Vart tog informationen vägen?
En civilanställd på polismyndigheten kopplade bort övervakningskamerorna på ett lager och stal backupband vilket ledde till att 80 000 polisers person- och kontonummer äventyrades. En högt uppsatt datakonsult stängde av en elektronisk säkerhetsanordning vilket gjorde att över 13 000 människors personliga information blev tillgänglig för allmänheten. Den amerikanska konkurrensmyndigheten US Trade Commission dömde konsultfirman att betala skadestånd på 275 000 dollar (nästan 2 miljoner kronor). Dessa skräckscenarier är exempel på dataintrångsbrott som har begåtts under den senaste tiden och enligt den amerikanska konsumentorganisationen Privacy Rights Clearinghouse blir denna typ av brottslighet allt vanligare.
Kryptering är en metod som länge har varit en viktig del av elektronisk säkerhet, och det innebär att vanlig text omvandlas till oläsbara koder (chiffer) för att obehöriga personer inte ska kunna läsa eller använda texten. Mottagaren av den krypterade texten använder en ”nyckel” för att återskapa texten till sin ursprungliga form.
– Stulna eller borttappade datorer är den främsta orsaken till dataintrång, säger Tim Matthews, chef för produktmarknadsföring på PGP Corporation, ett företag som säljer olika typer av dataskyddsteknologier. Lösenord och portkoder kan finnas på stulna datorer, vilket kan leda till att en byggnads fysiska säkerhet äventyras.
Men kryptering är bara en liten del av en verksamhets datasäkerhetsplan, påpekar Ashley Richards, som är informationschef på Absolute Software.
– Det skyddar inte ett företag från personer som skriver ner sitt lösenord på en post it-lapp och sätter den på datorn. Med hjälp av ett spårnings- och övervakningssystem kan man hålla koll på var företagets datorer finns och vem som använder dem samt få varningar om misstänkt aktivitet på datorerna, till exempel installation av otillåtna program.
Behov av krypteringsstrategi
I en ny serie rapporter från det amerikanska analysföretaget Ponemon Institute har man undersökt användningen av datakryptering, med utgångspunkt från ett antal enkäter som gjorts bland IT- och verksamhetschefer på företag i fem olika länder. 85 % av enkätdeltagarna i USA, 80 % i Storbritannien, 69 % i Australien, 67 % i Frankrike och 53 % i Tyskland svarade att de hade haft minst ett intrång under det senaste året (och dessutom är det naturligtvis många intrång som aldrig upptäcks). Forskarna på Ponemon Institute konstaterade att i dag använder de flesta företag någon typ av kryptering och att det finns ett växande behov av säkrare krypteringsmetoder.
Dataintrång ger upphov till olika typer av kostnader – som förlorade kunder, processer för att informera kunderna och (åtminstone i USA) tillsynsmyndigheter som kan utdöma enorma bötesbelopp – och i genomsnitt kostar varje intrång företagen 1,7 miljoner pund (ca 20 miljoner kronor) i Storbritannien och 6,6 miljoner dollar (ca 47 miljoner kronor) i USA. Med andra ord kan ett enda intrång vara ett hårt slag för ett företags säkerhetsbudget.
Enkätdeltagarna uppgav att de ville skydda sig mot vanlig kriminell aktivitet, men dessutom var samtliga deltagare oroliga för att ”anställda som är missnöjda med den ekonomiska situationen ska försvinna med värdefull kundinformation”. Tim Matthews på PGP tillägger:
– Säkerhetsexperter installerar lås och larm för att förhindra inbrott, men de borde också överväga ”datalås”, d.v.s. kryptering, för att skydda den känsliga information som varje dag lämnar företaget i de anställdas fickor och portföljer.
– Det blir också allt viktigare att förstå hur våra affärspartners skyddar denna typ av information, fortsätter Tim, och syftar på Ponemon Institutes statistik som visar att över 40 % av alla dataintrång sker hos tredjepartsleverantörer eller samarbetspartners, till exempel företag som hanterar utbetalning av löner och sjuk- eller föräldrapenning.
– Även om det är din leverantör som bär skulden så är det du själv som får stå för kostnaderna för dataintrånget, och det är du som förlorar kunder.
Information i mobiltelefoner
Enligt Ponemon Institutes undersökningar ökar även behovet av att kryptera informationen i de anställdas mobiltelefoner. Tim säger följande om nya teknologier som smartphones och cloud computing (molntjänster):
– Båda dessa teknologier kräver en utökad IT-säkerhet eftersom de ökar risken för att informationen ska exponeras. Med smartphones kan användarna ta emot och skicka känsliga dokument var som helst och när som helst, vilket förstås är smidigt, men det är samtidigt lättare att bli av med en telefon än en dator. Och nu är det inte bara de egna servrarna och kunderna som måste skyddas eftersom molnteknologin innebär att informationen överförs även till molnleverantörer som erbjuder hosting- och lagringstjänster på många ställen runt om i världen. Kryptering är ett sätt att skydda informationen var den än befinner sig. Molnleverantörer är ett bra exempel på företag som hanterar stora mängder konfidentiell information och som behöver en kombination av pålitliga fysiska access- och krypteringsskydd.
Och när det gäller kryptering av information som används – aktivt eller inaktivt och på plats eller på avstånd – så väljer många länder nu att använda sig av plattformar. Fördelarna med detta (jämfört med metoder som kombinerar olika silo- (mjukvara) och hårdvarulösningar)är lägre investeringskostnader, möjligheten att implementera och hantera krypteringsapplikationerna centralt, mindre administration och möjligheten att lägga till nya program i framtiden.
Ashley Richards på Absolute Software påminner oss om att det fortfarande är viktigt att tänka på den mänskliga faktorn när det gäller varför och hur dataintrången sker.
– Man bör fortsätta att informera personalen om vilka situationer, motiv och beteenden som gör att obehöriga försöker stjäla eller få tillgång till datorer.
Ponemon Institute har tagit fram en lista med 24 punkter för effektiv säkerhet, där fyra av punkterna är särskilt viktiga för personer som är ansvariga för den fysiska accessen:
1. Ha koll på var den känsliga eller konfidentiella informationen finns.
2. Begränsa den fysiska accessen till datorer med sådan information.
3. Håll dig uppdaterad om integritetsskydd och andra bestämmelser som påverkar den fysiska säkerheten, och se till att företaget uppfyller dessa krav innan det sker ett intrång.
4. Lär dig företagets nätverk utan och innan för att kunna skydda det på ett bättre sätt, eftersom det med all säkerhet kommer att utökas med nya virtualiseringsmöjligheter för personal, kunder och samarbetspartners.