Data sikkerhed,  Device Management

Din firmaudleverede telefon overvåger dit privatliv.

I begyndelsen af januar 2018 kunne man bla. læse i Frederiksborg Ams avis, at byrådsmedlemmet Jan Ryberg i Helsingør kommune valgte at returnere sin netop udleverede iPhone tilbage til kommunen (link 1, 2) fordi han mente at kommunen overvågede hans privatliv.

Kommunen havde iPhonen administreret med et MDM* system, som betød at kommunens IT-folk havde indblik i Jan Rybergs privatliv.

De fleste MDM systemer giver netop personer ,med adgang til administrations værktøjet, mulighed for at se fx. hvor denne smartphone befinder sig, når den ansatte reelt har fri. Ligeledes vil de kunne se, hvilke apps, som personen har installeret på sin smartphone!

Er det et problem ?

Ja, det er det! For her er tale om informationer om mit privatliv, som skal beskyttes iht. Persondataforordningen (GDPR), som træder i kraft 25. maj 2018.

Lad mig komme med nogle scenarier for at belyse dette:

Medarbejderen – dig – installerer forskellige apps, som du bruger i dit privatliv, på den smartphone, som du har fået udleveret af din arbejdsgiver. Du installerer appen Scor, Dating.dk og Tinder. Måske installerer du også Grinder (som er Tinder for homoseksuelle).

MDM-administratoren eller personen i IT-helpdesk kan inde på systemet se at du har disse apps installeret. Personen her ved, at du er gift og har kone og 2 børn. Måske er du ikke “sprunget ud af skabet” endnu. Disse apps fortæller reelt noget om dit privatliv!

Lad os nu sætte det lidt mere på spidsen. Du er måske HR-chefen og står foran at skulle opsige pågældende IT-medarbejder, der kender til nogle af dine hemmeligheder.

Måske bryder IT-medarbejderen sig blot ikke om dig, og kommer til at lufte denne viden under julefrokosten…..

Scenarie 2: Lad os nu også sige, at virksomheden (og fagforeningerne) tillader at IT-afdelingen kan hjælpe dig med at finde din forlagte eller stjålne iPhone ved hjælp af funktionen “find My iPhone”, som er implementeret ind i mange MDM-løsninger.

Nu kan ovennævnte IT-medarbejder også se hvor din smartphone befinder sig ud fra det GPS signal, som din telefon indrapporterer til MDM-løsningen.

Måske var du til jobsamtale hos konkurrenten – måske endda i arbejdstiden, hvor du lige var “gået til tandlægen”.

Og sat lidt mere på spidsen: måske kommer du ofte i en svingerklub i weekenderne….. den information kan også være tilgængelig for denne IT-medarbejder.

Så igen Ja, byrådsmedlem Jan Ryberg har faktisk ret. Mange MDM løsninger “overvåger” faktisk de administrede smartphones og tablets.

Så noterede jeg mig godt, at en ekspert fra firmaet Check-Point Jan Johannesen udtalte til TV-2 (link), at “det er noget pjat” at Jan Ryberg ønskede at beskytte sit privatliv. Men her er jeg aldeles uenig med Jan Johannesen.

Jeg har arbejdet med MDM* løsninger siden 2006 og er en af Danmarks førende eksperter indenfor dette specifikke sikkerheds område. Jeg har arbejdet med alle de førende MDM løsninger, så som VMware-AirWatch, Microsoft Intune, Citrix Xenmobile, MobileIron, og også haft fingrene i mange af de mindre løsninger.

Alle disse systemer giver IT-afdelingens folk mulighed for at se hvilke private apps, som du har installeret, og mange af disse systemer understøtter også bla. “Find My iPhone”.

Når IT-medarbejderen går ind i MDM-systemet for at se om en medarbejder har fået en app rullet ud på enheden, så vil han/hun skulle finde den app på den liste, som viser alle apps, som er at finde på enheden, altså også de privat installerede apps.

En  kommunes IT afdeling har endda lavet en mobil portal til medarbejderne, hvor man kan se Top 10 lister for de meste benyttede apps.

Disse data er trukket ud fra MDM systemet.

