Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Man kan ikke sikre sig mod, at bærbare pc'er bliver glemt eller stjålet. Men man kan gøre det svært at få adgang til de fortrolige oplysninger på dem.
På vej hjem fra et kundebesøg smutter revisoren ind på en café og får sig en sandwich. Det tager kun et kvarters tid. Men det er længe nok til, at en indbrudstyv når at bryde ind i hans bil og stjæle den bærbare pc, der ligger under forsædet.
Inklusive programmer udgør pc'en en værdi på 20.000 kroner. Alligevel bliver revisorens chef helt bleg, da han fortæller om tyveriet. På pc'en ligger nemlig regnskabsdata og andre oplysninger om revisionsfirmaets kunder. De er langt mere værd end de 20.000 kroner.
Den slags historier hører vi stadig flere af. En uofficiel opgørelse viser, at der sidste år blev anmeldt over 100 tilfælde af tab af fortrolige data. I år er der foreløbig set 200.
Tallene gælder hovedsagelig amerikanske firmaer. Det skyldes ikke, at de er mere sløsede med fortrolige data end andre. Men i USA har flere stater indført lovkrav om, at organisationer skal oplyse det, hvis de mister fortrolige data om personer eller virksomheder. Det sker, for at de ramte kan tage deres forholdsregler og for eksempel få spærret deres betalingskort.
Den stjålne eller glemte bærbare er en klassisk udgave af historien. I andre tilfælde mister virksomheder data ved hackerangreb.
Der er primært to måder, man kan bekæmpe problemet på: Man kan gøre det sværere for uvedkommende at få fat i data. Og man kan sikre, at data er ubrugelige i de forkerte hænder.
Den første metode virker bedst på netværk: Her kan man indføre forskellige kontrolsystemer, der hindrer uautoriseret adgang. Men det er umuligt at sikre, at bærbare pc'er ikke bliver glemt eller stjålet.
Den anden metode virker også på bærbare computere. Her krypterer man data. Det vil sige, at de bliver kodet, så de kun kan læses, hvis man har en bestemt nøgle.
Er data på din virksomheds bærbare pc'er krypteret? Ellers er det på tide at se på problemet. Husk også at spørge revisoren, hvordan han sikrer sine data. Hvis han hævder, at adgangen er beskyttet med password, er det ikke godt nok. Den kan let brydes – det kan en stærk kryptering ikke.
Oprindelig bragt i Børsen ITinnovation den 19. september 2006