Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
En afdelingschef i USA's største byggemarkedskæde, Home Depot, parkerede sin bil uden for sit hjem. I bilen lå hans bærbare pc. Det opdagede en forbipasserende tyv, og kort efter var pc'en væk. Det samme var navne, adresser og cpr-numre på godt 10.000 ansatte i Home Depot.
Historien er langt fra enestående. I USA er der inden for den seneste måned rapporteret ti tilfælde af forsvundne eller stjålne bærbare pc'er, der indeholdt personfølsomme oplysninger.
Når jeg holder foredrag, møder jeg da også en øget interesse for løsninger på problemet. Er der ikke en teknisk løsning, spørger folk. Og jo, der er en teknologi, som kan afhjælpe problemet. Men som altid, når det gælder it-sikkerhed, er det i højere grad et spørgsmål om processer og mennesker.
Hvorfor ligger der overhovedet oplysninger om 10.000 medarbejderes cpr-numre på en afdelingschefs pc? Har han virkelig brug for at have de oplysninger med sig, hvor han går og står? Hvis man i første omgang begrænser medarbejderes og lederes adgang til data, så de nøjes med dem, de reelt har brug for, mindsker man risikoen, hvis pc'en bliver stjålet.
Kodning beskytter
Lad os så sige, at afdelingschefen rent faktisk har brug for at have nogle fortrolige data på sin pc. Hvordan kan man så beskytte dem? I flere af sagerne fra USA oplyser de ansvarlige, at dataene var beskyttet med password. I praksis betyder det desværre ikke særlig meget. Et password beskytter kun mod tyve, der er ligeglade med de fortrolige data. Når de opdager, at pc'en er password-beskyttet, sletter de dens indhold og sælger den.
For tyve, der gerne vil kigge på data på pc'en, er et password derimod intet problem. Det er nemt at omgå, hvorefter de har fri adgang til alle data.
En mere sikker teknisk løsning hedder kryptering. Når man gemmer data på pc'en, bliver de kodet. Adgangen til den nøgle, der kan afkode data, er beskyttet med et password. Hvis man ikke kan gætte passwordet, kan man derfor ikke få adgang til dataene.
Flere af de it-folk, jeg har talt med, oplyser, at deres sikkerhedspolitik faktisk siger, at data på bærbare pc'er skal krypteres. Deres store problem er at få ført beslutningen ud i praksis. Det er ikke nødvendigvis enkelt, så jeg anbefaler, at man får konsulentbistand til at finde den rette løsning.
Oprindelig bragt i Børsen ITinnovation den 13. november 2007