I väntan på bättre informationssäkerhetslösningar...

För 30 år sedan började jag min karriär i IT-branschen. På den tiden rådde näst intill totalt monopol i OS 390 – världen (det vill säga stordatormiljön). Snart stod dock olika operativsystem som supportade minidatorer och persondatorer för dörren.

Plötsligt utsattes våra infrastrukturer för sjukdom och smitta som vi aldrig kunnat drömma om. Vår goda nattsömn förbyttes till gerillakrigförande rörliga fiender som inte lät sig förutses eller motas i grind. Vi mötte trojaner, maskar och virus på löpande band. Och så har det fortsatt under de nästkommande decennierna.

Ökande hotbilder och växande infrastrukturell komplexitet i kombination med kompetenshöjning (och en aldrig sinande kreativitet) hos illasinnade aktörer gör, att en viss uppgivenhet kan skönjas. Vi ser den både hos säkerhetsexperter och vanliga användare. Alla vi som jobbar med informationssäkerhet prognosticerar, undersöker och spår i organisatorisk kaffesump för att ligga steget före. Det känns ibland som en kamp mot klockan, ständigt i 10 graders uppförslut. Vi försöker skrämma livet ur systemägare och presenterar potentiella incidentkostnader för ledningsgrupper för att satsningar på säkerheten ska göras.

Och ändå händer det ibland saker som gör att jag inser, att vi (trots metoder, standarder och tekniska lösningar) har lång, lång väg kvar.  Här är ett exempel:

En solig och lättjefull vårdag loggar jag in på mitt privata hotmail-konto och läser alla de hundrafyrtiofyra reklammailen som vill locka mig att klicka på länken som ska ge mig en kryssning i Karibien eller en sprillans ny iPod... Jag förpassar dem olästa till papperskorgen för att inte dra in onödiga trojaner eller virussmittade kodslingor i mitt hemnätverk.

Men så ser jag ett mail från ett etablerat försäkringsbolag där jag själv är kund. Jag öppnar mailet och läser att en handläggare på bolagets skadeavdelning ber mig lämna in uppgifter på vilket sjukhus jag gjort min mammografi våren 2011 eftersom de fått in ”vissa journalanteckningar” i samband med min ansökan om diagnosförsäkring. Handläggaren förtydligar min begäran med att skriva ut mitt personnummer.

Bekymret är att det inte är mitt personnummer, inte heller min diagnosförsäkringsansökan eller min mammografi. Jag mailar tillbaka med anmärkningen att jag inte är rätt mottagare, inte rätt personnummer, inte rätt mammografi. Svaret blir några dagar senare en påminnelse om att jag ska lämna in uppgifter om var jag gjort min mammografi.

Jag får så småningom ett mail från ”skadechefen” där han ber om ursäkt för att de inte följt de strikta regler de har vad gäller kommunicerande av konfidentiella och känsla uppgifter och att de ska gå igenom sina rutiner än en gång och att de är tacksamma för att jag uppmärksammat dem på denna blinda fläck.

Ett annat exempel är det mail jag för en tid sedan fick från min yngsta dotters skola. Läraren skulle till mig förmedla en konversation hon haft med min dotters spanska-lärare angående dotterns betygsläge. So far so good, men tyvärr råkade hela lärarens konversation med betygssättande lärare följa med i vidarebefordran. Så nu vet jag vilka av min dotters klasskamrater som har betygsvarning i språkämnena.

Självklart är det så, att organisationer världen över kämpar för att ha kortast möjliga ”time-to-market”. All kommunikation måste ske snabbt och utifrån kund-leverantörperspektiv. Oavsett vad policies och regelverk säger, så finns kraven på att hantera kundärenden snabbt och effektivt. Om kunden uppger en mailadress – använd den!

Vi vet det här. Både vi som arbetar med informationssäkerhet och alla som använder sig av tjänster där man uppger sina personuppgifter. Ändå har säkerhetslösningarna i kommunikationsprodukter inte utvecklats särskilt mycket sedan jag började min IT-bana. Varför läggs inte mer kraft i att hjälpa tjänstesektorn att utveckla säkrare lösningar för informationsöverföring? Kryptering, signeringslösningar och paketverifiering mellan nätverk är fortfarande användar-ovänliga och förenade med flerstegsadministration. Det har vi inte tid med – och ibland inte kunskap för – att hantera.

Användaren kommer alltid ha ett stort ansvar för hur information hanteras, men jag tycker att vi ”säkerhetsproffs” borde lägga mer kraft på att utveckla enkla och användarvänliga säkerhetslösningar för att stötta affärens behov av enkelhet och snabbhet i kommunikationen med kund. Vi ska inte lämna användarna ensamma i ösregnet med krångliga säkerhetslösningar som uppmuntrar till riskexponerade genvägar.

Smidiga, lätthanterliga och intuitiva tekniska lösningar stimulerar till ett säkert sätt att kommunicera och hjälper användaren att skydda informationen på rätt sätt. Förhoppningsvis kommer kraven på utveckling inom snar framtid från användarleden, med tanke på den stora uppmärksamhet som informationsläckage fått den senaste tiden, bland annat genom Snowden och NSA.

Fram till dess bör vi öka vår insats i att utveckla baskunskaperna i informationssäkerhet hos användare. Vi ska inte underskatta betydelsen av utbildning och awareness-aktiviteter, även om vi vill underlätta genom automatisering. Det kommer alltid att finnas ett stort behov av information och övning kring risker och handhavande. Vi vet att informationssäkerhetsmedvetandet i organisationer idag har en annan nivå än för 20 år sedan, men det finns mantran som mår väl av att repeteras ofta – till exempel ”Tänk-efter-innan-du-trycker-på-knappen!”

// Mia Palm

Informationssäkerhetskonsult på SAFESIDE SOLUTIONS AB