Artikel top billede

Chat-apps buldrer frem - derfor kan du ikke forhindre det

Danskerne er vilde med chat-apps som Viber, WhatsApp, Facebook Messenger, iMessage og Skype. Det er en klar sikkerhedsudfordring, og den skal tackles på en bestemt måde.

Tilgiv mig it-chef, for jeg har syndet.

Jeg anvender slet ikke den chat-applikation, du har stillet til rådighed til kommunikation med kollegerne. Den er lidt for tung, lidt for bøvlet, lidt for gammeldags.

I stedet står den på Skype, og det sker fra samme private konto, som jeg også bruger, når jeg skal i kontakt med venner og familie.

Og nå ja, så skriver jeg også lidt via Facebook Messenger, LinkedIn og Twitter, når jeg skal i kontakt med folk uden for huset.

Og så er der selvfølgelig iMessage på iPhonen. Det er også helt vildt smart, fordi kommunikationen synkroniseres via Apples iCloud.

WhatsApp kan jeg også godt lide at bruge, når jeg er i udlandet, og det der Snapchat og KakaoTalk er der også mange, der taler om, så måske man også skulle prøve de apps? 

Men måske du kan tilgive mig, for de andre medarbejdere her i huset gør trods alt det samme. Fordi det er nemmest, og fordi tjenesterne bare er der hele tiden og altid fungerer.

Nye kanaler vinder frem

Nogenlunde sådan er dit forbrug af diverse chat-applikationer og sociale medier måske også. Det voksende antal alternative kommunikationskanaler hitter nemlig hos danskerne og betyder blandt andet, at brugen af SMS er drastisk faldende.

For it-afdelingen og de sikkerhedsansvarlige i virksomhederne kan de nye kommunikationskanaler formentlig godt afstedkomme en vis hovedpine.

For hvad er det helt præcis, medarbejderne kommunikerer om, og hvor risikerer man, at forretningskritiske data havner?

Men selv om det kan være fristende simpelthen at spærre for eksempelvis Facebook Messenger eller forbyde medarbejderne at bruge det på arbejds-telefonen, er det ikke nogen holdbar løsning.

Det forklarer Jørgen Sørensen, der står i spidsen for Deloittes Cyber Security Services i Danmark og rådgiver om informationssikkerhed.

"Bekymringen er, at der er fortrolig virksomhedsinformation, som vi ikke har styr på, men at begynde at sætte begrænsninger på devices vil være som at prøve at bygge en halv dæmning," siger han til Computerworld.

"Det at spærre noget er sjældent den rigtige løsning."

For uanset om det drejer sig om de førnævnte tjenester eller kommende hits i diverse app stores, er det nemlig ikke kun teknologierne, man bør fokusere på - men også de mennesker, der anvender dem.

"Informationen kan komme ud på andre måder, og det, der i virkeligheden er kilden til læk af informationer, er medarbejderne."

Vi tænker os ikke godt nok om

"Man har ofte en tendens til at fokusere på de teknologiske aspekter af en problemstilling og ikke det, som i virkeligheden er den største udfordring: Medarbejdernes forståelse af, hvad der er virkelig kritisk for virksomheden, hvis det kommer ud - selv om det måske kun er brudstykker."

Jørgen Sørensen fra Deloitte mener, at denne manglende viden og forståelse kommer til udtryk på mange måder. Et eksempel:

"Folk, der for eksempel står i kø i lufthavnen og lige skal have den sidste status før et forretningsmøde. De står højlydt og fortæller om en forhandling eller et kontrakt-beløb. De ved da ikke, om jeg er på vej til samme møde og også skal forhandle."

"Der hjælper spærring af noget så konkret som en chat ikke meget. Men det gør en awareness eller holdningsbearbejdning omkring, at vores informationer i dag flyder så mange steder, at vi har brug for, at folk tænker sig om," lyder det fra sikkerhedsrådgiveren.

