Har din virksomhed også et højt antal brugere med adgang til virksomhedens systemer? I så fald bør du være opmærksom på de adgangsgivende faktorer, som anvendes i jeres logins for at mindske risiko fra uautoriserede personers adgang til virksomhedens systemer og data. Ny sikkerhedstekst fra Datatilsynet beskriver, hvordan I kan beskytte jeres logins.
Udfordringen for virksomheder med mange brugere med adgangsgivende logins til virksomhedens systemer er, at de vil have en tilsvarende stor risiko for, at uautoriserede personer vil opnå uberettiget adgang til adgangsgivende logins – og dermed til virksomhedens systemer og data.
Uden tilstrækkelige overvejelser kan et login forceres ved, at man prøver sig frem, indtil man finder den adgangsgivende faktor. Et sådant login vil ikke beskytte virksomhedens data imod uautoriserede personer.
Logins uden tilstrækkelige sikkerhedsforanstaltninger vil være særligt sårbare over for såkaldte "Brute-Force-angreb”. Et Bruce-Force-angreb består i, at den uautoriserede person prøver samtlige kombinationer for et login, indtil en adgangsgivende kombination rammes. Forsøgene kan enten foretages manuelt eller automatisk.
Sådan sikrer du bedst muligt beskyttelse
Uautoriseret adgang til data kan have uoverskuelige konsekvenser for en virksomhed. Samtidig er virksomheden som dataansvarlig forpligtet til at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
Datatilsynet anbefaler derfor i ny sikkerhedstekst tre typer af modtræk, som virksomheden bør overveje, når der tilrettelægges en login-løsning.
- Begrænsning af, hvorfra der kan udføres Brute-Force-angreb på login. Det kan enten ske ved, at adgang kun kan opnås fra bestemte fysiske lokaliteter eller fra bestemte enheder – fx bestemte computere eller iPads.
- Foranstaltninger imod, at et Brute-Force-angreb på login resulterer i uautoriseret login. Det kan fx være, at et mislykket forsøg aktiverer en forsinkelse før næste forsøg, spærring af konto efter flere mislykkede forsøg, opmærksomhed på indicier på et Brute-Force-angreb, høje krav til login-koder, hindringer af muligheder for afdækning af valide brugerkonti og genkendelse af automatiserede forsøg på login.
- Foranstaltninger imod, at et Brute-Force-angreb på login resulterer i manglende adgang for de autoriserede brugere. Da et IT-system ikke kan skelne mellem mislykkede forsøg på login fra autoriserede personer og uautoriserede personer, kan IT-systemets egne foranstaltninger bruges til at blokere for autoriserede brugere.
Man skal være opmærksom på, at den teknologiske udvikling hele tiden giver uautoriserede personer nye muligheder, ligesom de fleste virksomheder konstant er under forandring. Derfor er det nødvendigt hele tiden at genoverveje og opdatere sine login-løsninger.
Du kan læse den nye sikkerhedstekst her.
Hvis du har spørgsmål til ovenstående, god praksis omkring login-løsninger eller overholdelse af persondatareglerne i almindelighed, er du altid velkommen til at kontakte en af vores specialister på området.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →