Försäkringsjuridiska Föreningen Företagens risker kopplade till verksamheten på nätet, de juridiska och ekonomiska konsekvenserna av så kallat Cyberintrång samt lagstiftningen på området 24 april 2014 1 Exempel på IT-relaterad brottslighet som företag kan drabbas av, cyberrisker 2017-07-15 2 Phishing • Definition Phishing är när man på olika sätt "fiskar" efter uppgifter på Internet i brottsligt syfte. Det kan exempelvis vara när e-post skickas till bankkunder där mottagaren uppmanas att klicka på en länk och ange sina personliga koder. Bedragarnas syfte är att få mottagaren att skicka pengar, besöka en hemsida, köpa något eller skicka person- och kontouppgifter. Vid den här typen av brott är det vanligt att länken ser bekant ut, med den skillnaden att en extra bokstav eller siffra lagts till i webbadressen. Den falska länken går till en sida som är identisk med den ursprungliga. Man tror att man är på den rätta hemsidan, men är helt i händerna på bedragare. Då man känner igen sig känner man sig trygg och är inte observant på samma sätt som vid till exempel okända länkar. • Rättslig reglering Personuppgiftslagen BrB 9:1, bedrägeri 2017-07-15 3 Kortbedrägerier • Definition Kortbedrägeri innebär att ett betal- eller kontokort olovligen blir avläst när kortet används, för betalning eller vid kontantuttag i en bankomat. • Skimning av magnetremsan Skimning, eller skimming, är när en bedragare manipulerar betalkortsautomater eller bankomater på olika sätt för att komma åt information från magnetremsan. • Kopiering av kortnummer och cvv-kod Bedragare kan också skriva upp eller fotografera kortnumret och den tresiffriga cvv-koden på baksidan om du lämnar ifrån dig kortet, till exempel på en restaurang eller i en affär. På kortet finns alla uppgifter som behövs för att bedragaren till exempel ska kunna handla på Internet. • Frågor via e-post Bedragare kan skicka förfrågningar via e-post och hävda att din bank eller kortutgivare behöver uppgifter om dina betal- eller kontokort. Till exempel kan det stå ”På grund av tekniska problem ber banken X dig att bekräfta dina kortuppgifter genom att skicka dessa som svar på detta mail”. 2017-07-15 4 Kortbedrägeri, fortsättning • Hur informationen används Bedragare kan köpa varor, till exempel på Internet, med hjälp av kortinformationen. De kan också betala för tjänster, som hotellövernattningar, hyrbilar och resor. Köpen och tjänsterna kan beställas var som helst i världen. Om de dessutom har tillgång till PIN-koden kan de tömma kontot genom att göra många kontantuttag. • • • Rättslig reglering Personuppgiftslagen Databedrägeri, BrB 9:1, andra stycket “För bedrägeri döms också den som genom att lämna oriktig eller ofullständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverkar resultatet av en automatisk informationsbehandling eller någon annan liknande automatisk process, så att det innebär vinning för gärningsmannen och skada för någon annan.” 2017-07-15 5 Hackers och intrång • Definition En portskanning innebär att en angripare, så kallad hacker, knackar på alla dina portar för att se om någon port är öppen för angrepp. Portar är dina utgångsdörrar från datorn till Internet. Ett av de vanligaste sätten att undersöka om din dator är sårbar och mottaglig för angrepp är att utföra en så kallad portskanning. Man kan jämföra det med att springa omkring på ett hotell och känna vilka dörrar som är olåsta. • Rättslig reglering Dataintrång, BrB 4:9 c, “Den som i annat fall än som sägs i 8 och 9 §§ olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år. Detsamma gäller den som olovligen genom någon annan liknande åtgärd allvarligt stör eller hindrar användningen av en sådan uppgift.” 2017-07-15 6 Cyberutpressning • Definition Cyberutpressning innebär en attack – eller ett hot om en attack – mot ett företag i kombination med ett krav på lösensumma för att stoppa attacken. Vanligast är fortfarande ”Denial of Service”-attacker, men idag har också cyberbrottslingar utvecklat krypteringsprogram som används för att kryptera det drabbade företagets data. Därefter avkrävs företaget en lösensumma för att få tag i koden. • Rättslig reglering Dataintrång, BrB 4:9 c Utpressning, BrB 9:4 2017-07-15 7 Trojan • Definition En trojan är ett program som används för ta sig in i någon annans dator på otillåtet sätt. En trojan kan dölja sig bakom vad som helst som finns på Internet, såsom bilder, filmer, länkar