I forrige uke ble det på eBay auksjonert bort en harddisk med topphemmelig dokumentasjon fra Brandenburg-politiet.
Den brukte 20 GB harddisken inneholdt ifølge Der Spiegel interne beredskapsplaner om hvordan politiet skulle håndtere spesifikke hendelser som gissel- eller kidnappingssituasjoner, kontaktinformasjon innen kriseledelsesgruppen og taktiske ordre og analyser om politiske sikkerhetssituasjoner.
Det var en student fra byen Potsdam som kjøpte harddisken for 20 euro uten å vite om det sensitive innholdet.
Sikkerhetsselskapet Pointsec forteller at mange harddisker som kjøpes på auksjoner inneholder sensitiv selskapsinformasjon.
Pointsec gjennomførte i fjor sommer en undersøkelse for å finne ut hvor mange harddisker de kunne kjøpe på auksjoner som inneholdt sensitiv selskapsinformasjon. De antok at få selskaper er grundige nok med å slette og reformatere sine disker før de kvitter seg med dem.
Selskapet var overrasket over at den første de kjøpte over eBay for bare 8 euro inneholdt aksess- og innloggingskoder til et stort og kjent finansselskap.
Pointsec fant ut at de kunne lese 7 av 10 harddisker kjøpt over internettauksjoner for mindre enn kostnaden ved et måltid på McDonald's.
– Vår undersøkelse i fjor sommer viste hvor enkelt det er å få tak i harddisker på auksjoner for så å få tilgang til informasjonen på dem, sier administrerende direktør Frank Horntvedt i Pointsec Norge.
Pointsec mener hendelsen med lekkasje av kritisk hemmelig informasjon fra Brandenburg-politiet i Tyskland viser nok en gang hvor viktig det er å aldri la mobile arbeidsenheter eller harddisker forlate kontoret uten å være forsvarlig beskyttet med kryptering og sterk passordbeskyttelse.
Sikkerhetsselskapet har laget en tiltaksliste over hvordan selskaper bør beskytte seg selv når PC-er pensjoneres:
- Vær oppmerksom på at også stasjonære datamaskiner kan bli forflyttet ved ulike stadier av sin livssyklus og derfor bør beskyttes forsvarlig gjennom hele levetiden ved streng aksesskontroll og automatisk kryptering av all alt innhold.
- Hold nøye rede på datamaskiner som forlater kontoret – uansett om de skal repareres, oppgraderes eller avskaffes – da de kan risikere å bli borte og komme på avveie.
- Hvis dataene på gammelt utstyr ikke er kryptert bør man sørge for at det reformateres minst åtte ganger før det avskaffes. Man kan også bruke profesjonell renseprogramvare for å slette dataene. Hvis informasjonen på maskinen er svært sensitiv, og man vil være helt sikker på at selv ikke de dyktigste hackere får tilgang til den, må den gamle harddisken brennes!
- Stol aldri på at mobilt arbeidende ansatte selv skal beskytte sine mobile arbeidsenheter ettersom de færreste av dem vil ta seg bry med å bruke sikkerhetsfunksjonene. Gjør bruk av passord-, aksesskoder og kryptering obligatorisk på alle bedriftens datamaskiner og administrer dem sentralt.
- Innfør egne retningslinjer for å beskytte mobile enheter og sørg for at alle de ansatte forstår poenget og retter seg etter dem.