De er kanskje små, men deres potensial for å skape sikkerhetsskandaler er enormt. Så hvorfor tillater så mange bedrifter sine ansatte å fortsette bruk av ukrypterte USB-minnepinner for å transportere vital bedriftsinformasjon?
Det florerer med skrekkhistorier som skaper store overskrifter over hele Europa. Mange steder går det knapt en uke uten at en organisasjon i privat eller offentlig sektor får smekk på fingrene og offentlig ydmykelse på grunn av en tapt USB-minnepinne som inneholder sensitive og ukrypterte data.
På mange måter er det eneste overraskende at ikke flere av disse tilfellene oppstår.
En ny undersøkelse utført av Ponemon Institute på oppdrag fra oss i Kingston Technology, viser en bekymringsfull nonchalant tilnærming til bruk av minnepinner blant europeiske organisasjoner. Dårlig ledelse, uaktsomhet blant brukere, USB-produkter av dårlig kvalitet, mangel på kryptering og så videre. Undersøkelsen viser at europeiske bedrifter har falt inn i urovekkende dårlige vaner når det kommer til bruk av minnepinner.
Enhetene i seg selv er knapt større enn en lillefinger, så det er ikke veldig overraskende at de går tapt. Men når de gjør det er det enkle ting organisasjoner nå kan og bør gjøre for å begrense skadene og stramme inn sine sikkerhetspolicyer.
Først og fremst bør organisasjoner alltid forsyne sine ansatte med godkjente høykvalitets minnepinner som overholder de aksepterte sikkerhetsstandardene for bruk på arbeidsplassen.
Disse må ha 256-bits AES-kryptering og oppdatert sikkerhetsteknologi. I følge undersøkelsen bruker 39 prosent av de spurte bedriftene ikke slike. Når det kommer til de 52 prosent prosentene som faktisk bruker dem, så innrømmer likevel 60 prosent av disse bedriftenes ansatte bruk av egne, uregulerte og ikke godkjente minnepinner.
Det er vel og bra å dele ut godkjent utstyr til de ansatte, men organisasjoner må forsikre seg at bruken av disse minnepinnene blir kontrollert kontinuerlig. Noe som bringer oss videre til mitt neste poeng – bedrifter må definere og implementere aksepterte og uakseptere brukerpolicyer og løpende bevissthetsprogrammer. Ansatte må på sin side være oppmerksomme på at de ikke kan bruke minnepinner som er tilfeldig plukket opp på en konferanse eller et møte, men derimot kun godkjent utstyr fra sin egen virksomhet.
At flere selskaper ikke definerer egne brukerpolicyer synes å være resultatet av en misforståelse knyttet til de kostnadene som er involverte. Ifølge undersøkelsen tror mange organisasjoner at å forsøke å kontrollere bruk av minnepinner vil påvirke deres produktivitet og budsjett. Realiteten er at sikre, brukervennlige minnepinneløsninger og -policyer er relativt enkle, både å anvende og regulere, spesielt sammenlignet med kostnaden av tapte data.
Inkludert i hver brukerpolicy bør det være et program som regelmessig skanner etter virus eller feil på utstyret.
Da minnepinner ofte brukes for å overføre data eller filer fra en datamaskin til en annen, betyr det at de er et primært mål for alle slags infeksjoner. Det gjør det desto mer bekymringsfullt at 67 prosent av de spurte sier at de ikke har noen teknologi på plass for å forhindre eller oppdage virus eller skadelig kode på minnepinnene som deres ansatte bruker.
Skadelig kode kan brukes til å stjele personlige data, konfidensielle bedriftsdata eller gi utenforstående enkel adgang til et infisert system. Det er ingen grenser for de potensielle skadene. Minnepinner med skrivebeskyttelse gjør riktignok at enkelte av dem ikke kan brukes når de settes inn i en ikke godkjent maskin, men utstyret bør fremdeles regelmessig skannes for potensielle trusler.
Hvis det er én ting ansatte og arbeidsgivere bør gjøre når det kommer til å beskytte sine verdifulle data, så er det å bruke kryptering. Passord og låsmekanismer må komme som standard på nær sagt alle minnepinner, men enda viktigere er det at konfidensielle eller sensitive data på disse enhetene brukt utenfor bedriftens lokaler er krypterte. Det er en så enkelt ting å gjøre, men likevel finner undersøkelsen at 58 prosent av de spurte ikke gjør det. Konsekvensene kan bli enorme.
I Storbritannia var det nylig en sak hvor ansatte i Cambridgeshire fylkeskommune mistet en ukryptert minnepinne med sensitiv informasjon om sine innbyggere.
De innrømmet å ha brukt en minnepinne som ikke var godkjent for bruk, hvilket fikk store konsekvenser. I Norge finnes det også en rekke tilsvarende eksempler hvor både bedrifter og offentlige etater har mistet sensitiv informasjon på ukrypterte USB-minnepinner. Jeg ønsker likevel ikke å være mer spesifikk på dette, fordi vi lever i et lite og gjennomsiktig samfunn. De det gjelder har fått slite med det i ettertid.
Ifølge undersøkelsen er gjennomsnittlig kostnad for bedriftene knyttet til tapte data på minnepinner svimlende 5,2 millioner euro, eller i overkant av 41 millioner norske kroner. Og når nesten to tredeler av europeiske organisasjoner har gjennomgått et slikt tap er dette er problem som må tas på alvor. I dagens økonomiske klima er det stadig viktigere at bedrifter fremmer en større forståelse av minnepinnesikkerhet blant sine ansatte, og samtidig får korrekte kontrollrutiner på plass for å forsikre at de ikke er de neste som lager overskrifter av den typen man helst ikke vil ha.