Ikke alle data er lige vigtige

Jørgen Sørensen peger på, at man bør starte med at få klassificeret virksomhedens data, så medarbejderne kan forstå, hvilke data de skal være ekstra opmærksomme på ikke at komme til at kommunikere om de forkerte steder.

Det arbejde finder desværre stadig sted i alt for få virksomheder.

"Det er et centralt problem, som vi altid har fejlet på som sikkerhedseksperter: Vi har ikke evnet at få solgt ideen til virksomhedslederne om, at de bliver nødt til at klassificere deres information på en brugbar måde."

"Det har sådan set altid været nødvendigt, men i dag er det bydende nødvendigt, at vi får klassificeret, hvad det er for en type information, vi ikke vil have kommer ud," siger han og tilføjer:

"Vi kan lave alle mulige tekniske begrænsninger, men vi ved også godt, at folk omgår dem. På den måde bliver det sådan et internt kapløb om, hvem der kan snyde hvem. Det er den forkerte sikkerhedsholdning."

"Man bliver nødt til at samle de ressourcer, der er til at sikre virksomhedens data. Hvis ikke vi begynder at arbejde sammen som ansatte og it- og sikkerhedsfolk om at få det her gjort på den rigtige måde, lykkes det aldrig."

Chefen er måske det største problem

En af de udfordringer, man står med i mange virksomheder, er, at det faktisk er i virksomhedens øverste ledelse, at risikoen for uhensigtsmæssig håndtering af kritiske data er størst.

"Det bliver sagt igen og igen, at vi har brug for awareness. Men vi må også erkende, at mange af dem, der er rigtig dårlige til at tænke over, hvad der bliver sagt i offentlige rum, på chat eller kommunikeret på mail, er virksomhedens øverste ledelse."

"Det er dem, der har den kritiske information - det er ikke receptionisten, den almindelige kontormedarbejder eller fabriksarbejderen."

Hvordan håndterer man så ledelsen som sikkerhedsansvarlig?

"Det, der har vist sig med den seneste tids mange cyber-hændelser, er, at der er skabt en forståelse for, at tingene har ændret sig. Ledelsen ønsker rent faktisk i dag at få noget viden omkring, hvordan de bedst sikrer kritiske data."

Det er her, at man som it-/sikkerhedsansvarlig skal være i stand til at anskue sikkerhedsudfordringerne på en lidt anden måde, end vi har gjort traditionelt.

"Vi har en tendens til at gøre det til et teknologi-problem, og det er det ikke. Vi skal snakke med dem om forretningen og om betydningen for deres måde at drive forretning på og om kommunikation - det har intet med teknologi at gøre. Vi skal se på, hvordan vi håndterer problemet hele vejen rundt, ikke på enkeltstående løsninger."

Der er en grund til populariteten

Men måske det er vigtigt lige at træde et skridt tilbage og spørge sig selv, hvorfor det nu lige er, at medarbejderne - og altså i høj grad også ledelsen - anvender eksempelvis chat-apps og sociale medier til at kommunikere.

Et oplagt bud er, at det er, fordi tjenesterne er lette at anvende, altid er lige ved hånden, og fordi de er udviklet på brugernes præmisser, ikke it-afdelingens. Den virkelighed skal man kunne forholde sig til som it-afdeling.

Jørgen Sørensen fra Deloitte har denne anbefaling til, hvordan man kan gribe det an:

"Jeg ville forsøge at gøre opmærksom på, hvilke former for trusler der kan være, og hvilke aktører, der kan have en interesse i at få fat i de data."

"Hvis den øverste ledelse så mener, at det godt kan være, at truslen er der, men at det er vigtigere for forretningen med den fordel og den lethed, der er i at arbejde på denne her måde, så er det sådan set ok med mig. Det er ledelsens ansvar at træffe beslutningerne omkring sikkerhedsniveauet - bare de gør det på et oplyst grundlag."

Jørgen Sørensen mener, at man som sikkerhedsansvarlig i det tilfælde har to andre muligheder.

