Advokatsamfundets GDPR-styre­gruppe har set nærmere på nogle af årsagerne til databrud og konse­kvenserne ved dem. Den kommer desuden med en række anbefalinger, der også vedrører it-sik­kerhed, så advokatvirksomheder er bedre rustet mod cybertrusler.

Cybertruslen mod Danmark er lige nu meget høj, og hver dag bliver både små og store virksom­heder angrebet af hackere, som fx krypterer virksomhedens data og kræver betaling for adgang til dem igen. Det sker i det, der kaldes ransomware-angreb, og det er desværre også sket for flere advokatvirksom­heder.  

Ikke nok med at et sådant angreb er skadeligt for omdømmet og tilliden til advokatfirmaet og kan være altødelæggende for advokatforretningen, hvis der ikke er en anvendelig backup, så kan det også være i strid med GDPR, hvis personoplysninger ikke har været beskyttet godt nok.

GDPR-styregruppen vil i en ny og kommende udgave af Advokatsamfundets vejledning om advokatens behandling af personoplysninger uddybe de GDPR-mæssige aspekter om beskyttelse af person­op­lys­ninger, herunder bl.a. kravene til risikovurderinger og behandlingssikkerhed. Nedenstående beskriv­el­se af årsager, konsekvenser og forebyggelse indeholder både forhold vedrørende it-sikkerhed og GDPR.

Selvom man som virksomhed tror, at man har taget alle de nødvendige forholdsregler, kan der stadig opstå situationer, hvor en virksomhed angribes, og her kan det være mindre foranstaltninger, som gør en forskel, hvis uheldet skulle være ude.

Hvordan sker et databrud som følge af et cyberangreb?

• En medarbejder i advokatvirksomheden klikker på link/fil i en phishing e-mail
• Advokatvirksomhedens it-leverandører, fx en hostingleverandør, bliver kompromitteret
• Der udnyttes en sårbarhed i software, som advokatvirksomheden ikke har opdateret
• Sikkerheden ved fjernadgangssystemer, som advokatvirksomheden anvender, er utilstrækkelig (fx manglende flerfaktorautentifikation)

Hvad er konsekvenserne?

• Det ikke er muligt at drive advokatvirksomheden i en periode, som kan være alt fra kort til længerevarende
• Tavshedsbelagte oplysninger om klienter og fortrolige oplysninger om advokatvirksomheden er kompromitterede
• Persondatabrud skal anmeldes til Datatilsynet, medmindre det er usandsynligt, at bruddet indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder (frist 72 timer)
• Hvis bruddet omfatter personoplysninger, fx klienters, og sandsynligvis vil indebære en høj risiko for deres rettigheder og frihedsrettigheder, skal klienterne underrettes (frist uden unødig forsinkelse)
• Adgang til data skal genetableres via backup, hvis den ikke også er omfattet af ransomware- angrebet
• Data skal genskabes helt eller delvist
• Bistand fra eksterne eksperter med indsigt i teknik, kommunikation og evt. forhandling (med de kriminelle bagmænd) er nødvendig
• Der er risiko for erstatningskrav fra klienter som følge af brud på tavshedspligt, fortrolighed og GDPR
• Der er risiko for sanktioner fra myndigheder, herunder advokatmyndigheder, for manglende efterlevelse af regler, fx GDPR, dokumentationskrav generelt, god advokatskik, mv.

Hvordan forebygger man cyberangreb?

• Skab klarhed over hvem i advokatvirksomheden, der har ansvaret for at overholde GDPR
• Lav risikovurderingerne efter artikel 32 i GDPR for at sikre, at I har det rette sikkerhedsniveau
• Uddan medarbejdere i at identificere en phishing e-mail, de typiske tegn på social engineering (manipulation mhp. at få fortrolige oplysninger), og hvad de skal gøre, når de modtager en mistænkelig e-mail
• Brug stærke adgangskoder og flerfaktorautentifikation for at beskytte mod uautoriseret adgang
• Hav antivirus og firewall software installeret på alle klienter og servere
• Opdater altid hurtigst muligt applikationer og operativsystemer til nyeste version og overvej automatiske opdateringer
• Kend jeres it-landskab. Implementer løsninger der aktivt scanner for aktiver i jeres systemmiljø. Overvej også at gennemføre sårbarhedsscanninger med fast frekvens
• Tag backup af data og udfør testreetablering
• Hav styr på administratorroller - er roller, der ikke længere anvendes, blevet deaktiverede?
• Etabler logning og installer software, der kan monitorere og opdage ubudne gæster. Ofte ligger de kriminelle på lur i jeres systemer i et stykke tid, før de slår til (sørg også for at jeres leveran­dør har det)
• Vurdér dine it-leverandørers sikkerhedsniveau, inden du indgår aftale med dem og løbende. Laves der fx tilstrækkelig backup, er leverandøren certificeret, fx ISO eller lign., findes der ISAE-erklæringer, og er der lavet penetrationstest?
• Udarbejd og hav en beredskabsplan klar, så du ved, hvad du skal gøre, hvis uheldet er ude. Øv dig på planen ved at gennemføre simulerede angreb
• Test dine medarbejdere i om de rapporterer databrud internt, så de bliver håndteret korrekt hver gang (man skal altid dokumentere brud på persondatasikkerheden og de faktiske omstændigheder ved bruddet)
• Overvej hvordan advokatvirksomheden kan drives videre i en periode uden adgang til data, eller hvor data ikke kan genskabes (gem fx en liste over klienter med kontaktoplysninger og sagsliste på pc, som ikke er på et netværk, på USB-stik eller lign.)
• Overvej om der er behov for at tegne en forsikring, som dækker cyberangreb og databrud