Data på farten: Hvor ansvarsløs er du?
Document Actions
Eller - for å henge bjella der den hører hjemme: Hvorfor har så få virksomheter en policy som forteller i klare termer hva som er tillatt og hva som ikke er det?
Svaret er - om ikke alltid, så i alle fall ofte: Det er for tungvint. Men hva er det som er for tungvint? Å sikre dataene, å lage en policy, å legge restriksjoner på bruken eller tilgangen - eller noe annet? Eller muligens alle sammen i én eller annen grad? Den korte oppsummeringen av virkeligheten er i alle fall at sikkerheten havner lenger nede på prioriteringslisten enn lettvinthet - for brukere og driftspersonell.
Er dette til å leve med? Neppe, men det hangler og går inntil en katastrofe skjer - av typen bærbar maskin med 40.000 kundekort fra firma XYZ stjålet eller bankansatt mistet PC med kontoinformasjon for 35.000 kunder. Vi har sett en håndfull av dem hvert halvår de siste årene. Og når katastrofen er et faktum, rammes virksomheten finansielt, juridisk og markedsmessig. Er tapet alvorlig nok, kan organisasjonen miste retten til å drive sin virksomhet. Og selv om virksomheten ikke hører hjemme i de mest kritiske segmentene - bank og finans, helse, forsvar og enkelte andre - og dataene dermed mindre følsomme i lovens øyne, kan tap av data fortsatt bety kroken på døra. Selv i våre dager er tillit en fundamental forutsetning for business. Når kundene stikker, tar det i beste fall lang tid å vinne dem tilbake.
Generasjoner av unyttige verktøy
Men har vi ikke hatt verktøy for å sikre data på bærbare maskiner og lette lagringsmedia i årevis? Visst har vi det. Windows og andre operativsystemer har hatt mekanismer for kryptering av filsystemer og data i forskjellige sammenhenger siden lenge før årtusenskiftet. Hvorfor brukes de ikke? Enhver IT-profesjonell vet svaret altfor godt: De er ikke gode nok. Det er for tungvint å bruke dem, de skaper flere problemer enn de løser og gjør i mange tilfeller dataene like utilgjengelige for brukeren som for eventuelle misbrukere.
Når nøden er størst ...
Som vi også var inne på i en fersk utgave av Produktfokus, finnes det et nærmest ubegrenset tilfang av verktøy på de mest usannsynlige områder. Vi prioriterer imidlertid sjelden tid til å se etter dem eller sjekke dem ut eller inn i forhold til behov. Og det vi ikke vet, har vi vondt av - i alle fall i denne sammenhengen. Vi kjenner ingen som ikke trenger bedre sikring på dette området. Og hjelpen er ikke langt unna. WinMagic høres riktignok ut som et selskap i spillebransjen, men har i nærmere 10 år levert slike sikkerhetsløsninger til blant andre det amerikanske forsvaret. SecureDoc krypterer alt innhold på disken med krypteringsteknologi av militært kaliber (AES 256). I motsetning til hva som er tilfelle for de fleste konkurrentene, er mekanismen ute av syne for OS og applikasjoner, inklusive antivirus og andre sikkerhetsverktøy - og for brukeren med unntak av påloggingen. En sikret disk blir dermed i innholdsmessig forstand verdiløs for andre enn brukeren, uansett om den er i eller utenfor maskinen. Ikke engang WinMagic selv kan 'låse opp' en kryptert disk.
Umiddelbart dukker det opp kritiske spørsmål: Hva om brukeren mister eller glemmer passordet? WinMagic har gått grundig til verks for å sikre at dette ikke skjer, blant annet gjennom registrering av spørsmål/svar sekvenser under innleggingen av passordet, som sørger for å minne brukeren om hva som ble valgt - når det trengs. Og hva med andre data på samme disk? Multibooting av flere operativsystemer er ikke mulig, i og med at SecureDoc trår til allerede før den vanlige oppstart-mekanismen og senere operativsystemet på maskinen er i gang. Unntaket som bekrefter regelen er at flere forekomster av Windows 2000/XP kan finnes og brukes på samme disk. Da må SecureDoc installeres eksplisitt på hver forekomst. Er så passord godt nok som beskyttelse? Er ikke passord gått ut på dato? Det kommer an på sammenhengen. SecureDoc ville ikke ha vært interessant for krevende kunder uten støtte for token-kort eller lignende mekanismer. Den 'personlige utgaven' av produktet - mySecureDoc - er imidlertid rent passordbasert, hvilket er akseptabelt fordi noe annet ville blitt for kostbart. Dessuten: De samme mekanismene som kan hjelpe oss å huske passordet når hukommelsen svikter, sørger også for at dårlige passord ikke blir akseptert. MySecureDoc's lave pris - under USD 30 per bruker - er en av faktorene som nå gjør skikkelig sikkerhet både tilgjengelig og interessant for hvem som helst.
Dagens PCer har mer enn nok ressurser til å håndtere kryptering og dekryptering uten at dette merkes av brukeren under alminnelige driftsforhold. Krypteringen påvirker ikke backups, og sikkerhetskopiene er automatisk sikret - dersom vi ønsker det. Det samme gjelder for 'nomadiske data' - på memory sticks, CDer eller andre media. Mekanismene er enkle og ute av syne bortsett fra når passord skal oppgis, eller når brukeren skal gjøre valg i forbindelse med overføring av data til eksterne media.
SecureDoc fikser Windows, hva med Mac?
WinMagic er ikke alene i dette segmentet, men utmerker seg med lang fartstid og et godt renommé blant krevende kunder. Tiden er moden for å ta også denne sikkerhets-utfordringen på alvor, og SecureDoc/MySecureDoc gjør det mulig - for Windows. På Mac har Apple allerede bygget inn en del av den samme funksjonaliteten: En bruker kan aktivisere tilsvarende kryptering (samme mekanisme, men noe svakere, AES128 i stedet for AES 256) på sin hjemmekatalog, hvilket betyr at alle personlige data automatisk krypteres. FileVault, som produktet heter, er passordbasert som SecureDoc, og har i tillegg til personlig passord, også mulighet for et hovedpassord som driftsavdelingen kan bruke til å hjelpe brukere i nød, eller til å få tak i bedriftskritiske data når brukeren ikke er tilgjengelig. Er et slikt passord ikke i bruk, fungerer det ene brukerpassordet på samme måte som hos WinMagic. FileVault opererer på et slikt nivå at den ikke kommer i veien for antivirus eller andre programmer.
Har vi råd til uansvarlighet?
MySecureDoc er uten tvil et sikkerhetsmessig bedre produkt enn Apples FileVault, men begge er viktige for en generell heving av mobil sikkerhet: De fjerner den viktigste årsaken til at situasjonen er som den er - helt uakseptabel. Har du råd til å vente?
