Simulert phishing i tråd med GDPR

28. mai 2018 | Erlend Andreas Gjære

Nye personvernregler stiller også nye krav til personopplysninger internt i virksomheten. Heller ikke sikkerhetsrelaterte tjenester, inkludert simulert phishing, er fritatt for kravene under GDPR.

Vi har tidligere skrevet om tips til gjennomføring av simulert phishing. Her nevner vi også hensynet til de ansattes personvern i samband med dette, som ikke nødvendigvis er et helt opplagt tilfelle. Virksomheten selv er behandlingsansvarlig for sine egne ansattes personopplysninger.

Avhengig av motivasjonen for å gjøre simulert phishing, trenger man et teknisk verktøy eller en partner som kan ta oppgaven med å sende ut e-postene. Her finnes det en mengde varianter å velge mellom – noen er gratis, mens andre koster penger. Avhengig av tilgang på kompetanse internt er det mulig å gjøre jobben selv, for det kreves ikke veldig mye programmeringskunnskaper for å sende ut en falsk e-post med lenke til en falsk nettside.

Selv om det er innenfor arbeidsgivers legitime interesse å beskytte egen IKT-infrastruktur, utgjør ikke dette en blankofullmakt til å gjøre hva som helst overfor egne ansatte. Fortalen til GDPR nevner særskilt overvåking av nettverket som legitimt formål, men aktivt lureri av egne kolleger går neppe inn under dette. 

Flertallet av verktøyene vi har sett for simulert phishing, har nemlig funksjonlitet for å følge med på hvilke ansatte som lar seg lure av den falske e-posten. Her tenker vi at man må vurdere nøye hvorvidt det faktisk finnes juridisk grunnlag for å kartlegge såkalte "risikable ansatte" i et sikkerhetsverktøy. Det er ingen løsning å skulle "luke vekk" ansatte som står i fare for å klikke på farlig e-post, da angriper man problemet i feil ende. Derfor tror vi også at slik funksjonalitet utgjør en unødvendig belastning for virksomheten, som helst burde vært unngått.

For scenariene vi har nevnt øverst, er det ingen av disse som krever at man kan identifisere enkeltpersoner ved navn. Ved hjelp av innebygd personvern har vi derfor utviklet en phishing-simulator som tar høyde for personvernkravene i GDPR. Denne løsningen er tilgjengelig for alle våre kunder og partnere, og vi bruker den aktivt i samband med lansering av MailRisk i nye virksomheter. 

 


MailRisk på 90 sekunder

Klikk her for å se en kort video om MailRisk

Se hvordan alle ansatte kan bidra til økt sikkerhet i virksomheten!

«MailRisk gir både ansatte og virksomheter en helt ny mulighet til å oppdage og respondere på målrettede trusler i e-post.»

Outstandig Security Performance Awards

Bli kjent med MailRisk →

Gjør simulert phishing trygt og enkelt.

Se hvordan MailRisk-plattformen kan hjelpe!

Gå til bloggen →