EU's Persondataforordning i det daglige arbejdePeytz & Co
Hvad betyder EUs persondataforordning for dit arbejde? Slides fra Peytz & Co's morgeninspiration i København den 9. februar 2017.
Foredraget blev holdt af advokat Jesper Langemark, Bird & Bird, forfatter til bogen "Persondataforordningen – en håndbog for praktikere" og en af EU's førende eksperter på området.
Jesper fik i 2015 prisen 'Årets it-advokat i Danmark' af Corporate INTL Magazine.
Her kan du hente Neuparts oversigt med seks grunde til at informationssikkerhed giver værdi.
Hvis du er leder, interesserer du dig måske allerede for it-sikkerhed. De seks grunde understreger at du bør fortsætte din interesse. Det kan også være at du har kolleger, der har behov for at se værdien tydligere.
Hvis du arbejder med it-sikkerhed, og synes du gerne vil forklare dine kolleger eller måske din chef, om den værdi dit arbejde giver, kan du bruge samme oversigt.
Jakob Scharf har med sin mangeårige erfaring i sikkerhedsbranchen et unikt perspektiv, som han vil øse af i denne session.
Han vil give et overblik over markedet som han og hans virksomhed CERTA Intelligence ser det i dag, de risici man skal håndtere og endelig give nogle gode råd til, hvordan man kan angribe opgaven med at gennemføre en relevant risikovurdering i 2016 og dermed have et godt fundament for at få glæde af mulighederne i den teknologiske udvikling.
Barrierer og muligheder for danske SMV’er i den digitale vækstkulturHenrik Jørgensen
Execution Consulting Group har gennemført en analyse af barrierer og muligheder, som danske virksomheder oplever, når de møder den tiltagende digitalisering af produkter, serviceydelser og markeder. Læs den her.
Og se også Dansk Erhvervs Artikel:
http://tryksager.danskerhverv.dk/DEAvis.2015/DEAvis.06/index.html#/1/
EU's Persondataforordning i det daglige arbejdePeytz & Co
Hvad betyder EUs persondataforordning for dit arbejde? Slides fra Peytz & Co's morgeninspiration i København den 9. februar 2017.
Foredraget blev holdt af advokat Jesper Langemark, Bird & Bird, forfatter til bogen "Persondataforordningen – en håndbog for praktikere" og en af EU's førende eksperter på området.
Jesper fik i 2015 prisen 'Årets it-advokat i Danmark' af Corporate INTL Magazine.
Her kan du hente Neuparts oversigt med seks grunde til at informationssikkerhed giver værdi.
Hvis du er leder, interesserer du dig måske allerede for it-sikkerhed. De seks grunde understreger at du bør fortsætte din interesse. Det kan også være at du har kolleger, der har behov for at se værdien tydligere.
Hvis du arbejder med it-sikkerhed, og synes du gerne vil forklare dine kolleger eller måske din chef, om den værdi dit arbejde giver, kan du bruge samme oversigt.
Jakob Scharf har med sin mangeårige erfaring i sikkerhedsbranchen et unikt perspektiv, som han vil øse af i denne session.
Han vil give et overblik over markedet som han og hans virksomhed CERTA Intelligence ser det i dag, de risici man skal håndtere og endelig give nogle gode råd til, hvordan man kan angribe opgaven med at gennemføre en relevant risikovurdering i 2016 og dermed have et godt fundament for at få glæde af mulighederne i den teknologiske udvikling.
Barrierer og muligheder for danske SMV’er i den digitale vækstkulturHenrik Jørgensen
Execution Consulting Group har gennemført en analyse af barrierer og muligheder, som danske virksomheder oplever, når de møder den tiltagende digitalisering af produkter, serviceydelser og markeder. Læs den her.
