Vedtagelsen af NIS2 er et udtryk for, at EU skruer bissen på. Og med god grund. Cybersikkerheden i medlemsstaterne er pivringe, og med en stadig større digital afhængighed landene imellem, kombineret med et voldsomt øget trusselsbillede og daglige angreb fra både kriminelle netværk og ondsindede nationer, er risikoen for totale sammenbrud overhængende. 

NIS2 & GDPR

Som det fremgår af faktaboksen, vil NIS2 betyde, at de såkaldte afrapporteringskrav bliver skærpede, og at sanktionerne ved overtrædelser bliver alvorlige. Ikke bare for virksomhederne, men også personligt for medlemmerne af ledelsen. De pålægges både at uddanne sig i og tilse, at alle kravene overholdes, herunder også den store kommunikationsopgave, der ligger.

I den forstand er NIS2 faktisk både en skærpelse af den oprindelige NIS1 og i tråd med GDPR, der skal sikre beskyttelsen af persondata. Her ligger nemlig også et krav om en omfattende kommunikation.

Det omfatter at:
” (…) ved brud på persondatasikkerheden (…) underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden”, og ”(…) Underretningen af den registrerede (…) skal i et klart og forståeligt sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet”. 

Med andre ord skal alle – personligt – have meddelelse i tilfælde af, at der er sket et brud på sikkerheden og uvedkommende har fået adgang til personlige data. Der er dog hverken meget specifikke krav til, hvornår de kompromitterede skal have besked, eller hvor meget virksomheden skal hjælpe dem. Dette gør det af gode grunde svært at rejse krav om kompensation el.lign. 

Nye tider

Det kommer NIS2 til at ændre, for der tæt forbindelse mellem NIS2 og GDPR.

De personfølsomme data, som både virksomheder og institutioner ligger inde med, er nemlig netop noget af det, der er i overhængende fare, når hackere har held med et angreb.

Det er ikke nødvendigvis det, de er gået efter, men uanset grunden vil ingen virksomhed eller institution med 100 pct. sikkerhed kunne afvise, at personfølsomme data er blevet hentet og efterfølgende delt eller solgt på the dark web.

Med andre ord er de dage, hvor man kunne putte sig og ikke blive straffet, hvis man ikke overholder kravene om at informere dem, hvis data kan være blevet kompromitteret, snart en saga blot.

Ikke for alle, og så alligevel?

Mens GDPR gælder for alle, er NIS2 begrænset til at omfatte virksomheder og institutioner, som man vurderer, er del af et lands kritiske infrastruktur. Det kunne f.eks. være vand- og energiforsyning, transport, hospitaler o.l.

Hvem der skal have status af kritisk infrastruktur, er op til det enkelte land. I Danmark er det stadig et åbent spørgsmål, og mange venter i hændervridende angst.

Men det burde de faktisk ikke. Uanset om de potentielt kunne være en del af den kritiske infrastruktur. For selvom de fleste er meget bekymrede, så vil overholdelse af retningslinjerne i NIS2 formentlig give en virksomhed store konkurrencefordele og sikre, at den vil kunne komme ud på den anden side med markedet, samarbejdspartnerne, kunderne og den brede offentligheds tillid intakt.

Ledelsen i det nu hedengangne CloudNordic ville i hvert tilfælde have været et bedre sted i dag, hvis de havde brugt NIS2 som inspiration til håndtering. 

Skrækeksemplet

CloudNordic var en dansk hosting-virksomhed, der leverede serverkapacitet til virksomheders IT-systemer, websites, webshops etc.

Serverne var placeret i forskellige datawarehouses rundt omkring i landet, og hvis ét datawarehouse havde brug for mere kapacitet, flyttede de typisk serverenheder fra et datawarehouse til et andet. Det var i sådan et tilfælde, at ulykken skete. 

Kort fortalt havde CloudNordic, i forbindelse med at en server blev flyttet, ikke scannet den flyttede server. Man havde bare trukket stikket det ene sted og så hooket den op med resten af netværket det nye sted.

Problemet var bare, at der på den flyttede server lå en lille hacker-orm og hyggede sig i al ubemærkethed. Da serveren uden at blive scannet for malware blev tilsluttet det nye netværk, hvor den blev en del af kernenetværket, hvor den ikke var belastet af firewalls eller andre forhindringer, blev ormen aktiveret, og så brød helvede løs.

Resultatet var, at alt blev lukket ned og låst. Ingen af de virksomheder eller institutioner, der var kunder hos CloudNordic, kunne få adgang til deres websites eller IT-systemer, og alle webshops lukkede. Da kundernes data desuden ikke var krypterede, kunne de kriminelle frit udsuge dem.

Det er en så amatøragtig og graverende omgåelse af alle retningslinjer for cybersikkerhed, at man skulle tro, at det var en vittighed. Det var det bare ikke, og mindst 3700 domæner og mange hundrede virksomheder blev ramt. 

Angrebet skete en fredag, og CloudNordic meldte det selv til Datatilsynet, men ellers var det småt med kommunikationen.

Historien kom først efter et par dage frem i offentligheden, og det var, fordi kunder henvendte sig til medier som Computerworld med deres historie og store undren over, at de hverken havde hørt fra eller kunne komme i kontakt med CloudNordic.

Det var først efter utallige henvendelser, og da historien ramte det internationale medie TechCrunch, at direktør Martin Haslund Johansson stod frem.

