 |
| Af Ulf Munkedal, adm. direktør i FortConsult |
|
| |
| Hvad gør vi med it-sikkerheden, når den yngre og teknologielskende generation kommer ud på arbejdsmarkedet? |
|
| |
| Den evige kamp mellem it-sikkerhedsfolk og medarbejdere omkring brug af ny teknologi går en fremtid i møde med en ekstra dimension, nemlig den unge generation. Den unge generation kommer til at skubbe til kampen, så sikkerhedsfolkene ikke kan vinde den. Men hvordan kommer it-sikkerhedsfolkene ud af nej-siger-rollen og imødekommer den nye teknologi uden at slække på sikkerheden? |
|
| |
| Disse spændende problemstillinger vil jeg belyse i det følgende, men først vil jeg kort ridse op, hvilke store sikkerhedsudfordringer danske virksomheder står over for i øjeblikket. Det drejer sig om områder, som specielt kommer under pres, når den unge generation kommer på arbejdsmarkedet. Nemlig; browsersikkerhed og bærbare enheder. |
| |
| 1. Sikkerhedsudfordringerne |
Browser-sikkerhed og internet-samarbejdsværktøjer
Et klassisk eksempel på infektion i en browser sker, hvis brugeren ved en fejl kommer til at skrive det forkerte navn i browseren, hvis han fx vil søge på Google men får tastet forkert og i stedet kommer ind på et fjendtligt website, som derved prøver at inficere browseren. Der kan på den måde blive brudt ind i virksomheder via svagheder i brugernes browsere, hvilket er et scenarie, der ses mere og mere. Browseren er et forretningskritisk værktøj, og det er en aktuel problemstilling i mange store danske virksomheder |
|
| |
| Det er også internet-samarbejdsværktøjer som fx Skype, Peer 2 Peer, online-møder og andre nyere teknologier, som man skal være opmærksom på. Det kommer jeg nærmere ind på senere i artiklen. |
|
| |
Bærbare pc'er og mobile enheder (gadgets, smartphone osv.)
Den anden store udfordring er bærbare pc'er og mobile enheder som gadgets, smartphones og andre bærbare enheder. |
|
| |
| Vi går alle sammen rundt med mobiltelefoner og bærbare computere. De bliver hele tiden mindre, smartere og får flere funktioner. En af fordelene ved de mange bærbare gadgets er, at de gør det nemt at synkronisere data - men det betyder dermed også, at virksomhedens fortrolige data bliver mobile. |
|
| |
Der er ikke nogen datadisciplin
Set fra et sikkerhedsperspektiv er det langt fra alle, der tænker over, hvilke medier de synkroniserer data over. Der er med andre ord ikke nogen datadisciplin, når vi bærer rundt på fortrolige informationer i forskellige mobile gadgets. Det er endnu en problemstilling, som flere store danske virksomheder kæmper med. |
|
| |
| Bærbare pc'er i dag er den primære kilde til orme, som inficerer netværk. De bliver båret ind med bærbare enheder uden om alle de normale sikkerhedsmekanismer, som en virksomhed har, og bliver placeret direkte på det interne netværk. |
| |
| 2. En organisatorisk udfordring |
Internet-samarbejdsværktøjer som Skype, Peer 2 Peer, MSN/IM osv. er værktøjer, som bliver brugt i langt højere grad end tidligere. Fx har 22 % af virksomheder Skype i deres netværk (Kilde: IDC). Enten en autoriseret version eller hvor den enkelte medarbejder har installeret det, fordi de benytter det i forhold til en kunde, samarbejdspartnere eller andre. Det er oftest nemmere og tit et ønske fra kundens side, yderligere er det samtidig billigere for virksomheden. Det er kun et spørgsmål om tid, inden værktøjerne vil blive defakto-standarden for, hvordan vi fører forretning. Det vil blive en hel normal måde at arbejde på med de nye teknologier fuldt implementeret. |
|
| |
Pres fra brugernes side
De nye teknologier bliver hurtigt en del af vores hverdag, og mange medarbejdere bruger de nye teknologier privat. Det giver derfor et stort pres fra brugernes side, da de vil forvente, at det også bliver brugt på arbejdspladsen. Presset stiger derfor på arbejdspladsen, hvor der opstår et modpres fra de sikkerhedsansvarlige. |
|
| |
Modpres fra de sikkerhedsansvarlige
De sikkerhedsansvarlige sætter et modpres mod implementeringen af de nye teknologer, da det medbringer problemstillinger omkring sikkerheden. Mange af de nye teknologier er svære at styre og kontrollere rent sikkerhedsmæssigt. De er ikke konstrueret med sikkerhed for øje men med brugervenlighed som udgangspunkt samt nem adgang til data og features. |
|
| |
Der udspiller sig derfor en kamp mellem brugeren og den it-sikkerhedsansvarlige i mange virksomheder med følgende udgangspunkter:
