- Kast smarttelefonene

- Kast smarttelefonene

Mobile enheter lekker stadig mer bedriftssensitiv informasjon. - Kast smarttelefonene hvis de ikke er nødvendige for bedriften, for de er ikke er sikre nok, mener sikkerhetsrådgiver.

Den teknologiske revolusjonen innen mobiltelefoni og andre mobile kommunikasjons- og lagringsenheter har endret hvordan ansatte behandler bedriftsinformasjon. Stadig flere tar med seg sensitive data utenfor bedriftens sikre soner blant annet ved hjelp av minnepinner og kan aksessere bedriftens systemer uansett hvor de befinner seg, for eksempel ved å synkronisere epost med en smarttelefon.

- Den nye generasjonen er vant til å dele informasjon og forventer denne aksessen enten de er på skolen, i arbeidslivet eller hjemme. Det er mobilitet og funksjonalitet som preger løsningene, og dessverre holder ikke sikkerheten følge, mener senior sikkerhetsrågiver i Ementor, Thorbjørn Ellefsen.

Men mobiliteten har en pris. En rekke undersøkelser har påvist at en flom av sensitiv informasjon blir mistet eller stjålet fra norske bedrifter hvert år.

LES OGSÅ: Mobile ansatte truer sikkerheten

Det grunnleggende problemet er at de mobile enhetene ofte er designet kun for funksjonalitet, og ikke med tanke på sikkerhet. Dermed er brukerne avhengige av tredjepartsløsninger for å benytte produktene på en sikker måte. I likhet med enhetene selv er disse sikkerhetsløsningene umodne, mener Ellefsen.

- Sikkerheten på en bærbar pc har utviklet seg over lang tid og holder et bra nivå sammenliknet for eksempel med en smarttelefon. Der har du en rekke proprietære formater og programvare som ikke støttes på tvers av produsenter og operativsystemer, sier han.

Å benytte telefonen til autentisering mot sikre nettverk over gsm eller sms er uforsvarlig. Å forfalske avsender er like enkelt som på epost, og det er vanskelig å kontrollere hvilken informasjon som kan sendes parallelt med autentiseringen. I tillegg er det svært få som har programvare eller kompetanse til å se om det ligger ondsinnet programvare på en telefon.

- Mobiltelefonen er designet for et helt annet formål, og sikkerhetsteknologien kommer halsende etter. Det er spennende med ny funksjonalitet, men man er veldig prisgitt produsentene, og foreløpig har de ikke satset på sikkerhet. Dette må bedriftene og brukerne ta hensyn til, mener Ellefsen.

LES OGSÅ: Ansatte lærer ingenting om it-sikkerhet

De mest sikkerhetsrettede virksomhetene har utarbeidet retningslinjer for behandling av sensitiv informasjon og bruk av mobile enheter. Heller ikke det er nok, mener sikkerhetsrådgiveren.

- Jeg har til gode å se et godt regime på mobile klienter og lagringsenheter. Jeg tror på et mye strengere regime i bedriftene, en brannmur-tankegang hvor ingenting i utgangspunktet er tillatt, så får man heller åpne opp der det er behov, sier Ellefsen.

Problemet er at sikkerhet som oftest taper den politiske kampen mot funksjonalitet i bedriftene. Passord på mobiler som synkroniserer epost slås av eller gjøres automatisk, og kryptering benyttes ikke fordi det er for vanskelig å administere.

- Sikkerheten er fortsatt for tungvint og avhenger i altfor stor grad av at brukeren kan slå av ting, og generelt er bedriftene altfor hissige på å innføre ny teknologi. Etter mitt vett er det ikke mulig å implentere god nok sikkerhet på disse enhetene. Jeg har liten tro på at vi klarer å mase gjennom sikre løsninger med brukerne. Kast smarttelefonene hvis de ikke er nødvendige for bedriften, for de er ikke er sikre nok, konkluderer Ellefsen.

LES OGSÅ IDG blogg: Kast sikkerhetsekspertene!

LES OGSÅ: Økt interesse for sikkerhet

Sikkerhet