af behandlingsforløb for patienter og også for forskningen og udvikling af folkesundheden. Derudover rummer danske data på sundhedsområdet et stort poten-tiale i forhold til udvikling og kommercialisering i medici­nalindustrien. Vi vil gerne bidrage til at finde nye veje til i højere grad både at udforske og udnytte sundhedsdata. Det vil være til gavn for såvel patienter som forskningen og industrien. Vi vil blandt andet fokusere på og sikre bedre oplysning om mulighederne for benytte privacy enhancing technologies til anonymisering og pseudonymisering af sundhedsdata. Formand NæstformandBirgitte Kofod Olsen Rasmus Theede

Page 6: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 20144

RÅDETS ARBEJDEDette er den anden årsrapport fra Rådet fra Digital Sikker-hed (RfDS). Den omfatter perioden fra juli 2013 til decem-ber 2014.

Rådet opretholder en hjemmeside, digitalsikkerhed.dk, hvor Rådets aktiviteter kan følges. Uforkortede versioner

af dokumenter m.v., som omtales her i årsrapporten, kan findes på hjemmesiden.

Rådet er stadig i en etableringsfase baseret på strategi for 2013 – 2015, som er vedtaget af bestyrelsen. Den lyder således:

FORMÅL

Rådet for Digital Sikkerhed har som formål at fremme tryg it­anvendelse i fremtidens digitale samfund. Det gør vi ved at:

• Fremme forståelsen for informationssikkerhed og persondatabeskyttelse. • Deltage i den offentlige debat om digitalisering og it­anvendelse. • Indgå i dialog med offentlige og private aktører om tillid, risici og muligheder i et digitaliseret samfund. • Vurdere innovativ udnyttelse af teknologiens muligheder. • Fremlægge anbefalinger.

VÆRDIGRUNDLAG

Rådet for Digital Sikkerhed baserer sine aktiviteter på følgende værdier og principper:

UAFHÆNGIGHEDRådet for Digital Sikkerhed er en uafhængig medlemsorganisation. Vi opfylder vores formål uden instruktion fra offentlige eller private aktører, og Rådet er ikke bundet af kommercielle interesser.

ROBUSTHEDRådet for Digital Sikkerhed besidder og inddrager højt specialiseret viden og erfaringer om informationssikkerhed og privatlivsbeskyttelse. Vi bringer denne viden i spil for at skabe en kvalificeret debat og en sund digital kultur.

ÅBENHEDRådet for Digital Sikkerhed deltager aktivt i dialog og samarbejde med alle relevante interessenter. Vi sikrer åben-hed i forhold til vores analyser og resultater ved at stille dem til rådighed for vores medlemmer og offentligheden.

MÅL 2013-2015

Vi søger at opfylde vores formål ved i perioden 2013­2015 at:

• Sætte borgernes behov for redskaber og anbefalinger til tryg it­anvendelse i fokus. Vi bidrager især til øget viden og forståelse for informationssikkerhed og privatlivsbeskyttelse hos unge, ældre og it­svage borgere.

• Bidrage med råd og anbefalinger, der er relevante for offentlig og privat sektor, i forhold til at minimere og håndtere deres risiko for angreb og tab af sikkerhed, fortrolighed, integritet autentifikation og tilgængelighed.

• Opfordre til at sikre effektiv informationssikkerhed og stille risikoanalyser til rådighed, der synliggør konse-kvenserne af digitalisering og it­anvendelse for borgernes tillid, frihed og sikkerhed.

Page 7: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 5

AKTIVITETER

I rapporteringsperioden har Rådet afviklet et betydeligt antal aktiviteter, som har understøttet de fastsatte mål.

Der har været et jævnt stigende antal medieomtaler og medvirken i radio­ og tv­udsendelser, i alt cirka 900 medieeksponeringer i 2014, når spredning via nyheds-bureauer medregnes. Medieomtalen har baggrund i pressemeddelelser og opfølgning på andre aktiviteter og i stigende omfang også opsøgende henvendelse fra medier, som ønsker RfDS’ vurdering og synspunkter på aktuelle emner.

I 2014 er RfDS begyndt at offentliggøre skriftlige ud mel­dinger om aktuelle emner i to formater. Mere tilbunds-gående udredninger med anbefalinger benævnes ”Infor-mation og Anbefalinger”, mens Rådets politik og holdning til bestemte emne benævnes ”Positioner”. Der er i perio­den udsendt fire anbefalinger og to positioner.

Rådet har afgivet en række høringsvar. Nogle af disse er afgivet uopfordret, men efterhånden er Rådet ved at være blevet medtaget på alle relevante høringslister.

Rådet har været medarrangør på en række morgenmøder og gå­hjem­møder med emner som masseovervågning, cookie­regler, cloud og sikkerhed, cyberwar og ”Hvad laver forskerne”?

Rådets formand og næstformand har efter indbydelse i perioden bidraget med indlæg på i alt 27 konferencer, herunder Databeskyttelsesdagen i Landstingssalen, Dansk ITs digitaliseringskonference, Dansk ITs sundheds­it udvalg, DTU alumni­møde om big mother og kryptologi, Forbruger rådet TÆNKs miniseminar om identitetstyveri, konference på Københavns Universitet om digitalisering og borgerbeskyttelse, IDAs Driving IT konference, Dansk Internet Forum’s Internetdagen og FSB konference om Samfundets kritiske infrastruktur.

Rådets formand har indledt en dialog med repræsentanter for Folketingets partier om, hvorledes informationssik-kerhed og privatlivsbeskyttelse generelt kan forbedres. Formandsskabet har løbende modtaget og besvaret henvendelser fra politikere, folketingsudvalg og embeds-folk, som har ønsket at høre Rådets vurderinger i aktu-elle spørgsmål. Formandskabet har derudover deltaget i møder i Forsvarsministeriet, Center for Cybersikkerhed og Erhvervsministeriet samt været i tæt dialog med blandt andre Digitaliseringsstyrelsen, Erhvervsstyrelsen og Undervisningsministeriet om konkrete initiativer for fremadrettet samarbejde.

Endvidere har Rådet været vært for og deltaget i en række dialogmøder, herunder om medicoudstyr, privacy impact

assessment (PIA), cyberwar, sikkerhedsuddannelse på AAU og EU/FRA­ekspertmøde om informationssamfundet.Rådet har lagt ”10 tips til din digitale sikkerhed” og gode råd om, hvordan man kan undgå phishing på sin hjemme-side. Informationer af denne art vil blive udbygget i takt med behov og Rådets muligheder.

RÅDETS UDMELDINGER

Periodens i alt fire anbefalinger fra Rådet har omhand­let masseovervågning, unødig registrering af vælgeres politiske overbevisning, Heartbleed­sikkerhedsbristen og ”Digital vækst med tillid som fundament”, der var et indspil til regeringens plan for digital vækst. Periodens to positioner har omhandlet Rådets vurdering af de informa­tionssikkerhedsmæssige konsekvenser af politiets plan-lagte brug af automatisk nummerpladegenkendelse og finanssektorens udvidede adgang til borgeroplysninger i SKAT.

Rådet har i forbindelse med disse udmeldinger og i andre sammenhænge udsendt et antal pressemeddelelser og har også skrevet debatindlæg i dagspressen. I forbindelse med anbefaling nr. 2 om digitalt system til vælgererklæringer havde Rådet med ekspertbistand fra Alexandra Instituttet foretræde for Folketingets Kommunaludvalg. Dette blev fulgt op med en henvendelse til daværende indenrigs­minister Magrethe Vestager.

I forlængelse af Retsudvalget og Kulturudvalgets vedta-gelse af en fælles beretning i juni 2014 og nedsættelse af en parlamentarisk arbejdsgruppe om datasikkerhed har Rådet deltaget i møder og høringer i arbejdsgruppen med bidrag om informationssikkerhed og persondatabeskyt-telse. Rådets præsentationer er tilgængeligt på Folketin-gets hjemmeside og på digitalsikkerhed.dk

HØRINGSSVAR OG HENVENDELSER TIL MYNDIGHEDER

Rådet har i perioden fremsendt følgende hørings­svar til ministerier og henvendelser til Folketing og regering:

13. september. 2013: Udkast til Bekendtgørelse om medicin- og vaccinationsoplysninger. Der peges på behov for at gennemføre en privacy impact assessment (PIA). Videre fremhæves en række forhold, som peger på behov for større hensyntagen til privatlivsbeskyttelse, herunder tildeling af adgangs-rettigheder.