Og se også Dansk Erhvervs Artikel:
http://tryksager.danskerhverv.dk/DEAvis.2015/DEAvis.06/index.html#/1/
G4S Academy Education Day - Fremtidens Sikkerhedsorganisation 20.09.18G4S Academy
Kompetencebehovet hos sikkerhedschefer og i sikkerhedsafdelinger er i konstant bevægelse, og uden en proaktiv indsats vil kompetencerne hos mange sikkerhedsprofessionelle
hurtigt blive utilstrækkelige.
Hvilke kompetencer er egentlig nødvendige for at kunne sikre en effektiv security management, og hvilke krav stiller fremtidens trusselsbillede til hvordan vi tænker sikkerhed organisationelt?
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
Bliv klædt på til den kommende EU-forordning.
Se dette seminar, hvis du ønsker at gå i dybden med, hvad man skal være opmærksom på i forhold til de største buzzwords fra den nye forordning:
- Indblik i cyber security
- Indblik i "data protection by design"
- Hvad indebærer det, når man arbejder med sociale medier i praksis?
Leverandør-evaluering og Compliance & sikkerhed er discipliner, som er blevet endnu mere aktuelle med introduktionen af EU GDPR. Dubex har erfaring med at rådgive kunder i de fleste brancher i Danmark og giver her et overblik over, hvilke metoder de anbefaler.
Jakob Herbst, CTO, Dubex
Hvordan 3000 danske it sikkerhedseksperter kan sikre national cybersikkerhedBjarke Alling
Indlæg til Konference om cybersikkerhed i Danmark afholdt af IDA Militærteknik den 4. april 2019.
Danmark har ifølge Erhvervsstyrelsen over 260 it-sikkerhedsleverandører med omkring 3.000 ansatte. At sikre Danmark og danske virksomheder er en opgave for alle offentlige og private aktører og den løses bedst i fællesskab og i samarbejde. Et samarbejdet bygget og baseret på kontinuerlig fælles erfaringsudveksling, internationale standarder og gensidig tillid.
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedPeter B. Lange
A view on how to scale a telemedicin infrastructure from 500 to 500.000 users in 5 years. Presentation is in Danish. Focus is on 5 selected enablers of scalability. It does not claim to be complete.
G4S Academy Education Day - Fremtidens Sikkerhedsorganisation 20.09.18G4S Academy
Kompetencebehovet hos sikkerhedschefer og i sikkerhedsafdelinger er i konstant bevægelse, og uden en proaktiv indsats vil kompetencerne hos mange sikkerhedsprofessionelle
hurtigt blive utilstrækkelige.
Hvilke kompetencer er egentlig nødvendige for at kunne sikre en effektiv security management, og hvilke krav stiller fremtidens trusselsbillede til hvordan vi tænker sikkerhed organisationelt?
Komfo Seminar - GDPR and cyber security (Part 2)Komfo
Bliv klædt på til den kommende EU-forordning.
Se dette seminar, hvis du ønsker at gå i dybden med, hvad man skal være opmærksom på i forhold til de største buzzwords fra den nye forordning:
- Indblik i cyber security
- Indblik i "data protection by design"
- Hvad indebærer det, når man arbejder med sociale medier i praksis?
Leverandør-evaluering og Compliance & sikkerhed er discipliner, som er blevet endnu mere aktuelle med introduktionen af EU GDPR. Dubex har erfaring med at rådgive kunder i de fleste brancher i Danmark og giver her et overblik over, hvilke metoder de anbefaler.
Jakob Herbst, CTO, Dubex
Hvordan 3000 danske it sikkerhedseksperter kan sikre national cybersikkerhedBjarke Alling
Indlæg til Konference om cybersikkerhed i Danmark afholdt af IDA Militærteknik den 4. april 2019.
Danmark har ifølge Erhvervsstyrelsen over 260 it-sikkerhedsleverandører med omkring 3.000 ansatte. At sikre Danmark og danske virksomheder er en opgave for alle offentlige og private aktører og den løses bedst i fællesskab og i samarbejde. Et samarbejdet bygget og baseret på kontinuerlig fælles erfaringsudveksling, internationale standarder og gensidig tillid.
