Danske virksomheder har ikke kontrol over USB-portene
Ny undersøgelse viser, at 336 danske top500-virksomheder ikke har kontrol over USB-portene på medarbejdernes pcer. Medarbejderne kan frit kopiere forretningsdata over på ukrypterede mobile lagermedier uden nogen aner, hvad der foregår.
Stort set ingen danske virksomheder har styr på den datatrafik, der foregår via USB-portene på medarbejdernes pcer. Det er konklusionen på en ny undersøgelse blandt 336 danske top500-virksomheder* udført af sikkerhedsselskabet SecureDevice i fjerde kvartal af 2007.
10% af de adspurgte virksomheder har en sikkerhedspolitik, der forbyder brugen af mobile lagermedier. Men i praksis er der ingen muligheder for at håndhæve reglen. 75% af virksomhederne anså denne mangel for at udgøre en sikkerhedsrisiko.
- Vi er overraskede over, at ingen af de 336 virksomheder har styr på datatrafikken via USB-portene. Det må betyde, at de udelukkende fokuserer på eksterne trusler – selvom flere undersøgelser viser, at langt de fleste tilfælde af datatyveri foregår internt, siger Ulrik Ledertoug, sikkerhedsspecialist i SecureDevice.
Ét problem kommer sjældent alene
Private lagermedier er ofte inficeret med malware. Uden at være klar over det kan medarbejderne altså bære ondsindet kode forbi virksomhedens forsvarsværker og slippe dem løs på netværket via en åben USB-port.
- Sidste år fik et stort dansk pengeinstitut alvorlige netværksproblemer på grund af malware fra en medarbejders private lagermedie – og den slags eksempler findes der uden tvivl flere af. Flere og flere har i dag et privat USB-drev, som de bruger i alle mulige pcer. Derfor er der næppe grund til at tro, problemet vil blive mindre med tiden, siger Ulrik Ledertoug.
Åbne USB-porte gør det også mere fristende at bruge virksomhedens båndbredde til udveksling af ulovlig software via newsgroups og peer-to-peer-programmer. Fx kan store mængder af film- og musikdata kopieres over på et USB-drev i løbet af ganske få minutter.
Kryptering er en by i Rusland
Undersøgelsen viste desuden, at 90% af de adspurgte virksomheder tillader brug af USB-drev uden at stille krav om kryptering af de mobile data. Kun 45% anser dette for en sikkerhedsrisiko.
- Vi har lige oplevet en sag, hvor militære hemmeligheder fra det svenske forsvar blev fundet på et ukryperet USB-drev, der var glemt i en pc på et offentligt bibliotek i Danmark. Det er et klart eksempel på, hvor galt det kan gå. Mobile data skal krypteres – alt andet er ganske enkelt uansvarligt, siger Ulrik Ledertoug.
Ankestyrelsen tog konsekvensen
Ankestyrelsen er en af de organisationer, der har løst problemet uden at berøve sine medarbejdere friheden ved at arbejde med mobile data. Styrelsens 300 sagsbehandlere har deres eget krypterede USB-drev, de bruger til sikker transport af fortrolige data mellem kontoret og hjemmearbejdspladsen. Løsningen er baseret på Pointsec Protector og leveret af SecureDevice.
- Vi har simplethen lavet en positivliste over godkendte, krypterede lagermedier. Alle andre bliver afvist. Samtidig logger vi al aktivitet på USB-portene. Det giver vores IT-revision fuldt overblik over hvilke data, der er blevet kopieret til hvilke enheder, hvornår og af hvem. På den måde har vi fundet den optimale balance mellem sikkerhed og mobil fleksibilitet, siger Birger Fuhmann Skjødt, IT-chef i Ankestyrelsen.
*) Opgjort i antal medarbejdere.
Om SecureDevice
SecureDevice er et danskejet virksomhed, med speciale i IT-sikkerhedsløsninger inden for kryptering, brugervalidering, totalbeskyttelse af arbejdsstationer, netværkssikkerhed og Intrusion Protection-systemer. Kundebasen består overvejende af store og mellemstore danske virksomheder. Blandt andre Dansk Tipstjeneste, Sonofon, Nordea, BankInvest, Energi E2, TDC, Danfoss, Aalborg Kommune, Bornholms Kommune m.fl. Der er i dag over 20.000 brugere af løsninger fra SecureDevice i Danmark. Flere informationer kan findes på www.securedevice.dk.
For yderligere information, kontakt venligst:
Ulrik Ledertoug
Sikkerhedsspecialist, SecureDevice
Tlf: 70238248 / 51551722
E-mail: ulrik.ledertoug@securedevice.dk