Page 8: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 20146

8. maj 2014: Rådet deltager i Folketingets Retsudvalgs høring om CFCS­loven.

14. maj 2014: Rådet sender sammen med IDA og Forbrugerrådet TÆNK et brev til Folketingets Europa­, Rets­ og Kultur­udvalg med opfordring til at støtte EU persondata-forordningen.

23. maj 2014: Rådet sender sammen med 17 andre organisationer et brev til Folketingets retsudvalg med en opfordring til, at Folketinget tager initiativ til at beskytte danske borgere mod unødvendig og ubegrundet overvågning og registrering. Henvendelsen vedrører de danske log-ningsregler og den nylige dom fra EU­domstolen, som underkender EUs logningsdirektiv. De danske regler går på flere punkter videre, end det nu underkendte EU­direktiv.

27. juni 2014: I sit høringssvar om den næste generation af NemID, peger Rådet på seks forskellige områder, hvor en ny løsning bør opgraderes og forbedres ift. den nuværende.

26. august 2014: Rådet deltager i høring i Folketingets Retsudvalgs arbejdsgruppe med oplæg om Digital tryghed og it­sikkerhed.

22. oktober 2014: Rådet deltager i høring om myndigheders behand­ling af persondata i Folketingets Retsudvalgs arbejds­gruppe med oplæg om sikkerheden i outsourcet it­drift.

10. oktober 2013: Ændring af lov om Det Centrale Personregister (tildeling af nyt personnummer i særlige tilfælde samt ophævelse af markeringer i CPR om forskerbeskyttelse). Rådet anbefaler, at muligheden for at tilvælge forsker-beskyttelse opretholdes. Mere generelt anbefaler RfDS, at det fremlagte lovforslag kombineres med en grundlæggende reform af cpr­systemet, der gør digi-tale ID­løsninger (eID) til omdrejningspunkt for sikker identifikation, og dermed afløser cpr­nummeret i sin nuværende form. Denne generelle anbefaling uddybes i en pressemeddelelse (8. oktober 2013), hvor det foreslås, at cpr­nummeret ændres, så det ikke inde-holder personinformation om alder og køn, og at der følges op med nye generelle retningslinjer for digital identifikation og autentificering. Rådet noterer, at der i anbefalinger fra Vækstteam for IKT og digital vækst (januar 2014) er henvist til Rådets fremhævning af behovet for at se på sikkerheden ved cpr­nummeret.

4. marts 2014: I høringssvar vedrørende Lovforslag om Center for Cybersikkerhed peger Rådet på 11 konkrete proble-mer i lovforslaget. Et af punkterne vedrører placerin-gen af CFCE under Forsvarets Efterretningstjeneste og lovforslagets meget brede og udefinerede adgang til indsamling af data. RfDS finder ikke, at der med lov-forslaget sikres tilstrækkelig beskyttelse af borger nes og virksomhedernes data og opfordrer derfor til, at CFCS i det hele adskilles fra Forsvarets Efterretningst-jenestes funktionsområde og henlægges til en forvalt-ningsmyndighed, der er omfattet af persondataloven. Rådets formand har efterfølgende deltaget i møde i Forsvarsministeriet om høringssvaret. Endvi dere har formanden i mange forskellige sammenhænge delta­get i den debat, der har været om lovforslaget.

Page 9: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 7

Det seneste års tid har én tendens præget diskussionen af informationssikkerhed i Danmark: Truslen mod borgernes data.

Det begyndte, da Edward Snowden afslørede myndighe­dernes omfattende overvågning af borgernes kommunika-tion både i USA og internationalt.

Emnet fik en dansk vinkel, da en tidligere Se og Hør­jour-nalist afslørede, at ugebladet via en centralt placeret kilde havde udnyttet fortrolige data om kendte personers kreditkortransaktioner hentet fra it­systemerne hos Nets. Hvor Snowdens oplysninger handler om eksterne parter, der tilgår data i andres systemer, er Se og Hør­sagen et eksempel på insider­misbrug: En medarbejder misbruger den tillid, arbejdspladsen viser ham, til at udnytte for-trolige oplysninger. Dette er naturligvis under forudsæt-ning af, at anklagerne mod den tidligere Nets­ og IBM­ medarbejder holder stik.

Både eksterne og interne trusler mod informationssikker-heden kræver, at virksomheder, myndigheder og organi­sationer træffer forholdsregler, der minimerer risikoen. Kryptering er en mulighed, der især virker mod eksterne trusler: Selv om angriberne kan aflytte kommunikation, kan de ikke se indholdet af den, hvis den er krypteret.

Mod interne trusler er kryptering mindre effektiv. Det kan beskytte mod misbrug fra medarbejdergrupper uden teknisk viden. Men en it­medarbejder vil ofte kunne omgå hindringer som kryptering. Her er det mere effektivt at indføre procedurer, der mindsker risikoen for misbrug – for eksempel ved løbende sikkerhedstjek af nøglepersoner og krav om, at der skal to personer til at aktivere kritiske funktioner.

UAFVIDENDE HJÆLPERE

En særlig vinkel på insidertruslen er, at medarbejdere ofte uafvidende er med til at hjælpe eksterne angribere. I mange tilfælde, hvor angribere udefra har fået fat i for-trolige data, har de fået hjælp fra en medarbejder. Det kan ske via phishing eller malware. Phishing­truslen har været voksende. Den går ud på, at angriberne sender en mail

til offeret med link til en webside. På websiden opfordres offeret til at indtaste fortrolige oplysninger. Svindleren kan fx skrive, at det er nødvendigt at genaktivere en konto efter et hackerangreb. Medarbejderen indtaster bruger-navn og password, som derefter lander hos bagmændene.

De senere år er phishing blevet mere målrettet via såkaldt spear phishing. Nu sender angriberne e mails rettet mod specifikke firmaer eller organisationer og med henvisnin­ger til viden og personer, som modtageren kender. Det gør mailen mere troværdig.

MALWARE GIVER ADGANG

Mailen til en ansat i den virksomhed, angriberne har udset sig, kan også indeholde malware (skadelig software). Det kan være i form af et link til en farlig webside eller en ved hæftet fil. Hvis det skadelige program kører, kan det fungere som en bagdør ind i virksomhedens systemer. Her-fra kan angriberne snuse rundt efter data.

De it­kriminelle bruger altså malware og phishing til at få fat i fortrolige data. Malware bruges derudover også til afpresning, hvor det skadelige program lukker for adgan-gen til data på computeren. Endelig indgår malware i svin-del med annonceklik på websider og andre lyssky metoder til at tjene penge.

ENKLE FORHOLDSREGLER

Samlet set er truslerne mod informationssikkerheden stigende både i Danmark og internationalt. Truslerne kom-mer både fra amatører, fra den organiserede kriminalitet og fra efterretningstjenester og andre statslige aktører.

Mange analyser viser, at ganske simple midler kan mind­ske risikoen markant. Det er på den ene side godt, for det betyder, at det ikke er så vanskeligt at gøre noget ved problemet. På den anden side viser det, at de fleste organisationer bruger for få ressourcer på informations-sikkerheden. Ofte fejler organisationer på de mest basale discipliner såsom at holde software opdateret og at styre rettighederne til, hvem der må tilgå hvilke data.

TRUSSELSBILLEDET I 2014 Af Shehzad Ahmad

Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS.

Page 10: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 20148

Informationssikkerheden i Danmark står over for hidtil usete udfordringer, og den byder også på store mulig­he der. Digitaliseringen udvider mængden af følsomme digitale data, som er potentielt sårbare over for angreb. Presset på sikkerheden har derfor aldrig været større. For at imødegå dette, opbygges der i Danmark nu nye styrker og alliancer, som kan være med til at skabe et sikkert digi-talt Danmark. RfDS deltager aktivt i dette arbejde.