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedPeter B. Lange
A view on how to scale a telemedicin infrastructure from 500 to 500.000 users in 5 years. Presentation is in Danish. Focus is on 5 selected enablers of scalability. It does not claim to be complete.
3. Giraffen!
3
Klaus har beskæftiget sig med finansielle risici og forsikringer på
strategisk og operationelt niveau i mere end 17 år.
Erfaring
• Partner og Financial Lines Manager, RiskPoint
• Partner og Underdirektør, Willis
• Financial Lines Manager, AIG Danmark
• Regional Underwriting Manager, AIG Europe
Udgivelser
• ”Ledelsesansvar og ledelsesansvarsforsikring”, Karnov 2011
• ”Forsikring af bestyrelsesansvar”, Karnov 2001
• ”Corporate governance”, R&R 2/2001
Uddannelse
• Cand. Jur
4. 4
RiskPoint – hvem er vi?
Underwriting agentur
Repræsenterer 25 forsikringsselskaber
Partnerejet A/S
Norden + Tyskland
Præmie 2016: DKK 425.000.000
Antal ansatte: 75+Klaus har beskæftiget sig med FINEX risici
og forsikringer på strategisk og operationelt
niveau i mere end 13 år. Han er desuden
forfatter til bøgerne ”Ledelsesansvar og
ledelsesansvarsforsikring” og ”Forsikring af
bestyrelsesansvar”
7. Trusselsbillede FE - 2017
Cyberspionage mod offentlige og private mål udgør fortsat den alvorligste cybertrussel mod
Danmark. Der er tale om en meget aktiv trussel mod danske interesser. Truslen kommer især fra
fremmede stater.
Truslen fra cyberspionage mod danske myndigheder og private virksomheder er MEGET HØJ.
Cyberkriminalitet er stigende i omfang og kompleksitet, bl.a. fra organiserede kriminelle.
Cyberkriminelle ydelser sælges også via internettet. Ransomware og DDoS er blandt de mest
benyttede angrebsmetoder.
Truslen fra cyberkriminalitet mod danske myndigheder og private virksomheder er MEGET HØJ.
Der er ikke mange eksempler på cyberaktivisme mod danske myndigheder og virksomheder. Dog kan
truslen fra cyberaktivisme ændre sig pludseligt for en virksomhed, myndighed eller person, der
kommer i aktivisters søgelys af politiske eller ideologiske årsager.
Truslen fra cyberaktivisme mod danske myndigheder og private virksomheder er MIDDEL.
Kendte terrorgrupper har på nuværende tidspunkt ikke den fornødne kapacitet til at gennemføre
egentlige cyberterror angreb via internettet med død eller voldsom ødelæggelse til følge.
Truslen fra cyberterror mod danske myndigheder og private virksomheder er LAV
| 7
10. Eksempler
Danmark - Generelt
• Ransomware (Virksomheder = 201 ud af 300, og Kommuner = 47 ud af 54 besvarende)
• Social Engineering Fraud (President og Vendor)
• Spionage (økonomisk og geo-politisk)
• Hacktivism (politisk og ideelt)
Danmark - Målrettede angreb (pharming, (spear-)phishing, smishing og spyware)
• Mærsk, Novozymes, CSC, CMR, RKI-registeret, Statens IT samt Søfartsstyrelsen og
Erhvervsministeriet, KL, Århus Banegård, HK, 3F, TRYG, BEC
Internationale
• Deloitte, KoneCrane, Equifax, ”3”, Tesco bank, Merck, Cellebrite, Mossack-Fonseca,
Trump hotels, Nieman-Marcus, Target, Home depot, SONY, ICANN, Pentagon, Det Hvide
Hus, Amazon, SAS, Talk Talk, Sony, Target, SouthWest Airlines med flere…
| 10
11. Konsekvenser - tab
| 11
Erstatningskrav / godtgørelse
Omkostninger til krisestyring
Tab v/underretning
Afpresning
Omkostninger til genetablering
Konsulentbistand (jura, finans, it, PR)
• Utilfredse kunder / leverandør
• Negativ omtale / renommé
• Tab af data
• Andre tab / skader
• Ransomware
• Arbejde videre?
