Det kræver mere end teknologi: 4 indsatser skaber stærk it-sikkerhed
Forestil dig, at du skal vælge en ny digital samarbejdspartner. Du ved, at dine egne brugere, kunder og partnere forventer, at deres data bliver behandlet sikkert og ansvarligt. Og du ved, at én brist i sikkerheden – ét svagt punkt i kæden – kan få konsekvenser, både teknisk og tillidsmæssigt. I den situation vil du ikke bare høre løfter. Du vil se dokumentation. Struktur. Ordentlighed. Og konsistens.
Det er virkeligheden for alle virksomheder, der arbejder med digitale løsninger, fordi data i dag er rygraden i næsten alle forretninger. Og hos Oxygen tager vi cybersikkerhed og ansvarlig dataanvendelse alvorligt – ikke bare i ord, men i handling.
Sikkerhed og ansvarlighed er ikke et projekt, man bliver færdig med. Det er en løbende proces.
D-mærket
D-mærket er Danmarks officielle mærkningsordning for digital ansvarlighed. Det er en privat organisation oprindeligt skabt af Industriens Fond i samarbejde med Dansk Erhverv, Dansk Industri, SMVdanmark og Forbrugerrådet Tænk. Mærket uddeles til virksomheder, der kan dokumentere, at de arbejder systematisk og professionelt med både cybersikkerhed og dataetik.
Vi er stolte af at være blevet D-mærket. Processen med at opnå D-mærket har været både lærerig og styrkende. Vi har arbejdet os endnu dybere ned i vores egne sikkerhedsniveauer, opdateret interne politikker, formaliseret flere procedurer og yderligere skærpet vores bevidsthed.
Vi har i forvejen haft stort fokus på it-sikkerhed, men D-mærket har givet os et fælles sprog og en fælles ramme – som både vi og vores kunder kan læne os op ad. Det giver transparens og tryghed.
Og måske vigtigst af alt: Det hjælper os med at tage ansvar for den tillid, vores kunder viser os, når vi bygger og driver digitale løsninger for dem. D-mærket er ikke en garanti for, at intet nogensinde går galt. Men det er en garanti for, at vi har gjort vores hjemmearbejde, og at vi hele tiden bliver ved med at udvikle os.
Hvad betyder NIS2 i forhold til cybersikkerhed?
For mange organisationer kan man ikke sige cybersikkerhed, uden også at sige NIS2. NIS2-direktivet har til formål at højne cybersikkerheden på tværs af EU for virksomheder og offentlige myndigheder, der anses som kritiske for økonomien og samfundet. Implementeringen af direktivet i dansk lovgivning er i gang, og loven forventes at træde i kraft 1. juli 2025.
Certificeringen ”D-mærket” er opbygget i overensstemmelse med NIS2, hvilket betyder at ved at opfylde D-mærkets krav, opfyldes også NIS2s minimumskrav uanset hvordan den danske udmøntning ender med at se ud.
Sådan skaber vi sikkerhed
For at bygge et stærkt fundament for cybersikkerhed og datasikkerhed internt og i vores kunders løsninger, arbejder vi inden for fire forskellige områder: tiltag ifm. Oxygens medarbejdere, beredskab & dataoverblik, teknisk IT-sikkerhed og sikkerhed ift. leverandører:
1. Oxygens medarbejdere
En måling fra Datatilsynet fra januar 2025 viser tydeligt at menneskelige fejl er den største årsag til brud på datasikkerhed. I hele 86,6% af de anmeldte tilfælde har menneskelige fejl været årsag til brud inden for kategorier som manglende anonymisering, fejljournalisering og utilsigtet offentliggørelse af personoplysninger.
I arbejdet med at komme dette til livs hos Oxygen, har awareness og arbejdsprocesser med person-/fortrolige data derfor topprioritet. Det betyder bl.a. at alle medarbejdere hver måned deltager i vores awareness-træningsprogram, der holder vores fokus på de trusler vi kan risikere at støde ind i. Samtidig har vi etableret en procedure som løbende følges. Medarbejderne orienteres løbende om ændringer og bekræfter årligt at proceduren følges. Proceduren omhandler bl.a.:
- Hvordan persondata må distribueres
- At kun godkendt software benyttes
- At AI ikke benyttes til behandling af fortrolige data eller persondata
- At vores krav til netværk og regler for brugen af private devices også overholdes ved hjemmearbejde
- At der benyttes god password hygiejne og password manager til at sikre at passwords ikke er kompromitterede
2. Forretningskritiske data, dataoverblik og beredskab
Næste skridt mod at skabe et stærkt fundament for it-sikkerhed, er at beskytte vores data og tilgængeligheden af vores ydelser. Det kræver et fuldt overblik over hvilke data vi har ansvaret for.