DE MENNESKELIGE FEJL FYLDER STADIG MEST

I en tid med høj fokus på avancerede angreb og tek niske forsvarsmekanismer er det nemt at glemme, at langt den hyppigste årsag til brud på datasikkerheden ligger hos den enkelte medarbejder. Måske en medarbejder ved en fejl får sendt fortrolige informationer af sted eller med forsæt misbruger arbejdspladsens fortrolige data eller it­systemer. Alt for mange, der omgås personfølsomme data i deres dagligdag, har ikke kendskab til de regler, der gælder på området. Uddannelse af brugere og beskrivelse af sikkerhedsregler er billigt, nemt at gå til og kan give stor værdi, hvis udført fornuftigt vel og mærke. Hvis man ikke allerede har gjort det, er det et godt sted at starte i 2015.

FUNDAMENTET SLÅR STADIG REVNER

Næst efter menneskelige fejl er mangel på basale sikker-hedsprocesser den hyppigste årsag til sikkerhedsbrud. Det gælder både i forhold til borgernes følsomme data og virksomhedernes forretningshemmeligheder. Det drejer sig om simple ting som dokumentation af, hvor data fak-tisk opbevares, processer for opdatering af sårbarheder og adgangsstyring. Der skal være styr på disse basale ting, for hackere springer over, hvor gærdet er lavest.

FLERE AVANCEREDE TRUSLER

De avancerede angreb bliver mere sofistikerede og mere almindelige. Det tester grænserne for både effektiviteten og kapaciteten af vores eksisterende sikkerhedskontroller. Der er uden tvivl kræfter, der vil os det ondt og vil gå meget langt for at få fat i noget af det mest værdifulde, vi har i

Danmark, nemlig vores knowhow. Regeringen har igangsat en række initiativer for at afhjælpe dette, men det må kun blive et supplement. Ansvaret for sikkerheden ligger fortsat hos myndigheden, leverandøren og virksomheden. Det er meget svært at yde effektiv beskyttelse mod avancerede angreb. RfDS er i færd med udarbejde nogle bud på effektiv beskyttelse baseret på RfDS’s medlemmers egne erfaringer.

 BORGERNES SIKKERHED ER UNDER PRES

De it­kriminelle er i dag så dygtige og har så stærke værk-tøjer, at de har let ved at narre deres ofre. For eksempel udsender de phishing­mails, der er en tro kopi af mails fra de organisationer, de efterligner. Konsekvensen er, at den almindelige borger let kan falde for svindlen og afgive fortrolige oplysninger på en forfalsket webside.

Vi ser også nye og bedre gennemførte eksempler på social engineering. Svindlere ringer op til borgere og giver sig ud for at være fra Windows Support. De oplyser, at borgerens pc har sikkerhedsproblemer, og tilbyder at løse dem. Hvis borgeren tror på historien, kan de narre vedkommende til at installere skadelig software på pc’en.

Identitetstyveri er ligeledes et stigende problem. Her er årsagen ofte, at borgerne nok beskytter deres data, men ikke gør det effektivt. Der bruges for simple passwords eller samme passwords til flere forskellige tjenester. Der er stadig også for mange, som undlader at aktivere to­faktor autentifikation (fx indtastning af kode fra sms før en ny enhed kan benyttes). Der er også vækst i angreb med ransomware. Det er skadelig software, der spærrer for adgangen til programmer eller data. Bagmændene prøver at presse penge ud af offeret, som mod betaling kan få sine data tilbage. Her – som i andre sammenhænge – er manglen på backup et problem: Hvis borgeren har en sikkerhedskopi, kan vedkommende ignorere kravet om løsesum og blot indlæse kopien i stedet.

Vores opfordring til borgerne i 2015 lyder derfor:

• Vær kritisk!• Tag sikkerhedskopi – også af din tablet og smartphone!• Aktiver to­faktor­autentifikation!

SIKKERHEDSUDSIGTEN FOR 2015 Af Shehzad Ahmad og Rasmus Theede

Shehzad Ahmad er tidl. chef for DKCERT og medlem af bestyrelsen for RfDS. Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS.

Page 11: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 9

Fra juni 2013 og helt frem til i dag har Edwards Snowdens afsløringer af NSA’s aktiviteter skabt ballade, debat og bekymring over hele verden. Vi fået tegnet et billede af en amerikansk efterretningstjeneste, der foretager masse-overvågning af en væsentlig del af trafikken på internettet, vel at mærke uanset om de involverede brugere er under mistanke eller ej. Vi har hørt om hemmelige aftaler om udlevering af data, som firmaer tvinges til at indgå, og om aktiviteter, der har til formål at indbygge bagdøre i inter-net­standarder, så NSA er i stand til nemt at få fat i data, selv om der anvendes kryptering.

Ikke overraskende har NSA og den amerikanske regering enten benægtet oplysningerne eller afvist at kommentere dem. Så der er masser af plads til spekulationer: Hvad er op og ned på alt det her? Er det efterhånden umuligt at skabe sikker kommunikation på nettet? Kan NSA bryde enhver kryptering?

For det første skal man huske, at Snowden ikke er den eneste kilde til oplysninger om NSA, selv om materialet, han har lækket, er langt det mest omfattende. Selv taget med et gran salt er der næppe tvivl om, at både den amerikanske og engelske efterretningstjeneste har gang i meget omfattende overvågning af borgere over hele verden, og at man har forsøgt at svække de internationale standarder for sikker kommunikation på nettet.

Dette sidste punkt er måske den bedst dokumenterede del af NSA’s aktiviteter og faktisk også den mest alvorlige: Hvis standarderne for sikker kommunikation på nettet har fået indbygget svagheder, der gør det muligt at komme uden om den kryptering, der benyttes, så skal man være ualmin-delig naiv for at tro, at der ikke er andre, der finder disse svagheder og begynder at udnytte dem. Mindst én af disse svagheder er allerede fundet i offentlig forskning. Så i et forsøg på at gøre livet nemmere for sig selv, har NSA gjort internettet mindre sikkert for os alle. Det må være indly-sende for enhver, at det er en uholdbar situation, uanset hvilken politisk holdning man måtte have til overvågning, og til hvor meget af det, vi skal acceptere.

Men kan problemet løses? Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA­programmer og ­aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den. Omgåelsen sker enten ved at få de involverede parter til at udlevere data, eller ved at udnytte bagdøre i proto-koller og andre svagheder i systemerne. I forhold til hvad vi ved fra forskningen, ville det ikke give mening, hvis NSA uden videre kunne bryde hvad som helst.

Derfor må konklusionen være, at opdaterede standarder for kryptering med tilstrækkeligt store nøgler faktisk er et effektivt værn mod masseaflytning, hvis de bruges rigtigt. Det er her hunden ligger begravet: Måden vi bruger kryp-tering på, er bundet op på de protokoller, der i øjeblikket er standard på nettet. De trænger alvorligt til et eftersyn og sandsynligvis endda til at blive re­designet fra bunden, ikke kun fordi de har været under indflydelse af NSA, men også fordi flere af dem er resultatet af lappeløsninger lagt oven på hinanden. Det problem bør kunne løses, og det kan kun gå for langsomt!

BEHOV FOR NYE KRYPTERINGSSTANDARDER Af Ivan Damgaard

Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS.

Kan NSA ikke bare bryde det hele, uanset hvad vi gør? Her er det værd at lægge mærke til, at samtlige de NSA­programmer og ­aktiviteter, vi har hørt om, handler om at omgå kryptering, ikke at bryde den.

Page 12: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201410

Over det sidste år har der i pressen været omtale af mange sager om databrud. Se og Hør kom i vælten, da det blev af-dækket, at de havde betalt en kilde med tilknytning til Nets for at lække oplysninger om kendte danskeres anvendelse af kreditkort.

Flere politikere var i medierne og kritiserede it­sikkerhe­den, og mange andre meningsdannere fulgte trop. Anskuer man Se og Hør­sagen fra et it­sikkerhedsfagligt perspektiv, var problemet imidlertid ikke, hvad man rent fagligt forstår ved manglende it­sikkerhed. En række af de gængse og krævede sikkerhedsforanstaltninger var således på plads hos Nets.

For eksempel var medarbejderen, der skaffede sig adgang til kreditkortoplysningerne, sikkerhedsgodkendt af PET og havde lovlige administrative rettigheder. Han udnytte-de ikke tekniske sårbarheder, han misbrugte ikke andres rettigheder – og han udførte heller ikke aktiviteter, som man med gængse it­sikkerhedsværktøjer ville kunne logge, spore og reagere på. Der var i stedet tale om en betroet medarbejders ulovlige udnyttelse af en i øvrigt lovlig adgang.