och programvaror. Trojanen kan bland annat skapa en uppkoppling mellan datorn och bedragarens dator, varigenom bedragaren kan ta kontroll över datorn samt få tillgång till lösenord och annan viktig information. Trojaner kan användas och fungera på olika sätt. Det är vanligt förekommande att datorer har en trojan som ligger inaktiv men på ett speciellt datum eller på kommando aktiveras och ingår i ett datorintrång. Att installera en trojan och använda den betraktas som dataintrång. • Rättslig reglering Dataintrång, BrB 4:9 c 2017-07-15 8 Risker relaterade till sociala medier • Sociala medier ger de flesta bolag ökade möjligheter till bra marknadsföring, men skapar samtidigt risker för förtal och missbruk eller exponering av företagets immateriella tillgångar – från såväl missnöjda medarbetare, leverantörer som kunder. • Rättslig reglering Personuppgiftslagen Upphovsrättslagen Varumärkeslagen Lag om skydd för företagshemligheter Förtal, BrB 5:1 2017-07-15 9 Säkerhet enligt personuppgiftslagen, förebygga intrång • Säkerhetsåtgärder 31 § personuppgiftslagen Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns, b) vad det skulle kosta att genomföra åtgärderna, c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är. . 2017-07-15 10 Säkerhet enligt personuppgiftslagen, förebygga intrång, (Bygger på Datainspektionens allmänna råd Säkerhet för personuppgifter) • Hur man bedömer lämpliga säkerhetsåtgärder För alla företag som hanterar och bearbetar personuppgifter, de flesta företagens data innehåller personuppgifter, är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig, företaget, vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas sådant som brandväggar, krypteringsfunktioner och antivirus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner, instruktioner och policyer. Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara. • Bestäm vilka säkerhetsåtgärder som är lämpliga Vid en lämplighetsbedömning, det vill säga när företaget bestämmer vilken säkerhetsnivå man ska ha, skall beaktas att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till • • • • tillgänglig teknik kostnaden för åtgärderna om det finns några särskilda risker med behandlingen hur pass känsliga uppgifterna är. Med tillgänglig teknik menas de tekniska lösningar som i dagsläget är tillgängliga på marknaden. Det kan också ses som en referens till att i första hand använda produkter som stödjer etablerade, välbeprövade standarder. Kostnaden för säkerhetsåtgärderna ska ställas i relation till riskerna för att obehöriga får ta del av personuppgifterna. Ju större riskerna är, desto mer omfattande ska säkerhetsåtgärderna vara. 2017-07-15 11 Säkerhet enligt personuppgiftslagen, förebygga intrång, (Bygger på Datainspektionens allmänna råd Säkerhet för personuppgifter) • Ta ställning till särskilda risker Den som är personuppgiftsansvarig ska ta ställning till vilka särskilda risker det finns med behandlingen. Finns det sådana risker kan det påverka vilka säkerhetsåtgärder som behövs för att skydda personuppgifterna. Frågor man bör ställa sig är: • • • • • • Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt? Hanteras personuppgifter via öppna nät som Internet, till exempel via en webbhemsida eller genom e-post? Kan många användare komma åt personuppgifterna? Behandlas personuppgifter om många personer? Behandlas en stor mängd personuppgifter om varje person? Hur stor är sannolikheten för och konsekvenserna av tekniska störningar eller att obehöriga får åtkomst till uppgifterna? Ju fler av dessa frågor som ni svarar Ja på, desto mer omfattande bör säkerhetsåtgärderna vara. 2017-07-15 12 Säkerhet enligt personuppgiftslagen, förebygga intrång, (Bygger på Datainspektionens allmänna råd Säkerhet för personuppgifter) • Bedöm hur känsliga uppgifterna är Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av vissa kategorier av personuppgifter. I lagen betecknas dessa uppgifter som "känsliga" personuppgifter. Känsliga personuppgifter är enligt personuppgiftslagen sådana som avslöjar: • • • • • ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i fackförening uppgifter som rör hälsa eller sexualliv. Personuppgifter som normalt sett inte är integritetskänsliga i lagens mening är uppgifter som rör exempelvis anställningsförhållanden eller kundförhållanden. Normalt sett harmlösa personuppgifter kan dock bli känsliga beroende på i vilket sammanhang de förekommer. Uppgifter om ekonomisk hjälp eller vård inom socialtjänsten, personuppgifter inom inkasso eller kreditupplysning eller uppgifter om personliga förhållanden inom bank- och försäkringsväsendet är normalt sett att anse som känsliga när det handlar om säkerhet. 