Nyttan med att kunna ge anställda möjlighet att kunna kommunicera säkert via e-post, med alla dess fördelar, är mycket stor. Nu finns den möjligheten.

Risken för att sekretessbelagda uppgifter läcker ut via e-post, oavsiktligt eller uppsåtligt, är mycket höga för företagen. Detta gör att verksamheterna finner det utmanande att på ett säkert och enkelt sätt skicka e-post med konfidentiellt innehåll.

Även om det är möjligt att kryptera och signera konfidentiella e-postmeddelanden med e-postprogram, måste de anställda veta hur man använder en säkerhetslösning korrekt. Alltså beror konsekvent genomförande av ett företags säkerhetspolitik direkt på kunskap och disciplin för varje enskild anställd, inte ett praktiskt tillvägagångssätt. För att e-posten skall fungera som säkert kommunikationssätt måste alltså reglerverk kunna sättas centralt som varnar och hjälper användarna om de är på väg att göra något som är farligt eller otillåtet.

Sophos MailGateway förenklar e-postsäkerhet genom att integrera den kryptografiska processen i kryptering/dekryptering, och även i elektroniska signaturer och kontroll, med en central punkt i företagets nätverk. Säkerhetslösningen är helt transparent för avsändaren och genomför automatiskt företagets interna säkerhetsriktlinjer för e-kommunikation. Avsändare och mottagare kan kommunicera via e-post på vanligt sätt utan att behöva oroa sig för innehållets sekretess.

För mottagare som inte har motsvarande säkerhetsstruktur, innehåller lösningen den innovativa skyddsåtgärden PDFMail. Ett krypterat e-postmeddelande konverteras då, tillsammans med bilagor, till en krypterad Pdf-fil. Den krypterade Pdf-filen skickas sedan i ett e-postmeddelande till mottagaren, vilket garanterar en säker överföring av konfidentiell information. Mottagaren kan sedan enkelt svara genom att använda samma process, utan att behöva installera extra programvaror på sin dator.

Debatt: Åke Wieslander på säkerhetsföretaget Inuit tycker att Kudret Karans uttalande om att förbjuda usb-minnen saknar förankring i verkligheten.

Kudret Karans uttalande om att förbjuda usb-minnen är uppenbarligen gjort i syfte att skapa debatt och ”sticka ut hakan” lite. Ofta är denna typ av uttalanden baserade på vad respektive representant har för lösningar i sin egen produktportfölj.

Min personliga uppfattning är att denna typ på uttalanden snarare skall vara baserade på verklig kundnytta och hur säkerhet respektive effektivitet påverkas på den arbetsplats man uttalar sig om. Ett uttalande om att helt förbjuda usb-minnen i alla typer av offentliga verksamheter synes mig inte bara oövervägt utan dessutom utan någon som helst förankring i verkligheten.

Läs hela debattartikeln på CIO Sweden

Många förknippar autentisering med krångel. Att göra ett inloggningsförfarande säkert brukar ofta innebära krångel för de som skall använda systemet. Därför har det medfört att verksamheter brister i säkerheten när man skall ge de anställda mobil frihet; t.ex i form av möjlighet att läsa företagets e-post hemifrån eller från någon annan dator än en nätverksansluten sådan.

Istället för att säkra systemet använder man en ”gömd” publik webbadress och använder bara användarnamn och lösenord som åtkomstförfarande till verksamhetskritisk information. Detta är en stor informationssäkerhetsrisk. Det finns mjukvaror tillgängliga gratis på internet som knäcker denna typ av autentisering på några minuter.

Nu finns ett enkelt sätt att säkra e-postinloggningen för dina anställda. Välj själv hur du vill att systemet skall autentisera. Här är några exempel:

• Via engångslösenord i dosa (med utbytbart batteri!)
• Via tvåvägsautentisering i mobiltelefonen
• Via tvåvägsautentisering i mjukvara, t.ex gömd bakom krypteringen på ett USB-minne

Som du kan se på bilden ovan innebär tvåvägsautentisering att du som användare får både ditt engångslösenord och serverns svar samtidigt. Ett par engångslösenord används för att samtidigt autentisera användaren till tjänsten som tjänsten till användaren. Det betyder att lösningen inte heller kan utsättas för Phishing-attacker, då angriparen måste ha tillgång till krypteringsalgoritmen vid angreppstillfället för att kunna generera rätt svarskod då du knappar in ditt engångslösenord. Lösningen är skyddad med 256-bitars AES kryptering.

