Vi ser att smarta telefoner och läsplattor snabbt vinner mark.
Plötsligt finns de på arbetsplatserna och förväntas hanteras i
organisationen. Kunder och medborgare hejar på och vill kunna
utföra tjänster ännu mer mobilt än tidigare. Vad betyder det här
för säkerheten? Finns det nya hot och risker att hantera?
De nya enheterna har egenskaper som skiljer sig från andra. Den
trådlösa kommunikationen kanske vi har vant oss att hantera. Men
hur är det med utmaningar som autentisering, kryptering,
patchhantering och skydd mot exempelvis skadlig kod?
Sverige och Norden har sedan internet blev kommersiellt legat i
framkanten och ofta varit ett föredöme när det gäller säkerhet. De
stora svenska bankerna var tidigt ute med internetbanker och har
från början krävt stark autentisering för att kunna använda
tjänsterna. Trots höga krav på kanske krångliga inloggningsmetoder
har internetbank blivit en succé och fick snabbt många användare.
Att erbjuda bra tjänster där fördelarna såsom tidsvinst och
mobilitet är övervägande blir en framgångsfaktor.
Oavsett om enheten är en klassisk PC eller om det är i form av
en telefon eller läsplatta som måste givetvis samma regelverk
tillämpas. I grund och botten så är det informationens skyddsvärde
som är avgörande för vilka administrativa- och tekniska åtgärder
som skall vidtas. Här ligger utmaningarna!
Mobila plattformen såsom läsplattor och smarta telefoner är ny
teknik och som så ofta har funktion gått före säkerhet vid
lanseringen. En enkel lösning är att klassa ner
informationstillgångarna och på så sätt anpassa informationens
skyddsvärde till de nya mobila enheterna. Förhoppningsvis är detta
ett otänkbart scenario utan mer rimligt att i vanlig ordning
klassificera informationstillgångar och IT-system så att rätt
tjänster erbjuds med rätt tillitsnivå.
Kanske är det så att utrustning som inte lever upp till de
tekniska- och administrativa krav som ställs för extra skyddsvärd
information inte heller skall ha åtkomst till den samma. Logiskt
kan tyckas, men kanske är beslutet inte lika enkelt när det är just
beslutsfattaren som precis fått en läsplatta i sin hand som skall
ges samma möjligheter som all annan utrustning.
Givetvis går det inte att stoppa utvecklingen av ny teknik. Hur
skulle det se ut? Det skulle inte vara till gagn för någon. Det
informationssäkerhetsregelverk som tillämpas i form av policy och
riktlinjer behöver i stället konkretiseras. Vad betyder det konkret
att en informationstillgång har klassats i termer av mycket hög
sekretess? Sannolikt krävs det rejäla ansträngningar för att
regelverket skall bli så pass tydligt att de inte uppstår en ny
frågeställning varje gång en ny teknisk innovation skall ges
tillgång till skyddsvärda informationstillgångar. Då får ni en bra
karta att arbeta utifrån och regelverket används i en beprövad och
redan inövad process för bedömning av hur ny teknik kan komma till
nytta för användare, nya affärsmöjligheter och tjänsteutbud.