2017-07-15 13 Säkerhet enligt personuppgiftslagen, förebygga intrång, (Bygger på Datainspektionens allmänna råd Säkerhet för personuppgifter) • Bedöm hur känsliga uppgifterna är Följande frågor kan också påverka när man bedömer hur pass integritetskänsliga uppgifterna är: • • • • Omfattas uppgifterna av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen eller annan lagstiftning? Omfattas behandlingen av någon särlagstiftning, till exempel patientdatalagen eller lagen om behandling av personuppgifter inom socialtjänsten, kriminalvården, bank- och försäkringsverksamhet med flera? Är det uppgifter om lagöverträdelser? Är det uppgifter om enskildas personliga förhållanden? Är svaret Ja på någon av dessa frågor ska säkerhetsåtgärderna för att skydda personuppgifterna vara mer omfattande. 2017-07-15 14 Risk- och sårbarhetsanalys, 31 § PuL (Bygger bland annat på Datainspektionens beslut av den 31 maj 2013 i ärende med diarienr 1351-2012, Google Apps, men är generellt tillämpligt) • Riskidentifiering 1. 2. 3. • Vilka personuppgifter kommer att behandlas i tjänsten företaget har, i systemen? Vem eller vilka hos den personuppgiftsansvarige, företaget, kommer att behandla personuppgifterna? Vilka risker finns med personuppgiftsbehandlingen? Riskanalys 1. Hur sannolikt är det att respektive risk kommer att realiseras? 2. Vad blir konsekvenserna för de registrerade om en risk realiseras? 3. Vad blir konsekvenserna för den personuppgiftsansvarige, företaget, om en risk realiseras? • Utvärdering 1. Vilka åtgärder kan den personuppgiftsansvarige, företaget, vidta för att förhindra att risker realiseras? 2. Överensstämmer skyddet för personuppgifter som den personuppgiftsansvarige, företaget, vidtar med de krav som ställs i PuL och/eller annan tillämplig lagstiftning? 2017-07-15 15 Risk- och sårbarhetsanalys, fortsättning (Bygger bland annat på Datainspektionens beslut av den 31 maj 2013 i ärende med diarienr 1351-2012, Google Apps, men är generellt tillämpligt) • Den personuppgiftsansvarige måste genomföra en risk- och sårbarhetsanalys, analysera vilken säkerhetsnivå som är lämplig och vilka åtgärder som måste vidtas. Ju större integritetsrisker en viss personuppgiftsbehandling innebär desto högre är kraven på säkerhetsåtgärder. Hur stora integritetsrisker som en viss behandling innebär beror bland annat på antalet personer som de behandlade uppgifterna avser, mängden uppgifter som behandlas om varje person och känsligheten hos de behandlade personuppgifterna. Även möjligheten att strukturera personuppgifterna har i det här sammanhanget betydelse. • Åtgärder som ska övervägas är autentisering, behörighetsstyrning, behörighetskontroll, kommunikationssäkerhet, rutiner för säkerhetskopiering och utplåning samt skydd mot obehörig åtkomst och skadlig programvara. • När man behandlar känsliga personuppgifter (till exempel uppgifter om hälsa), brottsuppgifter och sekretesskyddade uppgifter, kräver DI bland annat att det ska finnas stark autentisering vid överföring av uppgifter i öppet nät och att uppgifterna ska skyddas med kryptering. När sådana uppgifter behandlas innebär kraven på åtkomstkontroller ofta att den personuppgiftsansvarige inte bara ska utföra kontroller på förekommen anledning utan också regelbundet och systematiskt följa upp vem som har haft åtkomst till vilka uppgifter. • Det finns flera etablerade metoder för risk- och sårbarhetsanalys. En sådan är att använda checklistor som exempelvis den som tagits fram av EU:s nätverks- och informationssäkerhetsbyrå ENISA; Cloud Computing, Information Assurance Framework. Nackdelen med att använda en checklista är att man arbetar mekaniskt efter listan och därmed låter bli att tänka själv samt att verkligen analysera resultaten. 