Håndtering av personvernet ved digitale angrep

Phishing

Et phishing-angrep begynner stort sett med en e-post eller en SMS. Det vanligste er å forsøke å lure mottakeren til å trykke på en lenke der de må oppgi brukernavn/passord til et system, åpne et vedlegg som inneholder skadelig programkode eller gjennomføre en betaling.

Trusselaktører bruker ofte phishing for å få tilgang til virksomhetens datasystemer. Dette kan være systemer for e-post, lønn, HR, produksjon eller filområder.

Phishing (nettfiske) er en av de mest effektive måtene å angripe virksomheter på. I slike angrep utnytter ondsinnede aktører menneskelige sårbarheter for å oppnå målene sine.

Vi har laget veiledning om hva phishing er og hvordan virksomheten best kan beskytte seg mot slike angrep.

Det kan være ulik motivasjon for å ramme en virksomhet. Svært mange vellykkede phishingangrep etterfølges av utpressingangrep som vi omtaler senere i veiedningen. Noen angrep er forsøk på bedriftsspionasje eller spionasje fra andre stater, eller det kan være forsøk på økonomisk svindel.

Virksomheter kan rammes av phishing selv om de bruker tofaktor- eller flerfaktorautentisering (også kalt sterk autentisering). Man er altså ikke immun mot phishing selv om man bruker dette. Forskjellige typer sterk autentisering, har ulike grader av robusthet mot angrep. Til tross for dette vil autentisering med flere faktorer uansett gjøre det mer krevende for eksterne aktører å utnytte sårbarheter.

Dersom virksomheten din har blitt utsatt for et vellykket phishingangrep, bør dere handle raskt for å redusere konsekvensene av hendelsen.

De fleste vellykkede phishingangrep medfører brudd på personopplysningssikkerheten, og må meldes til Datatilsynet.

Personvern og phishing

Phishingangrep som lykkes, kan i mange tilfeller føre til at personopplysninger kommer på avveier eller blir gjort utilgjengelige. En trusselaktør som logger seg inn i et system med en ansatt sin brukerkonto, har for eksempel minst tilegnet seg ulovlig tilgang til den ansattes brukernavn og passord. Det er derfor ofte kun et spørsmål om hvor mange personopplysninger bruddet gjelder. For å finne ut av dette må dere vite i hvilke systemer dere behandler personopplysninger, og dere må gjennomgå loggene for disse systemene.

Hvis virksomheten oppdager et innbrudd i egne systemer, må bruddet først og fremst stoppes.

Konsekvensene for personvernet kan være betydelige, avhengig av hvilke opplysninger som behandles i systemene. Virksomhetens filområder kan for eksempel inneholde sykemeldinger eller andre dokumenter med personopplysninger om tidligere og nåværende ansatte, kunder og andre personer virksomheten har hatt et forhold til. Virksomheten bør derfor raskt forsøke å få oversikt over hvilke personopplysninger som er omfattet, slik at de kan vurdere om de berørte personene skal varsles.

Innbrudd i e-postkonto

Hvis trusselaktøren har fått tilgang til et e-postsystem, kan de ha fått tilgang til opplysninger om mange personer. Alle personer det finnes informasjon om i e-poster og kontaktregisteret, samt eieren av e-postkontoen, må sannsynligvis regnes som berørte av bruddet. Hvis trusselaktøren har brukt e-postkontoen til å sende e-post til andre igjen, vil disse personene også være berørte. Ofte kan det være snakk om minst noen hundre berørte personer per e-postkonto.

Enkelte e-postkontoer vil inneholde mer sensitive opplysninger enn andre. Dette gjelder for eksempel kontoene til HR-ansatte, verneombud, tillitsvalgte, ledere eller ansatte i helseforetak.

Økonomisk svindel

Noen angrep vil være forsøk på økonomisk svindel. Hvis virksomheten er utsatt for dette, bør dere ta kontakt med banken deres så fort som mulig. Les også kapittelet om direktørsvindel.

Hvis svindelen «sannsynligvis ikke vil medføre en risiko for fysiske personers rettigheter og friheter» trenger dere ikke melde fra til Datatilsynet.