Sikre smarttelefoner?

Spørsmålet kommer regelmessig i pressen – i og utenfor IT, som regel med én eller flere smarttelefon-modeller i fokus. Samtlige ender med ‘gode råd’. De fleste serverer ønsketenking.

Mye bortkastet tid. Det riktige svaret er alltid ‘nei’. Smarttelefoner er ikke sikre. Derfor skal verken kritiske eller halvkritiske data oppbevares på dem. ‘Ferdig!’ ville en person vi kjenner ha lagt til. En ekstra understrekning av at det ikke er mer å snakke om.

Men det er mer å snakke om. Ikke fordi sannheten er mer nyansert, men fordi så mange nekter å akseptere virkeligheten. De vil gjerne ha nyanser i stedet for sort/hvitt. Gjøre det til en diskusjon om hvor sikre enkelte modeller og/eller mekanismer er, hva som er akseptabelt og for hvilke data.

En slik diskusjon kan være interessant, men ikke nyttig. Det blir den først dersom vi aksepterer virkeligheten, og agerer deretter. Vi bruker ikke penger på rigorøse kontroll-regimer som kanskje virker i noen tilfeller. Vi stoler ikke på at kryptering av hele telefonen fungerer, fordi det alltid finnes unntak, og passordet er som passord flest. Ikke spesielt vanskelig å gjette eller skaffe på annen måte.

Det som fungerer, er å la brukerne ta ansvaret for sine egne data, lære dem opp til å forstå grunnleggende risiko, og gjøre sine egne valg for egne data. Virksomhetens data tar vi vare på via tjenestene – på tjenestenivå. Som vi grundig diskuterte i analysen BYOD: God politikk, dårlig sikkerhet? forleden.