MobilData, en landsdekkende kjede med forhandlere av mobilt kommunikasjonsutstyr for primært små og mellomstore bedrifter, har kartlagt holdninger og praksis rundt mobilsikkerhet. Undersøkelsen ble gjennomført av TNS Gallup i uke 10, gjennom telefonintervjuer med et utvalg på 1004 norske bedrifter med mellom fire og 200 ansatte.
MobilDatas hovedprodukter beskrives som «løsninger for sikkert mobilt arbeid». Løsningene skal bidra til en «sikker mobil hverdag» for kundene og deres ansatte. Kjeden omsatte for 500 millioner kroner i 2008, og har rundt 300 ansatte.
Dette er hovedfunnene i undersøkelsen:
- I 40 prosent av bedriftene har ansatte adgang til jobbrelatert e-post på mobiltelefonen. Fire av fem av disse mangler et system for å fjernslette informasjon på tapte telefoner. Tre av fem har ikke laget sikkerhetsregler for mobilbruken.
- Hver tredje bedrift har opplevd at mobiltelefoner er mistet eller stjålet de siste treårene.
- 70 prosent av bedriftene mangler et system for å slette informasjon på utrangerte telefoner.
- 75 prosent av bedriftene sier det er viktig at informasjon om ansatte, kunder og leverandører ikke kommer på avveie, og at det ville gi grunn til bekymring om så skulle skje.
Kjedeleder Espen Takla i MobilData mener undersøkelsen avslører stor sprik mellom holdning og handling i norske små og mellomstore bedrifter.
– Stadig flere utnytter fordelene av e-post og andre jobbapplikasjoner på mobilen, men altfor mange sløyfer sikkerhetstiltakene. Og det er store sprik i hva bedriftene sier de er opptatt av og hva de faktisk gjør. Enkle, kostnadseffektive løsninger kan gjøre mobiltelefonen til et sikrere privat- og jobbverktøy, og ledere bør stille krav til sine leverandører, sier Takla. Han mener enkelte sikkerhetstiltak for mobiltelefoner bør være like obligatorisk som sikkerhetssystemer på pc-er.
At så få tar problemet med data lagret i utrangerte mobiltelefoner, gir spesiell grunn til bekymring. I et berømt tilfelle fra 2006 kjøpte en amerikansk aktør innen sikkerhetsløsninger ti tilfeldig valgte avanserte mobiltelefoner på eBay. Den ene var ubrukt. De ni andre ga til sammen 27 000 helsider med informasjon. Dette omfattet personlige og bedriftsintern informasjon om skatt, bank, avtaler, kunder, korrespondanse med mer, og til og med passord til IT-systemer. Det var ikke noe problem å spore opp mobiltelefonenes opprinnelige eiere og deres arbeidsgivere.
Takla mener bedrifter må lage klare sikkerhetsregler for mobilbruk, og at de bør velge en sikkerhetsløsning som kombinerer brukervennlighet med riktig sikkerhetsnivå. Han anbefaler alle å bruke en form for låskode eller systemlås til mobilene, og at man i tillegg vurderer behovet for mer avanserte løsninger som fjernsletting av innhold på tapte telefoner og obligatorisk datakryptering i sanntid. Han minner om at avanserte mobiltelefoner må oppfattes som små datamaskiner. De har mange programmer, lagrer mye data, og bør beskyttes med for eksempel brannmur og virusvern. Når gamle telefoner skal byttes inn, må man ha rutiner for å slette lagrede data, sier Takla.
Frank Horntvedt i Check Point-selskapet Pointsec sier til digi.no at det fortsatt må betraktes som bortimot umulig å slette data fra avanserte mobiltelefoner.
– Selv om man skulle reinstallere operativsystemet og reformatere alt av lagring og minne, vil det være mulig, ved hjelp av programvare som enhver kan skaffe seg på Internett, å rekonstruere tidligere lagrede data, sier Horntvedt til digi.no. – Jeg vet ikke om noe «wipe»-program for mobiltelefoner tilsvarende dem Ibas og andre tilbyr for pc-er.
Å bare slette filer er ingen løsning, siden man ikke sletter selve filen, men bare filens adresse.
– Det er som å tro at noe er fjernet fra en pc fordi du har slettet en snarvei fra skrivebordet.
Overskriving viser seg å heller ikke være spesielt effektivt, i motsetning til hva tilfellet er på en pc.
Hvis man ikke kan slette, er heller ikke løsninger for fjernsletting særlig effektive. Hvilke forholdsregler må man ta da?
– Man kommer ikke utenom kryptering. Moderne mobiltelefoner er kraftige nok til å håndtere løpende kryptering og dekryptering. Kryptering gir dessuten den fordelen at man også for adgangskontroll.
Det kritiske blir da brukervennligheten: Hvor ofte skal du måtte legitimere deg overfor din mobiltelefon for å kunne bruke den?
Les også:
- [25.02.2011] Anbefaler full kryptering av SSD
- [15.12.2009] Rekonstruerte tapte e-post fra Bush-regimet
- [05.06.2009] Effektivt system sletter data på mobiler
- [01.10.2008] Brukte rutere må nullstilles før de kastes
- [08.11.2006] Krypto-løsning for Nokia E-modeller
- [01.09.2006] Umulig å slette data i avanserte mobiler