Sascha Hegner Specht har arbejdet i teaterbranchen siden 2005 både som producent, som teaterchef på egnsteatre og senest som IT-manager. Teateravisen mødte Sascha til en snak om teatrenes digitale sikkerhed, og hvad de skal være opmærksomme på i forhold til deres hjemmeside, data og billetsalg.
Det er vigtigt, at teatrene også tænker det digitale ind i deres planer, for det kan få konsekvenser for det kunstneriske, påpeger Sascha.
– Hvad er det teatrene skal gardere sig imod?
»De sidste år er truslen for hackerangreb i teaterbranchen forøget markant. Branchen er meget sårbar, blandt andet fordi der ikke bliver taget ejerskab over data og digitale systemer i de enkelte teatre.«
»Efter coronakrisen og med en krig i Europa er billedet kun blevet værre. Man er blandt andet oppe imod noget, der hedder crime-as-a-service, som er veletablerede virksomheder, der lever af at sælge programmer til kriminelle designet til at hacke. Det er hr. og fru. Danmark, det er bittesmå virksomheder som teatrene og det er giganter som Mærsk.«
Det kan for eksempel vise sig i phishing-mails, som Sascha har set flere eksempler på.
»Det kan ligne en mail fra chefen, der skriver til en medarbejder, om vedkommende lige kan betale den vedlagte faktura. De gennemgår hjemmesiden og finder ud af, hvem er medarbejdere, og hvem er chef. De ved, hvornår der er ferie i Danmark, så man ikke sidder ved siden af hinanden på kontoret.«
Derfor er det vigtigt, at arbejdspladsen italesætter, hvordan man håndterer den slags situationer i organisationen. For eksempel ved at fastslå, at man altid ringer, hvis det handler om fakturabetaling.
Lammende låsning af data
– Hvad kan hackerne få ud af teatrene?
»Kroner og øre. Der er rigtig mange teatre, der tænker, at de ikke har noget af værdi. Men det er en milliardforretning, som lammer dig ved at låse dine data, og så skal du betale eller starte helt fra bunden. Langt de fleste ender med at betale, fordi det simpelthen er for dyrt og omstændeligt at lade være, eller fordi de slet ikke har backup af deres data.«
– Hvad kan teatrene gøre?
»De kan tage ejerskab over deres digitale infrastruktur og sørge for at tænke frem i tiden. Når der bliver lagt repertoire for en sæson, så læg repertoire for jeres it-systemer. Sørg for at tænke det ind i økonomien – mange har gamle servere, og det kan altså koste op til 100.000 at få en ny server installeret. Overvej om du skal fortsætte på server, eller om du skal på en cloud-løsning, så du ikke pludselig får en stor regning ved en udskiftning.«
»Sørg for at lave backup. Meget kritisk data bør ligge i en offline-version også, for det kan hackerne ikke få adgang til. Vurdér hvor ofte du f.eks. bør overføre de mest følsomme data til en ekstern harddisk.«
Sascha kender til hverdagen på teatrene og ved, at mange bruger deres private computere, oftest af økonomiske årsager, og det er også en risiko. Derfor er det vigtigt at have klare retningslinjer: »Teatrene skal stille krav til, hvordan man tilgår virksomhedens data. Der skal være adgangskode på computeren eller telefonen, to-faktor-godkendelse, og adgangskoder må ikke genbruges.«
Lav en plan over infrastrukturen
– Hvordan tager man ejerskab over den digitale infrastruktur, hvis man ikke er teknisk kyndig?
»Man skal ikke nødvendigvis have uddannede IT-teknikere ansat. Der er nogle af de mest basale ting, som de administrative medarbejdere sagtens kan sætte sig ind i.
Der findes rigtig mange gode hjemmesider (se faktaboks), hvor man hurtigt kan få overblik over de vigtigste ting. Det kræver selvfølgelig, at man sætter sig ind i det. Det kan også være, at man skal afsætte nogle ressourcer til, at en IT-konsulent gennemgår de vigtige ting med medarbejderne.«
»Man kunne afholde en workshop årligt, hvor en konsulent kommer ud og forklarer, hvad man bør være opmærksom på. Det tror jeg vil gavne mange teatre. Det skal være en del af driften, vi laver markedsføring, lav også en plan over infrastruktur.«
Derfor er det vigtigt at kende til GDPR
– Hvad er GDPR – og hvorfor er det vigtigt at kende til?
