Hvorfor compliance-folk er stressede og har brug for et godt overblik

By 
Gry Josefine Løvgren
June 25, 2024

Cybertruslen er høj, og compliance-folk er overvældede af arbejde. Det er nok ikke overraskende at høre. Lad os prøve at gennemgå de konkrete data og fænomener anno 2024 for at få et overblik over, hvordan det rent faktisk forholder sig lige nu. Og hvad løsningen kunne være.

"Der er et problem med blodbanken, og din operation er blevet aflyst".

Det er ikke det, du har lyst til at høre, lige inden du skal have en hjerteoperation. Men det er præcis, hvad der skete for en patient på et hospital i London i maj.

Hospitalet havde, sammen med en række andre større hospitaler, været udsat for et russisk cyberangreb, oplyser BBC.

I mellemtiden har 25.000 personer fået stjålet oplysninger om deres navne, fødselsdato, køn, hjemmeadresse og sygesikringsnummer i et databrud hos BBC’s pensionsordning, en af ​​de største pensionsordninger i Storbritannien.

I disse dage er det svært at åbne et medie uden at læse om databrud, hackerangreb og cyberkriminalitet, der sniger sig ind på samfundet og giver følelsen af, at sikkerheden for vores mest personlige oplysninger bliver mindre og mindre. 

Stor stigning i antallet af cyberangreb

Forskningskonsortiet European Repository of Cyber ​​Incidents (EuRepoC) har besluttet at få et overblik over, og en bedre forståelse af, cyberangreb verden over. Hver dag kortlægger de cyberangreb begået over hele verden for at spore og rapportere skiftende tendenser i det globale cybertrussel miljø.

Og det er ikke for sarte sjæle. 

"I februar 2024 oplevede verden en betydelig stigning i cyberangreb med i alt 107 hændelser registreret. Det repræsenterer en svimlende stigning på 24,4 % sammenlignet med januar og overstiger det samlede månedlige gennemsnit på 71 angreb med 36,” rapporterer EuRepoC.

For eksempel får den rumænske premierminister stjålet kopier af hans personlige identitetskort fra en ransomware-gruppe, der kræver 30.000 euro for sletning af dataen. 

Og det er kun cyberangreb, der er politisk motiverede eller imod kritisk infrastruktur, hvilket er det, EuRepoC kigger ind i. 

Så er der mod kommercielle virksomheder, finansielle institutioner og listen fortsætter. 

Det er sikkert at sige, at cybertruslen er enorm. Det mærker man også i EU, hvor der bliver produceret flere og flere regelsæt.

Alene inden for de seneste to år er fem nye regelsæt blevet vedtaget. Lad os få et hurtigt overblik.

EU's cybersikkerhedsregler 

Digital Service Act (DSA) har til formål at skabe et mere sikkert digitalt rum, hvor brugernes grundlæggende rettigheder beskyttes samt at etablere et ensartet sæt regler for onlineplatforme i hele EU.

Digital Markets Act (DMA) har til formål at sikre fair og åbne digitale markeder ved at regulere store online platforme, der fungerer som "gatekeepere", og forhindre dem i at misbruge deres markedsmagt.

Sammen er DSA og DMA designet til at forbedre sikkerheden for forbrugere og fremme gennemsigtighed samt konkurrence i det digitale rum, hvilket skal sikre et mere retfærdigt og sikkert onlinemiljø for alle brugere. De trådte i kraft i november 2022. 

Digital Operational Resilience Act (DORA) trådte i kraft i januar 2023 og vil gælde fra januar 2025. Den har til formål at styrke it-sikkerheden for finansielle enheder såsom banker, forsikringsselskaber og investeringsselskaber og sikre, at den finansielle sektor i Europa er i stand til at forblive robust i tilfælde af en alvorlig driftsforstyrrelse.

NIS2 er EU’s lovgivning om cybersikkerhed og omfattet er enheder, der er operatører af væsentlige tjenester. EU’s medlemslande har indtil den 17. oktober 2024 til at vedtage direktivet. 

