Din varukorg är för närvarande tom!
NPA 2021: Cyber-soldater och Brexit
Detta är artikel 2 av 3 där vi sammanfattar några av diskussionerna på Nordic Privacy Arena (NPA) 2021. Dagens artikel handlar om en paneldiskussion om cybersäkerhet och cybersoldater samt en presentation om föreslagna dataskyddsreformer i Storbritannien.
Hackad? Fokus på cyberrisker och integritetskränkningar – behöver varje organisation ha sin egen cybersoldat eller hur kan vi förbereda oss?
Maria Holmström Mellberg, styrelseledamot i Forum för Dataskydd samt integritets- och informationssäkerhetsansvarig för norden på företaget Accenture ledde en paneldiskussion med fyra ”hackare”. Alla paneldeltagare var överens- inget IT-system är 100 % säkert. Flera lyfte att organisationer måste anta en modell för nolltillit (zero trust).
David Jacoby, biträdande direktör för det globala forsknings- och analysteamet på antivirusföretaget Kaspersky som också medverkar i en kommande SVT-serie, talade om att IT-säkerhet idag är ett socialt problem mer än ett tekniskt problem. Enligt honom finns många avancerade tekniska skydd men organisationen och den mänskliga faktorn är ofta den svaga länken.
Fredrik Blix, universitetslektor i cybersäkerhet vid Stockholms universitet, sa att konsekvensbedömningar, leverantörsavtal och lagar bara är löften och idéer på papper. Man måste omvandla dem till verkliga åtgärder och följa upp dem för att skydda data samt individens grundläggande fri- och rättigheter.
André Catry, senior rådgivare inom informationssäkerhet och cyberrisk berättade att cyberbrottslighet idag är riskfritt och dessutom genererar mer intäkter än narkotikabrottslighet. Oavsett vad organisationer gör eller hur de utbildar personalen kommer någon i organisationen alltid klicka på en skadlig länk förr eller senare. Vi måste enligt honom acceptera att organisationer alltid kommer att vara sårbara för cyberattacker, att krig kommer utkämpas över internet och tänka att regeringen bör ge mer stöd på detta område. I dag krävs det att varje organisation är sin egen cybersoldat, vilket enligt Catry är ineffektivt.
Krister Hedfors, chef för teknisk säkerhet på Sentor, Accenture, befarar att det verkliga problemet är alla dolda vägar in till organisationers IT-system som väntar på att utnyttjas av en hacker med onda avsikter.
Brexit – Storbritanniens ambitioner i samband med utträdet och adekvat skyddsnivå
I somras beslutade EU-kommissionen att Storbritannien har en adekvat dataskyddsnivå. Forum för Dataskydd skrev en nyhetsartikel om det här, men vi ville fördjupa oss ännu mer. Därför bjöd vi under dag två av NPA in John Bowman som moderator för ett samtal mellan honom och Eleonor Duhs.
Först ut var John Bowman, Senior Principal på Promontory Financial Group London och tidigare brittisk förhandlare för GDPR, som förklarade sammanhanget: Storbritannien överväger väsentliga dataskyddsreformer för att knyta partnerskap med länder som inte anses erbjuda en adekvat skyddsnivå enligt EU, till exempel USA, Brasilien och Australien. I praktiken kan detta bli ett sätt att kringgå EU:s process för att tilldela länder en adekvat skyddsnivå som idag upplevs som byråkratisk.
Därefter föreläste Eleonor Duhs, direktör för teknik, outsourcing och dataskydd på Field Fisher och tidigare ansvarig jurist för den brittiska regeringens huvudbestämmelser i Brexitlagen 2018. Hon förklarade att Storbritannien före Brexit införlivade EU:s GDPR i nationell rätt, men att landet nu vill reformera sitt system för att bli mer flexibelt och ekonomiskt konkurrenskraftigt.
Storbritanniens regering överväger enligt Eleonor Duhs att skapa en förteckning över vissa databehandlingar som kan utföras med intresseavvägning som rättslig grund utan att en intresseavvägning behöver utföras, att det inte ska vara möjligt att rättsligt ifrågasätta automatiserade beslut, att det ska vara lättare att utfärda beslut om adekvat skyddsnivå och generösare undantagsregler för internationella överföringar. Den brittiska dataskyddsmyndigheten, Information Commissioner’s Office (ICO) föreslås också få ett ändrat uppdrag, myndigheten ska väga in de ekonomiska konsekvenserna av sitt agerande när den utövar sitt tillsynsuppdrag.
En deltagare frågade om de föreslagna reformerna kan leda till att Storbritannien förlorar sin status som adekvat land. John Bowman sa att det skulle påverka handeln och leda till en stor debatt i EU om det hände. Han menade att många länder som har status som adekvat land till skillnad mot Storbritannien saknar en lag som liknar EU:s GDPR, och i så fall skulle även deras status kunna ifrågasättas.