-Datavern-lover truer datasikkerheten

Nye lover om databeskyttelse krever så mye ressurser at det går utover datasikkerheten

LONDON: - Nye lovbestemmelser bør ikke være drivkraften i it-sikkerhet.

 

Det mener David M. Lynch, markedssjef i sikkerhetsselskapet Apani Networks. Han er en av foredragsholderne på en todagers sikkerhetskonferanse i London i forbindelse med sikkerhetsmessen Infosecurity, som går av stabelen i april.

 

Nye lovreguleringer som Sorbonnes-Oxley og andre, både lokale, regionale og bransjespesifikke bestemmelser er i ferd med å bli innført overalt.

 

- De er vage, de gir minimumsanbefalinger, de har uklare frister og straffereaksjoner. Dette fører til at bedrifter blir handlingslammet. Dette er ekstremt farlig og kan få forferdelige konsekvenser, sier Lynch.

 

Det finnes ingen føderale lover om datavern i USA, men over 20 lovforslag ligger på bordet. Og EU har en rekke bestemmelser på trappene.

 

It-hodepine

Men Lynch mener de nye lovene fort kan bli en hodepine mer enn en hodepinetablett.

 

De er ment å fremme datavern, men blir man for opptatt av lovene, mister man fokus på det som virkelig teller, nemlig å beskytte dataene.

 

- Beskytter du dine data, vil du alltids overholde slike lovbestemmelser. Slurver du med den jobben, risikerer du gå bankerott, sier Lynch.

Skylder på bedriften

Han ramser opp flere brukerundersøkelser som dokumenterer at brukere gjerne gir sin egen bedrift skylden ved brudd på datasikkerheten. Av 10.000 spurte i en undersøkelse, hadde 1.100 opplevd slike sikkerhetsbrudd. Ni av ti skyldte på bedriften sin.

 

En annen undersøkelse, gjort i banksektoren, viser at 30 prosent av kundene ville sagt opp kundeforholdet til sin bank øyeblikkelig dersom brudd på datasikkerheten ble kjent.

 

- Mellom 20 og 60 prosent av kundene vil forlate deg hvis datasikkerheten blir kompromittert. Det er ikke mange virksomheter som tåler det, sier Lynch.

 

En cocktail av tapt tillit, tapt kundebase, tapt aksjeverdi og juridiske konsekvenser kan bety kroken på døra for mange.

Murer for fall

De siste to årene er hele modellen for hvordan organisasjoner bør tenke sikkerhet endret, mener Lynch, som støttes i tankegangen av flere andre på denne konferansen.

 

Den nye faguttrykket som beskriver trenden er ”deperimeterisation”. Begrepet ble etablert av Jericho Group, og det er nettopp murene som står for fall.

 

- Vi må bort fra å tenke festning til å tenke flyplass, sier John Stewart i Signify, som tilbyr tjenester for ID-håndtering.

 

Verdien av dataene vi omgir oss med, har økt drastisk bare de siste to årene, ikke minst på grunn av stor økning i e-handel og andre digitale transaksjoner Evnen til å ta vare på dataene har ikke økt i samme takt.

 

Fleksibilitet i arbeidsmåten, særlig gjennom trådløse nettverk, samt at flere går inn og ut av bedriften, gjør at begrepene "innenfor" og "utenfor" mister sin relevans. Flyplass-analogien er derfor ganske beskrivende for hvordan man må betrakte it-sikkerhet.

 

Mer åpenhet

 

Men selv om opptatthet av lovene er risikabelt, er ikke Lynch udelt negativ til de nye lovene.

 

- Noe som er bra er at bedrifter vil bli lovppålagt å rapportere inn brudd på datasikkerheten, i hvert fall i USA. Det betyr at hemmeligholdet opphører, og det er bra også for bedriftene selv, sier Lynch til Computerworld.no.