Bærbare PC-er et stort sikkerhetsproblem

Bærbare PC-er representerer et betydelig sikkerhetsproblem for norske virksomheter, viser en trend-undersøkelse Arthur Andersen har gjennomført.

Det var i forbindelse med et IT-sikkerhetsseminar i Oslo i mai Arthur Andersen gjennomførte en undersøkelse av sikkerhetsproblematikk. Omlag 30 bedrifter deltok i undersøkelsen, som på grunn av sin størrelse og utvalg ikke kan påstås å ha statistisk beviskraft. Deltakerne i undersøkelsen representerer likevel større virksomheter og betydelig kompetanse innen IT og sikkerhet, og Arthur Andersen mener derfor at tilfeller med entydige svar gir en "sterk indikasjon på hva som er status blant norske virksomheter".

Spørsmålene dekket et vidt felt fra virusangrep til sikkerhetspolicy for bedriftene, og flere av resultatene var interessante, deriblant viser de at...:

  • ...bærbare PCèr er et stort sikkerhetsproblem

Over 80 prosent av de som svarte ga uttrykk for at forretningskritisk informasjon tidvis eller kontinuerlig lagres på bærbare PC-er. Samtidig svarte to av tre spurte at bærbare PC-er er stjålet eller mistet i løpet av de siste 12 måneder, mens et flertall opplyser at innholdet knapt er beskyttet mot uautorisert innsyn.

- Etter mitt syn er det naturlig å tro at en stor del av de bærbare PC-er som stjeles, selges via helere. Det er dristig å stole på at helerne overser den verdien som kan ligge i sensitiv informasjon lagret på PC-en. Vi vet dessuten som internasjonal aktør at det i mange land finnes forbrytergrupperinger som spesialiserer seg på innbrudd på hotellrom - ikke primært for å stjele lommebøker og PC-er, men for umerket å kopiere ut informasjon fra den bærbare PC-en, og så forlate rommet uten at eieren merker at det har vært ubudne gjester på ferde, påstår Bjarne Sanness, leder for den enheten i Arthur Andersen & Co som tilbyr konsulenttjenester innen IT-sikkerhet.

- En rekke leverandører tilbyr sikkerhetsløsninger som eliminerer denne risikoen, men få virksomheter har vært villig til å gjøre denne investeringen, mener Sannes som forventer at slik beskyttelse etter hvert vil bli like naturlig som antivirus-programvare.

  • ..."alle" har opplevd virusangrep

Samtlige som svarte i undersøkelsen oppga at deres virksomhet har vært utsatt for virusangrep de siste 12 måneder, men uten at dette har medført vesentlig skade for virksomheten.

- Det at alle er angrepet bekrefter at trusselen er reell. Antivirus-programvare gir ingen absolutt garanti mot å bli rammet, men de som unnlater å beskytte seg vil nesten med sikkerhet bli smittet. Min vurdering er at en virksomhet som blir rammet uten å ha antivirus-programvare installert og gode rutiner på plass kun har seg selv å takke, sier Sanness.

  • ...to dagers driftsstopp er kritisk

På spørsmål om hvor lenge bedriften kan tåle at kritiske applikasjoner er utilgjengelig, svarer halvparten at mer enn to dagers stopp er kritisk. Dersom nedetiden utvides til én uke svarer hele 80 prosent at en slik nedetid vil være katastrofal og kan true virksomhetens eksistens. Samtidig oppgir kun halvparten at de har på plass beredskapsplaner som er testet etter 1. januar 2000.

  • ...mange har uklare adgangsrettigheter

Deltakerne i undersøkelsen oppgir at system- og dataeiere er definert. Et flertall oppgir imidlertid at system-/dataeier aldri deltar i revisjon av tilgangsrettigheter. Likeledes oppgir et flertall at detaljerte retningslinjer for sikkerhet enten ikke finnes, eller at det ikke finnes rutiner for å påse at retningslinjene fungerer.

- Dette er ikke overraskende, sier Sanness. - Vår erfaring er at det finnes mange definerte brukere som skulle vært slettet, og enda flere som har langt videre tilgangsrettigheter enn det deres stilling tilsier. Dette undergraver ofte internkontrollen og gjør virksomheten unødvendig eksponert for lekkasje av informasjon. De fleste er enig om at det fortsatt er personer med tilgang fra innsiden som utgjør den høyeste sikkerhetsrisikoen, kommenterer Arthur Andersens sikkerhetsekspert.

  • ...sikring av hjemmekontor kunne vært bedre

Et flertall av svarene viser at mange ansatte i norske virksomheter har tilgang til "alt" fra hjemmekontoret. Mange oppgir å ha på plass tildels sterk sikring av selve kommunikasjonen med hovedkontoret. Svært mange har imidlertid ingen oppfatning av hvor godt eller dårlig sikret selve PC-ene som benyttes på hjemmekontor er.

- Dette er ikke en så stor risiko sammenlignet med andre tradisjonelle svakheter, men dårlig sikring av hjemmekontor-PC-er kan jo også utnyttes for indirekte å oppnå tilgang til de ressurser "eieren" har tilgang til gjennom fjernoppkopling til sin arbeidsgiver, sier Sanness som retter denne advarende pekefingeren til bedriftsnorges sikkerhetsansvarlige:

- Husk at både behov, trusler og aktuelle løsninger endres over tid.

Til toppen