Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 9. september 2005.
Sikkerhed for mobile enheder Virksomhederne bruger PDA'er mere og mere. Det betyder, at ofte meget følsomme data ligger på PDA'erne. Dermed udgør tab og tyveri en stor ny sikkerhedstrussel. Virksomhederne skal fokusere mere på hvilke data, der ligger på PDA'erne, og hvordan man sikrer dem, lyder rådet.
Efterhånden som flere og flere virksomheder begynder at bruge de små digital assistenter i forretningen, stiger risikoen for, at vigtige forretningsdata falder i de forkerte hænder. Løsningen hedder kryptering.
™Af Steffen Fog
En taxa drøner op foran bygningen, og ud styrter afdelingslederen for virksomheden - han er sent på den og skal til et vigtigt møde. Taxaen kører videre uden afdelingslederen, men på bagsædet ligger hans PDA fortsat - den har han glemt.
En PDA med alle følsomme e-mails om den kommende partneraftale eller fusion ved siden af filer, der viser kvartalsregnskabet samt kontaktdata til alle væsentlige kunder og alle ordredata for den næste måned.
Alt sammen forretningsdata, som en tyv eller konkurrent nødig skulle få fat i, men som afdelingslederen alligevel har med på sin PDA, fordi det er rare data at have ved hånden i felten og til mødet, og fordi det øger produktiviteten.
Eksemplet er tænkt, men ikke usandsynligt i dansk erhvervsliv i dag. PDA'erne er kommet for at blive, og flere og flere virksomheder begynder at bruge de små digitale assistenter i forretningen. Dermed stiger risikoen for, at vigtige forretningsdata falder i de forkerte hænder, når enhederne mistes på farten eller bliver stjålet.
Rådet fra eksperterne til it-cheferne er: Tillad de mobile enheder, herunder PDA'erne. For I kan alligevel ikke undgå dem, så i stedet for krampagtigt at prøve at forhindre jeres medarbejdere i at anskaffe og bruge dem, skal I i stedet tage dem til jer og bruge dem strategisk i forretningen - når bare I lige husker tre ting: Kryptér, kryptér og kryptér!
- Det er meget vigtigt at kryptere og beskytte data på PDA'erne. Det er nemlig meget nemmere at miste sådan en enhed, f.eks. ved at tabe den eller få den stjålet. Og jo mere det bliver nødvendigt at opbevare forretningsdata på de mobile enheder, jo vigtigere bliver det at beskytte og kryptere dem. Hvis man mister enheden, må de data ikke falde i forkerte hænder, siger Bent Poulsen, der er systemrevisionschef hos Værdipapircentralen og desuden er international vice president i organisationen Information Systems Audit and Control Association (ISACA), en verdensomspændende forening, som beskæftiger sig med it-governance, sikkerhed og revision.
Han understreger, at det er vigtigt, at virksomheden gør sig klart, om forretningsdata opbevares på de digitale assistenter.
- Mange virksomheder acceptere ikke forretningsdata på enhederne, uden dog at forbyde f.eks. kontaktdata og e-mails, som synkroniseres via PDA'en. Og det er jo ofte også forretningsdata, som skal beskyttes, siger han.
I det hele taget er sikkerhedseksperterne enige om, at det er bedre, at virksomhederne har nogle klare politikker for brugen af PDA'erne - i stedet for bare at forbyde dem.
- PDA'erne udgør et nyttigt arbejdsredskab, og derfor vil mange medarbejdere anskaffe en PDA før eller siden, uanset om virksomheden har tilladt dem eller ej. Derfor kan it-cheferne lige så godt acceptere dem og så bruge energien på at gøre brugen sikker i stedet for at bruge energien på at håndhæve et forbud, siger Bent Poulsen.
Chefanalytiker hos IDC, Karsten Fogh Ho-Lanng, er enig i, at det er vigtigt, at it-cheferne i virksomhederne fokuserer på sikkerheden for de data, som findes på PDA'erne.
- It-cheferne bør skabe en sikker brug af forretningsdata på PDA'erne ved at lave politikker og uddannelse af deres medarbejdere. Basalt set handler det om, at medarbejderne skal lære ikke at miste enhederne, og at de, når det alligevel sker, skal sørge for at indberette det hurtigst muligt. Dernæst handler det om politikker og uddannelse i, hvilke typer af data, som de må have liggende, siger Karsten Fogh Ho-Lanng og understreger dermed, at virksomhederne skal supplere de teknologiske sikkerhedsskjold med en sikring af den menneskelige faktor.
