Den 25 maj 2018 träder EU-direktivet ”General Data Protection Regulation, (GDPR)” i kraft. Samtidigt, med mindre än en månad kvar, så visar undersökningar att ca 48% av alla WordPress webbplatser är inte uppdaterade. Ett intrång, en personuppgiftsincident, kan resultera i böter upp till 20.000.000 Euro eller 4% av den globala omsättningen.
Om er webbplats sparar besökarens namn, e-mail adress, bild, IP-adress eller andra uppgifter som kan identifiera en person så gäller GDPR definitivt för er.
Det har skrivits många artiklar om vad som måste göras för att uppfylla förordningen men den mest uttömmande informationen hittar Du på Datainspektionens webbplats.
Fakta
Många webbplatser är inte uppdaterade
3.972 kända WordPress sårbarheter
Enligt en rapport från wpscan.org fanns det i april 2018 3.972 kända sårbarheter med WordPress. Dessa fördelar sig på:
– 52% plugin sårbarheter
– 37% WordPress sårbarheter
– 11% tema sårbarheter
Krav att rapportera ett intrång
Dessutom skall en undersökning omgående påbörjas för att hitta orsaken samt att de drabbade användarna skall informeras (om intrånget exempelvis kan innebära risker för besökarnas friheter och rättigheter).
Konsekvens av att inte uppfylla lagkravet
Några av IT-ansvariges uppgifter
Den utsedde “dataskyddsansvarige” för webbplatsen ansvarar för att webbplatsen är så säker som möjligt, vilket bl.a. inkluderar:
– Se till att webbplatsen alltid använder den senaste versionen av WordPress.
– Se till att webbplatsen alltid använder de senaste versionerna av plugins.
– Inaktivera och ta bort onödiga plugins eller teman.
– Göra regelbundna, säkra säkerhetskopieringar av webbplatsdata, särskilt för personlig data.
– Försäkra sig om att det används starka, unika lösenord på alla WordPress-konton.
– Begränsa antalet personer med tillgång till administrator.
– Se till att varje anställd har en separat inloggning. Inga delade konton!
– Ta bort konton omedelbart när anställda eller entreprenörer lämnar företaget.
dessutom…
– Skydda personuppgifter genom att använda tekniker som åtkomstbegränsningar, kryptering, pseudonymisering, säkerhetskopiering, dataminimering och regelbunden testning av alla dessa tekniker.
– Meddela lämplig tillsynsmyndighet senast 72 timmar efter att ha blivit medveten om brott mot användarens personuppgifter, inklusive antalet användare vars uppgifter exponerades, överträdelsens art och vilka åtgärder som vidtagits för att mildra dess effekter.
– Kommunicera denna information till de drabbade användarna, särskilt om dataöverträdelsen exponerade okrypterade personuppgifter.
– Beakta eventuella behov för brottsbekämpande undersökningar innan överträdelsen offentliggörs.
Oavsett om ni underhåller er webbplats internt med egen personal eller köper tjänsten från extern leverantör så är den kostnaden med all sannolikhet lägre än Datainspektionens sanktionsavgift.
Att sedan kostnaden för ett svenskt företag för att återhämta sig från ett dataintrång uppgår i genomsnitt till 7 miljoner kronor och tar 66 dagar gör inte det hela direkt enklare.
Slipp att tänka på uppdateringar och säkerhet – vi gör det åt er
Det är inte en fråga OM er WordPress webbplats kommer att attackeras utan snarare HUR framgångsrik attacken blir.