Information i orätta händer beror ofta på mänsklig faktor

Den 11:e mars kunde Computer Sweden berätta om en officer som hade försvarshemligheter sparade på sin dator fastän det var förbjudet. Officeren hade dessutom tagit hem datorn och låtit sin familj använda den. Av en slump avslöjades vad han hade gjort och påföljden blev löneavdrag.

Incidenter som denna kan i värsta fall bli katastrofala och ska givetvis undvikas till varje pris. Sådana misstag gör att risken för att hemliga dokument ska hamna i orätta händer blir överhängande. Ofta beror dessa händelser på okunskap om risker och regelrätt slarv. I det här fallet var informationen klassad som hemligstämplad. Informationsklassningen bör alltså ha varit så tydlig att den talade för sig själv, säkerhetsstämplade dokument sparar man inte öppet på en dator, men ändå hände det.

Minimera riskerna
Exemplet visar att även om man på sin organisation har riktlinjer för hur information får hanteras kan man inte till hundra procent gardera sig mot den mänskliga faktorn. Men man kan göra mycket för att minimera riskerna. Det är en av anledningarna till att vi som jobbar med informationssäkerhet pratar så mycket om vilken av att inte bara skapa regler utan att även informera om dem - ingen ska behöva säga att den inte vet vad som gäller. Vi pratar också mycket om att testa de regler som införts, kontrollera så att de verkligen följs. Självfallet kan snedsteg ske ändå, avsiktliga som oavsiktliga, men jobbar ni aktivt med dessa frågor så har ni åtminstone säkerställt att vi gjort vad ni kunnat för att minimera riskerna.

Inför inte bara, testa också
Regler och policys i all ära, men information bör förstås också avgränsas. Ofta bör inte och ska inte alla ha tillgång till allting. Har ni till exempel på er organisation koll på om era anställda bara har behörighet att titta på den information som de behöver? Ett problem som vi som informationssäkerhetsexperter allt för ofta stöter på är att man har rutiner för att ta bort användarrättigheter för anställda som slutar, men man har inte tänkt på att se över rättigheterna för dem som byter roll inom organisationen. Många ser inte över vilka rättigheter som finns utdelade för att säkerställa att användarkonton och liknande hålls uppdaterade.

Påminnelse om att arbeta aktivt
Vad officeren som tog hem datorn visste om informationssäkerhetsreglerna på sin organisation vet vi inte, men vi vet att han begick ett misstag som kunde ha blivit ödesdigert. En incident som denna kan fungera som en väckarklocka som påminner oss om att man måste jobba aktivt med sina informationssäkerhetsrutiner, hålla medarbetarna informerade om vilka regler som gäller och säkerställa att behörigheter till system, arkiv med mera ses över med jämna mellanrum. För även om vi inte kan släcka riskerna för snedtramp helt och hållet så kan vi åtminstone se till att de är så låga som möjligt.

Länk till nyheten på Compter Sweden