Kunne Nets så have forhindret det? Medarbejderen benyt-tede et såkaldt batch job, som er en rutine, der opsættes og afvikles af systemadministratorer. Sådanne batch jobs skal efter persondataloven og sikkerhedsbekendtgørelsen ikke logges. Hverken interne ISO 27001 krav og procedurer hos Nets, kontrol ved Datatilsynet eller ekstern revision ville dermed have haft mulighed for at spore hændelsen.

Hændelser, som det der foregik hos Nets, vil være yderst vanskelige for alle typer virksomheder at spore – og så vidt vi kan vurdere, er misbrug af denne type noget, som forekommer yderst sjældent i it­branchen.

Se og Hør­sagen må derfor ikke betragtes som en aktuali-sering af en generel problemstilling angående datasikker-hed. I stedet bør sagen give stof til eftertanke om, hvordan virksomheder bedst beskytter sig mod og forebygger det,

man kan kalde for ondsindede medarbejdere. Det er nød-vendigt at kunne stole på de medarbejdere, man sætter til at arbejde med virksomhedens data.

Det vi kan lære af Se og Hør­sagen er, at det er i alles interesse fortsat at arbejde med sikkerhedsbehovet og at finde løsninger, som gør det muligt at kontrollere og begrænse adgange til data på måder, der er meningsfulde og transparente for medarbejderne. Vi kan aldrig opnå 100% sikkerhed for, at en medarbejder holder sig fra at begå kriminalitet, men vi kan gøre det nemmere at opdage det i tide.

Sagen viser også tydeligt, at det er nødvendigt at skelne mellem den risiko, interne medarbejdere og samarbejds-partnere kan udgøre og den, der udspringer fra eksterne hackere.

Derfor er det Rådets opfattelse, at det øgede fokus på sikkerhed skal omfatte en konkret risikovurdering af med-arbejderes og samarbejdspartneres adgang til virksomhe-dernes – og dermed også kundernes – data. Risikoen må nedbringes, ved at virksomhederne øger deres kompeten-cer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor.

INTERN SIKKERHED I VIRKSOMHEDERAf Rasmus Theede og Tom Engly

Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS.Tom Engly er koncernsikkerhedschef i Tryg og medlem af bestyrelsen for RfDS.

Risikoen må nedbringes, ved at virksomhederne øger deres kompetencer og beredskab til tidligt at opdage, at en medarbejder er kommet på vildspor.

Page 13: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 11

Virksomhederne har i disse år stor opmærksomhed på, hvordan nye typer af it­løsninger kan være med til at ef ­fektivisere, skabe nye forretningsområder og dermed også sikre vækst og nye arbejdspladser. Det vil skabe værdi både for virksomhederne, borgerne og samfundet som helhed. Blandt nogle af de buzzwords vi hører igen og igen er big data, cloud computing, sociale netværk, mobility og Internet of Everything.

En god del af de mennesker, hvis personlige data er in ­vol veret, vil imidlertid have en sund skepsis. For at flest muligt skal kunne se værdien af den teknologiske udvik-ling, er det derfor vigtigt at arbejde med at understøtte tilliden til digitaliseringen. Sagt på en anden måde: I takt med at man begynder at bruge nye metoder og teknolo-gier til at behandle data, er det vigtigt, at man også benyt-ter tilsvarende nye metoder og teknologier til at beskytte data.

Opskriften på, hvordan det skal ske, findes allerede. Rådet for Digital Sikkerhed, Dansk Industri, Forbrugerrådet og flere andre aktører har gennem de senere år arbejdet med en tretrinsraket bestående af Privacy Impact Assessment, Privacy by Design og Privacy Enhancing Technologies. Disse tiltag er det frivilligt at bruge nu, men i udkastet til den kommende EU persondataforordning lægges der op til, at dele af disse tiltag bliver obligatoriske. Ved at bruge disse metoder, kan man øge tilliden til, at data behandles på en sikker måde.

Privacy Impact Assessment (PIA) er en analyse af den risiko, der er forbundet med, at personoplysninger be ­handles – set fra den registreredes perspektiv. Virksom­heden laver dermed en risikovurdering og kortlægger blandt andet, om det faktisk er nødvendigt præcist at identificere den registrerede, i hvilke behandlingspro-cesser det evt. er nødvendigt, om der er tilvejebragt et tilstrækkeligt sikkerhedsniveau, om data videregives og om gældende love efterleves.

Når man har gennemført en PIA, er resultatet en liste med punkter, som viser, hvor det er muligt at forbedre beskyt-telsen af de registreredes data. Nogle af disse kan man vælge at implementere, mens andre vil være uhensigts-mæssige. De tiltag, som implementeres, ændrer designet af it­løsningen eller de processer, hvorefter data behand-les. Når løsningen er udformet på denne måde, kaldes det for Privacy by Design (PbD). Det indikerer, at privatlivs­beskyttelse er tænkt med ind i løsningen helt fra start.

Nogle af de elementer, man kan designe ind i en it­løsning, har særligt fokus på beskytte behandlingen af personop-lysninger, og de kaldes derfor Privacy Enhancing Techno-logies (PET). PET findes i mange former. Et eksempel er rollebaseret adgangskontrol, hvor en medarbejder kun kan få adgang til de personoplysninger, som vedkommende har brug for, for at kunne udføre sit daglige arbejde. Mere vidtgående eksempler er at opdele data således, at identi-tetsdata adskilles fra de øvrige data, der efterfølgende ikke eller kun vanskeligt kan identificere den registrerede. Det kendes for eksempel fra analyse af trafikmønstre, hvor det ikke er muligt at identificere den enkelte trafikant. Dette kaldes pseudonymisering eller anonymisering.

Ved at gennemgå denne tretrinsraket med PIA, PbD og PET kan virksomhederne forbedre beskyttelsen af de person-oplysninger, de indsamler og håndterer. Alt i alt vil der være tale om en bedre beskyttelse, som, hvis gøres rigtigt, vil reducere risikoen for tab af data. Dette kan kommuni-keres til de registrerede og indgå i virksomhedens samlede profilering, og det vil dermed være med til at øge tilliden til virksomhedens behandling af personoplysninger og også den generelle tillid til den teknologiske udvikling.

TILLID SOM FORUDSÆTNING FOR BEHANDLING AF DATAAf Henning Mortensen

Henning Mortensen er chefkonsulent i DI ITEK om og medlem af bestyrelsen for RfDS.

I takt med at man begynder at bruge nye metoder og teknologier til at behandle data, er det vigtigt, at man også benytter tilsvarende nye metoder og teknologier til at beskytte data.

Page 14: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201412

I slutningen af 2013 kom Rådet for Digital Sikkerhed med en anbefaling om at udfase cpr­nummeret i sin nuværende form, således at det fremover ikke indeholder informatio­ner om borgernes alder og køn. Formålet er at tilpasse cpr­systemet i forhold til den digitale udvikling og derved mindske risikoen for identitetstyveri.

Det fremgår også af anbefalingen, at man aldrig bør au ten tificere en persons identitet alene på baggrund af cpr­nummeret. Selv om en persons cpr­nummer ikke er blevet direkte kompromitteret, er der stadig en betydelig risiko for, at nummeret kan gættes, hvis angriberen kender offerets fødselsdato og køn.

Rådets melding kommer på baggrund af en markant stig-ning af danskere, som udsættes for identitetstyverier og et stigende antal sager, hvor myndigheder og virksomheder uforvarende kommer til at offentliggøre eller får hacket borgernes personnumre. For eksempel lykkedes det i 2012 for hackere at skaffe sig adgang til alle personnumre i poli-tiets kørekortregister.

Rådet for Digital Sikkerhed foreslår ændringerne af cpr­ systemet indført i følgende trin over nogle år – og at æn-dringerne ses som et første skridt i retning af et fremtidigt nyt dansk system for digital identifikation, som i højere grad sikrer borgerne en rimelig og tidssvarende privatlivs-beskyttelse:

• Trin 1: Tilbud om nyt personnummer til personer, der har været udsat for identitetstyveri, og hvor person-nummeret er blevet kompromitteret på uoprettelig vis.

