Hvad er en kompenserende kontrol for kryptering af data i hvile?

En kompenserende kontrol er en alternativ sikkerhedsforanstaltning, der anvendes, når den primære kontrol, f.eks. kryptering af data i hvile, ikke kan gennemføres. Den skal give et sammenligneligt beskyttelsesniveau ved at adressere de samme risici, f.eks. datakonfidentialitet, hvis et lagringsmedie mistes eller bliver stjålet. Eksempler omfatter forebyggelse af datalækage (DLP), streng adgangsstyring og datamaskering.

Accepterer revisorer kompenserende kontroller for rammeværker som ISO/IEC 27001:2022?

Ja, revisorer accepterer veldokumenterede og effektive kompenserende kontroller. De forventer en formel risikovurdering, der begrunder behovet for kontrollen, revisionsbevis for, at den håndhæves konsekvent, f.eks. logfiler og rapporter, samt dokumentation for, at den effektivt reducerer den oprindelige risiko. Nøglen er at dokumentere en moden, risikobaseret tilgang — ikke blot en undskyldning for en kontrolmangel.

Hvordan relaterer kompenserende kontroller sig til GDPR-efterlevelse?

GDPR Article 32 kræver 'passende tekniske og organisatoriske foranstaltninger' til beskyttelse af personoplysninger. Kryptering er en anbefalet foranstaltning, men den er ikke strengt obligatorisk i alle tilfælde. Hvis kryptering af data i hvile ikke er mulig, kan et robust sæt kompenserende kontroller såsom pseudonymisering, datamaskering og streng adgangsovervågning bidrage til at dokumentere fornøden omhu og opfylde kravet om et passende sikkerhedsniveau.

Hvad er de mest almindelige faldgruber ved implementering af kompenserende kontroller?

Almindelige faldgruber omfatter utilstrækkelig dokumentation, manglende formel risikoaccept fra forretningsledelsen, implementering af kontroller, der ikke dækker alle trusselsvektorer, f.eks. oversete cloud-synkroniseringstjenester, samt manglende regelmæssig test af effektiviteten. En kontrol, der kun findes på papir, giver ingen reel beskyttelse og vil ikke tilfredsstille en revisor.

Kan forebyggelse af datalækage (DLP) reelt erstatte kryptering af data i hvile?

DLP erstatter ikke kryptering, men kan være en stærk kompenserende kontrol. Kryptering gør data ulæselige, hvis de bliver stjålet. DLP har til formål at forhindre, at data overhovedet bliver stjålet, ved at overvåge og blokere uautoriserede dataoverførsler. Når DLP kombineres med andre lag som streng adgangsstyring og fysisk sikring, skabes et stærkt forsvar, der kan give et beskyttelsesniveau, som for specifikke og dokumenterede anvendelsestilfælde er sammenligneligt med kryptering.

NIS2 DORA GDPR NIST COBIT 2019

Når kryptering af data i hvile ikke er mulig: en guide til robuste kompenserende kontroller for informationssikkerhedschefer

Clarysec Editors

November 25, 2025

18 min read

#Risikostyring #Revision #ISMS #Databeskyttelse #Kompenserende kontroller

Flowchart, der illustrerer informationssikkerhedschefens tretrinsproces for implementering af kompenserende kontroller for kryptering af data i hvile, herunder risikovurdering, lagdelte forsvar (DLP, datamaskering, adgangsstyring) og revisionsdokumentation på tværs af ISO 27001, GDPR og NIST-rammeværker.

Revisionskonstateringen landede på informationssikkerhedschef Sarah Chens skrivebord med et velkendt bump. En kritisk, indtægtsskabende legacy-database, som var det operationelle hjerte i virksomhedens produktionslinje, kunne ikke understøtte moderne kryptering af data i hvile. Den underliggende arkitektur var ti år gammel, og leverandøren var for længst ophørt med at levere sikkerhedsrettelser. Revisoren markerede den med rette som en væsentlig risiko. Anbefalingen lød: “Krypter alle følsomme data i hvile med brancheanerkendte algoritmer.”

For Sarah var dette ikke kun et teknisk problem; det var en krise for forretningskontinuiteten. En opgradering af systemet ville medføre måneders nedetid og millionomkostninger, hvilket bestyrelsen ikke ville acceptere. Men at efterlade store mængder følsom intellektuel ejendom ukrypteret var en uacceptabel risiko og en klar afvigelse fra virksomhedens ledelsessystem for informationssikkerhed (ISMS).

