Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned i Børsen ITinnovation om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Det er godt at være social. Men man kan også blive for social. Så går det ud over sikkerheden.
Her tænker jeg på de såkaldte sociale netværk, der er hotte for øjeblikket. Tjenester som LinkedIn, Facebook og MySpace giver brugerne nye muligheder for at kommunikere og dele information. Men med nye muligheder følger også nye risici.
En central del af de nye tjenester er hver enkelt brugers personlige profil. Her er det nemt at finde sit CV frem fra den seneste jobsøgning og lægge det ind på siden. Men læs lige teksten igennem først. Hvis dit cpr-nummer optræder, skal det slettes. Du kan også overveje, hvor mange andre personlige oplysninger, du vil gøre tilgængelige for alverden.
Kalender er en anden tjeneste, man kan dele. Det gør det nemt at finde et ledigt mødetidspunkt. Men er du interesseret i, at andre skal vide, hvornår du holder ferie? Det kan være nyttig viden for indbrudstyve.
Ovenstående eksempler handler om den personlige sikkerhed. Men virksomheder har også grund til at være opmærksomme på risici i de nye netteknologier.
Industrispionage
Her handler det især om risikoen for at afsløre forretningshemmeligheder. Hvis en administrerende direktør i sin profil på LinkedIn angiver, at han er interesseret i at modtage jobtilbud, siger det måske noget om hans virksomheds forventninger til fremtiden.
Et element i de sociale netværk er de såkaldte blogs. En blog er en netdagbog, hvor man kan skrive om hvad som helst. Hvis man har en interesse, kan man her fortælle om den og dele den med andre.
Det gør mange mennesker. Også mange med tekniske job. Og naturligt nok fortæller de om de teknologier, som de anvender på arbejdspladsen. Her er der risiko for, at begejstringen for at diskutere en teknisk problemstilling gør, at medarbejderen kommer til at afsløre hemmeligheder om it-systemer, fabrikationsprocesser eller lignende.
Hvad kan man gøre ved det? For det første skal man blive opmærksom på, at risikoen findes. Derefter skal man afgøre, hvordan man vil håndtere den. Skal det indgå i ansættelseskontrakterne? Her er der sikkert allerede en klausul om fortrolighed.
Det handler snarere om at gøre medarbejderne opmærksomme på problemet. De skal informeres om, at fortrolighedsklausulen også gælder, når de sidder derhjemme om aftenen og diskuterer med ligesindede på nettet.
Og så er det en god ide at skrive reglerne for brug af sociale netværk ind i virksomhedens it-sikkerhedspolitik.
Oprindelig bragt i Børsen ITinnovation den 11. december 2007