Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
mobil sikkerhed: Det stigende forbrug af mobilt udstyr i virksomheder udgør et nyt trusselsbillede mod interne systemer og fortrolige data.
I sommeren 2001 måtte talsmanden for det amerikanske forbundspoliti, FBI, træde frem for pressen og med røde ører meddele, at 184 af myndighedens bærbare pc'er ikke kunne lokaliseres. Flere af dem indeholdt følsomme oplysninger, men ingen kunne sige, hvor de var, eller hvem der havde fået adgang til dem.
Selv om de færreste virksomheder har oplysninger om organiseret kriminalitet eller lignende gemt på deres bærbare pc'er, er historien et godt eksempel på en ny virkelighed, som flere og flere virksomhedsledere må tage stilling til i takt med, at de udstyrer deres medarbejdere med mobile enheder.
Gartner Research forudsiger, at 40 procent af alle virksomhedernes data vil være lagret på bærbare enheder i 2005. Så hvad enten der er tale om at give medarbejderne PDA'er, bærbare pc'er eller smartphones med PDA-funktionaliteter, er det en realitet, at sikkerhedspolitikken skal revideres, hvis virksomhedens data skal forblive ukompromitteret.
Ind og ud
Sikkerhedspolitikken for mobile enheder kræver revidering, fordi enhederne flytter data ud og ind af virksomhedens fysiske lokaliteter. De er - i mangel af et bedre ord - mobile. Og ikke bare bevæger data sig ud af virksomheden, enhederne bliver samtidig brugt på en lang række steder, der absolut ikke kan betegnes som sikre omgivelser. For eksempel på cafÈ, i toget eller ved diverse hotspots rundt omkring. For at gøre sikkerhedssituationen endnu mere miserabel har enhederne en størrelse og form, der gør det nemt at få dem stjålet eller glemme dem.
Det er rigtig nemt at glemme mobilen under servietten. Det, der bliver glemt, kan være alt lige fra passwords til virksomhedens intranet, kundedatabaser, dokumenter, regneark - listen er lige så lang, som enhedernes lagringskapacitet efterhånden er stor.
- At tage en PDA fyldt med virksomhedsdata ud i den virkelige verden svarer til, at man fylder en grøn affaldscontainer med vigtige dokumenter og kører den ud af hovedindgangen. Hvis du forsøgte containertricket, ville du uden tvivl blive stoppet. Har du de samme dokumenter liggende på din PDA i inderlommen, er der ingen, der spørger, hvad du laver, siger nordisk ansvarlig for forretningsudvikling hos IBM, Frank Papsø.
Ubeskyttet
Men ifølge branchefolk og analytikere skal virksomhederne til at stille spørgsmål. Hvem har en mobilenhed? Hvad har de liggende på den? Hvordan bruges den uden for virksomheden? Hvordan er den sikret? Og hvad sker der, hvis den bliver væk, eller ejermanden bliver fyret?
Der skal etableres en "mobile device management"-politik, eller på godt dansk en plan til håndtering af de mobile enheder, og en strategi, der sørger for, at planen bliver fulgt. At overlade selv simple sikkerhedsspørgsmål, som at aktivere passwordfunktionen til medarbejderen, betyder, at virksomheden gambler med sikkerheden. Det sker oven i købet med nogle dårlige odds.
En ny amerikansk undersøgelse, "The PDA usage Survey 2003" fra ComputerWeekly og Reed Exhibitions, viser, at en tredjedel af de 258 adspurgte overhovedet ikke beskytter de forretningsinformationer, der er lagret på deres PDA'er, hvad enten der er tale om dokumenter, passwords eller kontaktinformationer.
Teleanalytiker Torben Rune fra Netplan A/S er blandt de, der efterspørger mere opmærksomhed på mobilsikkerhed.