Dette scenarie er virkelighed i cybersikkerhed, hvor perfekte løsninger er sjældne, og efterlevelse ikke kan sættes på pause. Det opstår, når kritiske backupfiler lagres på ældre systemer, når en central SaaS-udbyder henviser til “tekniske begrænsninger”, eller når højtydende applikationer ikke kan fungere under krypteringens overhead. Lærebogssvaret “krypter det bare” kolliderer ofte med en vanskelig virkelighed.

Så hvad gør man, når den primære, foreskrevne kontrol ikke kan anvendes? Man accepterer ikke blot risikoen. Man opbygger et mere intelligent og robust forsvar med kompenserende kontroller. Det handler ikke om at finde undskyldninger; det handler om at dokumentere moden, risikobaseret sikkerhedsstyring, der kan modstå selv den mest kritiske revision.

Hvorfor kryptering af data i hvile er et krav med høj betydning

Kryptering af data i hvile er en grundlæggende kontrol i alle moderne sikkerhedsrammeværker, herunder ISO/IEC 27001:2022, GDPR Article 32, NIS2, DORA og NIST SP 800-53 SC-28. Formålet er enkelt, men kritisk: at gøre lagrede data ulæselige, hvis fysiske eller logiske forsvar svigter. Et bortkommet backupbånd eller en stjålet server med ukrypterede data er ikke blot en teknisk fejl; det er ofte et brud på persondatasikkerheden, der skal anmeldes efter lovgivningen.

Risiciene er klare og væsentlige:

Tyveri eller tab af bærbare medier som USB-drev og backupbånd.
Eksponering af data fra uadministrerede, glemte eller ældre enheder.
Manglende mulighed for at anvende indbygget disk- eller databasekryptering i specifikke SaaS-, cloud-, OT- eller legacy-kontekster.
Risici ved datagendannelse, hvis krypteringsnøgler mistes eller håndteres forkert.

Disse krav er ikke kun tekniske; de er retlige forpligtelser. GDPR Article 32 og DORA Articles 5 og 10 anerkender eksplicit kryptering som en “passende teknisk foranstaltning”. NIS2 fastlægger kryptering som en baseline for at sikre system- og informationsintegritet. Når dette primære forsvar ikke kan gennemføres, flyttes bevisbyrden til organisationen, som skal dokumentere, at de alternative foranstaltninger er lige så effektive.

Fra ét afkrydsningsfelt til lagdelt forsvar

Den umiddelbare reaktion på en revisionskonstatering som Sarahs er ofte panik. Men et velstruktureret ISMS forudser disse situationer. Sarahs første skridt var ikke at ringe til infrastrukturteamet; det var at åbne organisationens Politik for kryptografiske kontroller, et dokument udarbejdet med Clarysec’s enterprise-skabeloner. Hun gik direkte til den klausul, der dannede grundlag for strategien.

Ifølge Politik for kryptografiske kontroller beskriver afsnit 7.2.3 eksplicit processen for at definere:

“Specifikke kompenserende kontroller, der skal anvendes”

Denne klausul er en informationssikkerhedschefs bedste ven. Den anerkender, at en ensartet tilgang til sikkerhed ikke er tilstrækkelig, og den giver en godkendt vej til at håndtere risikoen. Politikken står ikke alene. Som anført i klausul 10.5 er den direkte knyttet til Politik for dataklassificering og mærkning, som “definerer klassificeringsniveauer (f.eks. Fortrolig, regulerede data), der udløser specifikke krypteringskrav.”

Denne sammenhæng er kritisk. Dataene i legacy-databasen var klassificeret som “Fortrolig”, og derfor blev manglende kryptering markeret. Sarahs opgave var nu klar: at opbygge et forsvar af kompenserende kontroller, der var så robust, at eksponeringsrisikoen blev reduceret til et acceptabelt niveau.

Udformning af en forsvarlig strategi med Zenith Blueprint

Kryptering er en hjørnesten i moderne sikkerhed, men som Clarysec’s Zenith Blueprint: en revisors 30-trins køreplan forklarer i trin 21, handler Control 8.24 Use of Cryptography ikke blot om at “slå kryptering til”. Det handler derimod om at “indlejre kryptografi i organisationens design, politik og livscyklusstyring.”

Når én del af designet, legacy-databasen, fejler, skal politik- og livscyklusaspekterne kompensere. Sarahs team brugte denne styringsramme til at designe et flerlaget forsvar, der tog udgangspunkt i at forhindre data i nogensinde at forlade deres sikre, om end ukrypterede, container.