Pres fra brugeren om at implementere den nye teknologi
- De bruger teknologien privat
- Motivation/skuffelse ift. at bruge teknologien på arbejde
- Internetkultur - alle andre bruger det
- Medarbejderfordele - rekruttering
Modpres fra de it-sikkerhedsansvarlige
- Freeware/shareware-programmer på pc'er - typisk med udokumenteret brugerrettigheder og netværkstrafik
- Bypassing firewall - outbound kommunikation uden for virksomhedens kontrol
- Ikke bygget med sikkerhed for øje
- Ikke bygget med central installation/management
- Fortrolige data er ikke automatisk sikret
- Besværlig at monitorere/logge
|
|
| |
| Den unge generation bruger teknologien privat og har det indarbejdet i deres arbejdsvaner og deres arbejdsmetoder. Der er en forventning om, at den nye teknologi bliver brugt på arbejdspladserne. Hvis det ikke er sådan, bliver det mødt med skuffelse og evt. opsigelse af arbejdet, da brugen af den nye teknologi har indflydelse på den unge generations valg af arbejdsplads. |
|
| |
| De it-sikkerhedsansvarlige er derfor hårdt presset i forsøget på at imødekomme den nye teknologi, men det efterlader dem med flere sikkerhedsmæssige problemstillinger. Fx at de nye teknologier ikke er bygget med central installation/management eller en manglende politik for overførsel af fortrolige data gennem internet-samarbejdsværktøjer. |
| |
| 3. The good, the bad and the young |
Der er yderligere en faktor, som der skal tages højde for. Allerede nu, og i endnu højere grad inden for den nærmeste fremtid, er der en yderligere dimension, som man skal være særlig opmærksom på. Det er den unge generation og deres forkærlighed til den nye teknologi. |
|
| |
Der er derfor tre sider i problemstillingen, hvilket kan illustreres sådan her:
 |
|
| |
| Den unge generation er vokset op med den nye teknologi, og de forstår at bruge den. De er selvfølgelig fortalere for implementering af de nye teknologier, og de bringer nye tekniske vaner med sig og dermed andre måder at tænke på. |
|
| |
| Det medfører, at sikkerhedsansvarlige, som længe har kunnet holde nye sikkerhedsproblematiske teknologier ude fra virksomheder, nu går en hård tid i møde. Det bliver umuligt at holde den nye teknologi tilbage med indtrædelsen af den nye generation. |
| |
| 4. De unge - for eller imod sikkerhed? |
"Jeg vil da godt acceptere en flertalsafgørelse, hvis jeg synes det er det rigtige" (Pige 17 år). Citatet har jeg fra en undersøgelse fra Center for ungdomsforskning. Det er sigende for, hvordan den unge generation forholder sig til demokratiske beslutninger. En faktor som skal tænkes ind i ledelsen af unge mennesker. |
|
| |
En demokratisk teknik
Måden de unge tænker på er langt mere fokuseret på dem selv. De vil ikke umiddelbart acceptere hvad som helst, heller ikke selvom det er besluttet i en demokratisk proces, som de oven i købet selv har været en del af. Den demokratiske teknik, eller sagt med andre ord "den måde den ældre generation er vokset op med altid at acceptere flertallet på":, vil de unge som udgangspunkt ikke følge. |
|
| |
Hvad kan man gøre for at få de unge til at acceptere?
Der er derfor en udfordring i at få den unge genration til at acceptere og overholde firmaets sikkerhedspolitikker, hvis de ikke finder regelsættet acceptabelt i forhold til dem selv og deres arbejdsmetoder. Undersøgelsen viste også, at den unge generation ikke har en lige så høj grad af tilpasning til virksomheden, som den ældre generation har. De har den omvendte indstilling, altså hvordan kan virksomheden tilpasses mig? Det bliver den holdning, vi fremover vil møde hos den unge generation. |
|
| |
Pointe
Indtrædelsen af de nye teknologier og den unge generation på én gang bliver en stor udfordring for de it-sikkerhedsansvarlige, - og det bliver en kamp, der ikke kan vindes, hvis der ikke handles åbent og proaktivt. |
| |
| 5. Hvad kan vi bruge de nye teknologier til? |
Der er mange gode grunde til at bruge de nye teknologier. En af grundene er simpelthen, at det er dét, som de unge vil have. Hvis de fx ikke kan få MSN på deres arbejdsplads, finder de et andet arbejde. Det vil være det samme som at sige til den lidt ældre generation, at de ikke må bruge bærbare pc'er, men at de i stedet skal bruge en kuglepen. |
|
| |
Hvordan kan virksomheder drage nytte af de nye teknologier?
