Er køb af data den nye form for hacking? Nytænkning af cybersikkerhed

Af Niclas Hedam, Cyber Security Advisor

Den klassiske hacker-myte

Når du tænker på cybersikkerhed, ser du måske den velkendte Hollywood-kliché for dig: en ensom hacker, der sidder bøjet over tastaturet i et mørkt rum, omgivet af skærme, der flimrer med grøn kode. Eller måske ser du et højteknologisk driftscenter, hvor et team af specialister hjælpeløst ser til, mens hackeren bryder ind i deres systemer – en firewall ad gangen.

Og selv om de billeder måske ikke er helt forkerte, er de kun en del af historien. Som tekniske konsulenter bruger vi masser af tid på at beskytte netværk, lukke sårbarheder og styrke sikkerheden. Vores opgave er at sikre, at uvedkommende ikke kommer ind – uanset hvor dygtige, motiverede eller velfinansierede de måtte være.

Men udfordringen er, at ikke alle trusler kommer fra mørke skikkelser i svagt oplyste rum. Nogle gange er den største trussel for virksomhedens datasikkerhed lige for øjnene af os – i bestyrelseslokalet. 

I denne artikel vil Niclas Hedam, vores Cyber Security Advisor, komme med sine betragtninger om den moderne og lovlige hackingmetode.

Ikke hacking men køb

Det er her, strategiske konsulenter kommer ind i billedet. Mens tekniske konsulenter bygger mure og barrierer for at beskytte mod cyberangreb, arbejder strategiske konsulenter på at forhindre, at dine data slipper ud på lovlig vis. Ja, på lovlig vis.

Man behøver nemlig ikke altid at hacke en virksomhed for at få fat i dens data. I nogle tilfælde kan man bare købe dem.

Lovlige læk af data

Der kan være tale om “lovlige læk”, hvor data kan ende i hænderne på en helt ny – og potentielt meget interesseret – ejer gennem helt legitime kanaler.

Det er ikke datalækager i traditionel forstand, hvor oplysninger slipper ud gennem et hul i en firewall. Nej, disse “læk” sker gennem salg, fusioner, partnerskaber eller endda outsourcede serviceaftaler.

Tænk over det: Hver gang du indgår en aftale med en leverandør eller samarbejdspartner, er dine forretningsdata – markedsindsigter, kundeoplysninger, konkurrencemæssige oplysninger – på spil. Disse interaktioner kan åbne døren til din virksomheds hemmeligheder, uden at der bliver knækket nogen som helst form for kode.

Strategiske konsulenter beskytter data uden for firewallen

Strategiske konsulenter arbejder for at forhindre, at den slags læk sker. De fokuserer på compliance, kontrakter og datadelingspolitikker, der styrer, hvem der har adgang til hvilke oplysninger – og hvor meget de kan gøre med dem.

De beskytter ikke kun dine data mod uautoriserede hackere men også mod autoriserede. Og du kan roligt regne med, at de “autoriserede” datajægere kan være lige så udspekulerede som de mørkklædte hackere.

23andMe-sagen: Pionerer inden for DNA-test 

Tag for eksempel 23andMe. Som en af pionererne inden for DNA-test til private ligger 23andMe inde med en guldgrube af følsomme og meget personlige genetiske data.

Med millioner af kunder, der deler deres DNA for at få indsigt i deres ophav, sundhedsrisici og genetiske træk, er 23andMe nødt til at opretholde strenge sikkerhedsforanstaltninger for at beskytte disse data mod nysgerrige blikke.

Men nu kommer det afgørende: Selv om 23andMe måske er gode til at holde hackere ude (det var de faktisk ikke – de blev hacket i 2024 og gav endda brugerne skylden for det), står de over for en anden risiko – hvad sker der, hvis de får økonomiske problemer?

I øjeblikket har 23andMe svært ved at skabe overskud og ville kunne risikere at gå konkurs. Hvis det kommer så vidt, kan en køber træde til og opkøbe hele virksomheden (og dens database) til en brøkdel af den oprindelige værdi. Og hvem kan den køber være?