Kompenserende kontrol 1: Forebyggelse af datalækage (DLP)

Hvis man ikke kan kryptere data dér, hvor de ligger, skal man sikre, at de ikke kan forlade miljøet. Sarahs team implementerede en løsning til forebyggelse af datalækage (DLP), der fungerede som en digital vagt. Det var ikke en simpel netværksregel, men en avanceret, indholdsbevidst kontrol.

Ved hjælp af Clarysec’s Zenith Controls: guiden til tværgående efterlevelse konfigurerede de DLP-systemet baseret på vejledningen for ISO/IEC 27001:2022 control 8.12 Data leakage prevention. Reglerne var direkte informeret af 5.12 Classification of information. Alle data, der matchede skemaerne for de “Fortrolig”-klassificerede oplysninger i legacy-databasen, blev automatisk blokeret fra at blive overført via e-mail, webuploads eller endda kopieret og indsat i andre applikationer.

Som Zenith Controls forklarer:

“Forebyggelse af datalækage (DLP) afhænger grundlæggende af præcis dataklassificering. Control 5.12 sikrer, at data mærkes efter følsomhed… DLP er en specialiseret form for løbende overvågning, der målrettes databevægelser… 8.12 kan håndhæve krypteringspolitikker for data, der forlader organisationen, og dermed sikre, at data forbliver ulæselige for uautoriserede parter, selv hvis de eksfiltreres.”

Denne kontrol anerkendes på tværs af flere rammeværker og kortlægges til GDPR Art. 32, NIS2 Art. 21, DORA Art. 10 og NIST SP 800-53 SI-4. Ved at implementere den skabte Sarahs team en stærk beskyttelseszone, der sikrede, at de ukrypterede data forblev isolerede.

Kompenserende kontrol 2: Datamaskering til ikke-produktionsmiljøer

En af de største risici ved legacy-data er brugen af dem i andre miljøer. Udviklingsteamet havde ofte brug for data fra produktionssystemet til at teste nye applikationsfunktioner. At give dem ukrypterede, fortrolige data var udelukket.

Her brugte Sarah trin 20 i Zenith Blueprint, som dækker 8.11 Data masking. Guiden bemærker, at revisorer vil spørge direkte: “Bruger I nogensinde reelle personoplysninger i testsystemer? Hvis ja, hvordan beskyttes de?”

Efter denne vejledning implementerede Sarahs team en streng procedure for datamaskering. Ethvert dataudtræk, som udviklingsteamet anmodede om, skulle gennem en automatiseret proces, der pseudonymiserede eller anonymiserede følsomme felter. Kundenavne, proprietære formler og produktionsmålinger blev erstattet med realistiske, men fiktive data. Denne ene kontrol fjernede en stor angrebsflade og sikrede, at de følsomme data aldrig forlod det stærkt kontrollerede produktionsmiljø i deres oprindelige form.

Kompenserende kontrol 3: Hærdede fysiske og logiske kontroller

Da datalækage og brug i ikke-produktionsmiljøer var adresseret, fokuserede det sidste forsvarslag på selve systemet. Med udgangspunkt i principperne fra 7.10 Storage media i Zenith Controls behandlede Sarahs team den fysiske server som et aktiv med høje sikkerhedskrav. Selvom 7.10 ofte forbindes med flytbare medier, kan principperne om livscyklusstyring og fysisk sikring anvendes fuldt ud her.

Som Zenith Controls bemærker om dette emne:

“ISO/IEC 27002:2022 giver omfattende vejledning under Clause 7.10 om sikker styring af lagringsmedier gennem hele deres livscyklus. Standarden anbefaler, at organisationer fører et register over alle flytbare medier…”

Med denne logik blev serveren flyttet til et særskilt, aflåst rack i datacenteret, som kun to navngivne senioringeniører havde adgang til. Fysisk adgang krævede indskrivning og blev overvåget med CCTV. På netværkssiden blev serveren placeret i et segmenteret VLAN til legacy-systemer. Firewallregler blev konfigureret til som standard at afvise al trafik, med én enkelt eksplicit regel, der kun tillod kommunikation fra den udpegede applikationsserver på en bestemt port. Denne stærke isolering reducerede angrebsfladen markant og gjorde de ukrypterede data usynlige og utilgængelige.