- Fleksible arbejdspladser /geografi
- Fleksible arbejdstider
- Deling af data og systemer
- Hurtig kommunikation
- Effektivt at bruge og hurtigt at lære
- Højere produktivitet
|
|
| |
| De nye teknologier giver virksomheder mange muligheder for øget effektivisering. Fx at tilbyde fleksible arbejdspladser, som gør det muligt at arbejde andre steder end på kontoret eksempelvis på kurser osv. i udlandet. Det giver på samme måde fleksible arbejdstider. Det kan højne produktiviteten gennem hurtige kommunikationskanaler, hvor det også er muligt at dele data og systemer. |
|
| |
| Den nye teknologi er en måde at opnå de ovenstående punkter på, men hvor efterlader dette sikkerheden? |
| |
6. Nogle af de nye af teknologier
- sikkerhedsudfordringer kontra forretningsfordele |
Skype og lignende P2P
| Minus - sikkerhed | | Plus - business |
| Bruger ukendt båndbredde og ressourcer | | Lavere telefonregninger |
| Ikke designet til central installation og kontrol | | Mobilitet |
| Svært at kontrollere/filtrere netværksmæssig | | Kunderne bruger det |
|
|
| |
| Sikkerheden er øget på det sidste, da der er releaset enterprise-versioner, som gør det interessant at se nærmere på Skype. Men der er stadig issues, der skal adresseres, før det kan implementeres sikkert. |
|
| |
IM, MSN, chat, SMS osv.
| Minus - sikkerhed | | Plus - business |
| "Drag and drop" - også med fortrolige filer | | Nemt at kommunikere |
| Uafviselighed er et problem i forhold til mangelfuld logning | | Mobilitet |
| Filoverførsler omgår ofte den normale AV-infrastruktur. | | Uformel og behagelig kommunikationsform |
|
|
| |
| Det er hurtige, nemme og uformelle måder at kommunikere på, men der er en række issues, som det er nødvendigt at tage stilling til. Hvis fx sælgeren får en ordre på sms eller IM. Hvordan får vi uafviselighed ind i det? Og hvad er politikken for at hive en fortrolig fil ind i et MSN-vindue? |
|
| |
Webapplikationer, online-møder osv.
| Minus - sikkerhed | | Plus - business |
| Fortrolighed - hvem har adgang til vores data? | | Fleksible arbejdspladser - mobilitet |
| Eksterne brugernavne og passwords? | | Sparer tid |
| Driftssikkerhed - højere betingelser for internet-adgang 24/7 | | Sparer penge (rejser osv.) |
| Filoverførsler omgår ofte den normale AV-infrastruktur. | | |
|
|
| |
Smartphones
| Minus - sikkerhed | | Plus - business |
| Fortrolighed - data og tale! | | Mobilitet |
| Indbygget spy tools - fx mikrofoner og kamera | | Effektiv udnyttelse af tid - ingen spildtid |
| Infektion af interne netværk ved synkronisering (LAN) | | Nem adgang til alle personlige virksomhedsdata |
| Uønsket bluetooth-adgang til data | | |
| Malware på telefoner - ikke endnu, men det er på vej | | |
|
|
| |
| Virus og malware på telefoner er ikke noget, der for alvor er set i det virkelige liv endnu. Ganske enkelt fordi der er så mange forskellige platforme og systemer til telefoner, som i sig selv gør det svært for virus og malware at sprede sig videre. Det er imidlertid en helt anden sag på vores normale pc'er, hvor det er ét og samme system, vi alle bruger. |
|
| |
Blogs, newsgroup
| Minus - sikkerhed | | Plus - business |
| Privathed - fortrolighed | | Åbenhed |
| Ofte umuligt at fortryde den delte information | | Team spirit - mange kan hjælpe med at løse et evt. problem |
|
|
| |
| En af de store bagsider ved blogs og newsgroups er, at folk nogle gange er lidt for villige til at dele deres informationer. |
|
| |
Et konkret eksempel
En tekniker havde et problem med en VPN-boks. Han lagde hele konfigurationen ud i en newsgroup og spurgte, om der var nogen, der kunne hjælpe. I konfigurationen var der imidlertid brugernavne og passwords, og han gav derved frit adgang til virksomhedens netværk. |
|
| |