• Trin 2. Borgere, som ønsker det, skal for et rimeligt ge-byr selv kunne anmode om at få et nyt personnummer, der ikke indeholder oplysning om alder og køn.

• Trin 3: Øvrige borgere tildeles nye personnumre uden oplysninger om alder og køn i takt med, at der udste-des nye sygesikringsbeviser, kørekort og pas.

• Trin 4: På længere sigt skal cpr­systemet afløses af et nyt digitalt identifikationssystem (eID), hvor både it­sikkerhed og privatlivsbeskyttelse skal indbygges fra start.

Rådet mener desuden, at en revision af cpr­systemet skal følges op med nye generelle retningslinjer for digitale identifikation og autentificering, og at disse retningslinjer skal være på plads, inden der igangsættes udbud af en afløser for den nuværende NemID­løsning.

Anbefalingen blev fremlagt på Forbrugerrådet TÆNKs Miniseminar om identitetstyveri i januar 2014, og løs-ningsforslaget indgik i Forbrugerrådet katalog over forslag til løsningsmodeller på identitetstyveri, som er blevet præsenteret for Digitaliseringsstyrelsens interessentforum for identitetstyveri.

Interessentforum for identitetstyveri har primært været et vidensudvekslingsmøde, hvor Rådets konkrete forslag om udfasning af cpr­nummeret ikke har været genstand for diskussion, men blot fremlæggelse.

På Digitaliseringsstyrelsens 6. møde om identitetstyveri i december 2014 oplyste Digitaliseringsstyrelsen, at de er ved at forbedre informationen om it­sikkerhed – herunder om identitetstyveri – på websitet borger.dk, og også at Digitaliseringsstyrelsen ønsker at deltage i kampagne-arbejde om it­sikkerhed sammen med Rådet for Digital Sikkerhed.

Der er imidlertid ingen der for nuværende arbejder aktivt videre med at styrke cpr­systemet gennem udfasning af informationen om alder og køn i personnummeret, som foreslået af Rådet for Digital Sikkerhed.

UDFASNING AF CPR-NUMMERETAf Ivan Damgaard og Anette Høyrup

Ivan Damgaard er professor i teoretisk datalogi og medlem af bestyrelsen for RfDS. Anette Høyrup er jurist ved Forbrugerrådet Tænk og medlem af bestyrelsen for RfDS.

Page 15: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 13

Det er en vigtig del af den offentlige infrastruktur, at vi har en troværdig digital identitet. Det gør, at borgere og virksomheder kan være trygge ved anvendelsen af digitale løsninger i det offentlige. Samtidig sikrer det, at vi har en sikkerhedsmæssig robust løsning for digital kommunika-tion af fortrolig information.

RfDS har ved flere lejligheder påpeget behovet for en op gradering af den eksisterende nationale eID­løsning (NemID), og Rådet afgav i juni 2014 – på linje med en lang række øvrige aktører – høringssvar til Digitaliseringsstyrel-sen om, hvorledes afløseren for NemID bør udformes.

Rådet mener, at den kommende løsning bør tage udgangs-punkt i blandt andet følgende principper:

• Integritet: Borgerens digitale identitet bør tilhøre bor-geren på samme måde som et pas til traditionel iden-tifikation. Brugeren bør kunne autentificere sig over for tredjepart og etablere afledte identiteter, uden at dette registreres hos eID­udstederen.

• Fortrolighed: Der skal være fokus på, at borgere reelt kan sikre den fortrolige del af den digitale identitet, og infrastrukturen skal hindre identitetstyveri og misbrug.

• Privatlivsbeskyttelse: Identiteten i den nye eID bør generelt afløse brug af cpr­nummer i den offentlige sektor og private sektor. Målet skal være, at der i en given transaktion kun udveksles de faktisk nødvendige oplysninger (med cpr­nummeret udveksles altid køn, alder og sandsynlighedsindikator vedr. indvandrings-status samt nøgle, der kan benyttes til samkøring med andre oplysninger).

• Åbenhed og kompatibilitet: Det må være et naturligt krav, at en borger kan få udstedt en digital identitet fra det offentlige på samme måde, som man kan få udstedt et pas. Denne identitet er naturligvis en unik identitet til at identificere borgeren ultimativt. Men den kan ikke stå alene, som det nuværende NemID gør. Der skal etableres alternative muligheder for afledte identiteter til anvendelse ved mindre kritiske behov, herunder identiteter som formidler en delmængde af attributter vedrørende en given borger. Dette vil åbne

et marked for identitetsudstedelser baseret på borge-rens enkelte attributter, og det vil desuden medvirke til at reducere risikoen for utilgængelighed ved nedbrud i et enkelt centralt system.

I sit høringssvar pegede RfDS videre på blandt andet føl-gende mere specifikke forhold:

IDENTIFIKATION PÅ FLERE NIVEAUER

Kommunikationen mellem borger og det offentlige består af både stærkt fortrolige og mindre følsomme oplysninger. Den offentlige digitale identitet skal derfor både bestå af en identitet på almindeligt sikkerhedsniveau og en identi­tet, der har tilstrækkelig styrke til, at borger og virksom-heder trygt kan kommunikere med det offentlige om selv de mest følsomme informationer. Den stærke identitet skal være forbeholdt den bindende og stærkt fortrolige kommunikation og til brugerens generering af nye afledte identiteter.

Den offentlige digitale identitet bør sammen med andre digitale identiteter kunne benyttes valgfrit af brugeren i kontakten til virksomheder og handlende.

SINGLE SIGN-ON

Selv om der opereres med identifikation på flere forskel-lige niveauer og via forskellige udbydere, skal de forskellige løsninger kunne bindes sammen. Der skal derfor være mulighed for step­up autentifikation (med samme løsning) eller om nødvendigt henvisning til anden autentifikations-løsning. For eksempel vil bestilling af en lægetid ikke skulle kræve den højeste troværdighed af identiteten, men ved viderestilling til egen patientjournal skal brugeren autenti-ficeres til det højere sikkerhedsniveau.

FULDMAGTER

Den nye løsning skal gøre det nemmere og mere gennem-skueligt at benytte fuldmagter. Som borger skal man for eksempel kunne give fuldmagter på både læger, revisorer

NÆSTE GENERATION AF ELEKTRONISK ID I DANMARKAf Jørn Guldberg og Birgitte Kofod Olsen

Page 16: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201414

og advokater med specifikke rettigheder, som svarer til, hvad disse fagpersoner har brug for at vide. En tilsvarende løsning skal kunne bruges borgere imellem i forhold til specifikke rettigheder, således at for eksempel it­svage personer ikke føler sig nødsaget til at give deres personlige nøgler til familiemedlemmer eller andre.

BRUGERVENLIGHED OG TILGÆNGELIGHED

Rådet peger på, at der skal sikres en god kombination af brugervenlighed, sikkerhed og tilgængelighed. Blandt andet følgende kan i den sammenhæng benyttes:

• Forskellige unikke tekniske identifikatorer til forskel-lige tjenester (i modsætning til nu, hvor der anvendes samme brugernavn eller cpr­nummer alle steder).

• Nøgler skal kunne håndteres på tværs af teknologiske platforme, styresystemer og hardwaretyper (PC, tab-lets, smartphones og andre gadgets).

• Brug af en tredje faktor til autentifikation, når der er tale om personfølsomme oplysninger, fx biometri.

• Kompatibilitet med andre tilgængelige ID­systemer, fx Facebook, hvor dette sikkerhedsniveau er tilstræk-keligt, og adgang til, at brugere kan benytte andre to­faktor ID­systemer, som benytter åbne standarder (fx Google og Microsoft).

• Den nye eID­løsning skal kunne bruges til kryptering af mails på en nem og ligetil måde, der kan være med til at fremme sikker mail­kommunikation.

AFVIKLING AF CPR-NUMMER TIL IDENTIFIKATION OG ØGET BRUG AF PSEUDONYMISERING

Brugen af cpr­nummer som gennemgående identifikation bør i en ny eID­løsning afvikles. En lang række sager har vist, at det er problematisk, at samme nøgle, der oven i købet indeholder personoplysninger (alder og køn og sandsynlighedsindikator vedrørende indvandring), bruges som nøgle på tværs af offentlige og private it­systemer.

