Data uten sikkerhetsbriller

Overlates opplæring i data og sosiale medier i stor grad til de ansatte? Det virker slik. Flott med ildsjeler, men er det bare greit? Hvem tenker sikkerhet?

Av Hermann Möhring

Jeg er ofte i ulike debattfora på nettet. For å holde meg orientert, for å lære – og bidra. Det er mange gode tips å få. Det er en av styrkene til sosiale medier, for meg.

Dele bedriftsdokumenter?
I går kom jeg over en diskusjonstråd hvor en kvinne ba om råd. Hun ønsket å opprette en diskusjonsgruppe i bedriften. Også eksterne medarbeidere skulle få tilgang. Og: dokumenter skulle kunne deles!

Hun lurte på hvilke programmer og sosiale verktøy som var best egnet til det. Det tok ikke lang tid før forslagene rant inn: FB, Linkedin, Google docs, Google+ og – Dropbox.

Dropbox – eller ikke?
Den som kom med Dropbox, var full av lovord: «Kopiering eller flytting av dokumenter skjer akkurat som den gjør ellers. Enklere kan det ikke bli. Når man logger seg på, for eksempel med iPad, skjer det automatisk en synkronisering av filene.»

Joda, de andre var enige: «Dropbox fungerer helt supert», mente den dene. «Veldig glad i Dropbox», en annen. Flere syntes at Dropbox måtte være «tingen».

Kan hackes lett…
Så var det en som var uenig: «Jeg ville ikke anbefale Dropbox dersom man har dokumenter som ikke bør komme på avveie. Dropbox kan hackes lett og er blitt det flere ganger…»

Debatten fortsatte uten at noen reagerte på innvendingen. Jeg vet ikke hva hun kommer til å velge, og jeg har ingen sterke meninger om nettopp Dropbox. Det jeg imidlertid vet, er at slike diskusjoner er høyst vanlig i diskusjonsgrupper som nærmest fungerer som tips- og hjelpe-hverandre-torg. At det var noen som pekte på farene, var nytt.

Ansatte velger
Jeg har ofte spurt meg hvorfor det er et så enormt behov for slikt når det gjelder data og sosiale medier. Enig, det er bra med ildsjeler i enhver bedrift. De er opptatt av å få jobben gjort, på en effektiv måte. Og det er bra. Det er viden kjent at ansatte har mye å si når det kommer til valg av datautstyr, programmer og mobile tjenester. Også det er i utgangspunktet bra.

Effektivitet framfor sikkerhet?
Jeg lurer på hvordan opplæringen i data og sosiale medier skjer i bedriftene? Er det ikke slik at de ansatte svært ofte er selvlærte, at de finner fram til løsninger som er effektive, til bedriftens beste? Men hva med sikkerheten når det er så lett å «knekke» programmene?

Ledernes manglende datakunnskap
Det er i utgangspunktet ikke de ansattes oppgave å tenke i slike baner. Så spørsmålet er da om ledelsen sørger for at denne sikkerheten blir ivaretatt. Som jeg har skrevet tidligere, er det for sjelden tilfellet – slik som ulike undersøkelser viser. Det er ledelsens ansvar å tenke datasikkerhet! Men hvor mange ledere har tilstrekkelig med kunnskap for å se farene? Det burde være noe å tenke over.

Sammenblanding av jobbdata og private data
Telenors Sikkerhetssenter (TSOC) har levert sikkerhetstjenester til bedriftsmarkedet i over 10 år, og fulgt en skremmende utvikling fra innsiden. I mørketallsundersøkelsen fra 2010, gjennomført på oppdrag fra Næringslivets Sikkerhetsråd, går TSOC særlig inn på den mangelfulle sikkerheten med tanke på arbeidstakernes datamobilitet. Jeg siterer:

«De siste årene ser vi en økning i mobilitet blant brukerne. Mange skal ha tilgang til virksomhetenes informasjon på reise og fra hjemmekontor. Fra et sikkerhetsperspektiv fører dette ofte til en sammenblanding av jobbdata og private data. Mobiltelefonen brukes til begge deler. Bærbare pc`er brukes til private aktiviteter også via bedriftens nettverk. Nettbrett er også en ny plattform for sammenblanding.»

Nye systemer – for lette å omgå?
Det Telenors sikkerhetsfolk skriver, burde få bedriftsledere til å våkne, tenkte jeg, men neida. Jeg siterer videre:

«Antall svakheter øker fra år til år. Man skulle kanskje tro at antall alvorlige svakheter i systemer og programmer gikk ned, etter hvert som folk lærte seg å lage programvare på en sikker måte og ble klar over problemene, men dette viser seg ikke å være tilfelle. Det oppdages stadig flere svakheter i et økende antall nye systemer. Også i helt nyutviklede systemer viser det seg ofte å være flere måter å omgå sikkerheten på.»

Minst én maskin angrepet – til enhver tid! 
Erfaringen fra TSOC viser at til enhver tid har halvparten av Norges største bedrifter minst én maskin som er kompromittert av eksterne angripere. Maskinen er ofte koblet opp i et såkalt botnett for fjernkontroll. Datamaskinens eier vet sjelden om dette selv.

De tradisjonelle forsvarsverkene som brannmur og anti-virus har nesten utspilt sin rolle og fungerer i dag som støybegrensning, mener TSOC.

Bare en liten forsmak?
Det som foreløpig redder de fleste bedrifter er at de kompromitterte maskinene så langt ikke i stor grad brukes til tyveri av bedriftshemmeligheter og tømming av bedriftens bankkonti.

I dag er det gjerne enklere ting som gjøres, som å spre spam-epost, vise reklame til brukeren og lure vedkommende til å betale penger for falsk sikkerhetsprogramvare. Dette vil endre seg i årene som kommer, mener Telenors Sikkerhetssenter.

Taper store summer
At TSOC fikk rett i sine spådommer, viser økokrim-undersøkelsen til Pricewaterhouser-Cooper fra november i fjor. Flere norske virksomheter meldte om tap på mellom 5 og 100 millioner US-dollar, på grunn av datakrim! 20 prosent opplevde det i Norge, 7% globalt. Mellom 30 og 500 millioner kroner!!!

Over halvparten av virksomhetene som hadd blitt utsatt for økonomisk kriminalitet det siste året, har lidt tap på 100.000 US-dollar, nesten 600.000 kroner.

Tenk sikkerhet!
Hensikten min er ikke å rope «ulv-ulv», men når fakta underbygger en så alvorlig utvikling, må det tas grep. En nøye gjennomgang av bedriftens databruk kunne være en god start. Og ta gjerne på sikkerhetsbrille!

Legg igjen en kommentar

Filed under Arbeidsliv, Sosiale medier

Legg igjen en kommentar

Please log in using one of these methods to post your comment:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter picture

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+ photo

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s