Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 12. januar 2007.
De fleste virksomheder har en sikkerhedsstrategi i forhold til deres internetadgang og andre dataporte ind og ud af huset med for eksempel virusscanning og firewalls. Men virksomhederne glemmer i nogle tilfælde at sikre deres mobile enheder, PDA'er, BlackBerries og især deres mobiltelefoner.
Mange virksomheder udstyrer deres medarbejdere med ganske avancerede mobiltelefoner - ofte smartphones, BlackBerries eller PDA'er, der ud over at kunne ringe kan modtage
e-mails og i avancerede tilfælde tilgå virksomhedens data og netværk. Samtidig gør mange virksomheder deres data mere og mere mobile.
Det øger produktiviteten og effektiviteten og gør samarbejdet for virksomhedens medarbejdere mere fleksibelt og giver mulighed for at udnytte tiden bedre.
Men det øger samtidig sikkerhedsrisikoen. Jo flere enheder, der kommer på netværket, og jo flere enheder, der har adgang til virksomhedens data og kommunikation i form af telefonsamtaler, sms og e-mails, jo større er risikoen for, at denne data og kommunikation opsnappes af uvedkommende.
Virksomheder bør altså have øget fokus på mobil sikkerhed.
- De to vigtigste sikkerhedsproblemer ved avancerede mobiltelefoner i virksomhederne er for det første uautoriseret adgang til de data, der er lagret på selve telefonen og dens eventuelle hukommelseskort, og for det andet uautoriseret brug af virksomhedens data ved at benytte telefonen som adgangsvej.
Sådan siger Bo Lund Rosenlund, der er senior manager i KPMG It-risk Management.
Han peger således på, at risikoen fra vira først kommer i tredje række.
- Truslen fra mobile vira kan potentielt blive ganske alvorlig, når mobiltelefonerne begynder at få mere båndbredde og være "always on" ligesom pc'erne - men de andre trusler vurderer vi som mere reelle i dag.
Hvis en virksomhed ønsker god mobil sikkerhed, vil et godt sted at starte være en risikovurdering, som virksomheden fastsætter sin politik på området ud fra. Bo Lund Rosenlund foreslår, at man først kigger på de data, der ligger i selve mobiltelefonen og de hukommelseskort, som eventuelt hører til den.
Man kan udarbejde en adfærdspolitik, som fortæller, hvilke type data brugeren må lagre i telefonen - e-mails, office-dokumenter, kalender-oplysninger med videre. Ønskes mulighed for lagring af følsomme data på telefonen, skal man sørge for at lave adgangskontrol og datakryptering. Er der ingen kryptering eller anden beskyttelse af data, bør virksomheden undgå, at følsomme data kommer på PDA-telefonen, siger han.
Han mener, at der er et problem i mange mobiltelefoner i dag: At adgangskontrollen typisk er en simpel PIN-kode, som giver adgang til hele apparatet.
- Adfærdspolitikken bør desuden forholde sig til, om brugeren må synkronisere med private pc'er eller med private PDA-telefoner.
Bo Lund Rosenlund foreslår, at virksomhederne vurderer behovet for tredjepartssoftware på mobiltelefonerne - til udbedring af de mangler, som telefonerne har, når de kommer ud af æsken - men tilføjer samtidig, at de hidtidige udgaver af tredjepartssoftware til brugervalidering og kryptering kan være ganske "brugeruvenlige", og dermed kan de være vanskelige at indføre i praksis.
KPMG foretog i 2006 en vurdering af flere sikkerhedsløsninger, og resultatet lader noget tilbage at ønske.
- For eksempel var der et tilfælde, hvor man skulle taste sin kode, når telefonen ringede. For opkaldet genererede et opslag i mobiltelefonens adressebog for at kunne vise navnet på den, der ringede op. Men inden brugeren havde tastet koden, var opkaldet for længst forsvundet, eller vedkommende var i gang med at lægge en besked på telefonsvareren, siger Bo Lund Rosenlund.
- Jeg ser frem til, at der kommer mere smarte og sikre løsninger. Der findes sikre løsninger. Der findes også smarte løsninger. Men jeg har endnu ikke for alvor set en løsning, der kombinerer de to ting, siger han.
- Nogle vælger derfor at have en forholdsvis simpel telefon uden data, mens data gemmes på en decideret PDA med adgangskontroller og kryptering.
Indtil sikkerheden er på plads mener han, at virksomhederne skal satse på at have en robust sikkerhedspolitik, der angiver over for medarbejderne, hvilken adfærd omkring mobile enheder, der giver den højeste sikkerhed - hvad de må, og hvad de ikke må.
