Sensitive data på avveie: Lav sikkerhet ved utskifting av IT-utstyr
Lav sikkerhet ved utskifting av IT-utstyr
Fortsatt har mange virksomheter et altfor lettvint forhold til at sensitive data ikke havner på avveie når de skal bytte ut PCer og annet IT-utstyr. Mer enn hver tredje bedriftsleder sier at de ikke kan dokumentere at sletting skjer på en forsvarlig måte.
Selv om dataene formateres manuelt vil de i svært mange tilfeller fortsatt eksistere på harddisken, og for en dyktig IT-person tar det kun minutter å gjenskape dette innholdet. Illustrasjonsfoto: Crestock
Dette kommer frem i en Norstat-undersøkelse blant 500 bedriftsledere, på vegne av leasingselskapet 3 Step IT. 100 av respondentene representerte offentlig sektor mens de resterende 400 lederne kom fra private bedrifter.
- Det er oppsiktsvekkende at så mange ledere har et så slapt forhold til sine egne sensitive data, og det kan vanskelig tolkes annerledes enn naivitet. Kanskje tror de at PCene ikke inneholder noe av interesse for andre, eller de tror at dataene er slettet, men så er de ikke det likevel. Uansett er det ekstremt viktig at sletting av data skjer på en forsvarlig måte og at dette kan dokumenteres i etterkant. Fremfor alt for å sikre din egen nattesøvn, men også i tilfelle internrevisjon er det viktig å kunne dokumentere dette, sier Peer Velde, adm. direktør i 3 Step IT, et selskap som leier ut nærmere 60.000 PCer, servere og annet IT-utstyr til rundt 500 virksomheter. Velde opplyser at gode styringssystemer og dokumentert forsvarlig sletting av data ved avhending av IT-utstyr, er en av de viktigste grunnene til at mange bedrifter heller velger å leie slikt utstyr fremfor å eie det selv.
Kun minutter å gjenskape innhold
Utover det høye antallet bedrifter som ikke kan dokumentere noen form for sletting (35 prosent av respondentene), er Velde bekymret for at så få som bare åtte prosent av bedriftene benytter seg av sertifisert sletting.
- Slike sertifikater er den aller beste garantisten for å hindre at data havner på avveie. I stedet sier 38 prosent at de heller foretar «manuell formatering av data», mens 34 prosent sier at de benytter «andre metoder».
Med den kjennskap Velde har til hvordan data slettes, mener han et stort flertall av også «andre metoder» havner i kategorien «formatering av data».
- Det er direkte uansvarlig at «manuell formatering av data» er den aller mest vanlige slettemetoden blant norske virksomheter. Selv om dataene formateres manuelt vil de i svært mange tilfeller fortsatt eksistere på harddisken, og for en dyktig IT-person tar det kun minutter å gjenskape dette innholdet.
NSM ikke overrasket
Nasjonal sikkerhetsmyndighet (NSM) er ikke overrasket over resultatene. De mener sikkerhet er et område som ofte får for liten oppmerksomhet, både i private og offentlige virksomheter.
- Det kan gi store skadevirkninger dersom sensitiv informasjon kommer i gale hender. Det er ingen som ønsker verken statshemmeligheter, forretningshemmeligheter eller personsensitiv informasjon på avveie, sier Kjetil Berg Veire, informasjonssjef i NSM.
Først og fremst mener han det er viktig å sørge for å ha et styringssystem for sikkerhet, hvor også avhending er implementert.
- Vurder verdien av informasjonen din. Finn ut hva slags informasjon som har avgjørende verdi for at virksomheten skal overleve og beskytt disse verdiene på en måte som gjør at de ikke blir stjålet eller kommer på avveie. Da sier det seg selv at PCer og annet utstyr som inneholder slik informasjon må sikres, ikke minst når de ikke lenger skal være i bruk.
Litt bedre i offentlig sektor
Norstat-undersøkelsen viser noen forskjeller mellom privat og offentlig sektor; verst på sletting av data er privat sektor, hvor 38 prosent av de spurte oppga at de ikke kunne dokumentere dette, mot 25 prosent av lederne i offentlig sektor. Ser vi på utbredelsen av slettesertifikater kommer imidlertid private virksomheter noe bedre ut enn offentlig sektor. Her svarte 9 prosent av lederne at de benyttet slike sertifikater, mot kun 5 prosent av lederne i offentlig sektor.
- Jeg er veldig nysgjerrig på hvilke andre metoder som benyttes i offentlig sektor, når kun 5 prosent sier at de bruker slettesertifikater. Spesielt for offentlige virksomheter hvor mange av dem sitter på sensitive opplysninger på personnivå burde sletting av data ha høyeste prioritert når de skal bytte IT-utstyr. Det må da også være av stor interesse å kunne dokumenteres dette i etterkant. Det er vel bare et spørsmål om tid før dette også blir et krav, avslutter Peer Velde.
www.logistikk-ledelse.no © 2013