Endelig er verdens første AI-lov netop blevet godkendt af Det Europæiske Råd i maj 2024, hvilket giver endnu et sæt regler for organisationer at holde styr på. Flagskibslovgivningen følger en 'risikobaseret' tilgang, hvilket betyder, at jo højere risikoen er for at forårsage skade på samfundet, desto strengere er reglerne.

Mere arbejde, færre ressourcer

"Compliance er virkelig komplekst, og der er så mange bevægelige dele. Der dukker hele tiden nye regler og krav op. Derudover skal vi hele tiden tilpasse os nye teknologier,” siger Jacob Høedt Larsen, Public Affairs Specialist i Wired Relations, som følger udviklingen i compliance tæt.

"Det er simpelthen en kæmpe opgave at håndtere compliance i den virkelige verden". 

Databeskyttelsesmedarbejdere har allerede travlt med at beskytte personfølsom data i overensstemmelse med GDPR, men de optager nu også nøgleroller under de nye EU-love, viser ny forskning fra European Data Protection Board (EDPB). Disse nye roller rejser bekymring om interessekonflikter og mangel på ressourcer for databeskyttelsesmedarbejderne, fremgår det i rapporten. 

Men også hos cybersikkerhedsledere mærkes vægten af ​​mange forskellige ansvarsområder. En nylig undersøgelse fra Gartner viser, at 65 % af cybersikkerhedsledere mener, at det at have for mange ansvarsområder er en af ​​de største grunde til udbrændthed. 

I deres seneste Privacy Governance-rapport har IAPP spurgt 500 privatlivsprofessionelle om privacy governance, og konklusionen er den samme: De arbejder mere – og gør mere med mindre. 

Så der er travlt derude i compliance-afdelingerne og i en tid, hvor risikoen for cyberangreb er meget nærværende, ville maksimale ressourcer og en klar, realistisk opgavefordeling være ønskelig. Ikke det modsatte. 

Hvis vi ser specifikt på databeskyttelse, påpeger den østrigske databeskyttelsesaktivist Max Schrems, at 74 % af virksomhedsinterne databeskyttelsesprofessionelle siger, at myndighederne ville finde væsentlige overtrædelser hos en gennemsnitlig virksomhed. 

"Ekstremt alarmerende. Sådanne tal ville være utænkelige, hvis det drejede sig om at overholde skattelovgivningen eller brandsikkerhedsbestemmelserne. Manglende overholdelse ser kun ud til at være normen, når det kommer til brugeres personlige data," fastslår han i en undersøgelse offentliggjort af Noyb.

Understøttet af teknologi

Så hvordan kan compliance-professionelles arbejde gøres lettere? IAPP-rapporten fremhæver, at organisationer er begyndt oftere at bruge teknologi til at understøtte deres compliance arbejde, og at brugen af frameworks er stigende.

Og at bruge specialiserede softwareløsninger og standardiserede rammeværktøjer er en god idé til at understøtte arbejdet med compliance, mener Gilli Haraldsen, der er COO i Wired Relations. 

Spørger man ham, er compliance komplekst nok, som det er. Derfor bør compliance-løsninger være enkle at bruge. Hvis de er det, er det muligt at reducere manuelt arbejde, frigøre tid og ressourcer og få overblik over organisationens compliance-indsats.

"Ved for eksempel at implementere en GRC-løsning med indbygget best practice i alt fra leverandørstyring til risikovurderinger, kan du opnå bedre kontrol og mindske følelsen af ​​at blive overvældet af opgaver," forklarer han. 

Den globalt anerkendte privacyrådgiver Debra Farber siger i vores podcast Sustainable Compliance, at hun gik ind i tech-branchen, fordi det boomer, og hun aldrig ville kede sig. 

Man kan vist med sikkerhed sige, at hun har ret. Privacy og teknologi står ikke stille. Men trods udfordringerne er det værd at stå op om morgenen for.

Er det ikke?

”Jeg har altid haft en stærk retfærdighedssans. Det føles godt at vågne hver morgen og sige, at du hjælper folk med at beskytte deres privatliv – deres frihed og evne til at have kontrol over sig selv” - Debra Farber.

Download vores e-bog: En guide til at gøre compliance enkelt