Byliv & Københavnerkultur

Datasikkerhed: Beskyt dine brugere og virksomhed

Søren Nielsen
Søren Nielsen
Redaktør, CPHIO
 · 6. april 2026 · 8 min læsning
Datasikkerhed: Beskyt dine brugere og virksomhed

Datasikkerhed er ikke længere et emne, der udelukkende hører hjemme i IT-afdelingen. I takt med at virksomheder i stigende grad digitaliserer deres processer og opbevarer store mængder følsomme brugerdata, er sikkerhed blevet en kernecompetence for alle, der arbejder med digital udvikling. Et databrud kan koste en virksomhed millioner i bøder, tabt tillid og driftstab — og konsekvenserne rammer ikke kun bundlinjen, men også de brugere, der har betroet dig deres personlige oplysninger. Denne artikel gennemgår de vigtigste principper og metoder, du skal kende for at beskytte din virksomhed og dine brugere effektivt.

Grundlæggende sikkerhedsprincipper

Fundamentet for god datasikkerhed bygger på en række veletablerede principper, som bør integreres i alle led af din tekniske arkitektur — fra infrastruktur til applikationskode. Det er ikke nok at tilføje sikkerhed som et lag ovenpå et færdigt produkt; det skal tænkes ind fra starten.

Defense in depth

Defense in depth er tilgangen, hvor du sikrer dine systemer på flere niveauer samtidigt. Tanken er, at hvis én forsvarsmekanisme svigter, er der stadig andre lag, der beskytter dine data. Det kan fx betyde:

  • Firewalls og netværkssegmentering på infrastrukturniveau
  • Validering og sanitering af brugerinput på applikationsniveau
  • Rollebaseret adgangskontrol på databaseniveau
  • Overvågning og logning på tværs af alle systemer

Principle of least privilege

Principle of least privilege betyder, at enhver bruger, tjeneste eller applikationskomponent kun skal have de rettigheder, der er nødvendige for at udføre dens specifikke opgave — og ikke mere. Dette begrænser skadeomfanget markant, hvis en konto eller et system kompromitteres. Når du fx bygger en skalérbar webapplikation fra bunden, er det afgørende at designe adgangsstrukturen med dette princip for øje allerede i arkitekturfasen.

Zero Trust-arkitektur

Den klassiske perimeter-baserede sikkerhedsmodel, hvor alt inden for netværket automatisk er betroet, er i vid udstrækning forældet. Zero Trust bygger på antagelsen om, at ingen bruger, enhed eller tjeneste automatisk er betroet — heller ikke interne. Hver anmodning skal verificeres uanset oprindelse. Dette er særligt relevant for virksomheder, der benytter cloud-infrastruktur eller har medarbejdere, der arbejder eksternt.

Kryptering og adgangskontrol

Kryptering er en af de mest effektive mekanismer til at beskytte data — både når de er i transit og når de er i hvile. Selv hvis en angriber får adgang til dine data, er de ubrugelige uden den korrekte nøgle.

Kryptering i transit og i hvile

Al kommunikation mellem klienter og servere bør foregå over TLS 1.3 som minimum. Ældre protokolversioner som TLS 1.0 og 1.1 bør deaktiveres, da de indeholder kendte sårbarheder. Derudover bør følsomme data i databaser krypteres med stærke algoritmer som AES-256.

For kodeord gælder det, at de aldrig må gemmes i klartekst. Brug i stedet moderne hashingalgoritmer som bcrypt, Argon2 eller scrypt, der er designet specifikt til kodeordshashing og modstandsdygtige over for brute-force-angreb.

