Innloggingskoder på billigsalg

Aksesskoder og administrasjonsrettigheter til intranettet hos en av Europas største finanstjenestegrupper ble funnet på en harddisk som ble kjøpt ved auksjonstjenesten eBay for bare fem pund.
Den ble kjøpt som en del av undersøkelsen "Lifecycle of a lost laptop" gjennomført av Protect Datas datterselskap, Pointsec Mobile Technologies. Hard disken var den første av 100 harddisker og bærbare datamaskiner som ble kjøpt ved internettauksjoner og andre offentlige auksjoner. Formålet var å belyse hvor enkelt det er for nåtidens tyver, opportunister og inntrengere å få tilgang til svært sensitiv og verdifull bedriftsinformasjon på mistet eller utrangert datautstyr.

Pointsec fant ut at de var i stand til å lese informasjonen på syv av ti harddisker kjøpt på internettauksjoner som eBay, for mindre enn prisen på et McDonalds-måltid - herunder informasjon som var antatt slettet og fjernet.

Harddisken Pointsec kjøpte ved eBay inneholdt meget sensitiv informasjon tilhørende en av Europas største finanstjenestegrupper, blant annet pensjonsplaner, kundedatabaser, finansiell informasjon, lønningslister, personlige detaljer, login-koder og adminpassord for selskapets sikre Intranett. Det var 77 Microsoft Excel-dokumenter som inneholdt kundenes e-postadresser, fødselsdatoer, hjemmeadresser, telefonnumre og annen svært konfidensiell informasjon, som ) hvis eksponert offentlig ) kunne forårsake uopprettelig skade på selskapet, omdømmet og kundenes tillit, samt fallende aksjekurser og alvorlige juridiske problemer.

Pointsec ønsket også å finne ut hvor enkelt det er å kjøpe og få tilgang til informasjon på bærbare som mistes under transport, for eksempel ved flyplassene Gatwick eller Heathrow eller som håndteres av politiet. I alle tilfellene fant selskapet ut at de bærbare og all informasjon på dem ble lagt ut på auksjon hvis de ikke var hentet innen tre måneder.

Pointsec besøkte en av auksjonene brukt av Gatwick flyplass, og fant ut at selv før de bærbare var kjøpt kunne man starte dem opp for å sjekke om de fungerte. Ved bruk av programvare for å gjenopprette passord kunne de få tilgang til informasjonen på en av tre av disse pc-ene. Denne øvelsen ble også gjennomført i Sverige, USA og Tyskland.

I Sverige inneholdt den første bærbare som Pointsec kjøpte ved en auksjon sensitiv informasjon tilhørende en stor matprodusent. Da hard disken ble analysert fant Pointsec fire Microsoft Access-databaser med selskaps- og kunderelatert informasjon, 15 Microsoft PowerPoint-presentasjoner med svært sensitiv selskapsinformasjon og 1.512 JPG-bilder av bedrifts- så vel som privat karakter.

Også i Norge plikter finneren å levere funnet gods til eieren hvis eieren er kjent. Vet ikke finneren hvem som eier hittegodset, blir det ofte solgt eller overlevert politiet eller lensmannen. Hittegods som ikke er hentet etter tre måneder selges ofte på auksjon.

- Våre undersøkelser har vist hvor enkelt det er å kjøpe mistede og brukte bærbare pc-er på offentlige auksjoner så vel som harddisker over Internett for så å aksessere informasjonen på disse, sier Peter Larsson, sjef for Pointsec Mobile Technologies.

- Selv når selskaper eller enkeltpersoner tror at de har slettet alt på harddisken, er det helt klart hvor enkelt det er å gjenopprette sensitiv informasjon på den. Disse funnene understreker hvor viktig det er å aldri la bærbare enheter forlate kontoret uten å være forsvarlig sikret med kryptering og sterk passordbeskyttelse.

 

For å sikre at informasjonen forblir sikker når brukerne er på farten, foreslår Pointsec Mobile Technologies noen få og enkle skritt:

1.Ta ansvaret for it-sikkerheten bort fra ansatte som arbeider mobilt; innfør sikkerhet på alle mobile enheter og administrer dem sentralt.

2.Gjør aksesskontroll og kryptering obligatorisk i organisasjonen

3.Administrer en policy for mobilbrukerne med selskapets retningslinjer for sikring av mobile enheter og lær opp de ansatte om denne policyen.

4. Bruk harddisk-kryptering som både beskytter informasjonen under den bærbares livstid og etter avsluttet, aktiv tjeneste.