Med andre ord kan teknik ikke redde alt, for selv den bedste teknik kan i de forkerte hænder give et dårligt sikkerhedsniveau.
- For eksempel kan man vedtage en politik om, at medarbejderne ikke må have private data på deres arbejdsmobil. For det kan få dem til at "synce" deres mobiler derhjemme for at få de private data fra mobilen over på computeren derhjemme. Det betyder, at der pludselig ligger virksomhedsdata derhjemme. Så ligger der kopier af virksomhedsdata hist og pist og alle vegne - og det går jo faktisk begge veje, for de private data spredes jo også på den måde, siger Bo Lund Rosenlund.
Virksomheder med ønske om et robust sikkerhedsniveau på det mobile område bør have en restriktiv adfærdspolitik - i hvert fald indtil der er mere sikre og smartere tekniske løsninger på markedet, mener han.
- Generelt er der to store problemer på området for mobil sikkerhed: For det første at produkterne ikke er helt modne endnu. For det andet at virksomhederne ikke er tilstrækkeligt opmærksomme på det her, siger han.
- Ofte er det sådan, at dem, der er mest gadget-glade, også har de mest følsomme data - det være sig it-administratoren, marketingchefen og direktøren. De køber de mest seje og avancerede telefoner, for standard-firmatelefoner har ikke den ønskede gadget-effekt. Det betyder desværre ofte, at deres telefon ikke er understøttet af den support og de sikkerhedsløsninger, som virksomhedens it-afdeling har valgt, siger Bo Lund Rosenlund.
- Hvis it-afdelingen for eksempel baserer sig på et bestemt fabrikat, som den supporterer og laver sikkerhed og brugervejledninger til, og chefen kommer og siger, at han vil have en nyere telefon, så kan it-afdelingen ikke følge med. Det går ud over sikkerheden. Der er jo snart ikke forskel på, hvad vi kan lagre i en telefon og på en pc, siger han. Langt hen ad vejen er mobiltelefonerne på det sikkerhedsstadie, som pc'en var tidligere, siger han.
Bo Lund Rosenlund tilføjer, at sikkerheden på PDA-telefonerne i en ikke så fjern fremtid må forventes at kunne administreres centralt, på samme måde, som vi kan gøre det med pc'er i dag.
Faktaboks:
Bekymrede chefer
At mobilsikkerhed er noget, der bekymrer virksomhederne, tyder tal fra IDC Nordic på. Analysehuset interviewede sidste sommer 600 it-chefer i Norden, og næsten tre fjerdedele af dem angav, at manglende viden om den mobile sikkerhed er den væsentligste barriere for at gøre medarbejderne mobile.
Faktaboks:
Skadevirkninger ved tabte mobiler
Ud over de ubehagelige følelser, det giver medarbejdere og virksomheden, hvis uvedkommende overtager en mobiltelefon eller en anden mobil enhed, er der en række konkrete skadevirkninger, som glemte, tabte og stjålne mobiltelefoner kan afstedkomme.
• Tyve og andre uvedkommende kan få adgang til de data, der ligger på telefonen. Det kan være alt lige fra de kontakter, der er gemt i telefonens hukommelse, til de sms'er, e-mails og kalenderdata, der er gemt i telefonen. Alt sammen data, der kan være kompromitterende for virksomheden at dele ud af.
• Mobiltelefonerne kan ende med at blive kanaler ind til virksomhedens mere centrale data, nemlig i de tilfælde, hvor mobilerne bruges til at tilgå for eksempel virksomhedens økonomisystemer, ordresystemer eller for eksempel ERP-systemer.
Adgangen kan bruges til at hente oplysninger fra virksomheden, som kan sælges til konkurrenter, eller til at foretage økonomiske transaktioner i eget favør.
Adgangen kan også bruges som et proof of concept, som kan bruges til at afpresse virksomheden med. For hvis en slags kode kan give adgang, kan andre nok også, og de indtrængende kan dermed afpresse virksomheden og opkræve en slags beskyttelsespenge. Alt sammen selvsagt noget, der kan give store problemer for virksomheden.
Billedtekst: adfærdspolitik Start med en risikovurdering, som virksomheden kan fastsætte sin politik for mobil sikkerhed ud fra, foreslår Bo Lund Rosenlund, senior manager i KPMG It-risk Management.
OriginalModTime: 17-01-2007 13:30:15