Ledelsesansvar?
12. Tabets størrelse – Analyser og overvejelser
Følgende skridt og
omkostningsposter bør
overvejes i forbindelse
med cyberskade:
• Begrænsning af skade
• Indsamling af
dokumentation og
support
• Reparation af system
• Genetablering af data
• Undersøgelse af skaden
• Opgradering af system
• Notifikation af
kunder/berørte personer
• Eventuel etablering af
call-centre
• Overvågning af kreditkort
• PR og medie-omtale
| 12
Forud for selve skaden bør man have
overvejet og vurderet følgende:
• Driftstab
• Ekstra omkostninger
• Tab af markedsandel
• Tab af persondata og kreditkort informationer
• Forhøjelse af virksomhedens gæld
• Ekspert omkostninger
15. Klar, parat, start
Overordnede spørgsmål i forbindelse med identifikation og prioritering af IT-relaterede risici:
| 15
1. Dataklassifikation: Er der foretaget en opstilling af forretningskritiske data i prioriteret rækkefølge. Fx
kundeoplysninger, kreditkortoplysninger, forretningshemmeligheder mv.
2. Beskyttelse/backup: Hvordan beskyttes disse informationer? Tages der højde for forskellige niveauer af fortrolighed
ift adgang og beskyttelse?
3. Databrud: Hvad er konsekvenser og tab hvis disse informationer kompromitteres eller uberettiget/utilsigtet
offentliggøres?
4. Sikkerhedspolitik: Formuleret? Herunder; er den implementeret, opdateret og testet?
5. Medarbejdertræning: Træning i at overholde politikken? og hvordan sikres det at de arbejder ud fra retningslinjerne
heri? Sikkerhedskultur?
6. Strategi: Er sikkerhedstiltagene forankret i ledelsen og tages der ejerskab over opgaven i direktionen?
7. Risikokultur: Hvordan er kulturen i organisationen? Tages it-sikkerhed alvorligt?
8. Beredskab: Er der et beredskab ved cyber hændelser, der indebærer IT, jura, økonomi, kommunikation inklusive
aftaler med rådgivere?
9. Trusler: Hvem kan formodes at angribe ”kunden”? Hvad er deres motiver, metoder, placering mm.?
10. Samarbejdspartnere: Drøftelse med samarbejdspartnere, outsourcing partnere om deres sikkerhed, beredskab mm.
”If you think technology is the solution to your
cyber security risk, you neither understand
technology or your cyber security risk.”
16. Forsikring
En Cyberforsikring indeholder typisk dækning for:
• Erstatningskrav fra tredjemand (ansvar – tab og krænkelser)
• Omkostninger:
• Forsvar
• Advokat
• PR
• Notifikation/underretning
• Monitorering/Call centre
• Genetablering/genopretning
• Undersøgelse
• Driftstab og meromkostninger
• Løsepenge (afpresning)
• Elektronisk tyveri (netbank m.m.)
OBS: KRISEBEREDSKAB = HOTLINE
• Assistance når krisen sker, herunder it-konsulenter, juridisk
assistance og PR.
Hvad vil typisk ikke være dækket?