Multifaktorgodkendelse

Multifaktorgodkendelse (MFA) bør være standarden for alle brugerkonti — og er absolut obligatorisk for administratorkonti og andre privilegerede adgange. MFA reducerer risikoen for kontoovertagelse markant, selv når kodeord er blevet lækket. Moderne implementeringer kan bruge:

  • TOTP-baserede authenticator-apps (fx Google Authenticator eller Authy)
  • Hardware-sikkerhedsnøgler (FIDO2/WebAuthn)
  • Passkeys som password-fri autentificeringsmetode

Session management og token-sikkerhed

Korrekt håndtering af sessioner og tokens er kritisk. JWT-tokens bør have en kort levetid, og refresh tokens bør roteres ved brug. Sørg for at invalidere sessioner korrekt ved logout, og implementér beskyttelse mod CSRF-angreb (Cross-Site Request Forgery) ved hjælp af SameSite-cookies og anti-CSRF-tokens. Du kan læse mere om autentificering og sikkerhedsarkitektur hos OWASP (Open Web Application Security Project), som er den mest anerkendte kilde til web-applikationssikkerhed.

Penetration testing og audit

At implementere sikkerhedsforanstaltninger er nødvendigt, men ikke tilstrækkeligt. Du er nødt til løbende at teste, om de faktisk virker — og om der er sårbarheder, du ikke selv har opdaget.

Penetration testing

Penetration testing (pen-testing) er en kontrolleret simulering af et cyberangreb, hvor sikkerhedseksperter forsøger at trænge igennem dine forsvar ved hjælp af de samme teknikker og værktøjer, som rigtige angribere ville bruge. En grundig pen-test dækker typisk:

  1. Rekognoscering — kortlægning af angrebsoverfladen
  2. Scanning og enumeration — identifikation af åbne porte, tjenester og potentielle indgangspunkter
  3. Exploitation — forsøg på at udnytte fundne sårbarheder
  4. Post-exploitation — vurdering af, hvad en angriber kan opnå med adgang
  5. Rapportering — dokumentation af fund og anbefalinger til afhjælpning

Det anbefales at gennemføre pen-tests mindst én gang om året samt ved større ændringer i infrastruktur eller applikationer. Særligt hvis du fx gennemfører en cloud-migration, bør der altid følge en grundig sikkerhedsgennemgang og penetrationstest med.

Kode-audit og SAST/DAST

Udover ekstern pen-testing bør du integrere sikkerhedstest direkte i din udviklingsproces. SAST (Static Application Security Testing) analyserer kildekoden for kendte mønstre af sårbar kode, mens DAST (Dynamic Application Security Testing) tester applikationen i kørende tilstand. Mange CI/CD-pipelines i dag integrerer begge metoder automatisk, så sikkerhed bliver en kontinuerlig proces frem for en engangstest.

Dependency scanning

Størstedelen af moderne applikationer er afhængige af tredjepartsbiblioteker og open source-pakker. Disse udgør en betydelig angrebsflade. Brug værktøjer som Dependabot, Snyk eller npm audit til løbende at scanne dine afhængigheder for kendte sårbarheder og holde dem opdaterede.

GDPR og lovpligtige krav

Teknisk sikkerhed og juridisk compliance er to sider af samme mønt. GDPR (Databeskyttelsesforordningen) stiller en række specifikke krav til, hvordan virksomheder behandler persondata, og sanktionerne for overtrædelser kan være betydelige — op til 4 % af virksomhedens globale årsomsætning eller 20 millioner euro, alt efter hvad der er størst.

Centrale GDPR-krav for tekniske implementeringer

  • Privacy by design og by default — databeskyttelse skal tænkes ind i systemet fra starten, ikke tilføjes efterfølgende
  • Dataminimering — indsaml kun de data, der er nødvendige for det konkrete formål
  • Opbevaringsbegrænsning — data må ikke opbevares længere end nødvendigt; implementér automatiske sletningsrutiner
  • Ret til indsigt og sletning — brugere skal teknisk set kunne anmode om adgang til og sletning af deres data
  • Databrudnotifikation — brud på persondatasikkerheden skal anmeldes til Datatilsynet inden for 72 timer

Datatilsynet i Danmark udgiver løbende vejledninger og afgørelser, som er værdifulde for at forstå, hvordan reglerne fortolkes i praksis. Du kan finde opdateret vejledning direkte på Datatilsynets officielle hjemmeside.