På bara några dagar kan ni täppa till ett stort säkerhetshål i er verksamhet och samtidigt informera användarna om hur viktigt det är att tänka på säkerheten utan att vare sig krångla till tillvaron för dem eller neka dem mobilitet och flexibilitet.

Vi i Sverige har ofta uppfattningen att vi lever i ett land där vi har en mycket hög efterlevnad av de olika regler som finns i samhället. Så är det inte alls. Tvärtom struntar många myndigheter och verksamheter inom den offentliga sektorn i uppfyllandet av regler och lagar om deras efterlevnad inte kontrolleras. Även inom den offentliga sektorn är det idag ofta verksamhetens behov och risken att bli påkommen som styr investeringar. Självklart är grunden i allt säkerhetsarbete riskkalkylen, men här är det inte risken för informationsläckage som styr utan risken att ett informationsläckage upptäcks och uppmärksammas i pressen.

Sverige har, liksom andra länder i Europa, ett antal informationssäkerhetsregler som påverkar offentlig sektor. Detta omfattar, men begränsas inte till, bl.a PUL och Patientdatalagen. I andra länder som t.ex England finns mycket hårda krav på efterlevnad av dessa informationssäkerhetsregler. Många är de som hanterar känslig information om medborgarna men hur hanteras informationen i Sverige?

Vi gjorde för ungefär ett halvår sedan en undersökning bland ett stort antal kommuner i Mälardalen om hur de tillåter de anställda att hantera information i och utanför verksamheten. Det visar sig att så gott som samtliga tillåter sina anställda att använda oskyddade USB-minnen inom och utanför verksamheten. Det visar sig också att de anställda har i genomsnitt 6st USB minnen per anställd och att 66% av dessa tappas bort. Ändå hänvisar man till tjänstemannaansvaret och att de anställda vet att de inte skall lagra känslig information på andra ställen än inom nätverket. Många säger sig inte veta om att man skulle hantera någon känslig information och att all information (dvs din personliga information som kommunen hanterar) ändå är offentlig. Endast en handfull kommuner visar intresse för att ge de anställda möjlighet att använda säkra USB-minnen istället, trots att dessa kostar försumbart mer.

Gång efter gång ser vi rapporter om borttappad och upphittad information i pressen. De senaste åren haglar läckorna tätt och vi kan läsa om allt från lärare som tappar USB-minnen med information om eleverna till medarbetare på militära underrättelsetjänsten som glömmer minnen med försvarhemligheter i biblioteksdatorer. Om något inträffar faller ofta ansvaret på den enskilde anställde som blir uthängd och utpekad samt att man hänvisar till de arbetsinstruktioner som finns i verksamheten. När man pratar med IT-avdelningarna pekar dessa på politikerna som inte fattat beslut i frågan varför ingen budget finns för projektet. Politikerna känner i sin tur inte till de tekniska möjligheterna eller den potentiella hotbilden. Personalavdelningarna hänvisar till IT och verkar utifrån sett inte involverade i att tillhandahålla rätt redskap för de anställda gällande detta område.

Så vem är det då som har ansvaret för att din information hanteras på ett säkert sätt? Jag tror inte att någon av oss skulle vilja att den information som kommuner och myndigheter hanterar om oss skulle hamna på villovägar. Det kan gälla allt från bygglovsansökningar till dina barns utvecklingssamtal i skolan eller kontakter med sociala myndigheter, stödinsatser, kontaktpersoner etc. Som det ser ut nu kommer det inte att hända något förrän medborgarna kräver redovisning för hur deras information hanteras och hur kommunerna använder skattebetalarnas pengar.

Inuit är specialister inom just säkerhetsområdet och jobbar idag med ca hälften av landets landsting och kommuner. En del av dessa har varit föreblider och bedriver ett mycket seriöst säkerhetsarbete. Vi hjälper t.ex verksamheterna att sätta upp skyddsbarriärer för mail- och webbtrafik, hantera hot från virus och annan malware på klienter, servers och mobiltelefoner, kryptera information i vila och i rörelse och hantera säker inloggning i systemen. Inom just det aktuella området väljer många en enkel väg att gå; det finns färdiga krypterade USB-minnen som kan hanteras i en central funktion, t.ex er egen helpdesk. Om kommunen bestämmer sig för att endast dessa säkra USB-minnen får användas för extern lagring av intern information har man både sett till att personalen kan jobba med den interna informationen var som helst och samtidigt tillsett att om minnet skulle glömmas eller tappas så kan ingen obehörig komma åt informationen. De är lika enkla att köpa som osäkra minnen och finns bl.a tillgängliga via återförsäljare som ATEA och Dustin.

