Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Små bærbare enheder gør det let at tage virksomhedens fortrolige data med hjem. Og næsten hver tredje chef udnytter muligheden.
Det fremgår af en undersøgelse, som softwarehuset Hummingbird har fået foretaget blandt 1.385 forretningsfolk. 29 procent af lederne indrømmer, at de tog fortrolige data med, da de forlod deres tidligere arbejdsplads.
En fjerdedel af disse datatyverier foregik ved hjælp af små bærbare apparater: Musikafspillere af iPod-typen eller USB-nøgleringe.
Hvad er det så for informationer, folk tager med sig på vej til det nye arbejde? Mange af dem er ikke særlig vigtige. Det kan dreje sig om dokumentation af firmaets produkter, undervisningsmaterialer og lignende.
Mere kritisk bliver det, når det handler om økonomiske nøgletal eller kundekartoteket.
Beskyt fortroligheden
Der er to sider af denne sag: Tyveriet af fortrolige data og de små apparater, der gør tyveriet let. Det første emne er forhåbentlig allerede dækket i dit firmas ansættelseskontrakter og sikkerhedspolitik: Naturligvis er medarbejderne underlagt en form for fortrolighedsklausul, og den omfatter også digitale data.
Reglerne er altså på plads. Næste skridt bliver at sikre, at de overholdes. Her kan man synliggøre emnet ved for eksempel at gøre det forbudt at tilslutte iPods og lignende musikafspillere til virksomhedens pc'er.
Udarbejd en politik
I praksis vil sådan et forbud dog være svært at håndhæve. Et bedre sted at sætte ind er derfor i de systemer, der indeholder de data, virksomheden ønsker at beskytte. Her handler det om at styre adgangen til informationer.
Dels skal man afgøre, hvem der må se hvilke informationer. Dels skal man kunne finde ud af, hvem der har set hvad hvornår. Det sidste er ofte det springende punkt: Mange systemer savner et revisionsspor, så man kan følge, hvornår informationerne bliver læst.
De små bærbare apparater indebærer også sikkerhedsrisici, selvom de bruges helt lovligt: De er så små, at man nemt taber dem. Og hvad nu, hvis man lige havde kopieret næste kvartalsbudget over på den tabte USB-nøgle?
En metode til at beskytte data på her er via kryptering. Så bliver data på USB-nøglen kodet, så de kun kan læses, hvis man kender koden.
Hvilken politik har din virksomhed for små apparater og fortrolige data? Og hvad ligger der på din egen iPod eller PDA?
Oprindelig bragt i Børsen ITinnovation den 24. oktober 2006