| Det er ikke altid, folk tænker over, hvad det er, de deler, men dét, at de deler og får flere til at arbejde sammen om et projekt, er en fantastisk fordel for virksomheden. Der er mange virksomheder inklusiv min egen, som har erstattet intranettet med et wiki-system, som alle kan deltage og bidrage på. Det er blot vigtigt at være opmærksom på, at der er tendens til, at datadisciplinen bliver mindre, når metoden bliver lettere. |
| |
| 7. Hvad kan vi gøre? |
Det bliver en umulig kamp for de it-sikkerhedsansvarlige, hvis kampen skal baseres på forbud og restriktioner. Det er ikke kun de nye teknologier, der skal bekæmpes med indtræden af den nye generation. Det er også helt nye vaner og synspunkter, der følger med. |
|
| |
If you can't beat them - join them
Hvordan kommer vi så videre? Først og fremmest må vi indse udfordringen, og at den ikke kan vindes ved at forbyde. Vi kan altså ikke bekæmpe det, men vi kan begrænse eventuelle skader. |
|
| |
| Vi kan bruge det paradigmeskift, der er på vej, til at gøre nogle ting anderledes og til at få positioneret it-sikkerhed anderledes. De it-sikkerhedsansvarlige kan gå fra at være nej-sigere til at blive den instans i virksomheden, hvor der bliver eksperimenteret mest med de nye teknologier. Sikkerhedsafdelingen kan arbejde præventivt med at afprøve nye teknologier for at finde frem til, hvad der skal til, for at de bliver sikre. Det handler om at få de nye teknologier introduceret på en struktureret måde og med en hurtighed, som alle kan acceptere. |
|
| |
| Hvis vi kan få organisationer til at tænke sådan, vil det give et plus fra topledelsen og samtidig få medarbejderen til selv at være mere it-sikkerhedsbevidst. Den klare fordel er, at det giver mere konstruktive medarbejdere i forholdt til sikkerheden. |
|
| |
Fra "nej-sigere" til "ja hvis det er sikkert-sigere"
De it-sikkerhedsansvarlige vil således gå fra at være nej-sigere til ja hvis det er sikkert-sigere og sende et positivt signal om, at de gerne vil hjælpe de nye teknologier på vej på den betingelse, at de er sikre at benytte. Det er vigtigt, at sikkerhedsafdelingen er med i processen fra starten og bidrager til at gøre de nye teknologier sikre at anvende i virksomheden, før behovet og kravet fra medarbejderne opstår. Sikkerhedsfolkene bør vurdere risici og derefter lade det være op til ledelsen at tage beslutningerne. |
| |
| 8. Nogle konkrete råd |
- Bliv bekendt med teknologierne selv. Bliv virksomhedens "gadget-freak".
- Brug smartphones, IM, blogs, osv.
- Forstå teknologierne, brug det evt. derhjemme, eller opret et netværk netop til test af nye teknologier.
- Tal det samme sprog som den unge generation.
- Gå i offensiven.
- Inkluder nye teknologier i sikkerhedspolitikker og procedurer så tidligt som muligt. - STOP ikke.
- Krav: Centrale installationer og kontrol. Hvad er i netværket, og hvordan bliver det brugt? Det skal være muligt at stoppe og styre det, hvis det bliver et problem? Afvig ikke fra dette krav.
- Kontroller applikationslaget. Undersøg applikationslevelløsninger fx applikationsfirewall.
- Sikr de enkelte gadgets. Find sikkerhedsløsninger der er orienteret mod de enkelte enheder. Fx kryptering på smartphones.
- Vær klar til at håndtere de holdninger og synspunkter, som de unge kommer med.
|
|
| |
En sidste fodnote
Sikkerheden omkring de nye teknologier halter efter presset fra brugerne, men den skal nok følge med på længere sigt. Der er nemlig pres på leverandørerne for at tage højde for sikkerheden i de nye og umodne teknologier. Så vi har tiden på vores side - producenterne skal nok forbedre sikerheden med tiden. Vi kan bare ikke vente på, at det sker, for så bliver vi løbet over ende i mellemtiden. |
|
| |
| Denne artikel er publiceret i Børsens ledelseshåndbog om it-sikkerhed og bringes her efter tilladelse fra Børsens Ledelseshåndbøger. |
