11 maj 2020
Cybersäkerhet under Covid-19

Vem har kontroll när dina medarbetare arbetar hemma?

Av Tim Best

EY Sverige, Technology Consulting, Cybersecurity, Nokia Alliance Cybersecurity Leader, AEET Cyber Leader, AM&M Cyber Leader

Specialist på cybersäkerhet med över 20 års erfarenhet. Har arbetat med många olika cybersäkerhetslösningar inom hela EMEIA-regionen.

11 maj 2020
Relaterade ämnen Cybersecurity Covid-19

Covid-19 vänder upp och ner på många saker och det gäller även vårt sätt att arbeta. 

I
dessa tider arbetar många av oss hemifrån. Det ställer stora krav på företagets säkerhetsåtgärder. Det handlar inte bara om själva tekniken, utan även (kanske i ännu högre grad) om användarnas beteende.

Ökat cyberhot och mer riskfylld behandling av personuppgifter
I många företag och organisationer arbetar medarbetarna hemifrån och har så gjort i flera veckor. För de flesta har detta naturligtvis varit en stor förändring. Arbetet måste nu utföras via exempelvis fjärranslutningar och digitala möten, samtidigt som det kanske finns barn hemma som måste tas om hand. Och behöver medarbetare rådfråga en kollega finns ingen i dennes omedelbara närhet.

Detta bidrar till att göra IT-system och plattformar – liksom det allmänna dataskyddet – mer sårbara jämfört med tiden innan coronakrisen.

Det här är också en av anledningarna till att Defence Intelligence Agency's Centre for Cybersecurity (CFCS) uppdaterade hotbilden för de allvarligaste cyberhoten, cyberbrottslighet och cyberspionage den 3 april 2020.

CFCS anser att hotet är på högsta möjliga nivå och att hotet riktas mot alla.

Angripare väljer andra metoder
Pandemin har främst påverkat hotbilden när det gäller vilka angreppsmetoder som väljs. Det finns till exempel en ökad risk för nätfiske eller att angripare försöker attackera på distans. Eftersom IT-säkerheten redan är under press på grund av förändrade arbetsförhållanden är detta en farlig cocktail.

Denna risk är ännu större om du inte kan säkerställa den nödvändiga tekniska säkerheten. Vad händer om dina medarbetare till exempel använder enheter och system som inte är godkända av it-avdelningen för att underlätta arbetsflöden eller om de till följd av sitt distansarbete tar med eller skriver ut fysiska dokument med konfidentiell eller känslig information?

Även det faktum att dina medarbetare kan omges av sina familjer under arbetsdagen kan vara ett säkerhetsproblem, eftersom familjemedlemmar inte bör ges tillgång till viss information.

Vilka försiktighetsåtgärder kan du vidta?
Covid-19 innebär att du som arbetsgivare måste vidta ett antal försiktighetsåtgärder för att skydda samhället mot coronaviruset. Det ställer dig inför vissa viktiga dataskyddsrättsliga frågor.

  • Kan du till exempel kräva att dina medarbetare och kunder informerar om sitt hälsotillstånd?
  • Kan du genomföra hälsokontroller eller tester av dina anställda?
  • Ska du vidarebefordra information om någon av dina medarbetare är smittad av coronaviruset?
  • Vilken hälsoinformation bör du registrera om dina medarbetare?

Dessa frågor kan vara svåra att besvara generellt, eftersom lagligheten i behandlingen av personuppgifter beror på de specifika omständigheterna.

Covid-19 är ingen ursäkt för GDPR-överträdelser

Covid-19 har förändrat arbetsflöden och lett till nya åtgärder. Men det är viktigt att komma ihåg att under de senaste veckorna har den Europeiska dataskyddsstyrelsen och nationella dataskyddsmyndigheter flera gånger förklarat att kampen mot corona inte mjukar upp kraven på uppgiftsskydd.

Trots de exceptionella omständigheterna måste du alltså fortfarande se till att medborgares, medarbetares och kunders personuppgifter skyddas och behandlas enligt lag. Om dina säkerhetsåtgärder inte är tillräckliga kan du riskera böter på miljonbelopp för GDPR-överträdelser.

Vad kan du göra för att skydda dina data?  
Det är oerhört viktigt att inte bara du, utan även dina medarbetare har fullt fokus på säkerhet.

Även om samhällets restriktioner gradvis kommer att lätta förväntas en del av arbetskraften att fortsätta arbeta hemifrån under en tid framöver.

De tekniska säkerhetsåtgärderna – tillgång till dina data via nätet
En sak du måste göra är att se till att företagets nödvändiga centrala system är tillgängliga för dina medarbetare, så att de kan utföra sina arbetsuppgifter på ett lämpligt sätt och med respekt för säkerheten. När du väljer sådana system måste du bland annat överväga:

  • Vilka är riskerna och konsekvenserna av behandlingen/systemet?
  • Vem kan komma åt informationen i systemet?
  • Var lagras informationen?
  • Ska ett avtal om databehandling ingås innan systemet tas i drift?

Du kan säkra ditt företag genom att:

  • använda krypterade anslutningslösningar som VPN och liknande
  • se till att de lösningar som du erbjuder dina medarbetare (till exempel VPN, Teams och Skype), möjliggör distansarbete och klarar av den kraftigt ökade trafiken
  • fortsätta att distribuera säkerhetsuppdateringar (som anti-virus och patchar) till medarbetarnas datorer och enheter, även om de arbetar hemifrån.

Organisatoriska säkerhetsåtgärder – medarbetarnas beteende
Men säkerhet är inte bara sådant som tekniskt skydd, brandväggar och VPN-anslutningar. Medarbetarnas beteende kan utgöra ett lika stort (om inte större) hot mot säkerheten. Det är alltså minst lika viktigt att dina medarbetare också bidrar till säkerheten.

