Data sikkerhed,  Device Management,  Mobility

Appware – endnu en tikkende bombe under GDPR.

Tilbage i marts 2018 skrev jeg nedenstående indlæg. De seneste dage har der været et øget fokus på især appen TikTok og hvordan data i denne app, deles med Kina. Jeg tror de fleste læsere i dag er klar over at tech-giganternes største indtjening ligger i at indsamle data om deres brugere. Der er stort set ikke noget der reelt er gratis at benytte.

Derfor skal organisationer også være opmærksomme på at deres medarbejdere kan risikere at dele organisationens data, og derfor drage omsorg for dette. Derfor re-poster jeg dette indlæg med enkelte opdateringer i teksten.

Vores smartphone, og til en vis grad vores tablet, er blevet vores kæreste eje.

Vi har den med os alle steder. Den er vores udvidede hjerne, vores huskeliste, vores måde at komme i kontakt med andre på, en vigtig faktor i vores sociale relationer og vores adgang til alverdens informationer.

Vi vil i den grad være mobile. I følge Danmarks Statistik så har 85% af alle danskere en smartphone i 2020.

De færreste af os gider at gå rundt med 2 smartphones i lommen: en der tilhører vores firma, og så vores egen private.

Skatteforhold i Danmark har gjort det muligt at slå disse to enheder sammen til én enhed.  Mange virksomheder belønner deres medarbejdere med de nyeste og ofte dyre smartphones. Herved smelter privatliv og arbejdsliv sammen.

Vi – privat, som i forbindelse med vores arbejde – vil have:

Adgangen til disse data og vores netværk får vi igennem de mange apps, som vi flittigt installerer. Nedenstående apps repræsenterer de mest benyttede apps i Danmark for tiden. Du kan sikkert genkende de fleste.

Mange af disse apps er gratis at downloade og benytte.

Vi tager billeder, som aldrig før.

Selfies, til fester, feriebillederne, datterens barnedåb, når vi skal huske vores nummerplade til parkeringsautomaten, når vi er i byen med kollegaerne, når firmaet fejrer en stor sag, vores kat og hvad vi fik at spise på restauranten i går.

Vi bruger også kameraet til lige at tage en kopi af den strategiplan, som blev skitseret på et whiteboard under det møde, som vi havde i firmaet igår.

Måske er du en del af et udviklingsteam og har brug for lige at dokumentere denne prototype til en rapport, hvorfor du da lige tager et billede. Måske er du lærer og skal dokumentere at lille Emil netop er kommet i skole med blå mærker. Jeg har set folk, der benytter deres kamera, som en scanner til dokumenter.

Du kan sikkert finde egne eksempler, hvor du har brugt dit kamera til at dokumentere noget i forbindelse med dit arbejde.

Effektivitets forøgelse på 37%

Faktisk viser undersøgelser, at når medarbejderen kun har én smartphone, som denne bruger både til arbejde og til private gøremål, så kan det give en virksomhed helt op til 37% effektivitets forøgelse.

Du kender det sikkert: du er til en konference, hvor indlægget keder dig en smule. Du klarer lige et par mails i mellemtiden. Du er på ferie i Thailand og der er gratis Wifi på hotellet. Da dine private emails og firma emails kommer ind i samme app, så checker du lige om der er en vigtig mail fra en kunde eller en kollega, som du lige kan svare på, nu du lige har opdateret din Instagram profil med et solnedgangs billede. Måske vil du lige imponere chefen, her op til lønforhandlingerne, med at du da svarer mails, selvom du har fri. Du læser lige de mails, du ikke nåede i arbejdstiden, på vej hjem i toget. Jeg tror de fleste vil kunne genkende disse scenarier eller lignende. Vi er altid online.

Nuvel med disse scenarier skal vi tilbage på sporet!

Virksomheds udleverede mobile enheder deler fortrolige data!

