Blant tjenestene som det britiske IT-sikkerhetsselskapet Orthus tilbyr sine kunder, er en gjennomgang av alt som har med brukernes håndtering av følsomme data å gjøre: «Data Leakage Audit Service».
I forrige uke publiserte Orthus en rapport basert på til sammen 100 000 brukertimer som er logget gjennom denne tjenesten de siste 12 månedene.
Her er det registrert hvordan følsom informasjon behandles av selskapenes ansatte: Alt som har med aksess, behandling, lagring og overføring av alle slags personopplysninger, finansiell informasjon, produktutviklingsplaner, kontrakter, prising av produkter og tjenester, og personalinformasjon.
– Uten unntak opplevde hver organisasjon i undersøkelsen flere tilfeller av datalekkasje. Mange av disse var alvorlige og innebar et stort skadepotensial. Resultatene viser klart at den interne trusselen er både reell og fortsetter å være undervurdert. Betrodde medarbeidere er de som er mest tilbøyelig til å lekke informasjon, heter det i Orthus’ egen oppsummering av undersøkelsen.
Analysen av de 100 000 brukertimene viser nøyaktig hvem som fjerner kritisk informasjon fra infrastrukturen, og hvor, når og hvordan dette skjer.
Ifølge Orthus er det brukeren som er selve problemet, og det er bare hos brukeren at problemet kan løses.
Mobile enheter brukes flittig for å tappe infrastrukturen for følsom informasjon: I 68 prosent av tilfellene skjedde lekkasjene ved bruk av enheter som mobiltelefoner, USB-pinner, bærbare PC-er og liknende.
De aller fleste tilfellene skjedde innenfor normalt utvidet arbeidstid, det vil si i ukedager mellom kl 07 og kl 19.
Avdelingene som er mest utsatt for lekkasjer er IT og kundeservice.
Der det er brukt applikasjoner for å fange opp interne data, er webmail, lynmeldinger og sosiale nettjenester hyppigst anvendt.
Orthus mener at alle tilfellene kunne vært unngått. De skjedde ikke fordi bedriften ikke hadde en sikkerhetspolitikk, men fordi denne politikken ikke var håndhevet.
I en kommentar sier Richard Hollis, daglig leder i Orthus, at organisasjoner overfokuserer på vern av infrastruktur og fysiske enheter, og overser behovet for å sikre selve informasjonen.
– Helt til organisasjonene erkjenner at flertallet av lekkasjene skyldes autoriserte brukere, og tar konsekvensen av dette ved å implementere de nødvendige kontrolltiltakene der de kan være effektive, det vil si mellom brukeren og selve informasjonen, vil disse lekkasjene fortsette.
Orthus har en klar egen interesse av å få organisasjoner til å skjerpe innsatsen for informasjonssikkerhet, siden det er det de lever av. Selskapet har flere produkter som overvåker lekkasjer og håndhever regler. Disse produktene kan være interessante å studere nærmere. De bygger på en flerlagsmodell som Orthus illustrerer slik:
Les også:
- [05.12.2007] Fire krav til Røys' plan for infosikkerhet
- [01.11.2007] IBM vil bygge IT-sikkerhet på risiko
- [28.06.2007] Tilbyr sertifisert opplæring i IT-sikkerhet
- [13.04.2007] Slutt med maset, gjør noe i stedet
