Close-up image of woman texting and drinking coffee outdoors

Mobila enheter - Ett faktum och en säkerhetsrisk som vi blundar för

Vad är det egentligen för skillnad på en dator och  en mobiltelefon? Och hur kommer det sig att de flesta företag fokuserar sitt säkerhetstänk kring servrar och datorer, men inte på mobiltelefoner och mobilt arbetssätt?

Det är en fråga som vi har ställt oss själva, och jobbat aktivt med de senaste åren. Vår allas och gemensamma utmaning är att utvecklingen går otroligt snabbt framåt, och vi människor hinner helt enkelt inte med att reflektera och koppla.

Vi går mot molnbaserade lösningar

Varken vi vill det eller inte så går utvecklingen mot molnbaserade lösningar, och de företag som inte accepterar och anammar denna trend halkar efter. De riskerar även att hamna i en situation där dess anställda ”löser sina problem” på eget bevåg (s.k. Shaddow IT), och IT-avdelningen tappar kontrollen.

Det är så enkelt, men vad hände med säkerheten?

Med ett enkelt knapptryck kan du komma åt alltifrån din egen e-post, dina egna filer till företagets gemensamma filer och övrig företagskänslig information. Från valfri plats, på valfri enhet. Det är också relativt enkelt att ladda ner informationen lokalt på valfri enhet.

Den här utvecklingen är någonting som vi tycker är positivt och som främjar användarnas produktivitet och innovationsförmåga. Men vi får inte glömma bort att jobba med säkerheten.

Så här har vi skyddat oss historiskt sätt

För en si så där 10 år sedan så jobbade de flesta av oss inne på ett kontor, med ett väl skyddat nätverk, med säkra brandväggar, på väl skyddade datorer. Men det är inte riktigt så det fungerar nu, år 2017. Möjligheterna har blivit oändliga och vi börjar tappa kontrollen över säkerheten.

Så här skyddar  vi våra datorer:
Våra datorer övervakas 24/7, de patchas, uppdateras och vi har avancerade lösenord för inloggning. Vi har full kontroll koll på inventering och löpande status plus att vi kan supporta och styra datorerna remote.

Så här skyddar  vi våra mobiler:
Vanligtvis inte alls. Är tyvärr ett svar vi ofta hör.  Och i värsta fall har vi inte ens koll på vilka enheter och modeller som finns inom företaget. Och hur dessa används.

Scenarier & Risk

Pelle som är en hängiven mobilanvändare har tillgång till både Office 365 mail, företagets gemensamma filer, det webbaserade affärssystemet och övrig känslig affärsdata som ligger lagrat lokalt på mobilen. Det enda som krävs för att löpande kunna nå alla dessa system och applikationer är att Pelle endast en gång fyller i lösenorden i mobiltelefonen.

Av en händelse så tappar Pelle mobilen på bussen, och problemen som uppstår är följande:

  1. Stina som inte är en helt ärlig person hittar Pelles mobil på bussen.
  2. Eftersom Pelle hade glömt att aktivera knapplås på mobilen, så lyckas Stina komma in i Pelles telefon.
  3. Stina kommer då åt: Pelles e-post, samtliga företagsgemensamma filer, och det värsta av allt, företagets affärssystem inkluderat hela kundregistret.
  4. Pelle ringer in till IT-avdelningen för att be om hjälp. IT-avdelningen återställer kontot i Office 365 och ändrar lösenord.
  5. Problemet kvarstår dock med övrig information som lagrats lokalt på mobiltelefonen. Bl.a. inloggningar och system som  för IT-avdelningen är okända och kan ha lagrats lokalt i telefonen. Och Pelle är lite osäker på exakt vilken info som han har på telefonen.
  6. IT-avdelningen kan tyvärr inget göra åt detta, då de inte har någon agent installerad på telefonen.
  7. Nästa månad märker Pelle att hans företagskort har debiterats 22 000 kr. D.v.s. någon har fått tag på kortuppgifterna till hans företagskort och lyckats köpa saker på nätet.

Ja som sagt, mer men mycket mer kan hända om vi inte börjar se mobilerna som en del av företagets IT-miljö. En IT-avdelning kan aldrig erbjuda ett 100 % igt skydd, men det finns en hel del saker som vi kan göra för att minimera riskerna.

Varför har vi inte kommit längre?

Debatten kring företagets mobiler har blivit lite tokig. Av någon anledning så har användarnas integritet hamnat i fokus och prioriterats framför företagets säkerhet.

Cheferna duckar för att ta fajten och blundar helt enkelt för konsekvenserna. Vi som IT-avdelning är verkligen inte intresserade av vad användarna gör på fritiden, vilka GPS positioner de har, och vilka de kommunicerar med etc. Det enda som vi är intresserade av är att skydda företagets IT-miljö. Och oftast så är det faktiskt så att mobiltelefonerna är företagets egendom, så detta borde överhuvudtaget inte vara ett issue.

Så här kan vi skydda oss

Först och främst måste vi börja med att ändra vårt mindset och se mobiltelefonerna som en del av företagets IT-miljö. Vad har vi för mobila enheter inom företaget, vem används dom av och vad används dom till. Och vad händer om olyckan är framme. Detta är frågor som vi bör ha koll på.

Våra främsta tips på vad vi kan göra i förebyggande syfte:

  1. Utbilda användare inom säkerhet och moderna hot
  2. Ha en IT-policy som reglerar användandet av företagets IT-resurser (inkluderat mobiltelefoner)
  3. Övervakning , styrning och kontroll över företagets mobiler
  4. Skydda mobiler med knapplås (hårt styrt)
  5. Skydda e-post mot Ransomware (Advanced Threat Protection)
  6. Skydda webbaserade applikationer (tex Office 365) med MFA (Multi-Factor Authentication)

För mer info och frågor

För att bolla ovan frågeställningar vänligen kontakta Fredrik Nyberg, 08-51 80 41 02, Fredrik.nyberg@atrox.se.

För underlag och research till inlägget…

/Katinka Nyberg
VD, Atrox

Var tipsen till nytta?

Ta del av tips, nyheter och guider på mail. Våra prenumeranter får även tillgång till samtliga guider i Atrox supportportal!

Vi levererar moderna IT-lösningar till flera av Sveriges snabbast växande företag Våra kunder
Microsoft Partner