Forestil dig et forsikringsselskab, som gerne vil forbedre sine risikovurderinger, og som køber 23andMe billigt.

Fra database til kraftfuldt værktøj

Pludselig bliver en database, der skulle hjælpe kunderne med at forstå deres genetiske baggrund, et stærkt værktøj til at vurdere – og potentielt afvise – forsikringsansøgere med højrisiko-DNA-profiler.

Den harmløse test, du tog af ren og skær nysgerrighed. Nu kan den være et muligt slag mod dig i en forsikringsbegæring. Uden solide dataaftaler kan dit DNA komme til at afgøre, hvor meget du skal betale i forsikringspræmie, eller om du er berettiget til dækning.

Her kan strategiske konsulenter gøre en verden til forskel. I stedet for bare at bygge en sikkerhedsvoldgrav omkring databasen samarbejder de med 23andMe om at sikre, at kundernes aftaler om brug af data er juridisk sikre.

Strategiske konsulenter hjælper virksomheder som 23andMe med at udforme robuste dataaftaler, der begrænser fremtidig brug til specifikke formål, også i tilfælde af et salg. På den måde kan kunderne være sikre på, at deres genetiske oplysninger udelukkende bruges til personlig indsigt – og ikke kommer i hænderne på en potentiel køber med andre motiver.

Erfaringer fra RadioShacks databasesalg

Og det er ikke bare et tankeeksperiment. Tilfælde fra den virkelige verden har vist, at kundedata kan være kronjuvelen i opkøb – nogle gange lige så eksplicit, som hvis det var en post i balancen.

Tag f.eks. tilfældet med RadioShack. RadioShack, som engang var en velkendt elektronikforhandler, havde økonomiske problemer og endte med at gå konkurs i 2015. Under afviklingsprocessen viste det sig, at et af RadioShacks mest værdifulde aktiver ikke var det resterende varelager eller varemærket – det var kundedatabasen.

I auktionen over RadioShacks aktiver var kundedatabasen udtrykkeligt en del af handlen. Den indeholdt personlige data om millioner af kunder, der havde handlet hos RadioShack, fra e-mailadresser og telefonnumre til transaktionshistorik.

De potentielle købere så denne database som en guldgrube for målrettet markedsføring, og det blev den primære motivation for de virksomheder, der overvejede et køb. Og det til trods for at RadioShack tidligere havde forsikret kunderne om, at de satte en ære i “ikke at sælge vores private mailingliste”.

De strategiske dataaftalers rolle

RadioShack- og 23andMe-sagerne er perfekte eksempler på, hvorfor virksomheder har brug for strategiske konsulenter, der kan forudse og beskytte mod denne type risici.

Strategiske konsulenter hjælper virksomheder med at oprette dataaftaler, der sætter klare grænser for, hvordan kundedata kan bruges, også i tilfælde af salg eller konkurs. Uden disse beskyttelsesforanstaltninger kan en virksomheds mest følsomme aktiv – kundedata – blive solgt uden ret meget kontrol, så de nye ejere kan bruge dem på måder, som de oprindelige kunder aldrig havde forudset.

Denne case illustrerer, hvorfor datastrategi ikke bare er “nice-to-have” men derimod afgørende for den etiske og langsigtede beskyttelse af kunderelationer og tillid.

Ved at udarbejde datapolitikker, der beskytter kundernes interesser, kan strategiske konsulenter hjælpe virksomheder med at undgå faldgruberne ved et uønsket salg af databasen – og sikre, at selv hvis virksomheden skifter hænder, forbliver kundedataene utilgængelige for en eventuel køber, der har planer om at udnytte dem.

Partner i databeskyttelse

I itm8 har vi flere erfarne strategiske konsulenter, som kan fungere som rådgivere eller jeres Chief Information Security Officers (CISO’er) og hjælpe med at beskytte jeres mest værdifulde aktiver – ikke bare med firewalls og kryptering, men med bundsolide aftaler, der beskytter jeres data uanset hvad.

Måske er den største risiko for din virksomhed ikke hackergrupper, der bryder ind i dine systemer, men andre virksomheder, der har til hensigt at købe og udnytte dine data?