Den 25 maj 2018 träder EU-direktivet ”General Data Protection Regulation, (GDPR)” i kraft. Samtidigt, med mindre än en månad kvar, så visar undersökningar att ca 48% av alla WordPress webbplatser är inte uppdaterade. Ett intrång, en personuppgiftsincident, kan resultera i böter upp till 20.000.000 Euro eller 4% av den globala omsättningen.

Om er webbplats sparar besökarens namn, e-mail adress, bild, IP-adress eller andra uppgifter som kan identifiera en person så gäller GDPR definitivt för er.

Det har skrivits många artiklar om vad som måste göras för att uppfylla förordningen men den mest uttömmande informationen hittar Du på Datainspektionens webbplats.

 

Fakta

Z

Många webbplatser är inte uppdaterade

Enligt mätningar av WordPress.org i maj 2018 använder endast 56% av alla webbplatser den senaste versionen av WordPress (v4.9)

Z

3.972 kända WordPress sårbarheter

Hackers attackerar både små och stora webbplatser, enligt Wordfence sker 90.978 attacker varje minut. Och om en webbplats inte hålls uppdaterad är sannolikheten att den infekteras mycket stor.

Enligt en rapport från wpscan.org fanns det i april 2018 3.972 kända sårbarheter med WordPress. Dessa fördelar sig på:

– 52% plugin sårbarheter
– 37% WordPress sårbarheter
– 11% tema sårbarheter

Z

Krav att rapportera ett intrång

Om en infekterad webbplats hanterar besökares namn, e-mail, bild, IP-adress eller andra personuppgifter så måste webbplatsägaren rapportera personuppgiftsincidenten inom 72 timmar till Datainspektionen.

Dessutom skall en undersökning omgående påbörjas för att hitta orsaken samt att de drabbade användarna skall informeras (om intrånget exempelvis kan innebära risker för besökarnas friheter och rättigheter).

Z

Konsekvens av att inte uppfylla lagkravet

Kostnaden för att inte uppfylla förordningen kan bli hög – upp till 20 miljoner Euro eller 4% av koncernens globala omsättning, beroende på vilket som är högst.

Några av IT-ansvariges uppgifter

Den utsedde ”dataskyddsansvarige” för webbplatsen ansvarar för att webbplatsen är så säker som möjligt, vilket bl.a. inkluderar:

– Se till att webbplatsen alltid använder den senaste versionen av WordPress.
– Se till att webbplatsen alltid använder de senaste versionerna av plugins.
– Inaktivera och ta bort onödiga plugins eller teman.
– Göra regelbundna, säkra säkerhetskopieringar av webbplatsdata, särskilt för personlig data.
– Försäkra sig om att det används starka, unika lösenord på alla WordPress-konton.
– Begränsa antalet personer med tillgång till administrator.
– Se till att varje anställd har en separat inloggning. Inga delade konton!
– Ta bort konton omedelbart när anställda eller entreprenörer lämnar företaget.

dessutom…

– Skydda personuppgifter genom att använda tekniker som åtkomstbegränsningar, kryptering, pseudonymisering, säkerhetskopiering, dataminimering och regelbunden testning av alla dessa tekniker.
– Meddela lämplig tillsynsmyndighet senast 72 timmar efter att ha blivit medveten om brott mot användarens personuppgifter, inklusive antalet användare vars uppgifter exponerades, överträdelsens art och vilka åtgärder som vidtagits för att mildra dess effekter.
– Kommunicera denna information till de drabbade användarna, särskilt om dataöverträdelsen exponerade okrypterade personuppgifter.
– Beakta eventuella behov för brottsbekämpande undersökningar innan överträdelsen offentliggörs.

Oavsett om ni underhåller er webbplats internt med egen personal eller köper tjänsten från extern leverantör så är den kostnaden med all sannolikhet lägre än Datainspektionens sanktionsavgift.

Att sedan kostnaden för ett svenskt företag för att återhämta sig från ett dataintrång uppgår i genomsnitt till 7 miljoner kronor och tar 66 dagar gör inte det hela direkt enklare.

Slipp att tänka på uppdateringar och säkerhet – vi gör det åt er

Det är inte en fråga OM er WordPress webbplats kommer att attackeras utan snarare HUR framgångsrik attacken blir.

WP Support erbjuder tjänsten ”WordPress Säkerhet”. I denna ingår även tjänsten ”WordPress Underhåll” – vi bjuder på 30 dagar ”prova-på” av denna – Inga förpliktelser! Ingen bindningstid! Ingen kostnad!