En ny undersøgelse sætter fokus på sikkerhedsrisikoen fra små transportable USB-medier, som i værste fald repræsenterer en dobbelt trussel mod it-sikkerheden. Dels kan man risikere, at de små enheder er inficeret med malware, som slippes løs i netværket, og dels er der risiko for, at fortrolige forretningsdata bliver kopieret over på de små enheder, som efterfølgende nemt kan glemmes på offentlige steder.
Alligevel viser undersøgelsen blandt 336 af de største danske virksomheder, at stort set ingen har styr på den datatrafik, der foregår via USB-portene på medarbejdernes pc'er. En tiendedel af de adspurgte virksomheder har en sikkerhedspolitik, der forbyder brugen af mobile lagermedier. Men i praksis er der ingen muligheder for at håndhæve forbuddet.
»Vi er overraskede over, at ingen af de 336 virksomheder har styr på datatrafikken via USB-portene. Det må betyde, at de udelukkende fokuserer på eksterne trusler - selvom flere undersøgelser viser, at langt de fleste tilfælde af datatyveri foregår internt,« siger Ulrik Ledertoug, sikkerheds-specialist i SecureDevice, der har udført undersøgelsen.
Han tilføjer at USB-medier kan bruges til at bære ondsindet kode forbi virksomhedens forsvarsværker og slippe dem løs på netværket.
»Sidste år fik et stort dansk pengeinstitut alvorlige netværksproblemer på grund af malware fra en medarbejders private lagermedie - og den slags eksempler findes der uden tvivl flere af. Mange har i dag et privat USB-drev, som de bruger i alle mulige pc'er. Derfor er der næppe grund til at tro, problemet vil blive mindre med tiden,« siger Ulrik Ledertoug.
Behovet for kryptering understreges af en sag fra Sverige, hvor militære hemmeligheder fra det svenske forsvar blev fundet på et ukryperet USB-drev, der var glemt i en pc på et offentligt bibliotek.
Den danske undersøgelse viser, at 90 pct. af de adspurgte virksomheder tillader brug af USB-drev uden at stille krav om kryptering af de mobile data. En af de få undtagelser er Ankestyrelsen, hvor hver af de 300 sagsbehandlere har sit eget krypterede USB-drev.
»Vi har simplethen lavet en positivliste over godkendte, krypterede lagermedier. Alle andre bliver afvist. Samtidig logger vi enhver aktivitet på USB-portene. Det giver vores it-revision fuldt overblik over hvilke data, der er blevet kopieret til hvilke enheder, hvornår og af hvem,« siger Birger Fuhmann Skjødt, it-chef i Ankestyrelsen.
Premium
Kritisk CVE-databasen om sikkerhed reddet i allersidste øjeblik - ny bevilling godkendt