I stedet bør der bruges forskellige identitetsnøgler, og der skal også være muligheder for, at identiteten kun verifice­res, men ikke meddeles andre parter, med mindre der faktisk er brug for det. Dette kan opnås ved øget brug af pseudonymisering. 

Jørn Guldberg er talsmand for it-sikkerhed i IDA Ingeniørforeningen i Danmark.Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed.

Page 17: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 15

Vi har allerede set mange eksempler på, hvor galt det kan gå, hvis vores evne til at beskytte informationer ikke følger med tiden. Der er ingen tvivl om, at de, der vil os det ondt, har gjort cyberspace til deres kamplads. ISO27001­standarden er et stærkt fundament, på hvilket det er muligt bygge en tidssvarende beskyttelse, hvis den vel at mærke implementeres og benyttes med omhu. Derfor er det en god nyhed, at statslige myndigheder i 2013 overgik til den internationale ISO­standard, som nu forefindes i en opdateret 2013­version.

Det kan være vanskeligt at gennemskue, præcist hvad vi forsøger at beskytte os imod, og hvordan det skal gøres. Blandt truslerne er for eksempel servernedbrud, hacker­angreb, outsourcing, industrispionage og denial of service (DoS) angreb. Der er så mange trusler, at det kan blive svært at overskue, og konsekvensen er ofte, at myndig­heder og virksomheder enten undervurderer de reelle trusler eller helt giver op. ISO27001 udmærker sig ved, at den med en struktureret og pragmatisk tilgang tager udgangspunkt i den enkelte myndighed og virksomheds behov for at beskytte sine vig-tige informationer. Standarden hjælper med at få overblik. Når ISO27001 er implementeret succesfuldt, vil man være klar over, hvor de største risici er, og hvor man kan sætte mest effektivt ind.

Når man implementerer ISO27001, er der – i forenklede træk – nogle krav, der skal opfyldes: Vi skal tage stilling til, hvad vi overhovedet vil med sikkerhed (scope). Vi skal

have ledelsens fulde støtte, have styr på, hvad det præcist er, vi gerne vil beskytte, og hvordan vi har tænkt os at gøre det. Alt dette baseret på en grundig risikovurdering. Derud over skal vi kunne dokumentere, at vi har imple-menteret de nødvendige kontroller, og så skal vi løbende måle på, at kontrollerne fungerer, som de skal.

Alt dette kræver grundig forberedelse og udarbejdelse af regler og politikker, som kan forstås af både ledelsen, forretningen og medarbejderne. Alt efter virksomhedens/ myndighedens størrelse eller kompleksitet kan dette kræve fra et par hundrede til flere tusinde timers arbejde. Vælger vi at investere den nødvendige tid, og gøre hvad der skal til, har vi til gængæld et uhyre stærkt fundament og ikke mindst et stærkt værktøj, som gør det muligt for ledelsen at træffe de rigtige sikkerhedsmæssige beslutninger.

Man hører ofte både virksomheder og myndigheder ud­tale, at ”vi læner os op ad ISO27001”. Udfordringen er her, at læner vi os for meget, så risikerer vi at vælte. Følges principperne i standarden ikke i sin helhed, vil der opstå huller. ISO27001 er udfærdiget til at danne fundamentet for sikkerhed i virksomheden, og med de it­trusler, vi står over for nu og i fremtiden, har vi ikke råd til dybe sprækker i fundamentet.

ISO27001 kan være en stor bid at sluge. Rådet for Digital Sikkerhed vil sammen med en række samarbejdspartnere i 2015 arbejde på at udgive en række værktøjer, skabeloner og hjælpepolitikker, der kan hjælpe en organisation med at blive klar til ISO27001. Dette sker under Rådets arbejds-gruppe for cybersikkerhed.

ISO27001 SOM FUNDAMENT FOR INFORMATIONSSIKKERHEDAf Rasmus Theede

Rasmus Theede er koncernsikkerhedschef i KMD og næstformand for RfDS

Page 18: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201416

Stadig flere it­løsninger afvikles i hostede applikationer, der tilgås via det åbne internet – det som i branchen be­tegnes som public cloud. Denne udvikling betyder, at vi har brug for nye redskaber til at håndtere it­sikkerhed og privatlivsbeskyttelse.

Det er derfor en rigtig god nyhed, at vi i 2014 fik den nye ISO27018­standard, som gør det nemmere at overskue og strukturere it­sikkerhed og privatliv omkring personføl-somme data ”i skyen”.

Det seneste års meget omtalte danske sager om læk, hac ­king og uberettiget adgang til personoplysninger har givet anledning til bekymringer i forhold til brug af public cloud løsninger. Sagerne omkring Se og Hør/Nets og CSC har ek-sponeret offentligt, at også andre typer løsninger er sårbare.

Ofte har bekymringerne være fokuseret omkring lokatio­nen, hvor databehandlingen finder sted, men det er nu tydeligt, at det ofte også er dårlig håndtering af de to andre elementer af god sikkerhed, processer og personale, der giver problemer.

Brugen af public cloud vinder frem, fordi der er produk-tivitetsgevinster at hente. Potentialet for besparelser og

fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder. Den nye ISO27018 kan hjælpe dem, som efterspørger ydelser, med at stille strukturerede krav til leverandører, og den giver en fælles målestok for sammen-ligning af produkter og ydelser. Desuden tager den nye standard højde for de krav, som stilles til databehandlere i EU’s gældende databeskyttelsesdirektiv.

Ved at bruge ISO27018 kan man som dataansvarlig sikre, at:

• Man til enhver tid ved, hvor data befinder sig, og hvem der behandler dem.

• Data ikke bruges til aktiviteter ud over det, som er tiltænkt (fx marketing, forskning etc.)

• Man kender til processerne om sletning, transport og evt. tilbagetrækning af data, og at disse er reguleret og underlagt streng revision.

• EU’s databeskyttelseskrav bliver overholdt, således at borgere kan tilgå, redigere og i nogle tilfælde også slette personhenførbare data.

• Man til enhver tid vil blive notificeret i tilfælde af en sikkerhedshændelse, som involverer cloud­løsningen eller egne data.

ISO 27018 er et vigtigt tillæg til den overordnede stan-dard ISO27001, som i sig selv er et godt rammeværktøj. Tilsammen er de to standarder højaktuelle i forhold til de digitaliseringsprocesser, som både danske offentlige myn-digheder og private virksomheder står overfor.

Det er oplagt fremover at indføje ISO 27018 som krav i kontrakter, da det er en nem måde at skabe sikkerhed for, at cloud­leverandører kun behandler personfølsomme data i mindst mulig omfang, at de gør det på en sikker og pålidelig måde, og at de kun anvender data til det, man som dataansvarlig på forhånd har godkendt.

ISO27018 SIKRER DATA OG PRIVATLIV I SKYEN Af Ole Kjeldsen og Birgitte Kofod Olsen

Ole Kjeldsen er teknologidirektør i Microsoft Denmark og medlem af bestyrelsen for RfDS.Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed.

Potentialet for besparelser og fleksibilitet skal naturligvis nøje tænkes sammen med krav om høj sikkerhed, og driften skal kunne ske på en sikker, reguleret måde, der er transparent for både kunder og myndigheder.

Page 19: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 17

For at sikre grundlaget for sund digital vækst er det nødvendigt, at Danmark har en stærk og robust data­beskyttelsesmyndighed. I takt med at de digitale teknol-ogier udvikles, er der behov for at styrke beføjelser og kompetencer hos det nationale tilsyn.

Danmark bør efter Rådet for Digital Sikkerheds op fattelse i fremtiden have en national databeskyttelsesmyndighed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databe­skyttelse.

På nogle punkter lever den nuværende danske data­beskyttelsesmyndighed, Datatilsynet, op til, hvad der kan betegnes som gældende bedste praksis inden for EU. På andre punkter er der muligheder for forbedringer, og på et afgørende punkt – kravet om at databeskyttelsesmyn-digheden skal være uafhængig – lever Danmark ikke op til gældende bedste praksis og dermed heller ikke til artikel 8 i EU’s charter om grundlæggende rettigheder. Det skyldes, at Datatilsynet er placeret under det danske justitsmini­sterium.