Jo, Jan Johannesen vedkender da, at MDM-værktøjet kan misbruges, men opfordrer så blot til, at man blot skal bede sin arbejdsgiver om en “skriftlig forsikring om at disse data ikke misbruges”….. Jo, men IT-medarbejderen har alligevel set, at du har Tinder, Scor, Stepstone, mv.  installeret sammen med virksomheden apps på din enhed!

Stil krav til virksomhedens MDM system!

Nogle af de bedre MDM* løsninger har allerede en løsning på ovenstående!

Nogle løsninger kan netop håndtere enheder (både tablets og smartphones), som også må bruges privat. Disse løsninger har fjernet IT-medarbejderens mulighed for at se både GPS position og privat installerede apps, netop for at tilsikre at virksomheden (og MDM løsningen) overholder Persondataforordningen.

Vel og mærket uden at disse løsninger på nogen måde kompromitterer virksomhedens data!

De fleste MDM løsninger giver slet ikke IT-medarbejderen adgang til de dokumenter, referater, mv. som ligger på den ansattes mobile enhed. Så her er der ingen grund til at være nervøs for et databrud.**

Med til historien skal nævnes, at kommunens har understreget, at kommunen kun registrerer de mest nødvendige dataspor, men betyder “registrerer” også at ikke kan se de private installerede apps?


Post 25. maj scenarie:

Jeg tror, at vi vil se medarbejdere, der vil kræve dokumentation for at virksomhedens MDM løsning IKKE viser GPS-positioner og/eller privat installerede apps for nogen som helst med adgang til MDM løsningen.

Jeg tror også, at vi må forvente at der vil være vrede ansatte eller endda fyrede og frustrerede tidligere ansatte, der vil udfordre virksomhederne på dette, nu da Persondataforordningen ligger op til klækkelige bøder for overtrædelse af forordningens krav om at beskytte private data.

Jeg hører allerede om advokatkontorer, der er ved at køre sig i stilling til at føre disse sager for de ansatte!

Mange virksomheder er slet ikke påbegyndt at tage sikre sig, dvs. sikre deres medarbejdere.

I forbindelse med persondataforordningens ikrafttrædelse 25. maj ’18, så har mange virksomheder haft travlt med at forholde sig til kunne håndtere følsomme person data, f.eks. jobansøgninger, billeder af tidligere ansatte, beskyttelse af fortrolige oplysninger, så som cpr-numre, osv.

Persondataforordningen formål er i alt sin enkelthed at beskytte den enkelte borgers private data.

Virksomheder og offentlige institutioner og instanser skal derfor drage omsorg for at de ikke får adgang til vores private data (som de ikke skal bruge).

Og derfor oplever jeg, at det kommer bag på mange organisationer, at de faktisk får ovenstående oplysninger på de udleverede smartphones og tablets, og derfor har travlt med at håndtere dette her kort før deadline.


Kan man ikke skrive sig ud af det ?

Men så kan virksomheden vel blot skrive sig ud af det, hører jeg af og til.

Virksomheden kan vel betinge sig, at såfremt medarbejderen vil have adgang til virksomhedens mail, kontakter, kalender og andre data på deres private enheder, jamen så skal medarbejderen acceptere at management løsningen kan se disse ovennævnte ting.

For det første så tror jeg ikke, at den holder ift. forordningen, men jeg har har indtil videre ikke kunne finde nogen, der tør forholde sig endegyldigt til dette.

For det andet, så tror jeg konsekvensen bliver, at medarbejderne vælger at købe deres egen smartphone, som de bruger, når de har fri. Herved mister virksomhederne den effektivitet, det har betydet at firmatelefonen og privat telefonen er en og samme enhed. Jeg tror de fleste lige har svaret på en firma mail, mens de sad til et mindre spændende forældremøde eller lignende.

Hør mere om dette på Computerworlds gå hjem møde d. 28. februar (link)

*Note: Jeg vælger i dette indlæg, at bruge betegnelsen MDM (Mobile Device Management), da det er den mest benyttede betegnelse, om end det ville være mere korrekt at omtale løsningerne i dag, som EMM eller endda UEM løsninger. Læs dette indlæg, som forklarer forskellen.

** Omvendt er jeg meget mere nervøs for at virksomhederne ikke har forholdt sig til at deres medarbejdere tager en privat iCloud backup af den iPhone, som også indeholder virksomhedsdata. Dette skriver jeg et blog indlæg om i næste uge.