Lösningen används redan idag av en del av våra hårt granskade myndigheter samt även en del kommuner. I Storbrittanien har nyligen hela den nationella hälsoverkamheten (NHS) valt att standardisera på SafeStick. Minnena är utvecklade i Sverige och 95% av företagets försäljning sker idag på export, mycket beroende på att dessa tankegångar kommit längre i andra länder och att man är mer rädd att bli satt till offentlig skampåle i pressen där.

När kommer du att kräva att få veta hur din och dina barns eller anhörigas information hanteras av det offentliga Sverige?

It-chefen har en svår vardag. Han/hon måste brottas med ständigt krympande budget och ökade krav på mobilitet, flexibilitet och en ständigt växande hotbild såväl utifrån som internt på företaget. Men det vi måste förstå är att IT-chefen vill säga ja – inte nej, nej, NEJ! IT-chefen vill skapa sätt att understödja verksamheten med effektiva it-system, inte hindra användarna från att använda Iphones eller trådlös mobil inloggning till nätverket.

Hur kommer det sig då att IT-chefen måste säga nej så ofta? Jo, han/hon har inte bara verksamhetens it-system att tänka på, de måste också tänka på vilken risk som tas av att tillåta användarna dessa olika möjligheter och verktyg. Om risken inte kan överblickas eller snabbt utvärderas blir svaret ofta nej.

IT-säkerhet består av så många olika aspekter. Anti-virusprogram för klienter och servers, Spam och virusfiltrering av epost, skalskydd av webtrafik, hårddiskkryptering, krypterade lösttagbara minnesenheter, applikationskontroll, IPS, NAC, portkontroll, AV för Linux-servers, AV för Exchange eller Domino, patchhantering, informationsläckageskydd…

För de allra flesta IT-chefer så kommer en strid stöm med nya hot forsande varje år. Nya hot målas upp till den värsta farsoten som verksamheten ställts inför sedan begynnelsen. Vad skall prioriteras? Tyvärr blir följden av den minskade budgeten att helikopterperspektivet försvinner. För varje nytt år läggs nya prioriteringar och det som bedöms som högst prioriterat sätter man med full kraft tänderna i och implementerar den bästa lösningen som finns att få tag i. För varje nytt år läggs nya lösningar till de andra man redan har i verksamheten varpå man snart har ett lapptäcke av säkerhetslösningar.

Organiserad IT-brottslighet omsätter idag mer världen över än knarkhandeln. Straffsatserna på de flesta håll i världen är löjligt låga. Hoten som dyker upp blir mer och mer avancerade. Brottslingarna använder idag t.ex 256-bitars krypteringslösningar för att skydda kommunikationen mellan zombiedatorerna och uppdaterande servers i botnets. Sinnrik programmering används för att injicera elakartad kod på fullt legitima hemsidor, så att man kan utnyttja såväl ditstyrd trafik från spammail samt legitim trafik för spridning, sk. Drive by-downloads. Nya infekterade websidor hittas var femte sekund, dygnet runt.

Säkerhetsnivån för ett företag ligger inte längre i vilken separat lösning man har för respektive del av skyddet. Man kan ha investerat i state-of-the-art lösningar på enskilda områden som fortfarande står helt handfallna så länge de inte har förmågan att kommunicera snabbt och intelligent med resten av säkerhetslösningarna i verksamheten. Säkerheten ligger i helheten. Borta är argumentationen att den bästa säkerhetslösningen är den som består av skydd i flera skal delade på olika tillverkare för att på det sättet sprida riskerna. När hotbilden blir ett komplext nätverk av specialiserade brottsliga verksamheter ligger säkerheten i att ha en väl fungerade och sammansatt lösning som snabbt kommunicerar med de andra delarna av lösningen. Spamfiltret pratar med klientskyddet, NAC-lösningen, serverskyddet och webfiltret samtidigt för att skydda användarna på insidan. Även det bäst sydda lapptäcket i världen kommer aldrig att bli vattentätt.

Så min uppmaning till IT-chefen är att ta ett steg tillbaka, ta ett djupt andetag och förbered dig på att se över era befintliga skydd. Imorgon kommer ni att behöva ett helt täcke.