Förlust av känslig information kan innebära ekonomiska förluster, förtroendekris och i värsta fall utplåna en hel verksamhet. Beroende på vilken typ av verksamhet man arbetar i finns det olika behov och skyldigheter att skydda informationen. Både företag och offentliga myndigheter har lagar, standarder och riktlinjer för att säkerställa att känslig information hanteras på ett säkert sätt. Ett exempel på en sådan standard är PCI, som reglerar hur kortinformation ska skyddas så att inte obehöriga får tillgång till den. Andra lagar som PUL och Patientdatalagen syftar till att skydda den personliga integriteten.
När jag träffar representanter från den offentliga sektorn är den allmänna uppfattningen att de lagar de lyder under ofta är öppna för olika tolkningar. Det kan innebära stora skillnader i investeringar beroende på hur tolkningen görs. Enligt datainspektionen är lagarna framförallt riktlinjer och bedömningar görs fall till fall.
Lagar har varit drivande när det gäller att skydda känslig information men jag ser en trend där allt fler organisationer inser att information är en av deras viktigaste resurser och agerar därefter. Det finns ett behov att förbättra kontrollmekanismer och att ha spårbarhet på vart informationen tar vägen. Ett exempel ur vardagen är när ett konfidentiellt dokument ligger på en server som endast utvecklingsavdelningen har tillgång till. Men hur påverkas säkerheten om dokumentet kan sparas på ett USB-minne eller laptop utan kryptering? Då är kedjan bruten och säkerheten haltar. Det är därför det är så viktigt att se till helheten när man arbetar med informationssäkerhet.
Även om en stor del av informationsläckage beror på försummelse utgör de kriminella kretsarna ett verkligt hot. Personer med specialistkunskaper samverkar i syfte att tjäna pengar. Exempel på det kan vara skadlig kod som infekterar datorer vid webbsurfning på en nyhetssajt eller ett intrång som leder till att tusentals personuppgifter, bankkonton eller lösenord blottas. Teknikutvecklingen har gått snabbt och det är en utmaning för säkerhetsansvariga att få en klar bild av hur hotbilden ser ut för dem. Det är viktigt att analysera denna hotbild kontinuerligt.
Allt säkerhetsarbete börjar med att klassificera vilken information som är känslig eller konfidentiell för att sedan avgöra vilka rutiner och lösningar som behövs i organisationen.
USB-minnen - informationsmässig dynamit i minimal förpackning
Enligt en undersökning tappas mer än 60 procent av USB-minnena bort. En annan undersökning påvisade att en genomsnittsanställd hade sex till sju olika lagringsenheter. Även om man tar siffrorna med en nypa salt är det tankeväckande att det finns många USB-minnen, iPods, datorer med mera där det kan ligga känslig information. I media dyker det regelbundet upp fall där känslig information på USB-minnen tappats bort. I Storbritannien var det nyligen ett fall där ett USB-minne med försvarshemligheter hittades på ett dansgolv. I Sverige var det tidigare i år ett fall där ett USB-minne med sekretessbelagt material från svenska och amerikanska försvaret hade glömts i en dator på ett bibliotek.
Kriminella kretsar drar nytta av USB-minnenas förträfflighet. Det går att programmera USB-minnen att dammsuga en dator på information när den sätts i USB-uttaget. Ett annat sätt är att installera key-loggers som registrerar allt som skrivs på en dator på ett minne eller skicka det trådlöst utanför lokalerna. Båda dessa tillvägagångssätt kräver fysisk närvaro vid något tillfälle.
Tips: Kryptering av alla flyttbara lagringsenheter gör att all data som lämnar den interna miljön är oåtkomlig för obehöriga. Sätt en policy för hur informationen skall hanteras beroende av vilken säkerhetsklass den tillhör och kommunicera den till användarna Vid behov använd teknologi för att styra i minsta detalj hur information får förflyttas till olika enheter och vilka portar som får användas.
E-post är lätt att skicka fel
Det är inte ovanligt att ett konfidentiellt e-postmeddelande som är tänkt att det ska skickas till någon internt av misstag skickas till en person utanför organisationen med liknande namn. Det händer då och då att jag får e-post som av misstag kommer till mig vilket kan bero på att e-postklienten föreslår namn i kontaktlistan och avsändaren inte är uppmärksam. Ett exempel på känslig information som kommit fel är när ett utkast till en delårsrapport av misstag gick till en journalist istället för till en kollega. E-post som skickas okrypterat likställs med att skicka vykort. Men hur många är det egentligen som krypterar sin e-post? Det är inte särskilt vanligt om jag ser till min omgivning.
Tips: Se till att information som är säkerhetsklassad inte kan skickas till vem som helst. Om man vill skicka konfidentiell information på e-post ska man välja ett krypteringssystem som automatisk krypterar alla information som innehåller känslig information.
Skadlig kod sprids oftast via legitima webbsidor
En trojan infekterar datorer i nätverket med uppgift att sända ut känslig information till kriminella grupper. Informationen kan sedan användas i syfte att säljas vidare eller användas som utpressning. Skadlig kod kan komma in på grund av att den passerar de säkerhetssystem som finns eller att den planteras in av någon som har tillgång till nätverket.
Tips: Se till att säkerhetssystemen upptäcker och förhindrar att skadlig kod kommer in i organisationen oavsett på vilket sätt det sker och att ingen skadlig kod kan köras på datorer i nätverket. Se till att datorer i nätverket är uppdaterade med de senaste säkerhetspatcharna och att säkerhetsprodukter som antivirus har de senaste signaturfilerna.. Där kan en NAC (Network Access Control) lösning vara ett alternativ samtidigt som den möjliggör kontroll av vilka resurser som tilldelas respektive användare. Tänk på att de flesta virus och trojaner sprids via helt legitima webbsidor vilket betyder att webbtrafik bör säkerhetskontrolleras.
När man inte har råd med misstag
DRM - Digital Rights Management- kan användas av organisationer som hanterar mycket känslig information. DRM är en teknologi för att skydda filer genom kryptering och där åtkomst till dessa filer endast medges till användare och enheter vars identitet har autentiserats och åtkomsträttigheter styrkts. DRM-skyddet är konstant och oavsett var data placeras behålls skyddet, detta till skillnad från en fil som placerats på en server med access-kontrollmekanism.
I kombination med CMS (Content Management Systems) kan organisationer nå en mycket hög säkerhetsnivå och efterlevnad av de regelverk de lyder under.
Väga risker mot kostnader
Utmaningen är att ta ett helhetsgrepp för att ta reda på hur informationen skall skyddas, digitalt och fysiskt, och sedan hitta en lösning för att nå dit. Det gäller att hänga med i utvecklingen och tänka proaktivt och sedan agera i tid. En omvärldsbevakning över vilka nya hotbilder som uppenbarar sig samt vilka metoder som finns att möta dessa är av stor vikt. Allt säkerhetsarbete handlar om riskbedömning och att väga kostnader mot varandra. Därför är det så viktigt att dessa frågor lyfts upp till ledningsnivå och betraktas som strategiskt viktiga för verksamheten.