- Hvis du lægger dit kundekartotek på en mobil enhed og mister den, kan du være heldig, at det bliver slettet, eller at den dukker op igen. Hvis enheden har været ude af dine hænder, må du som udgangspunkt gå ud fra, at dine data og kundeoplysninger er blevet kompromitteret, og tage stilling til, hvordan det kan påvirke din forretning, siger han.
Også hos sikkerhedsvirksomheden Protego opfordrer man til større bevidsthed hos virksomhederne.
- De fleste tyverier er berigelseskriminalitet, hvor tyvens mål er enheden snarere end de informationer, der ligger på den. Men hvis chefen mister sin mobil eller PDA, er det da en ganske attraktiv ting for virksomhedens konkurrenter at få fat på, siger teknisk chef Peter Vestergaard.
Sikring
Der findes en lang række softwareløsninger til mobile device management. Blandt andet fra IBM, Mobile Automation og Xcellenet. Systemerne understøtter brugeradministration, rettigheder, udstyrslogistik og kombinerer det med forskellige tilgange til sikkerhed og til de situationer, hvor den mobile enhed er gået tabt.
Eksempelvis kan en mistet enhed automatisk få ændret brugerstatus, første gang den forbindes til netværket efter eksempelvis et tyveri. På den måde bliver der lukket for tilgangen til virksomhedens data. Et alternativ er en installeret timer, der sørger for, at systemet bliver lukket eller data slettet, hvis enheden ikke har været online i 36 timer.
Device management-løsninger gør det imidlertid ikke alene. En vigtig pointe er, at der ingen data er at hente, hvis der ingen adgang er. Derfor er det mest logiske sted at starte sikkerhedstogtet ved identifikation af brugeren.
Der er forskellige tekniske muligheder til rådighed. Alle mobile enheder har mulighed for brug af password, og som det gælder for de stationære enheder, er tricket ikke at vælge den lette løsning med 1234, hundens farve eller konens navn.
Firmaer som PointSec tilbyder en grafisk løsning til PDA'er, hvor adgangskoden består af en kombination af små ikoner i stedet for ord. Asynkront logon eller tokens er en alternativ eller supplerende tilgang til identifikation. Her er adgangskoden lagret på en fysisk enhed, der er adskilt fra den mobile enhed eller som en softwaregenereret kode, der konstant ændrer sig.
I fremtiden vil biometriske løsninger formodentlig vinde større indpas på de mobile enheder. Sidste år lancerede HP en version af Ipaq, hvor brugeren identificerede sig ved hjælp af et fingeraftryk og et indtastet password.
- Tommelfingerreglen ved sikker mobil identifikation er, at du skal vælge en løsning, hvor du kan bruge to ud af tre i følgende remse: Noget du ved, for eksempel et password, kombineret med noget du har, eksempelvis et token, eller noget du er, som kunne være et fingeraftryk, siger Peter Vestergaard.
Ud over at forhindre uautoriseret adgang til den mobile enhed står virksomhederne også over for at skulle sikre integriteten af de data, der er lagret på enheden, og der findes en lang række krypteringsløsninger og produkter, der gør præcis det.
- Folk har en tendens til at tænke: Åh nej, nu skal vi ud og investere i krypteringsløsninger, og det er dyrt og besværligt. Men realiteten er, at maskiner med Windows 2000 eller nyere operativsystem allerede har en indbygget kryptering. De eneste, der skal bekymre sig om det, er it-afdelingen, som sætter det op. For brugerne er og bør det være usynligt. Kompetence i din it-afdeling er nøglen til en effektiv og brugervenlig kryptering, siger han.
Også de mobile operativsystemer som Palm OS og Windows Mobile 2003 har indbygget mulighed for kryptering af data. Mens det ikke nødvendigvis er standard ved leverancen, er der også krypteringsløsninger til rådighed for de intelligente mobiltelefoner, såkaldte smartphones, der i stigende grad overtager mange af PDA'ens funktoner. Blandt andet kan man til Nokias Communicator-serie få en 128 bit krypteringsløsning fra F-Secure eller den mindre løsning Datasecurity fra Devicera.