Rådet for Digital Sikkerhed mener, at Danmark snarest muligt bør have en opgraderet national databeskyttel­sesmyndighed, og at den bør etableres efter gældende bedste praksis, således at den kan blive en af EU’s bedst fungerende. Den skal være selvstændig og placeres under Folketinget, således at den uden tvivl lever op til EU’s nationale charter for grundlæggende rettigheder. En sådan stærk og robust databeskyttelsesmyndighed skal være del af det samlede eksempel til efterfølgelse på, hvorledes en nation kan skabe gode rammebetingelser for sund digital vækst.

Danmarks fremtidige databeskyttelsesmyndighed bør ikke være begrænset til at udføre tilsyn, men også bidrage til at vurdere, hvilke teknologier, designs og metoder, som kan anbefales til at understøtte god informationssikkerhed. Databeskyttelsesmyndigheden bør således både have et juridisk fokus, et betydeligt teknisk fokus, og det bør være en myndighed, som kan agere selvstændigt og have en aktiv rolle i forhold til at sikre en sund digital vækst og ud-vikling i Danmark inden for både den offentlige og private sektor.

Gældende bedste praksis for nationale databeskyttel­sesmyndigheder findes allerede kortlagt inden for EU og kan tjene som inspiration for en opgradering af den danske indsats på området. Derudover vil Rådet pege på, at der kan indhentes værdifulde erfaringer og viden fra det norske Datatilsynet og fra Canadas Office of the Privacy Commissioner – to myndighe der som internationalt set er blandt de førende på området.

BEHOV FOR EN STÆRK OG ROBUST NATIONAL DATA-BESKYTTELSESMYNDIGHED Af Birgitte Kofod Olsen

Birgitte Kofod Olsen er partner i Carve Consulting og formand for Rådet for Digital Sikkerhed.

Page 20: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201418

JULI 2013 – DECEMBER 2014

AKTIVITETER I TAL

Høringssvar 5

Høringer i Folketinget 4

Information og anbefalinger 4

Positioner 2

Dialogmøder 28

Oplæg på konferencer 27

1829273636829219283645367372929283635352728191 1829273636829219283645367372929283635352728191 1829273636829219283645367372929283635352728191182927363682921928364536737292 182927363682

Page 21: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 19

Information og anbefalinger nr. 1-5. februar 2014

Efterretningstjenesternes indsamling af data om borgerne (masseovervågning)

Resumé

Oplysninger fra den amerikanske whistleblower Edward Snowden har skabt stor opmærksomhed om, hvilke op ­lysninger efterretningstjenester og særligt NSA indsam-ler om borgerne. Rådet for Digital Sikkerhed anser de offentliggjorte oplysninger for meget bekymrende. Der tegner sig et billede, hvor der er opbygget en meget avanceret teknologi til indsamling og behandling af data. Det har dannet grundlag for en praksis, hvor der indsam-les metadata om alle borgere. Disse data samles i meget omfattende databaser og har potentiale til sammenstyk-ning af dataprofiler på personniveau. Endvidere er der fremkommet oplysninger om, at NSA har søgt at påvirke internettets protokoller og standarder og at svække en række almindeligt udbredte krypteringsløsninger.

Rådet for Digital Sikkerhed ønsker at bidrage til en afkla­ring og vurdering af masseovervågningens omfang og dens proportionalitet i forhold til det mål, den skal opfylde. Rådet for Digital Sikkerhed peger også på nødvendigheden af, at staten sikrer, at der ikke indsamles data om borgerne i strid med grundlæggende rettigheder om privatlivs­ og persondatabeskyttelse.

Anbefalinger

Rådet for Digital sikkerhed anbefaler, at:

• De politiske partier klart tilkendegiver, at generel ind-samling af data fra internettet og andre datakilder om borgere og virksomheder til brug for masseovervåg­ning udført af efterretningstjenester eller andre myn­digheder ikke kan accepteres i åbne, demokratiske samfund.

• Regeringen tager initiativ til at afklare, om Forsvarets eller Politiets Efterretningstjenester – som led i en generel masseovervågning – har medvirket til ind-samling, modtagelse, videregivelse eller lagring af oplysninger om borgerne.

• Regeringen på internationalt plan arbejder for, at det bliver tilbundsgående undersøgt i hvilket omfang stan-darder, produkter og krypteringsløsninger er blevet svækket, således at problemerne kan identificeres og afhjælpes.

• Regeringen tager initiativ til en handlingsplan, som sikrer, at danske borgere kan kommunikere fuldt for-troligt via internettet.

Information og anbefalinger nr. 2-17. marts 2014

Unødig personregistrering i nyt digitalt system til indsamling af vælgererklæringer

Resumé

Med et aktuelt lovforslag fra Økonomi­ og Indenrigs­ministeriet (L124) planlægger regeringen at etablere et elektronisk system til registrering af vælgererklæringer i forbindelse med opstilling af politiske partier til folke­tinget. Som lovforslaget er udformet, vil der fremover elektronisk blive registreret oplysninger vedrørende borgeres politiske forhold. Der er i lovforslaget lagt op til dispensation fra persondataloven vedrørende registre-ring af personhenførbare oplysninger, selv om dette kan undgås ved anvendelse af eksisterende privatlivs­sikrende teknologi. Rådet for Digital Sikkerhed vurderer, at valget af teknologi vil have betydning for vælgernes tryghed i forhold til, hvordan registrering af oplysninger om deres politiske forhold kan anvendes.

RESUMEÉR FRA RÅDETS UDMELDINGER

Page 22: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201420

Anbefaling

Rådet for Digital sikkerhed anbefaler, at:

• Det digitale system til registrering af vælgererklæringer opbygges, så der ikke sker registrering af personhen-førbare oplysninger om politiske forhold.

Information og anbefalinger nr. 3-22. maj 2014

Behov for øget fokus på sikkerheden i open source software

Resumé

Der er behov for øget fokus på sikkerheden i både ud­vikling og implementering af open source software, på samme måde som det er tilfældet i forhold til kom-merciel software, hvor koden ikke er åbent tilgængelig. Heartbleed­sårbarheden i OpenSSL­softwaren har vist, hvorledes der kan opstå en meget vidtrækkende sikker-hedsbrist, når mange aktører benytter en almindeligt brugt open source­løsning i tillid til, at open source generelt er af høj kvalitet. Forløbet viser, at der på globalt niveau er behov for systematisk kvalitetssikring af open source software, som er del af digitale infrastrukturer.

Der er også behov for øget fokus på indberetninger om sårbarheder, og på hvorledes danske borgere bliver vars­let, når der opstår omfattende generelle sikkerhedspro­blemer ved brug af internettet. I kølvandet på Heart-bleed­forløbet har en række aktører efterlyst rettidige og klare udmeldinger fra de danske myndigheder, herunder distribution af pålidelig opdateret information og anbe-falinger til borgerne.

Anbefalinger

Rådet for Digital Sikkerhed anbefaler, at:

• Aktører som implementerer open source software generelt sikrer sig, at de anvender løsninger, hvor sikkerhed og privatlivsbeskyttelse er tænkt ind og aktiveret fra start.

• Aktører som anvender open source­løsninger i kom­mercielle produkter aktivt bidrager til at højne sikker-heden, enten i form af arbejdsmæssig indsats eller økonomiske bidrag til andre, som udfører sådant arbejde.

• Alle systemansvarlige som benytter OpenSSL aktiverer og fremover som standard anvender den kryptogra­fiske teknik Perfect Forward Secrecy (PFS).

• Den danske regering som led i sin digitaliseringsstrategi tager skridt til at indføre en indberetningspligt ved rø­rende sårbarheder og markant opprioriterer indsatsen i forhold til at informere og vejlede om it­sikkerhed og privatlivsbeskyttelse til danske borgere.

Information og anbefalinger nr. 4-12. november 2014

Digital vækst med tillid som fundament

Resumé

Danmark har aktuelt meget store uudnyttede muligheder for at drage fordel af og være med til at forme den globale digitale vækst. I det globale perspektiv er Danmark med helt i front, når det gælder digitalisering, både i den pri-vate og i den offentlige sektor. Derfor er det vigtigt, at vi udvikler eksempler til efterfølgelse, hvor digitale løsninger etableres med tillid som en afgørende del af fundamentet. Det er ifølge Rådets vurdering en forudsætning for sund, stabil og langsigtet digital vækst.

