Må jeg stjæle din mobil?
Det har taget fart, IT og mobilitet. Flere og flere har en mobiltelefon, der også modtager mails og er online med kalenderen på kontoret. Men hvad med sikkerheden? Der er sikkert brugt rigtig mange penge på firewalls og andre sikkerhedssystemer til virksomhedens server og kontorfaciliteter. Er det så ikke bare nemmere at stjæle din telefon, hvis man er hacker?
Der er nok ikke mange virksomheder, der ikke i et eller andet omfang har brugt tid og penge på at sikre deres IT-systemer på den ene eller anden vis ved f.eks. at have krypteret data, indført en streng sikkerhedspolitik eller som de fleste – at have en god og fornuftig sans for at huske at låse døren til virksomhedens serverrum, tage backup osv. Faktisk er der rigtig mange virksomheder, der hvert år bruger mange millioner af kroner på at vedligeholde sikkerhedsapparatet omkring virksomhedens IT-systemer.
De samme virksomheder, som bruger mange penge på IT-sikkerhed, har også indført mobiltelefoner (eller PDA’er – Personal Digital Assistant), som kan synkronisere mails, kalender, Word og Excel-filer direkte via internettet og endda være online med filer og mapper på virksomhedens server. Det er naturligvis en rigtig god ide, for mange synes meget godt om at være fuldt ud orienteret om vigtige mails, lige gyldigt om man er hjemme, på rejse eller hos kunder, men problemet er IT-sikkerheden.
Hvis man som virksomhed ikke gør noget aktivt, når mobile enheder indføres, er der absolut ingen sikkerhed mod, at en person med intentioner om at få fat i fortroligt data uden problemer kan opnå dette ved simpelthen bare at stjæle mobiltelefonen ud af lommen på dig. Og det er tit meget nemmere end at skulle forsøge at bryde ind i kontorets IT-systemer.
"Men hvad kan der ske?"
En mobiltelefon er lille og handy – og let omsættelig for kriminelle, så den kan blive stjålet ud af lommen på dig. Hvis du ikke har PIN-kode på telefonen, samt at data på telefonen (altså mails, filer og hvad der ellers er af fortrolige informationer) ikke er krypteret, så er de lige til at åbne og læse. Og det er endda også muligt – nu telefonen er online med virksomhedens server– at tilgå denne og hive så meget fortrolig information ud som overhovedet muligt samt evt. skrive mails på dine vegne osv.
Afhængig af mobiltelefon/PDA og det styresystem, der ligger på telefonen, er det muligt for virksomhedens IT-ansvarlige at sende en kommando til telefonen, der sletter alt og spærrer brugen af telefonen. Det er rigtig smart! Men data ligger tit stadig i telefonens hukommelse – og igen, hvis data ikke er sikret ved kryptering, ja så er der stadig adgang til de vedhæftede filer, du hentede ned fra mails, Excel-filer med budgetter osv.
"Men er det ikke lidt hysterisk?"
Jo måske. Ligesom alt andet inden for IT-sikkerhed, er det en afvejning, om man som virksomhed og bruger af IT-systemer herunder mobiltelefoner med online adgang, anser de mails, der ligger på telefonen, for fortrolige og uden adgang til uvedkommende. Men de fleste vil nok – selvom der ikke er tale om en børsnoteret virksomhed – have den holdning, at hvad man modtager af mails, ikke "rager" andre. Herudover er der noget odiøst i, at der helt sikkert er investeret relative store summer i at sikre virksomhedens netværk og computere med firewalls, antivirus-systemer og alskens andre forhold, og så vil det da være pudsigt, hvis den mest synlige og mest sårbare enhed på ingen måde er sikret.
Foretag en risikoanalyse
Det er almindelig sund fornuft, at der kun skal bruges penge på det, der er nødvendigt, men tit bliver man som virksomhed påvirket af sælgere af IT-systemer og udstyr, der selvfølgelig prøver at overbevise IT-afdelingen og ledelsen om, at netop dette er uundværligt. Tit er det korrekt, og i Revi-IT ser vi oftest, at virksomhedens ledelse eller IT-afdeling allerede har et overblik over, hvor der skal sættes ind i en prioriteret rækkefølge i forhold til indkøb og vedligeholdelse af IT-sikkerhedssystemerne. Men vi oplever også, at vi kan udfordre disse prioriteringer og hjælpe virksomheder med at strukturere indkøbsstrategien og være med til at danne et overblik over risikobilledet for den enkelte virksomhed.
Denne artikel er skrevet af Martin Brogaard Nielsen, der er ledende it-revisor, CISA, samt adm. direktør i Revi-IT A/S. Revi-IT er en statsautoriseret revisionsvirksomhed, der udelukkende arbejder med it-revision og it-ledelsesrådgivning, herunder gennemgang af generelle it-kontroller, erklæringsafgivelse ifm. revisionsstandard RS 315, 330, 3000 og 3411, rådgivning ifm. risikoanalyser, beredskabsplanlægning, it-sikkerhedspolitikker