• Tidligere eller verserende krav
• Forbedringsudgifter / slid og ældre
• Personskader
• Sikredes misbrug af
forretningshemmeligheder
• Fysisk skade på netværket
• Skader der opstår som følge af
oprindelige fejl
• Forsyningssvigt
• Kontraktsretlige forpligtelser (med
mindre også ansvar uden for kontrakt)
• Interne krav
| 16
17. GAP-ANALYSE – CYBER FORSIKRING VS. TRADITIONELLE FORSIKRINGER
SKADE DÆKNING TRADITIONEL
LE POLICER
CYBER-
FORSIKRING
Databrud Omkostninger til at notificere berørte
personer
Ikke dækket Dækket
Databrud Erstatningsansvar overfor tredjemand pga.
data der er mistet eller uberettiget
offentliggjort.
Delvist Dækket
Tab af data Genetablering af data Ikke dækket Dækket
Skade på netværk Genoprettelse af netværk Ikke dækket Dækket
Ekstraomkostninger Omkostninger til undersøgelse af skade Delvist Dækket
Skade på renommé PR/mediedækning i forbindelse med en
skade
Ikke dækket Dækket
Cyberafpresning Løsesum + forhandlingsomkostninger Ikke dækket Dækket
Krisestyring Adgang til beredskab (It, Forensic, Legal) Ikke dækket Dækket
| 17
18. Processen vedrørende tegning af cyberforsikring
| 18
Analyse Drøfte risikoen
Indsamle
information
Forsikringsudbud
✓ Risk mapping
✓ Undersøgelse
af risikoen
✓ Intern tidslinje
✓ Adressere
risikoen og
overveje om
den kan
begrænses –
og i så fald i
hvor høj grad ?
Og hvor meget
skal forsikres?
✓ Udbud
✓ Tilbudsproces
✓ Sammenligning
✓ Forhandling
✓ Gap analyse
✓ Anbefaling
✓ Indsamle
information der
gør det muligt at
få et seriøst
forsikringstilbud,
der opfylder
jeres krav til
dækning og
omfang.
19. Forsikringssum
| 19
Fastsættelse af forsikringssum?
▪ Faktuel eksponering
▪ Oplevet eksponering
Rimelige præmie?
▪ Eksponering
▪ Skadehistorik – konkrete og portefølje
Benchmarking – sum og præmie
▪ Branche
▪ Aktiviteter og hvordan sælges (web)
▪ Størrelse
▪ Geografisk udbredelse
Katastrofesituation – hvor store krav rejses? DKK
1.) Omkostninger til stoppe hændelsen, oprydning og til
genetablering af drift samt underretning
xxx
2.) Meromkostninger ved løbende beredskab og
monitorering
xxx
3.) Driftstab xxx
4.) Erstatningsansvar og forsvarsomkostninger ”3. Mands
tab” og
x00.000+
= Samlede kravs størrelse i katastrofesituation (sum af
ovenståen
de)
0,00
20,00
40,00
60,00
80,00
Benchmarking
Limit per million of assets
Benchmarking data
20. | 20
Parametre
➢ Forretningsaktiviteter – nogle virksomheds-segmenter er naturlig i højere risiko end andre.
➢ Geografisk spredning – risikoen kan være meget forskellig afhængig af hvilken jurisdiktion
viksomheden befinder sig i.
➢ Niveauet af teknisk kontrol og cybermodenhed – Dette har indflydelse på hvordan virksomheden
beskytter sig selv mod cyberhændelser.
➢ Outsourcer risk management – brug af tredjeparter – f.eks. Outsourcing repræsenterer en potentiel
ny risiko i forhold til datatab og drifts-nedetid.
➢ Hvilken type data opbevares – og i hvilken størrelsesorden – Hvilke data? Eksempelvis
persondata, kreditkortinformationer, sundhedsdata m.m. ? Og hvor mange personers data
opbevares? I hvilke jurisdiktioner?
Præmiefastsættelse_______________________________________
21. Spørgsmål ?
Klaus Stubkjær Andersen
Partner, Financial lines
Tlf. +45 20743233
E-mail: klaus.andersen@riskpoint.eu
For yderligere information, kontakt:
| 21