Mødet med revisionen: præsentation af en forsvarlig strategi fra flere perspektiver

Da revisoren vendte tilbage til opfølgningen, fremlagde Sarah ikke undskyldninger. Hun fremlagde en samlet risikobehandlingsplan med dokumentation, logfiler og live-demonstrationer af teamets kompenserende kontroller. En revision er ikke en enkeltstående hændelse; det er en dialog, der vurderes gennem forskellige perspektiver, og en informationssikkerhedschef skal være forberedt på dem alle.

ISO/IEC 27001-revisorens perspektiv: Revisoren ønskede at se driftsmæssig effektivitet. Sarahs team demonstrerede, at DLP-systemet blokerede en uautoriseret e-mail, viste datamaskeringsscriptet i drift og fremlagde logfiler for fysisk adgang krydshenviste med arbejdssager.

GDPR- og databeskyttelsesperspektivet: Revisoren spurgte, hvordan dataminimering blev håndhævet. Sarah viste de automatiserede scripts til sikker sletning af cachelagrede data og pseudonymiseringsprocessen for alle data, der forlod produktionssystemet, i overensstemmelse med GDPR Article 25 (databeskyttelse gennem design og standardindstillinger). Politik for kryptografiske kontroller for SMV’er tildeler eksplicit DPO’en ansvaret for at “sikre, at krypteringskontroller er i overensstemmelse med databeskyttelsesforpligtelser efter Article 32 i GDPR.”

NIS2/DORA-perspektivet: Dette perspektiv fokuserer på operationel robusthed. Sarah fremlagde resultater fra backup- og gendannelsestest for det isolerede system samt leverandørens sikkerhedstillæg for legacy-softwaren, hvilket dokumenterede proaktiv risikostyring som krævet efter NIS2 Article 21 og DORA Article 9.

NIST/COBIT-perspektivet: En revisor, der anvender disse rammeværker, leder efter styring og målepunkter. Sarah fremlagde det opdaterede risikoregister, som viste formel accept af restrisikoen (COBIT APO13). Hun kortlagde DLP til NIST SP 800-53 SI-4 (systemovervågning), netværkssegmentering til SC-7 (beskyttelse af systemgrænser) og adgangsstyring til AC-3 og AC-4. Dermed dokumenterede hun, at selv om SC-28 (beskyttelse af oplysninger i hvile) ikke var opfyldt direkte, var et ækvivalent sæt kontroller implementeret.

Centralt revisionsbevis for kompenserende kontroller

For at kommunikere strategien effektivt forberedte Sarahs team revisionsbevis målrettet det, revisorer typisk efterspørger.

Revisionsperspektiv	Krævet revisionsbevis	Almindelig revisionstest
ISO/IEC 27001	Poster i risikoregister, politikundtagelseslogs, DLP-regler, fortegnelser over lagringsmedier	Gennemgå risiko-/undtagelseslogfiler, anmod om logfiler over DLP-handlinger; spor mediernes livscyklus.
GDPR	Procedurer for datamaskering, beredskab til underretning ved brud, registreringer for datasletning	Gennemgå eksempeldatasæt (maskerede vs. ikke-maskerede), test DLP-udløsere, simuler et brudsscenarie.
NIS2/DORA	Resultater fra backup-/gendannelsestest, leverandørsikkerhedsvurderinger, hændelseshåndteringsøvelser	Simuler et forsøg på dataeksport; gennemgå processer for håndtering af backups; test DLP-kontroller på kritiske data.
NIST/COBIT	Tekniske overvågningslogfiler, dokumentation for politikintegration, medarbejderinterviews	Simuler dataeksfiltrering, sammenlign politik med procedure, interview centrale dataforvaltere og systemejere.

Ved at forudse disse forskellige perspektiver vendte Sarah en potentiel afvigelse til dokumentation for sikkerhedsmodenhed.

En praktisk opsummering til din næste revision

For at gøre strategien klar og forsvarlig udarbejdede Sarahs team en oversigtstabel i risikobehandlingsplanen. Det er en tilgang, enhver organisation kan anvende.