Man kan snakke med ledelsen om, hvorvidt man så skal gøre noget for at finde ud af, om den holdning, man ønsker medarbejdere på forskellige niveauer har om håndteringen af data, rent faktisk efterleves.

"Vi skal opdage det, hvis vi bruger vores data forkert," siger han og fremhæver eksempelvis overvågning og logs som værktøjer til at kunne opnå det.

Hvis ledelsen heller ikke mener, at det er nødvendigt, bør man forberede ledelsen på, at der på et tidspunkt vil komme et læk og dermed en situation, hvor ledelsen skal forklare pressen om den beslutning, der ledte frem til det.

"Det bliver man nødt til at forberede, ligesom man bliver nødt til at forberede, at man skal lave damage control."

"Virksomhederne kan vælge at lægge sine ressourcer i en af de kurve: De kan forebygge, de kan etablere noget overvågning, og de kan lave et beredskab. Så kan man vægte imellem dem, for det er i virkeligheden de tre parametre, vi kan skrue på," forklarer Jørgensen Sørensen.

"Vi kan ikke være rigide og forbyde alt. Det er vi kommet over."

For langt hen ad vejen ligger virksomhederne også, som de selv har redt: 

"Jeg mener ikke, at man kan forbyde forretningsmæssig kommunikation på sociale medier. Virksomhederne er i dag på sociale medier som LinkedIn og Facebook. Den beslutning er taget forretningsmæssigt. Ergo er der kun tilbage at forsøge at forhindre, at folk kommer til at skrive de forkerte ting."

Flere anvender chat-apps - selv om de bekymrer os

Det bringer os tilbage til de konkrete chat-apps og sociale medier, der er så populære i disse år. Danskerne anvender dem i en sådan grad, så det betyder et markant fald i brugen af den ellers så populære SMS.

Og vi gør det, selv om der samtidig er en del privacy-bekymringer relateret til de nye kommunikationskanaler.

Senest har der været en del debat i kølvandet på Facebooks forsøg på at tvinge brugerne til at anvende den særlige chat-app Facebook Messenger på smartphonen.

Eksempelvis er der på denne side en digital underskriftsindsamling, hvor der i skrivende stund er 441.773 personer, der ønsker at stoppe Facebook Messenger-tvangen - blandt andet fordi de ikke bryder sig om, at Facebook skal have adgang til telefonens kamera og kontakt-informationer og kunne anvende data i marketing-øjemed.

Selv om der tilsyneladende er en del forvirring om, hvad det rent faktisk er, at Facebook skal have adgang til og hvorfor, er det næppe et kommunikationsværktøj, som ret mange virksomheder jubler over, at medarbejderne installerer på telefonerne.

Vi skal fokusere på de kritiske data

Jørgen Sørensen fra Deloitte anbefaler dog stadig, at man skal lade være med at fokusere for meget på den konkrete teknologi, der er hot blandt brugerne.

"Problemstillingen er der, og så har man en tendens til i it-afdelingen at være teknik-fikseret og så løse det. Så har vi fikset lige denne her teknologi-dims. Men du får ikke noget ud af det - jo, sure medarbejdere, som så omgår det og gør det på en anden måde."

"Vi lever i et informationssamfund, hvor det gælder om at dele information mere og mere."

Han mener derfor, at udgangspunktet i dag må være, at man beskytter de centrale og mest kritiske data i virksomheden, mens man må acceptere, at resten kan være offentligt tilgængeligt på den ene eller den anden måde.

"Det betyder, at vi bliver nødt til at finde ud af, hvad det er, vi absolut skal beskytte. Det er den eneste reelle mulighed, vi har for at beskytte noget, for vi kan ikke beskytte alle de kilder, de devices og de access points, vi har i virksomheden. Det er umuligt," forklarer Jørgen Sørensen, der står i spidsen for Deloittes Cyber Security Services i Danmark.