Det var dog mest af alt en omgang flæberi, hvor han mere eller mindre fralagde sig ethvert ansvar. Han kunne dog fortælle, at kunderne sådan set hverken skulle forvente at få adgang til deres domæner eller data igen eller ville modtage en orientering fra selskabet.

Der var nemlig blevet krævet en løsesum, som virksomheden ikke kunne betale, og så var alle kontaktoplysningerne på CloudNordics kunder også blevet låst, så de kunne ikke skrive til dem. Efter nogle dage lavede de dog en hjemmeside med lidt forklaring og så en guide til selv at flytte sit domænenavn til et andet hosting-selskab.

Med andre ord overtrådte CloudNordic ikke bare GDPR, men også NIS2, hvis den havde været gældende. 

I dag er virksomheden gået konkurs, alle kunderne er væk, og der er næppe udsigt til, at der kommer en CloudNordic2, da ingen fornuftige mennesker vil betro dem deres data. Direktøren har ingen hørt noget til siden.

Men måske havde det ikke behøvet at gå så skidt.

Lektien og guiden til ikke at ende som CloudNordic

I sin håndtering af kommunikationen fulgte CloudNordic den gamle og skadelige tendens til total lukkethed i tilfælde af angreb.

Mange har nemlig været af den fejlagtige opfattelse, at det ville skabe mistillid, hvis de åbent går ud og fortæller om et angreb og således erkender, at deres sikkerhed ikke har været på plads.

Sagen er bare, at det VIL komme frem, og des længere tid man er om selv at stille sig til rådighed for spørgsmål, des mere fordækt vil man fremstå. For slet ikke at tale om, at man gambler med sikkerheden for de mennesker eller virksomheder, hvis data er blevet kompromitteret, og som således ikke vil have haft mulighed for at reagere.

Totalt invaliderende for ens omdømme, markedets tillid og muligheder for genrejsning.

Guide: For den forberedte er eksamen en fest

Det er klart, at fuld compliance af GDPR og NIS2 er en opgave, der involverer hele virksomheden. Men den kommunikationsansvarlige kan med fordel tage en stor del af ansvaret på sig. Ikke mindst for at sikre, at man, hvis/når ulykken sker, har alle de nødvendige ressourcer til rådighed.

Det kan gøres gennem disse fem trin:

1. Registrering og dokumentation for procedure i tilfælde af angreb og datalæk
   
   Dette ligger som ufravigelige krav i både GDPR og NIS2. Dels skal man have et automatiseret system, der logger alle hændelser, dels skal man have en nedskrevet procedure for, hvordan man håndterer reglerne, og hvordan man reagerer i tilfælde af angreb eller databrud. Alt dette kan virksomheden efterfølgende bruge, når de skal informere både myndigheder og alle stakeholdere, som samarbejdspartnere og kunder samt pressen.
   
   
2. Stakeholdermapping
   
   En virksomhed har utallige stakeholdere, og de skal allesammen have skræddersyet information. Den kommunikationsansvarlige skal udarbejde en fuldkommen og detaljeret mapping af alle stakeholdere og anvisninger til, hvordan, med hvilke informationer og i hvilke formater de skal informeres.
   
   
3. Sikring af kontaktoplysninger
   
   CloudNordic kunne ikke informere deres kunder, da de havde mistet kontaktoplysningerne, som lå i deres kernenetværk. Det er ellers helt almindelig praksis, at man altid har en ”tvilling” af kernenetværket, og at der (selvfølgelig) ikke er forbindelse imellem de to. Kontaktoplysninger på alle stakeholdere skal også have en tvilling eller kopi, som automatisk opdateres. Den kommunikationsansvarlige skal i forbindelse med mappingen af stakeholdere sikre, at kontaktoplysningerne på alle og de rette i de forskellige virksomheder etc. ligger klar i strukturerede kontaktlister.
   
   
4. Uddannelse
   
   Ikke alle er født med en gylden kommunikationsske i munden, og slet ikke når krisen kradser. Derfor skal alle trænes, så de er klar. De skal vide, hvad de er forpligtet til, hvilke ressourcer de kan trække på, og hvordan de bedst griber det an.
   
   
5. Ansvarsfordeling, roadmap og skabeloner
   
   Når katastrofen rammer, sker det ofte, at alle kaster sig ind i at løse problemerne og fuldstændigt glemmer kommunikationen. Og så ender det med at være receptionisten, der tager telefonen og besvarer mails efter bedste evne. Det må ikke ske, og derfor skal der være en fuldstændigt klar ansvarsfordeling. De forskellige ansvarshavende skal desuden have et roadmap for deres håndtering og skabeloner til udarbejdelse af de forskellige former for kommunikation, de skal varetage.
   
   Intet af dette var på plads i CloudNordic, og det spiller formentlig en væsentlig rolle for, hvorfor det ikke var muligt for dem og deres nøglemedarbejdere at rejse sig efterfølgende. Men det havde ikke behøvet at gå så galt, og i det mindste kan vi andre bruge dem som skræmmeeksemplet på, hvad man ikke skal gøre, og hvorfor alle vil have stor gavn af at følge NIS2. Uanset om man er kritisk infrastruktur eller ej.

Dette indlæg er alene udtryk for skribentens egen holdning. Debat- og analyseindhold på Kforum skal overholde de presseetiske regler.