Problemet – i relation til beskyttelse af firmaet data, og ikke mindst i relation til den kommende Persondataforordning (“GDPR”) – er de firmaudleverede mobile enheder, som medarbejderne må benytte privat!

Figur 1

Nogle virksomheder har “bruttoløns”-ordninger (2), hvor medarbejderne kan købe en dyr smartphone, og betale differencen fra det beløb, som virksomheden betaler til en standard smartphone, og op til prisen for denne smarte og dyrere smartphone over deres lønseddel.

Tidligere betalte medarbejderne skat af deres firmaudleverede smartphones og måtte derfor benytte dem privat. Regeringen har ifm. finansloven for 2018 fjernet skatten på disse enheder, men enhederne må stadigvæk gerne benyttes privat. Jeg har valgt at kalde disse enheder for “hybriderne”.

Og endelig har vi den sidste gruppe – BYOD – Bring-your-own-device (3), altså hvor virksomheden tillader, at medarbejderen medbringer sin egen smartphone.

Uanset model, så bruges enhederne af medarbejderne til private ting, altså downloades der en masse apps på disse enheder!

For god ordens skyld: den firmaudleveret smartphone (1) som ikke må benyttes privat, er ikke en trussel for virksomheden, forudsat naturligvis at sikkerheden er administreret korrekt. Så dette indlæg drejer sig udelukkende om de to enhedstyper i tegningen ovenfor: 2 og 3.

Vi skal lige have en vigtig del med her:

Vi blander vores kalender, emails og kontakter med vores privatliv.

Langt de fleste henter deres firma emails ind i samme app, hvori deres private mail dukker op. Og vores firma relaterede kontakter fra Outlook synkroniseres sammen med vores venner og familie ligeledes i samme app. Og når vi kan se vores private aftaler om at hente børn og vores firmarelaterede aftaler i samme kalender, så får vi optimeret vores private og arbejdstid.

Det vedhæftede dokument i firma mailen med forskningsresultaterne (som måske indeholder cpr-numre) åbnes på vores tablet i Word eller Pages, og gemmes samme sted, som det referat vi skriver til bestyrelsesmødet i håndboldsklubben.

Alt i alt: mobilitet gør hverdagen meget lettere.

Resultat: Firma data og private data blandes sammen på den mobile enhed

Og her er kilden til problemerne.

Ofte installerer vi disse apps i vores fritid, hvor vores mindset ikke nødvendigvis har fokus på IT-sikkerheden for den virksomhed, som vi arbejder i.

Når du installerer fx. Snapchat for at “snappe” med dine teenagere, så gør du som 93% af alle andre: du går hurtigt henover appens “Terms and Conditions”.

Og når der kommer en ny version af fx. Facebook og appen beder dig godkende de nye betingelser, så klikker du hurtigt på “Godkendt”, og læser ikke disse.

Ikke sandt ?

Men læser man disse betingelser, så opdager man at 1) intet er gratis!, 2) at man afleverer en masse “big data” til disse virksomheder, som de kan bruge på den ene eller anden måde. (Læs blot mit tidligere indlæg om Endomondo her.)

Tag nu to populære apps: Instagram og Snapchat.

Efter at du er gået let henover deres betingelser, så “hjælper” de dig med hurtigt at finde dine venner, som også er på “Snappen” eller “Insta”. Jeg tror at langt de fleste tænker: Ja da, så slipper jeg for det!

Men hov!

Nu kopieres alle de synkroniserede virksomheds kontakter op på nogle ukendte servere og ud af virksomheden. Måske er disse servere placeret udenfor EU, hvilket de jo ikke må være iht. bl.a. Persondatafordningen.

Herved er der reelt tale om et databrud! Men også brud på forordningen!

Jeg kalder denne type af apps, som “sniffer” rundt i vores data i andre apps på enheden for Appware. Jeg mener, at disse sniffende apps kan gøre lige så stor skade for en virksomhed, som fx. malware og ransomware.