Spørgsmålet er, om man skal øge styrken for krypteringen på de enheder, der befinder sig ude i marken.
- For nogle vil en 56-bit-kryptering være nok, men du skal spørge dig selv, hvor lang tid du ønsker dine data skal være hemmelige og handle derefter. Det er i praksis lykkedes at bryde en 56-bit-kryptering på 22 timer og 15 minutter ved en yderst dedikeret indsats og meget stor computerkraft. En styrkelse til 112 eller 128 bit gør det i praksis stort set umuligt at bryde krypteringen, siger Peter Vestergaard.
Varmt punkt
Mens kommunikationen fra mobiltelefoner som standard er krypteret via GSM-standarden, og både PDA'er og bærbare pc'er kan sættes op til sikker VPN-kommunikation, er der nu dukket en ny sikkerhedstrussel op i landskabet. Wi-Fi er igennem lang tid blevet kritiseret for at stå pivåbent, og bedst som nye og mere sikre trådløse standarder så småt tages i brug, dukker hotspots så op.
Den gode nyhed ved hotspots er, at medarbejderne nu kan øge effektiviteten ved at arbejde online fra lufthavne eller cafeer. Den dårlige er, at det giver hackere og andre ondsindede nye muligheder for at bryde ind i computeren. Også her er en VPN-løsning svaret, hvis virksomhederne ønsker øget sikkerhed, men arbejdes der uden VPN, skal brugeren tage forholdsregler .
- Bekymringerne i forbindelse med trådløs kommunikation har før drejet sig om tilfældig opsamling af data, og vi kender alle historierne om hackergrupper, der kører rundt og sætter mærker på bygninger, hvor det er nemt at bryde ind i det trådløse netværk. Med hotspots er der kommet en ny trussel. Selv om kommunikationen foregår i en virtuel tunnel krypteret efter WEP-standarden, kan en person, der sidder ved siden af, hacke pc'en og få adgang til rene data via denne tunnel. For at undgå dette, skal brugeren tage de sædvanlige forholdsregler: Lukke for unødvendige services, installere et antivirus-produkt samt sikkerhedsopdateringer. Følger man disse regler, er en personlig firewall ikke tvingende nødvendig, men dog stadig et godt alternativ, siger Peter Vestergaard.
Virusproblematikken er også blevet mobil. De bærbare pc'er er - ligesom de stationære - sårbare, og antivirus-scanningsprogrammer bør være standard. PDA'er og mobiltelefoner har indtil videre været forskånet for massive virusangreb, men en PDA kan sagtens videresende virus, selv om enheden ikke selv bliver inficeret. Eksperter anbefaler at installere et antivirus-program, hvis enheden ofte bruges til e-mail.
Kroner
Hvad koster det så at sikre virksomhedens mobile medarbejdere? Det åbenlyse svar er, at det kommer an på, hvad man gerne vil have. En 15 brugers løsning fra PDADefense med tokens, identifikation- og krypteringsfunktioner koster 12.000 kroner. En F-Secure krypterings- og password-løsning til Nokia-telefonen koster i omegnen af 400 kroner. Og i et priseksempel fra Protego skulle en virksomhed have en token-løsning til 250 brugere, og priserne rangerede fra 147.000 kroner til 410.000 for den dyreste, ikke medregnet en open source-løsning.
- Der er ingen citerbar pris på mobilsikkerhed. Den ligger provokerende sagt fra nul kroner og opefter. Det kan betale sig at se sig omkring, og man bør absolut overveje open source-løsninger, hvis man har kompetencen til det i virksomheden. Men det gode sted at starte er også det billigste sted at starte. Det er nemlig ganske gratis at danne sig et overblik over de mobile enheder, virksomheden er i besiddelse af, hvem der bruger dem og til hvad, siger Peter Vestergaard.