Dette overblik indeholder for Oxygens forretningskritiske data: dataenes type, hvor de opbevares og behandles, deres følsomhed samt hvem der primært har ansvaret for at vedligeholde data. Dataene er bl.a. medarbejderdata, ledelsesdata, produktdata, kundedata og finansdata.
På baggrund af listen over forretningskritiske data og risikovurderingen har vi skabt en beredskabsplan. Den indeholder procedurer for hvad vi gør hvis vi mister adgangen til et givent system, bliver hacket, en server brænder af eller en leverandør går konkurs. Med beredskabsplanen kan vi hurtigt svare på, hvordan vi hurtigst muligt kommer tilbage til normal drift, og hvor lang tid forventer vi at være utilgængelige.
Samtidig er der etableret fire kritikalitetsniveauer: Lav, Medium, Høj og Kritisk. For hvert niveau fastsættes vores accept af den maksimale varighed af et udfald på et datasæt. For hvert datasæt/system har vi etableret en proces for minimering af nedetiden. Det handler ofte om backup, og dernæst hvad der skal til for at genetablere driften. For hvert punkt er der udpeget en ansvarlig for at planen kan følges og hvordan udfald testes, så vi ved at planen holder i virkeligheden.
3. Teknisk it-sikkerhed
I de første to indsatsområder, har vi sikret at vores medarbejdere har de bedst mulige forudsætninger for at holde de vigtige oplysninger fortrolige, og at vi har styr på hvordan vi håndterer et eventuelt sikkerhedsbrud. Hernæst er opgaven at sikre at udefrakommende, ondsindede aktører ikke får fat på vores kunders eller vores egne data.
En god it-sikkerhedsprocedure handler om at udpege risici og igangsætte sikkerhedsmæssige tiltag. Med udgangspunkt i de identificerede forretningskritiske data, har vi identificeret de omkringliggende faktorer der kan være en vej ind til vores data eller systemer. Herefter har vi vurderet de enkelte komponenters risici, sandsynligheden for at det går galt, samt konsekvensen. Analysen har givet et overblik over vores sårbarheder og resulteret i en prioriteret liste af konkrete indsatser, der for os har inkluderet:
- Multifaktor Authentication på kritiske systemer
- Backup
- Opdateringsprocedure til software, styresystemer, firewalls på klienter og servere
- Asset Management
- Kryptering af devices
- Central styring af virksomhedens devices, antivirus, firewall og brugere
- Sikring af virksomhedens fysiske og virtuelle netværk
- Fysisk adgang til virksomheden
4. Leverandører
Ingen virksomhed står helt på egne ben. Efter vi har sikret vores egne systemer og omgang med data, er det derfor naturligt at kigge på de leverandører som vi overlader vores data til.
Persondataforordningen lærte os at etablere databehandleraftaler med vores leverandører, og disse aftaler fortæller noget om kravet til samarbejdet med vores leverandører vedr. persondata og sikkerhed. Det er dog for snævert kun at kigge på persondata, da vi har mange andre fortrolige datasæt, som forskellige leverandører hjælper os med at vedligeholde eller drifte.
Baseret på de identificerede og klassificerede data, samt kritikaliteten af disse, stiller vi de nødvendige krav til leverandøren. I den forbindelse vurderer vi også hvilke risici der er forbundet med at lade en leverandør behandle/opbevare de fortrolige data, hvilket er en afgørende faktor for om samarbejdet med leverandøren kan opstartes/fortsætte.
Forsat arbejde mod en stærk data- og it- sikkerhed
For at skabe en stærk data- og it-sikkerhed for vores kunder og for Oxygen, har arbejdet gennem det sidste år bestået i at højne vores sikkerhedsniveau, ved at udrulle et stærkt fundament via de 4 indsatsområder. Men arbejdet slutter ikke her! Vi kommer til kontinuerligt at understøtte de eksisterende procedurer gennem løbende evaluering og genbekræftelse fra medarbejderne og ledelsen, såvel som at vi kommer til at arbejde med optimering på de områder, vi vurderer nødvendige.
D-mærket har givet os en konkret ramme at arbejde med sikkerhed og et stempel på at vi lever op til mærkets seriøse krav. Dermed bliver D-mærket også kundernes bevis for, at Oxygen både nu og fremover arbejder struktureret og professionelt med it-sikkerhed.