Tager din medarbejder uvidende fortrolig data med ud af landet ?
Når din medarbejder rejser udenfor Danmark og tager sin smartphone (og tablet) med, så risikerer virksomheden at medarbejderen ufrivilligt afleverer fortrolige og vigtig data fra virksomheden!
Ny procedure ved indrejse i USA kan være en bombe under virksomheders fortrolige data.
Stramningerne indført i USA har medført at indrejsende er blevet holdt tilbage af myndighederne ved grænsen, og er blevet bedt om at oplyse deres password til deres smartphone. Herefter er smartphonen blevet undersøgt af myndighederne, og hvem ved måske er indholdet blevet kopieret!
Forestil dig nu at en forsker i en dansk medicinalvirksomhed, der arbejder med banebrydende forskning. Hun har planlagt at besøge Florida og Disneyland sammen med sin familie.
I paskontrollen sendes hendes mand igennem sammen med børnene, mens hun holdes tilbage af Homeland Security. Myndighederne beder hende nu om at give dem adgang til hendes smartphone. Hun nægter, da hun er bevidst om at der ligger forskningsresultater og andet strengt fortroligt vedr. virksomhedens nyeste produkt.
De lader hende sidde i en lille lokale i et par timer uden kontakt til familien. Myndighederne henviser til bl.a. terroract og fortæller at alt hun behøver er at låse telefonen op, hvorefter hun får indrejsetilladelse. Nægter hun igen, vil hun blive sat på næste fly hjem til Danmark, og hendes familie vil blive adviseret….
Mon hun vælger at låse telefonen op og fortsætte ferien ? Mon hun kontakter virksomheden og fortæller dem om hændelsen?
Ovenstående er et tænkt eksempel, men det skete for en forsker i februar 2017 (link 1, 2) og for en dansk sikkerhedspolitisk rådgiver for partiet Alternativet i under en rejse til Israel i 2016 (link).
At der er tale om en voldsom krænkelse af vores privatliv er én ting, noget andet er de alvorlige konsekvenser dette kan have for danske virksomheder.
Forestil dig nu at vi taler om en ansat i en anden dansk virksomhed, som har konkurrenter i USA ?
Mange af os har virksomheds relateret data på vores smartphones. Det er især mails og kontaktinformationer. Der kan ligge stærkt fortrolige informationer om virksomhedernes seneste opfindelser, regnskabstal, tilbud, forskningsresultater, salgstal, osv. som de amerikanske virksomheder nu har adgang til.
Ha’ i baghovedet at Edward Snowden fremlagde dokumenter, der viste at NSA assisterede amerikanske virksomheder i konkurrencen mod udenlandske virksomheder.
Og i 2016 kom det frem at Israel assisterede FBI med at låse en iPhone op (link). iPhonen tilhørte den “San Bernadino” terrormistænkte, hvor Apple selv nægtede at unlocke enheden for at beskytter borgernes grundlæggende rettigheder. Mon ikke andre lande har sammen muligheder idag ?
Hotelets WiFi udgør også en risiko!
Med data-roaming priserne, altså priserne for at været på internettet uden for EU kan være ganske høj, så vælger mange rejsende til USA, Kina, Rusland, Tyrkiet, Israel, Australien, osv. at logge sig på hotellets gratis WiFi (eller f.x. Starbucks Free WiFi).
Herved går al trafik nu gennem hotellets systemer og ud gennem deres internet udbyder som fx. kunne være de statsejede kinesiske teleselskab: China Telecom Ltd.
Kunne man forestille sig at den kinesiske regering overvåger AL datatrafik ind og ud af landet overvåges?! Hvilke oplysninger sender din medarbejder hjem til Danmark?
Skal vi lade medarbejderne data-roame ? Tja, disse data går jo også gennem fx. China Telecom Ltd.
I marts 2017 rejste danske politikere til Rusland uden deres smartphones (link). De fik udleveret andre og mindre sårbare telefoner. Herved ønskede Folketingets IT afdeling af sikre deres enheder mod hacking, tapping og overvågning.
Dette rejser bl.a. følgende spørgsmål, som jeg oplever at alt for få virksomheder adresserer:
1. hvordan sikrer virksomhederne deres data i disse situationer ?
2a. hvordan sikrer virksomhederne at deres medarbejder ikke står i ovenstående situationer ?
eller 2b. hvordan sikrer du dig, som medarbejder ikke at stå i situationen at du udleverer fortrolig data ?
Jeg vil mene at disse spørgsmål skal adresses af både virksomhedens ledelse og af medarbejderen. Naturligvis skal virksomhedens IT afdeling ind over, men retningslinierne ligger hos ledelsen. Ligeledes kunne man sige at fagforeningerne ligeledes bør adressere dette på de ansattes vegne.
What to do ?
Kryptering af alle fortrolige data er et godt sted at starte for en virksomhed.
Der findes mange løsninger på markedet. Microsoft har fx. BitLocker og Apple FileVault. Husk at data ligger på smartphones og tablets og skal også være krypteret her.
OG: Dekrypteringsnøglen skal ikke være på enheden!
Husk at nogle virksomheder giver medarbejderne adgang til deres Microsoft OneDrive konto på deres mobile enheder.
På de mobile enheder kan virksomheden vælge at benytte en stærkt krypteret PIM-container med eget password (leveret af en Enterprise Mobile Management løsning, som fx Sophos eller AirWatch). En “PIM-Container” er en app, som medarbejderen skal logge ind på. Inde i appen ligger virksomhedens data, dvs. mail incl. vedhæftede filer, kalender og kontakter)
Virksomheden kan også vælge at have en automatiseret politik, der sletter virksomhedsdata, når medarbejderen forlader EU (“geofencing”) og derpå lade medarbejderen logge på virksomhedens systemer fx via en krypteret VDI løsning fra en browser.
En dialog med virksomhedens ansatte er et MUST. Det er vigtigt at de ansatte præcist ved hvordan de skal agere i ovenstående situationer.
Ja, jeg er klar over at mange vil sige, at de er rejst ind og ud af fx. USA uden at være blevet tilbageholdt ved paskontrollen. Men måske bliver de det ved næste rejse! Er virksomheden og derved medarbejderen så klar til at håndtere det ? Og vil medarbejderen fortælle virksomheden om denne tilbageholdelse ?
Vil du læse mere, så klik på de forskellige links ovenfor i dette indlæg.
Hvad har din virksomhed besluttet sig for at gøre ?