2017-07-15 16 Notifieringsskyldighet mm vid dataintrång, Europeiska kommissionens förslag till dataskyddsförordning, COM (2012) 11 • Artikel 31. Notifieringsskyldighet vid dataintrång. Vid dataintrång föreslås en skyldighet för den registeransvarige att meddela tillsynsmyndigheten, Datainspektionen, inom 24 timmar. Om det finns risk för att dataintrånget påverkar skyddet för personuppgifter negativt eller för att uppgifter spridits på obehörigt sätt föreslås även att individen ska meddelas om intrånget. Såväl Svenska Bankföreningen som Svensk Försäkring har i sina remissyttranden ifrågasatt behovet av att reglera denna incidentrapportering. • Artikel 33. Konsekvensanalys. Förslaget innebär att en konsekvensanalys skall göras av en registeransvarig när det finns särskilda risker med personuppgiftsbehandlingen för de registerardes fri- och rättigheter, jämför bilderna om risk- och sårbarhetsanalysen här tidigare. 2017-07-15 17 Sanktioner, hur kan företag som blir utsatta drabbas • Vanliga kostnader förknippade med cyberrisker: • • • • • Ersättning för inkomstbortfall i samband med avbrott Kostnader för att ersätta data som förlorats eller förstörts PR-kostnader för att begränsa skadan på varumärket, och själva skadan på varumärket Utredningskostnader för att begränsa och kartlägga ett dataintrång Ersättning till kunder och andra som har drabbats av dataintrånget 2017-07-15 18 Sanktioner, hur kan företag som blir utsatta drabbas • Skadestånd enligt personuppgiftslagen till registrerade, t.ex. drabbade kunder och andra – Om personuppgifter har behandlats i strid med personuppgiftslagen och detta har lett till skada eller kränkning av den personliga integriteten, hos företagets kunder eller andra, skall den personuppgiftsansvarige, företaget, ersätta den registrerade, se 48 § i personuppgiftslagen. Notera att skadeståndsansvaret är ett strikt ansvar, någon vårdslöshet behöver inte påvisas av de registrerade, t.ex. företagets kunder eller andra som har drabbats. – Den registrerade har inte bara rätt till ersättning för sakskada, personskada och ren förmögenhetsskada, utan kan även få kompensation för själva kränkningen. För att få ersättning måste företaget ha behandlat kunder eller andra registrerades personuppgifter på ett olagligt sätt, t.ex. inte följt reglerna om säkerhet som därför har lett till cyberintrång, och behandlingen måste har skadat eller kränkt de registrerade. Det är emellertid bara skada eller kränkning som den olagliga behandlingen fört med sig som ersätts. Orsakssambandet skall vara adekvat, se prop. 1997/98:44 s. 143. – När det gäller kränkningsersättningen är det svårt att bedöma beloppen företagen kan drabbas av. Det finns inte någon vägledande praxis. I prop. 1997/98:44 s 143 f uttalas följande, “Ersättningen för kränkningen får uppskattas efter skälighet mot bakgrund av samtliga omständigheter i det aktuella fallet. Därvid kan beaktas bl.a. sådana faktorer som om det funnits risk för otillbörlig spridning av känsliga eller felaktiga uppgifter och om den registrerade på grund av den felaktiga behandlingen blivit utsatt för något beslut eller några åtgärder som kunnat innebära något negativt för honom eller henne.” – När det gäller ersättning för ren förmögenhetsskada kan Era kunder och andra registrerade även med framgång kräva ersättning för inkomstförlusten. 2017-07-15 19 Sanktioner, hur kan företag som blir utsatta drabbas • Skadestånd enligt skadeståndslagen visavi intrångsgöraren, brottslingarna Den som vållar ren förmögenhetsskada genom brott skall ersätta skadan, här skall all påvisad skada ersättas av intrångsgörarna (som dock antagligen rent praktiskt är svåra att återfinna och väcka talan mot). 2017-07-15 20 Sanktioner, hur kan företag som blir utsatta drabbas, Europeiska kommissionens förslag till dataskyddsförordning, COM (2012) 11 • Artikel 79. Sanktioner. En nyhet är sanktioner vid överträdelse eller brott mot den nya förordningen. Redan i dag är brott mot personuppgiftslagen straff- och skadeståndssanktionerade men enligt förslaget ska tillsynsmyndigheten, det vill säga Datainspektionen, dessutom kunna ålägga företagen en straffavgift (böter) på upp till 100 miljoner €, alternativt upp till 5 procent av företagets årliga globala omsättning, för dem som inte följer förordningens bestämmelser. Enligt förslaget ska böternas storlek dömas ut i relation till hur allvarliga brott de begår mot dataskyddsreglerna. De högsta bötesbeloppen på 5 procent ska, naturligt nog, endast utdömas för allvarligare brott. Här kan företag som inte följer reglerna och förhindrar cyberintrång, t.ex. säkerhetsreglerna, drabbas. 2017-07-15 21 Slutligen, hur drabbas ett företags rykte!!! Kan det ersättas? 2017-07-15 22 Kontaktuppgifter: Karl-Fredrik Björklund [email protected] Mobiltelefon 070-668 47 40 2017-07-15 23