Der bør arbejdes for at etablere et dansk cluster med fokus på sund digital vækst, hvor globalt førende forskere bringes sammen med de virksomheder, der er aktive inden for området. Det vil være afgørende at sikre sammen-hængen med offentligt igangsat digital infrastruktur, at sørge for gode rammebetingelser og at udforme offentlige udbudskrav, så de understøtter satsningen.

Inden for sundhedsforskningen og generelt i den offent-lige sektor er der behov for konsekvent implementering af privacy by design. Sund digital vækst er afhængig af, at danske borgere bevarer tilliden til de digitale løsninger. Det centrale princip bør være, at offentligt ansatte og andre databehandlere kun har adgang til det minimum af persondata, som faktisk er nødvendige for at løse en konkret opgave.

Danmark bør have en national databeskyttelsesmyndig­hed, som kan leve op til og også være med til at udforme fremtidens best practice, når det gælder national databe­skyttelse. Placeret under Folketinget skal denne myndig­hed kunne vejlede, stille krav og udføre kontroller i et helt andet omfang end hidtil både i forhold til offentlige og private aktører.

Page 23: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 21

Anbefalinger

Rådet for Digital Sikkerhed anbefaler følgende som led i en samlet indsats:

• At regeringen fortsætter og intensiverer sit arbejde for at udnytte de muligheder, som ligger i brug af big data (data mining) i forhold til eksisterende og fremtidige data om den danske befolkning.

• At regeringen etablerer de nødvendige rammer for at skabe et stærkt og globalt førende erhvervsorienteret forskningsmiljø inden for big data og privatlivsbeskyt-telse.

• At regeringen og myndigheder generelt stiller offentligt generede data frit og gratis til rådighed for virksomhe­der og forskere, som vil være i front ift. udvikling af ny smart teknologi og smarte tjenester.

• At regeringen fastlægger et grundlæggende princip om, at borgerne fremadrettet skal have kontrol med, hvilke identificerbare persondata, der deles med hvem. I offentligt regi vil det betyde, at en borgers data kun kan tilgås i forbindelse med et konkret arbejdsmæssigt behov. I forskningssammenhæng vil det betyde, at borgere selv har mulighed for at bestemme, hvorvidt de ønsker at indgå i forskning, og om de ønsker at blive adviseret om evt. viden om deres personlige sundheds­risici, som afdækkes via forskning.

• At regeringen fastlægger retningslinjer for, hvorledes privatlivsbeskyttelse opretholdes i forbindelse med udvidet brug af big data, data mining osv., herunder at der skabes nem adgang til viden om, hvordan data kan pseudonymiseres og anonymiseres, i praksis for eksem­pel via vejledning udarbejdet af Erhvervsstyrelsen og den nationale databeskyttelsesmyndighed.

• At regeringen stiller krav og etablerer rammebetin­gelser, som sikrer etablering af danske digitale systemer, der skaber maksimal tillid og tryghed for borgere, virksomheder og myndigheder, herunder en gennemgribende og sammenhængende revision af cpr­systemet og det danske eID­system (aktuelt NemID).

• At regeringen sikrer, at Danmark får en stærk, robust og uafhængig databeskyttelsesmyndighed placeret under Folketinget og med et stærkere fokus på at være teknisk vejledende og kommunikere anbefalinger til offentligheden. Databeskyttelsesmyndigheden skal sikre, at systemer, som det offentlige har ansvaret for, løbende vedligeholdes og sikres i forhold til kendte og forudsigelige sikkerhedsrisici.

• At den nationale databeskyttelsesmyndighed eller en anden myndighed får de fornødne beføjelser til at stille konkrete krav til leverandører af offentlige it­systemer om robust it­sikkerhed, privacy by design og gennem-førelse af privacy impact assessments, til at implemen-tere kontroller hos leverandøren og føre kontrol med, at krav og kontroller fungerer i praksis.

• At regeringen bakker op om EU­kommissionens udkast til persondataforordning, således at der skabes ensar­tede regler for databeskyttelse i hele Europa.

Page 24: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 201422

ÅRSREGNSKAB 2012/13

Kr.

Kontingenter 327.375

Andre indtægter 49.145

Indtægter 376.520

Konsulentydelser 271.713

Publikationer og hjemmeside 18.562

Rejseudgifter 1.256

Husleje 12.600

Administrationsomkostninger 17.331

Møder mv. 3.329

Omkostninger 324.791

Resultat før finansielle poster 51.729

Finansielle poster 310

Årets resultat 52.039

Egenkapital primo 0

Egenkapital 31. dec. 2013 52.039

23. NOV. 2012 – 31. DEC. 2013

Page 25: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014 23

Advokat Per Mejer

Alexandra Instituttet A/S (Jakob Illeborg Pagter)

Alm. Brand A/S (Preben Jørgensen)

ATP (Søren Olsen)

BVHD (Martin von Haller Grønbæk)

Comendo Security A/S (Troels Lind)

Dansk Metal (Torben Andresen Lindhardt)

Danske Bank (Poul Otto Schousboe)

DI ITEK (Henning Mortensen)

DIT – Dansk IT (Tom Engly)

DKCERT

Dubex A/S (Klaus Kongsted)

DTU Matematik og Computer Science (Lars Ramkilde Knudsen)

DKUUG (Michael Lind Mortensen)

EnergiMidt (Jakob Aksglæde Hokland)

Energinet (Jens Heyn Roed Andersen)

ESL­foreningen (Jesper B. Hansen)

Forbrugerrådet (Anette Høyrup)

FSR-danske revisorer

FTF (Ole Stillund)

HUAWEI (Signe Brink Wagner)

IDA­IT (Jørn Guldberg)

inHouse Security (Michael Christensen)

Immune Security (Christian Have)

IT­Branchen (Christian Wernberg­Tougaard)

KITA – Kommunale IT­chefer (Henrik Brix)

KLID – forening for professionelle Linux­interessenter (Keld Simonsen)

KMD (Rasmus Theede)

MEDLEMMER AF RÅDET FOR DIGITAL SIKKERHEDPR. 16. FEB. 2015

Københavns Universitet, Koncern­it (Henrik Larsen)

Medierådet for Børn og Unge (Claus Noer Hjorth)

Microsoft (Ole Kjeldsen)

Multihouse (Kenneth B. Jørgensen)

NC3 – Rigspolitiet (Kim Aarenstrup)

NetIQ (Ken Willén)

Nets Danmark A/S (Charlotte Vikkelsø Miolane & Shehzad Ahmad)

Neupart (Lars Neupart)

Odense Kommune (John Bonnerup)

Outpost24 (Micha Cohen Bangsgaard)

PROSA (Niels Berthelsen)

Region Hovedstaden (Dorrit Rasmussen)

Region Sjælland (Lars Stig Jørgensen)

Roskilde Universitet, administrationen (Henrik Jensen)

SAMDATA\HK (Thomas Bisballe)

Signaturgruppen A/S (Morten Storm Petersen)

Sund & Bælt Holding A/S (Peter Hedevang Christensen)

TDC (Lars Højberg)

Tryg

Udenrigsministeriet – IT (Jesper Ullerup)

Ældresagen (Ingrid Lauridsen)

FORSKERMEDLEMMER

Anja Bechmann, Aarhus Universitet

Ivan Damgård, Aarhus Universitet

Niels Christian Juul, Roskilde Universitet

Rikke Frank Jørgensen, Inst. for Menneskerettigheder

Page 26: Digital Sikkerhed i Danmark 2014

DIGITAL SIKKERHED I DANMARK / 2014

Udgivet marts 2015 af Rådet for Digital Sikkerhed

Redaktion: Birgitte Kofod Olsen (ansvarshavende)Rasmus TheedeSteffen Stripp Bjørn Kassøe Andersen

Kontakt: Toldbodgade 12, 1253 København K www.digitalsikkerhed.dk [email protected]

Fotos: Saad Faruque (Flickr), Victor Gregorio (Flickr), Scott Maxwell (Flickr), Ole Schwander, Shutterstock

Page 27: Digital Sikkerhed i Danmark 2014
Page 28: Digital Sikkerhed i Danmark 2014

Digital sikkerhed i Danmark 2014Årsrapport fra Rådet for Digital Sikkerhed