Og så var der alle de billeder, som vi tog:

Dropbox, Google Foto, OneDrive, iCloud, osv.  som mange har installeret, spørger om de lige skal tage en sikkerhedskopi af brugerens billeder. Vi vil alle gerne beskytte vores billeder.

Kameraet på vores smartphone foreviger i stigende grad væsentlige højdepunkter i vores private liv. Så naturligvis vil vi da have en sikkerhedskopi af dem.  Ja da!

(Jeg har skrevet mere uddybende om dette problem tidligere her).

Konsekvenserne:

Nu ligger billederne, som vi tog i forbindelse med vores arbejde, pludselig her i medarbejderens private Google Foto. Fortrolig data har forladt virksomheden.

Og i relation til loven om databeskyttelse, herunder også  Persondataforordningen, så skal virksomheden nu kunne dokumentere, at den ved hvor “personhenførbar” virksomheds data er placeret. Endvidere skal virksomheden have mulighed for at slette disse data jf. forordningen. Og kan virksomheden ikke dette, så risikerer den som bekendt en bøde på helt op til 4% af virksomhedens bruttoomsætning. For offentlige institutioner tales der om bøder på op til 16 mio. kroner.

Kan du se perspektiverne ved denne “tikkende bombe”, som appware udgør ?

Kan virksomheden tillade sig at forhindre medarbejderen i at installere private apps? Jo, på de firmaudleverede. Men i hvert fald ikke på BYOD enhederne, og næppe heller på gruppe 2 enhederne (jf figur 1).

Og hvis virksomheden vælger at begrænse medarbejdernes brug af private apps på enhederne, så ender det med at medarbejderen anskaffer sig deres egen private smartphone, og lægger firma enheden ned i arbejds skuffen. Fleksibiliteten og effektivitets forøgelsen mistes!

Sæt nu problemet omkring “appware” sammen med mit tidligere blog indlæg om at virksomhederne kan snage ind i medarbejdernes privatliv på disse mobile enheder (læs indlægget: “Din firmaudleverede telefon overvåger dit privatliv.”), så burde nu stå dig ganske klart at GDPR kan være en tikkende bombe for mange virksomheder.

Hvad siger medarbejderne ?

Og hvad siger medarbejderne, når de bliver klar over disse problematikker ?

Jeg tror, at vi vil se fagforeninger, som går ind i dette. Jeg tror vi vil se medarbejdere, som vil aflevere deres firmaudleverede smartphone og købe deres egen private enhed.

Jeg forestiller mig, at vi kan risikere at en medarbejder, som virksomheden vælger at opsige d. 30. maj, altså 5 dage efter Persondataforordningen er trådt i kraft, vil kunne skabe store problemer for virksomheden. Forestil dig at denne måske forsmåede person kan dokumentere at virksomheden bryder loven ?

Jeg har talt med advokater, som står klar til at assistere forbrugerne / de ansatte, når disse vælger udfordrer virksomhederne på om de følger lovens forskrifter!

Jo bomben tikker, og det er snart d. 25. maj!

Update nov ’22: Det er nu 4½ år siden at organisationerne skulle drage omsorg for dette og mange har stadigvæk ikke en gang en MDM løsning, der kan styre dette for organisationen.

Hvordan håndterer virksomheden disse problemer?

Nu har jeg skrevet et par indlæg, der gerne skulle få virksomhederne op af stolen. Jeg håber at mine indlæg har fået både virksomhederne til at få taget hånd om disse problemstillinger.

Og når jeg tager min “overvågnings hat” på så håber jeg også at jeg har fået de ansatte til at stille krav til deres virksomheder om at drage omsorg for disse problemstillinger.

Derfor skal mine kommende indlæg have mere fokus på hvordan virksomhederne så kan løse disse udfordringer.

Stay tuned.  Tilmeld dig mit nyhedsbrev.