Løft sikkerheden på de mobile enheder
Center for Cybersikkerhed, PET og Statens IT udgav sidste år en håndbog for sikkerheden på den mobile enheder for ministre, departementschefer, særlige rådgivere og udvalgte medarbejdere i ministerierne. Håndbogen giver indirekte indblik i det trusselsbillede, som CFCS ser i dag. Bestemt noget, som mange virksomheder bør skele til, når de udarbejder deres egen politik omkring de mobile enheder.
Et nøgleord her er cyberspionage eller sagt på en anden måde at tilsikre højst mulige sikkerhed omkring organisationens data. Og løsningen er ligetil: du skal have 2 telefoner fremover.
Den ene telefon er “sikkerhedshærdet” til det maksimale og 100% styret af den device management løsning, som staten benytter. Her sættes en høj sikkerhedspolitik, der fx helt lukker for GPS og Bluetooth, cloudbackup er slået fra og kun godkendte apps vil kunne blive installeret på enheden. Hertil kommer nogle “adfærds”-vejledninger, sikkerhedsinstrukser og retningslinjer, som også kan inspirere virksomhedsledere.
Til de mere nørdede læsere, så har jeg lige kopieret overskrifterne fra vejledningen, på de områder, hvor disse enheder er ekstra hærdet:
- Skift af brugerkonto til statslig brugerkonto
- Deaktivering af Wi-Fi
- Deaktivering af Bluetooth
- Deaktivering af lokalitetstjenester
- Deaktivering af reklamer
- Skjul indhold af notifikationer på låseskærm
- 10-cifret låsekode (!!)
- Deaktivering af udsendelse af diagnostik-informationer
- Ingen sporing på tværs af apps
- Deaktivering af stemmestyring
- Ændring af enhedens navn
- Ændring af søgemaskine (til DuckDuckGo)
- Aktivering af automatiske opdateringer af apps
- Deaktivering af cloudbackup
- Installation af krypterede kommunikationsapps
- Lockdown mode (iPhone)
- Kræv låsekode
- Skærm & lysstyrke automatisk lås (max. 30 sekunder)
- Montering af privacy filter
Og endelig følger en oversigt over de apps, som er fundet forsvarlige at installere på disse enheder (lagt i en intern App-store, hvor brugeren selv vælger hvilke apps, denne vil have installeret). Vejledningen tillader ikke TikTok, Dropbox, SnapChat eller motionsappen Strava.
Brug Signal til kommunikation.
Jeg finder det interessant, at CFCS udover en særligt udviklet app “SMART-2” til kommunikation anbefaler appen SIGNAL. Jeg har igennem mange år advokeret for at folk skulle bruge denne app i stedet for WhatsApp, iMessage, Messenger og almindelig SMS til privat kommunikation.
Den gamle vejledning bør opdateres.
Desværre har CFCS ikke opdateret deres gamle vejledning om “Sikkerhede på mobile enheder”. Vejledningen er fra november 2018, men den tager efter min mening ikke højde for de funktioner, som henholdsvis Apple og Android har indført sidenhen for at styrke sikkerheden på enhederne. Jeg har tidligere skrevet en indlægs serie, hvor jeg gennemgår deres 15 bud og tilføjer yderligere 5 råd.
Jeg skal for god ordens skyld anerkende at deres råd holder, hvis man ønsker allerhøjeste sikkerhed, da de anbefaler at man har 2 enheder: en til arbejde og en til det private!
Min erfaring er dog, at hverdagen ser helt anderledes ud for langt de fleste virksomheder og ansatte indenfor det offentlige! De færreste vil gå rundt med 2 smartphones. Hertil kommer at mange virksomheder tilbyder deres medarbejdere “fri-telefon”, der betyder at medarbejderne må benytte den udleverede enhed privat, (mod en beskatning).
Hvad skal danske virksomheder gøre?
I danske virksomheder er der ofte usikkerhed omkring hvor man skal ligge sikkerhedsniveauet mht. de mobile enheder. Det har jeg rådgivet om i snart 18 år. Min erfaring og råd er at virksomheden først skal inddele alle virksomhedens ansatte i sikkerhedsgrupper, hvor fx. topledelsen ligger i øverste gruppe, største delen af de ansatte vil være i en mellemgruppe og så kan der være medarbejder grupper, hvor sikkerheden kan sættes til lav. Måske skal der være flere grupper.
Herefter skal ledelsen tage udgangspunkt i en risikovurdering omkring de data, som de forskellige grupper.
Design nu sammen med jeres rådgivere de forskellige (sikkerheds-) politikker, der skal rulles ud på de mobile enheder ved hjælp af virksomhedens device management løsning. Lad jer inspirere af vejledningerne fra CFCS, mine blog indlæg og ikke mindst tage højde for hvad henholdsvis Apple og Android seneste OS-version giver mulighed for.
