Computerworld News Service: Det sker ofte, at en virksomhed eller en organisation mister en bærbar computer og dermed pludselig står i en situation, hvor den skal tage stilling til en række vitale sikkerhedsspørgsmål.
Et af de spørgsmål, der altid dukker op, er: Var systemets diske fuldt krypterede?
Nogle gange er svaret ja, men mange steder har man endnu ikke taget springet til fuld kryptering.
Michael Kamens, sikkerhedschef i amerikanske WGBH Educational Foundation, har stået i spidsen for et større krypterings-projekt i organisationen, der har involveret i hundredvis af computere.
Han er gennem projektet fået styr på det grundlæggende ved kryptering af både stationære og bærbare computere.
De tekniske udfordringer
Michael Kamens: Hvilke tekniske udfordringer vil der være, hvis it-afdelingen skal begynde helt fra bunden med kryptering?
"Det er et kæmpestort arbejde, fordi man skal have fingrene i hver eneste computer. Agenten skal skubbes ud, og så skal den konfigureres af brugeren. It-afdelingen skal desuden demonstrere for alle brugerne, hvordan man opsætter passphrase der giver computeren adgang til at komme forbi BIOS.
Derudover skal man være opmærksom på, at krypteringsprocessen tager mellem fire og seks timer, og at computerens hastighed vil være nedsat i perioden. Så det er en fordel at gøre et uden for de almindelige kontortimer.
Den mest almindelige fejl er nok, at folk glemmer at sørge for at indstille computeren til ikke at gå i dvale-tilstand, for det kan stoppe processen."
Hvilke compliance-fordele er der ved kryptering af stationære og bærbare computere?
Den primære fordel er, at en mistet bærbar computer, som 'måske' indeholder vigtig data, ikke vil kunne læses af andre end virksomheden og/eller ejeren selv. Det giver en sikkerhed og eliminerer risikoen for sikkerhedsbrud, da de færreste virksomheder i dag ved præcist hvilke informationer, der findes på hvilke computere.
Mac og Windows
Er der forskel på at kryptere Mac-computere og Windows-pc'er?
Der findes kun ganske få virksomheder, der tilbyder kryptering til Mac, og eftersom Apple ikke er god til at lege pænt med de andre børn på legepladsen, så kan leverandørerne ikke levere en single sign-on-løsning.
På en pc bliver man automatisk logget på netværket, når man har indtastet sin passphrase under opstarten. Men på en Mac skal man skrive sit krypterings-password, og først derefter bliver man præsenteret for netværkets log-in, som kræver en ny indtastning.
Derudover skal man sørge for, at alle styresystemer er kompatible under installationsfasen.
Man skal være opmærksom på, at det i dag kun er Intel-baserede Mac-maskiner, der kan krypteres. Det kan få betydning, hvis man er indehaver af eksempelvis power-pc'er."
Hvilke værktøjer skal man bruge?
Er der nogen grund til at vælge et tredjepartsværktøj, når leverandørerne har deres egne tilbud (som for eksempel Microsofts BitLocker til Windows 7)?
"Eftersom pc- og styresystems-leverandørernes tilbud (Apple og Microsoft) ikke er gearet til virkelig effektiv, centraliseret styring, bør man anvende en tredjeparts-leverandør.
Uden centraliseret styring er det ikke muligt på en nem måde at genfinde tabte passphrases eller få overblik over alle de krypterede computeres status.
Vi anvender PGP, og brugerne har det altså med at glemme deres PGP-passphrase.
Den centraliserede styringskonsol gør det muligt for os at få adgang til en 32-bit engangs-unlock-kode, som vi kan give til brugerne.
Sikkerheden er det vigtigste, og det betyder, at hver gang vi beder om en ny kode (koderne er forskellige for hver computer - der findes ingen universalkode), så kommer der en pop-up, som fortæller, at alle handlinger bliver sporet og gemt.
Prøv at forestil dig, hvis man ikke havde mulighed for at få sådan en unlock-kode. Så ville man skulle formatere computeren og geninstallere det hele hver gang."
De menneskelige udfordringer
Hvad er de menneskelige (i modsætning til de tekniske) udfordringer ved at kryptere bærbare og stationære computere?
"Man skal være hård - som i 'hvis du vil lege med, så skal du følge mine regler'. Kryptering er ikke frivillig hos os. Din computer skal krypteres, hvis din arbejdsfunktion er klassificeret til at tilhøre et bestemt sikkerheds-niveau.
It, HR, finans, jura og ledelse er alle i denne kategori sammen med de ansatte, der håndterer kreditkort og/eller arbejder med intellektuel ejendom og følsomme oplysninger."
Tager det lang tid?
Hvis det skal gøres rigtigt på en Windows- eller Mac-maskine, så vil jeg mener, at to supportere kan klare mellem 10 og 25 maskiner om dagen, så længe man har mulighed for at skubbe klienterne ud og for at dedikere ressourcerne.
I vores tilfælde brugte vi JAMF Softwares Casper og Microsofts System Center Configuration Manager til at skubbe klienten ud. Men man skal også regne med at skulle afsætte tid til oplæring af brugerne.
Nogle gode tips?
De fleste leverandører tilbyder en mulighed for at lave proof of concept. Vi brugte leverandørens dedikerede, hostede server i stedet for at bygge vores egen, og det gjorde det hele meget nemmere og hurtigere.
Man skal desuden sørge for på forhånd at planlægge, hvem der skal have krypteringen, så man får de rigtige licenser.
Jeg vil også mene, at det er helt essentielt at anvende leverandørens professionelle tjenester, hvis man skal gøre udrulningen til en succes - ellers skal man i hvert fald planlægge at bruge en masse tid på at ringe til support.
Husk at spørge leverandøren, om produktet kan samarbejde med de forskellige computere og få dem til at bevise det.
Og endelig skal man sørge for at arrangere optræning af brugerne, så man begrænser antallet af opkald til supporten.
Oversat af Marie Dyekjær Eriksen