»GDPR er et europæisk forsøg på at skabe en større sikkerhed over vores persondata generelt. Det er en forordning, der også er med til at gøre os alle sammen opmærksomme på, hvor sårbare vi er, og hvor meget vi faktisk deler ud af vores personoplysninger.«
»Det er jo også en lovgivning, så du bryder loven, hvis du ikke overholder reglerne. Og du risikerer en bøde på 4% af din omsætning.«
– Hvad skal der til for at bryde GDPR-lovgivningen?
»For eksempel at du ikke overholder sletteregler eller at du behandler data uden et formål. Hvis du ikke har oplyst, at det registrerede bliver sendt til et tredje land, så er det i princippet lovbrud. Der er ikke mange eksempler endnu, hvor det er endt med bøder i Danmark, men mange gange er det ikke bøden, der er problemet, det er pålægget om at lave ting om, som kan have store omkostninger.«
»Jeg blev kontaktet for halvandet år siden af et teater, hvor der var en billetkøber, der havde klaget, og det er faktisk det eneste, der skal til. Klagen drejede sig om, at man skulle afgive sin postadresse ved billetkøb til trods for, at billetten skulle tilsendes på mail. Det er begyndt at ske, fordi vi alle er blevet mere opmærksomme på, hvor meget vi deler ud af vores data hele tiden.«
Hvis en billetkøber klager til datatilsynet, kan teatrene havne i en undersøgelse. Ifølge Sascha er det nok den mest sandsynlige anledning til, at et teater skulle få Datatilsynet på nakken. Men det kan også ske på tilsynets eget initiativ eller ved et eventuelt databrud, som man har pligt til at melde til datatilsynet.
Ansvarlig behandling af data
– Hvordan kan teatrene minimere videregivelse af data?
»Når teatret får lavet en hjemmeside, så stil de rigtige spørgsmål til udvikleren. Bliver der lagt cookies? Hvem får dem? Mange har Google Analytics liggende uden at bruge den.«
»Vi har stor tillid til systemerne i Danmark, så der er mange teatre og små virksomheder, der ikke har haft fokus på det. Så det er jo ikke af ond vilje, at de videregiver deres hjemmesides besøgendes søgehistorik til Google. Det er manglende viden.«
»Der er mange teatre, der ikke helt har forstået, at de er ansvarlige for behandlingen af data. De har en billetudbyder, det kan være Ticketmaster, Billetto osv. som databehandler, men i sidste ende er arrangøren ansvarlig og skal give instruks til billetudbyderen. Det er tydeligt i billetlandskabet generelt, at det kniber med at få overholdt forordningen.«
»Sletning er også vigtigt i tilfælde af, at man bliver hacket. Der er jo teatre, der ligger inde med data på publikum tyve år tilbage. Og det er altså et stort register en eller anden hacker kan få fingre i. Det er navn, adresse, mailadresse, telefonnummer, og de bliver solgt på det sorte marked.«
»GDPR-forordningen stiller krav til, at man har en ansvarlig behandling af data. Man skal eksempelvis føre tilsyn med sin databehandler, og her står mange af, for de ved slet ikke, hvordan de skal gøre. Men det kan man gøre ved at lave et spørgeskema eller en tro- og loveerklæring til databehandleren, som kan skrive under på, at dataene f.eks. slettes efter to år. Måske har de det fuldstændig automatiseret, måske ikke.«
– Hvor tit skal man slette data?
»Du må ikke behandle data, længere end det er nødvendigt for at udføre formålet, der er oplyst med behandlingen. Formålet med behandlingen er altså afgørende for, hvornår man skal slette data. Uanset formål, skal du dog have lovhjemmel til behandlingen.«
– Hvad er lovhjemmel?
»Mange vil gerne vide, hvor i landet deres publikum kommer fra. Ikke nødvendigvis vejnavn, men by, så lovhjemmel for behandling af postnummer vil være legitim interesse med det formål at føre statistik. Så kan man jo efterfølgende vælge at anonymisere det, så navn f.eks. ikke er koblet sammen med vejnavn.«
»I princippet – hvad skal du bruge publikums telefonnumre og mail til, når forestillingen er slut? Man skal overveje, hvad der er nødvendigt, og hvad der er overflødigt.«
Hermed en klar opfordring til teatrene om at tage ejerskab over deres digitale infrastruktur og sikkerhed samt nogle konkrete tips til, hvor man kan starte.