Risiko	Primær kontrol (ikke mulig)	Strategi for kompenserende kontroller	Clarysec-ressource	Revisionsbevis
Uautoriseret videregivelse af data i hvile	Fuld diskkryptering (AES-256)	1. Forebyggelse af datalækage (DLP): Overvåg og bloker alle uautoriserede forsøg på dataeksfiltrering baseret på indhold og kontekst.	Zenith Controls (8.12)	Konfiguration af DLP-politik, alarmlogfiler, hændelseshåndteringsprocedurer.
		2. Streng logisk adgangsstyring: Isoler serveren i et segmenteret netværk med “deny-all”-firewallregler og stærkt begrænset adgang for servicekonti.	Zenith Controls (8.3)	Netværksdiagrammer, firewallregelsæt, gennemgang af brugeradgang, politik for legitimationsoplysninger til servicekonti.
		3. Forstærket fysisk sikring: Placér serveren i et særskilt, aflåst rack med logget og overvåget fysisk adgang.	Zenith Controls (7.10)	Adgangslogfiler for datacenter, registreringer af CCTV-optagelser, udleveringsskemaer for racknøgler.
Brug af følsomme data i ikke-produktionsmiljøer	Kryptering af testdatakopier	Datamaskering: Implementér en formel procedure til at pseudonymisere eller anonymisere alle dataudtræk før brug i test eller udvikling.	Zenith Blueprint (Step 20)	Formelt dokument for datamaskeringsprocedure, demonstration af maskeringsscripts, eksempel på maskeret datasæt.

Tværgående efterlevelse i overblik

En stærk strategi for kompenserende kontroller er forsvarlig på tværs af alle større rammeværker. Clarysec’s Zenith Controls leverer krydskortlægningen, der sikrer, at dine forsvar forstås og accepteres bredt.

Rammeværk	Central klausul/reference	Hvordan kompenserende kontroller anerkendes
ISO/IEC 27001:2022	8.24, 7.10, 8.12, 8.11, 5.12	En risikobaseret tilgang giver mulighed for alternative kontroller som DLP, styring af lagringsmedier og datamaskering, når det kan begrundes.
GDPR	Art. 5(1)(f), 25, 32	Kræver “passende” tekniske foranstaltninger; pseudonymisering, adgangsstyring og DLP kan opfylde dette, hvis kryptering ikke er mulig.
NIS2	Art. 21, 23	Pålægger en risikobaseret tilgang; lagdelte kontroller som DLP, backupbeskyttelse og leverandørkontroller er gyldige risikobehandlinger.
DORA	Art. 5, 9, 10, 28	Lægger vægt på operationel robusthed; DLP, adgangsstyring og robust logning er centrale for beskyttelse af finansielle data, med eller uden kryptering.
NIST SP 800-53	SC-28, MP-2 to MP-7, AC-3/4, SI-4	Tillader kompenserende kontroller; DLP (SI-4), adgangsbegrænsninger (AC-3) og mediesporing (MP-serien) kan adressere risiciene ved ukrypterede data.
COBIT	DSS05, APO13, MEA03	Fokuserer på styring og måling; dokumenteret risikoaccept (APO13) og overvågning af kompenserende kontroller (MEA03) dokumenterer fornøden omhu.

Konklusion: Gør det svageste led til en styrke

Historien om legacy-databasen, der ikke kunne krypteres, er ikke en historie om fiasko. Det er en historie om moden og intelligent risikostyring. Ved at nægte at acceptere et simpelt “det kan ikke lade sig gøre” forvandlede Sarahs team en væsentlig sårbarhed til en demonstration af organisationens defense in depth-kapacitet. De dokumenterede, at sikkerhed ikke handler om at sætte flueben i én boks med teksten “kryptering”. Det handler om at forstå risikoen og opbygge et gennemtænkt, lagdelt og revisionsbart forsvar, der reducerer den.

Din organisation vil uundgåeligt få sin egen version af denne legacy-database. Når du finder den, skal du ikke se den som en stopklods. Se den som en mulighed for at opbygge et mere robust og forsvarligt sikkerhedsprogram.

Klar til at opbygge din egen robuste og revisionsklare kontrolramme? Start med det rette fundament.

Gennemgå dit politikøkosystem med Clarysec’s omfattende politikværktøjspakker.
Udforsk The Zenith Blueprint: en revisors 30-trins køreplan som støtte til din implementering.
Brug Zenith Controls: guiden til tværgående efterlevelse til at sikre, at dine forsvar kan modstå kritisk gennemgang fra alle vinkler.

Kontakt Clarysec for en skræddersyet workshop eller en fuld vurdering af tværgående efterlevelse. For i dagens regulatoriske landskab er forberedelse den eneste kontrol, der virkelig tæller.

Referencer:

Frequently Asked Questions

About the Author

Igor Petreski

Compliance Systems Architect, Clarysec LLC

Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council