Dina medarbetare bör fråga sig:

  • Följer jag företagets policy, till exempel angående förbud mot att använda egen datorutrustning? Det är viktigt att hålla företagets data inom företagets nätverk, så att obehöriga personer inte får tillgång till den. Detta gäller även partner och barn.
  • Vem lyssnar när jag håller digitala möten hemma? Konfidentialitet omfattar även den närmaste familjen.
  • Är mitt wifi-nätverk hemma skyddat? Hackare kan ”lyssna på” och därmed avlyssna data som skickas via wifi.
  • Är jag tillräckligt skeptisk till e-post? Angripare försöker ofta locka människor att klicka på länkar som i värsta fall kan installera skadlig kod eller annat skadligt på datorn, vilket äventyrar företagets säkerhet.

Företagets uppgift och ansvar

Du behöver dels utveckla tydliga policyer och riktlinjer, dels kontrollera att dina anställda faktiskt känner till riktlinjerna och följer dem. Sådana policyer och riktlinjer måste naturligtvis anpassas till den förändrade situation som covid-19 medför. Exempelvis:

Klara och tydliga instruktioner till de anställda
Du måste ha tydliga instruktioner till dina anställda om att de till exempel inte får ladda ner digitala lösningar, gratislicenser eller liknande utan organisationens tillstånd. Det måste vara tydligt för de anställda hur de ska hantera fysiska dokument när de arbetar hemma och därmed inte har samma möjlighet att lagra och förfoga över dokument på ett tillräckligt säkert sätt.

Dokumentera din hantering av GDPR under covid-19
Det är ditt ansvar att bedöma vilka personuppgifter du kan behandla om dina medarbetare och kunder till följd av de förändrade processerna under covid-19. Och det är viktigt att du dokumenterar detta. Du bör vara noga med att begränsa mängden personuppgifter och du ska endast behålla relevanta personuppgifter så länge det behövs. Detta gäller särskilt när behandlingen omfattar känsliga personuppgifter, till exempel information om medarbetarnas hälsa. Dessutom är det viktigt att du tar hänsyn till tillämplig arbetsrättslagstiftning, eftersom du som arbetsgivare i allmänhet endast har rätt att behandla hälsouppgifter om det krävs enligt lag.  

Särskilda råd för personuppgiftsbiträden
Om du behandlar personuppgifter i egenskap av personuppgiftsbiträde är det särskilt viktigt att du granskar dina databehandlingsavtal för att säkerställa att avtalet reglerar i vilken utsträckning du kan behandla personuppgifter som en del av distansarbete. Det är viktigt att se till, även under denna period, att hanteringen av personuppgifter på uppdrag av dina kunder sker i enlighet med dina kunders instruktioner.

Om du behandlar personuppgifter som personuppgiftsansvarig bör du överväga om du i denna ovanliga tid bör utöva särskild kontroll över dina personuppgiftsbiträden, inklusive om databehandlingsavtalet innehåller särskilda krav för de säkerhetsåtgärder som personuppgiftsbiträdet måste utföra vid distansarbete.

Hur kan vi hjälpa till?
Många myndigheter och företag är osäkra på om de har vidtagit lämpliga åtgärder för att efterleva GDPR och säkerställa en mer allmän informationssäkerhet. Detta gäller inte bara i relation till covid-19, utan även organisationernas övergripande implementering av GDPR. Informationssäkerhet måste finnas på plats även efter covid-19.

Vi är medvetna om att många organisationer måste prioritera sina resurser under denna tid. Samtidigt ser vi att fler organisationer upplever att de just nu faktiskt har tid att koncentrera sig på GDPR-implementeringsprojekt. Fler organisationer är också medvetna om att det kan bli svårare att återställa uppgifter efter covid-19 om system, plattformar och dataskyddsprocesser äventyras.

Även om fysiska kundmöten sker i begränsad utsträckning, är det viktigt att se över skriftliga säkerhetsåtgärder, till exempel datakartläggning, gap-analyser och procedurer som genomförs av organisationen. Detta är en uppgift som lätt kan lösas digitalt: antingen genom uppföljande skriftlig rapportering eller genom virtuell rapportering via Teams.

EY kan ge råd och hjälpa ditt företag genom denna speciella tid. Vi har redan hjälpt ett stort antal kunder med projekt som rör implementering av GDPR, bland annat uppdateringar av GDPR- och cybersäkerhetspolicyer för distansarbete. Våra tekniska kollegor kan genomföra penetrationstester av system för att identifiera specifika risker och vi organiserar och utbildar kundernas medarbetare inom GDPR och cybersäkerhet – även som onlinelösningar.

Kontakta gärna oss för en diskussion om vad just ditt företag behöver.

Summering

Som en följd av covid-19 tvingas fler anställda att arbeta hemifrån, vilket ställer stora krav på säkerheten på de "nya" arbetsplatserna. Företag ska bland annat vara uppmärksamma på nya angreppsmetoder, GDPR-efterlevnad och hur man skyddar sina uppgifter på bästa möjliga sätt – inte bara tekniskt, utan även vad gäller användarnas beteende.

Om artikeln

Av Tim Best

EY Sverige, Technology Consulting, Cybersecurity, Nokia Alliance Cybersecurity Leader, AEET Cyber Leader, AM&M Cyber Leader

Specialist på cybersäkerhet med över 20 års erfarenhet. Har arbetat med många olika cybersäkerhetslösningar inom hela EMEIA-regionen.

Related topics Cybersecurity Covid-19