Det svakeste ledd

Det svakeste ledd

Bærbare pc-er utgjør ifølge flere rapporter den største trusselen mot dagens nettverk.

Ifølge analyseselskaper som IDC viser det seg at en seks års investeringsbølge innen sikkerhet nå har flatet ut. Dette betyr imidlertid ikke at it-avdelingene kan puste lettet ut og sove godt om natten. Det er den bærbare pc-en som ifølge IDC er verstingen når det gjelder å utgjøre en fare for bedriftene. Har andre områder stukket av med budsjettet for it-sikkerhet slik at de bærbare har havnet i glemmeboka?

At data kommer i feil hender skyldes i mange tilfeller stjålne bærbare pc-er, og det er ikke sjelden at kundelister, ansattes planer og personnumre kommer på avveie. For å beskytte de bærbare finnes det en rekke tiltak man kan gjøre. Kryptering, ulike brannmurmodeller, dedikerte løsninger for endepunktssikkerhet kan være gode tiltak for de som tar dette problemet på alvor.

Mangler policyer

Det viser seg nemlig at mange ikke tar dette problemet særlig seriøst. En studie foretatt av Ponemon Institute avslører at de fleste bedrifter ikke har policyer om hvordan de beskytter bedriftsdata på enheter som forlater nettverket. Majoriteten av bedriftene setter sine konfidensielle data i stor risiko hver dag når bærbare pc-er forlater nettverket. Også servere, stasjonære pc-er og eksterne lagringsløsninger kan være utsatt når de forlater bedriftens lokaler.

Studien vi henviser til her ble foretatt av 735 it-ansatte, og viser at hovedmengden av databrister som rapporteres i dag involverer ubeskyttet informasjon på enheter som forlater nettverket på grunn av omplassering, reparasjon eller ærend utenfor bedriften. Studien konkluderer med at it-avdelinger bør ruste opp sine policyer når det gjelder sikkerhet for utstyr som ikke er tilkoblet nettverket. Nivået bør opp til det samme som for enheter som befinner seg i nettverket.

Hyppigheten av datatapene fra bærbare pc-er og andre enheter er delvis en konsekvens av manglende policy som dikterer hvordan man skal behandle data på enheter som forlater nettverket. Rundt 60 prosent av undersøkelsens deltakere forteller at de mangler ressurser for å implementere skikkelige policyer som sikrer god kontroll for de aktuelle enhetene. Rundt 40 prosent sier at mellom fem og ti prosent av budsjettet for it-sikkerhet er øremerket for denne typen sikkerhet, mens 34 prosent forteller at de kan bruke mellom en og fem prosent til slike aktiviteter.

Mister mye data

Undersøkelsen viste ellers at nesten tre fjerdedeler har opplevde å miste eller bli frastjålet databærende utstyr i løpet av de siste 24 månedene. Av disse, melder 42 prosent om at disse dataene var sensitive eller konfidensielle.

For 68 prosent var enhetene bærbare pc-er, 67 prosent hadde opplevd det samme på PDAer, mens for rundt 60 prosent ble konfidensiell informasjon kompromittert da USB-baserte flashdisker ble mistet eller stjålet. Hele 39 prosent av bedriftene melder om at større enheter som servere er utsatt for dette. 29 prosent gir de stasjonære pc-ene skylden for tap av data i løpet av de siste to årene.

Ser vi nærmere på andre enheter som er tatt ut av nettverket, men som er involvert i datatyverier, svarer 29 prosent av deltakerne at backupmedier har vært utsatt. Zip-løsninger og kopimaskiner står for 13 prosent hver, eksterne lagringsløsninger med 11 prosent, rutere med 9 prosent og skrivere og faksmaskiner med 4 prosent.

Til tross for mange rapporterte tap av data fra utstyr som ikke var tilknyttet nettverket, svarer mer enn 60 prosent av deltakerne i undersøkelsen at deres bedrifter prioriterer sikkerheten til løsningene som alltid er koblet til nettverket.

62 prosent svarer at deres bedrift har risikoproblemer med data. Her defineres risikoproblemer med en rikelig mengde av ubeskyttet sensitiv eller konfidensiell informasjon som finnes på databærende utstyr som er frakoblet nettverket. En like stor andel svarte også at de ikke tror at kontrollen med utstyret som taes ut fra nettet er god nok.

Sikkerhet