- Virksomhederne har heldigvis stor fokus på det her, og det er også nødvendigt, for datasikkerhed bliver meget mere komplekst med de mobile enheder. Men virksomhederne må bare ikke glemme de klare politikker og uddannelse, for det er ikke nok at købe et eller andet teknologisk sikkerhedsprodukt og så tro, at alt er godt. Medarbejderne skal også inddrages - også fordi de sikkerhedsprodukter til PDA'erne, man kan få i dag, mangler modenhed og mulighed for integration med resten af infrastrukturen, siger han.
Per B. Hansen, der er tidligere sikkerhedschef hos TDC og nu sikkerhedschef og ansvarlig for uddannelsesprogrammerne i sikkerhed hos it-kursusudbyderen Microworld, er enig med Karsten Fogh Ho-Lanng i, at det er vigtigt at satse på klare politikker for brugen af PDA'erne i virksomheden.
- Men der er mange mellemstore og små virksomheder, som ikke har politikkerne og retningslinjerne på plads. Og når man ikke har sådan en robust sikkerhedstradition, er det en meget meget god ide at sikre sig ad teknologisk vej også, ved f.eks. at sørge for at få noget krypteringsoftware på enhederne. Noget der er enkelt og transparent, så det ikke gør det mere besværligt for brugeren, og så han ikke behøver at tænke på det, siger han.
Han vurderer, at nogle PDA-brugere ude i virksomhederne før eller siden vil overføre følsomme forretningsdata til enhederne, uanset om det er forbudt eller ej. Simpelthen fordi det gør det daglige arbejde nemmere.
- Det er jo ret realistisk, at mange gør det. Og så må virksomhederne overveje, om det er realistisk, at politikker og retningslinjer bliver fulgt, og om det er nok med dem, eller om de skal suppleres af teknologiske redskaber. Så man også fanger de situationer, hvor folk har alle gode intentioner om at følge politikkerne, men simpelthen glemmer det alligevel.
- Mange virksomheder halser bagefter med hensyn til beskyttelsen af data på de mobile enheder. Det er mit klare indtryk, at det er de færreste, der har forholdt sig til, hvad det egentligt er, de har liggende ude på enhederne. De skal til at komme i gang både med politikker og teknologiske løsninger, siger Per B. Hansen.
Boks:
Memory-sticks er det næste store sikkerhedshul
- Når man snakker sikring af data på mobile enheder, bør man også sætte fokus på de memory-sticks, som vi alle sammen slæber rundt på. Der ligger rask væk 512 MB data på hver af dem - følsomme data, som man slet ikke har styr på, siger Per B. Hansen, der er tidligere sikkerhedschef hos TDC og nu sikkerhedschef og ansvarlig for uddannelsesprogrammerne i it-sikkerhed hos it-kursusudbyderen Microworld.
Han peger på, at problemet med memory-sticks, som typisk sættes i computerens USB-port, er, at de er "dumme enheder" som man ikke kan installere sikkerhedsprogrammer og -skjold på.
- Der er brug for, at virksomhederne sætter fokus på den risiko, der ligger i, at de endnu ikke har mulighed for at kontrollere brugen af data på memory-sticks. Det er en stor faldgrube.
- På det område er man nødt til at starte med nogle klare virksomhedspolitikker, fordi der endnu ikke er de helt store muligheder for at sikre sig ad teknologisk vej i forhold til memory-sticks, siger han.
Boks:
Vi har talt med:
• Karsten Fogh Ho-Lanng, chefanalytiker hos IDC.
• Per B. Hansen, tidligere sikkerhedschef hos TDC, nu sikker-
hedschef og ansvarlig for uddannelsesprogrammerne i sikkerhed
hos it-kursusudbyderen Microworld.
• Bent Poulsen, systemrevisionschef hos Værdipapircentralen og
international vice president i organisation Information Systems
Audit and Control Association (ISACA).
• Jens Henriksen, nordisk chef for Palm.
• Anders Terp, Hewlett-Packard.