Datasäkerhetsåret 2018 – som ett vinterbad utan bastu. Ökade krav på datakryptering under 2019.

Vid den här tiden förra året förutspådde storage-branschen att 2018 skulle ha fokus på dataskydds- och säkerhetsfrågor – vilket det också blev!

Dan Shprung, Europachef, Infinidat

Redan några månader in på det nya året fanns det flera exempel på eskalerande cyberkriminalitet och stora avancerade data-intrång.

Cyberkriminella fick under året större tillgång till känsliga data och möjligheter att göra i princip vad de ville. Attackerna och intrången har förändrats, cyberkriminella har allt mer börjat använda sig av social ingenjörskonst för att nå människans svagheter inom organisationer, och den stora mångfalden av de typer av intrång som skett under året har blivit en realitet för i princip alla typer av verksamheter. Allt detta har drivit fram ett ökat säkerhetsmedvetande, och åtgärdsprogram på flera nivåer hos företag, branscher, nationer och internationellt.

GDPR är förmodligen det regelverk som de flesta kommer tänka på när vi pratar om regler och lagstiftning för datahantering. Det är den mest omfattande översynen och lagstiftningen kring personlig datahantering vi sett. Ett regelverk som gett långtgående konsekvenser för alla verksamheter som hanterar personuppgifter för EU-medborgare. Det blir sannolikt ett regelverk som stora delar av världen kommer vilja ta efter.

Trots farhågorna har GDPR inte lett till världens undergång. Trots den stora uppmärksamheten GDPR haft var det sannolikt två andra händelser som gav den största effekten på hur företag ser på vikten av datasäkerhet och hanteringen känsliga persondata.

De större händelserna under året sannolikt dataöverträdelserna på Facebook och Google i september respektive oktober . Trots båda företagens höga ambitioner när det gäller hantering av användardata och integritet (vilket är A och O för deras legitimitet och fortlevnad) var det dessa oväntade och omfattande dataöverträdelser som gav mest märkbara konsekvenser.

Om även det på grund av mindre öppningar i systemen gick att komma år de största, mest kraftfulla, inflytelserika och säkert byggda systemen så kan det självklart hända vilka som helst. Som vi har kunnat se kan dataöverträdelser ske på alla nivåer och på många olika sätt som både mänskliga som tekniska mål, och det kan hända att även de mest säkra företagen och organisationerna.

När nu 2018 går mot sitt slut, är det dessa händelser och regelverken som kommer sätta agendan inför hur verksamheter kommer hantera och skydda sin data framöver. De åren många hanterat och delat med sig av data utan eftertanke och med en stor portion naivitet och god tror är förbi.

Dataintrång är inte längre en möjlig risk, det är en realitet och dataskyddet behöver utgå från att om inget görs kommer våra datasystem utsättas för attacker och intrång. De cyberkriminellas verktyg är så förfinade att de kan dammsuga alla uppkopplade datasystem och hitta och utnyttja de minsta hålen och bristerna i säkerhet. Det som har funkat i säkerhetsstrategi de senaste åren kommer inte funka som standard 2019 och framåt.

Nu måste fokus i säkerhetstänket också ligga lika mycket på ett förebyggande säkerhetsarbete innan ett brott händer, för att förbereda dagen efter det oundvikliga brottet. Om företag accepterar dessa förutsättning kommer de också behöva göra något med själva hanteringen av sin data.Åter till GDPR.

Det är ett långt och komplicerat regelverk, och många företag som ser en fullständig regel-efterlevnad som omöjlig, men de har missat det viktigaste skälet till varför regelverket kommit till.

artikel 34 i GDPR-regelverket anges att vid överträdelser av personuppgifter, är ett företag inte skyldigt att meddela överträdelsen till berörda personer om uppgifterna har krypterats och på så sätt inte är möjliga att läsa. Krypterade data lagras slumpmässigt och vad som utan krypteringsverktyget en meningslös binär kod, så om den här data en ligger utanför nätverket så kan den inte läsas eller göra någon nytta. För att uttrycka det enkelt, om stulna data är tillräckligt krypterad, är den praktiskt taget immun för att kunna användas för cyberkriminalitet som berör GDPR-efterlevnad.

Kryptering av data är en för alla en välkommen utveckling för alla. Om krypterade data nu kommit ut, så är det ingen större fara, eftersom den är svår eller omöjlig att dechiffreras.

Tittar vi mot 2019 och framåt kommer vi se den första storskaliga rättegången som påverkar ett större företag eller en institution, som har visat sig vara obefintlig under GDPR som ett resultat av en katastrofal dataöverträdelse av icke-krypterade data. Det kommer att bli den kalla, hårda monetära siffran i GDPR-böterna som kommer att sparka företagen till handling globalt, för att göra mer för att skydda användarnas data. Som en konsekvens kommer företag i ökande grad välja att kryptera sin data för att på så sätt avsevärt höja säkerheten.

Under 2019 kommer många verksamheten välja att hitta lösningar och system för att kryptera sin data. Datakryptering kan kräva ett strategiskt tänk som påverkar hela datacentret. Kryptering är inte rocket-science, men krypteringen kommer påverka hur data uppträder och med lösningar som inte är optimerade för krypterad trafik kan det skapas flaskhalsar och datavolymerna kan öka avsevärt. Det är med denna omväxling som företagen kommer att ha en robust dataskyddsstrategi på plats, för att inte bara säkra data i flygning utan också att utveckla en säkerhetsplattform som är klar för framtiden.

Av Dan Shprung, Europachef, Infinidat