Databehandleraftaler og tredjeparter

Når du benytter cloud-services, analyseredskaber eller andre tredjepartsløsninger til at behandle persondata, er du forpligtet til at indgå databehandleraftaler. Det er dit ansvar som dataansvarlig at sikre, at dine leverandører overholder GDPR, og at der er passende tekniske og organisatoriske sikkerhedsforanstaltninger på plads. Dette er en særlig relevant problemstilling for virksomheder, der anvender machine learning modeller i produktionsmiljøer, da disse ofte behandler store datamængder — potentielt inklusiv persondata.

Incident response plan

Uanset hvor robuste dine sikkerhedsforanstaltninger er, skal du planlægge ud fra antagelsen om, at et sikkerhedsbrud kan ske. En veldefineret incident response plan er forskellen på en kontrolleret håndtering og kaotisk reaktion under pres.

De seks faser i incident response

  1. Forberedelse — definer roller, ansvar og kommunikationskanaler på forhånd. Sørg for at alle relevante parter kender planen.
  2. Identifikation — etablér overvågningssystemer der kan detektere unormal aktivitet hurtigt. Jo hurtigere et brud identificeres, jo mindre skade.
  3. Inddæmning — isolér de kompromitterede systemer for at forhindre yderligere spredning. Skel mellem kortsigtet inddæmning (hurtig isolering) og langsigtet (oprensning og genopbygning).
  4. Udryddelse — fjern årsagen til hændelsen, herunder malware, bagdøre og sårbare komponenter.
  5. Genetablering — gendan systemer fra rene backups og verificér, at alt fungerer korrekt, inden fuld drift genoptages.
  6. Efteranalyse (Post-mortem) — dokumentér hændelsesforløbet, hvad der gik galt, og hvad der kan forbedres. Dette er afgørende for løbende læring.

Backupstrategi og gendannelsestid

En solid backupstrategi er uadskillelig fra incident response. 3-2-1-reglen er en anerkendt standard: tre kopier af data, på to forskellige medier, hvoraf én opbevares offsite. Definer klare mål for RTO (Recovery Time Objective — hvor hurtigt skal systemet være oppe?) og RPO (Recovery Point Objective — hvor gammelt data kan du acceptere at miste?), og test regelmæssigt, om du faktisk kan overholde dem. Du kan finde yderligere ressourcer og standarder for informationssikkerhed hos ENISA (European Union Agency for Cybersecurity).

Kommunikation under en hændelse

Intern og ekstern kommunikation under et sikkerhedsbrud er kritisk og undervurderes ofte. Definer på forhånd, hvem der kommunikerer til hvem, og hvilke kanaler der benyttes — herunder sikre kommunikationskanaler, hvis de primære systemer er kompromitterede. Vær forberedt på kommunikation til brugere, myndigheder og eventuelt medierne.

Kom i gang i dag

Datasikkerhed er en kontinuerlig proces, ikke et projekt med en slutdato. Start med at kortlægge, hvilke data du behandler, og vurder de største risici i din nuværende infrastruktur og dine applikationer. Implementér de grundlæggende principper som least privilege, MFA og kryptering, og byg derfra med regelmæssige audits, pen-tests og opdaterede procedurer. Involvér hele organisationen — fra udviklere til ledelse — for datasikkerhed er kun så stærk som det svageste led. Jo tidligere du investerer i en solid sikkerhedskultur, jo bedre beskyttet er både dine brugere og din virksomhed.

Søren Nielsen
Søren Nielsen
Skribent & redaktør · CPHIO
Søren Nielsen er teknologistrateg med særlig fokus på digital transformation og innovationsprocesser i danske virksomheder. Han skriver om praktisk implementering af nye teknologier og hvordan digital udvikling påvirker både organisationer og samfund.

Relaterede artikler