Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 3. februar 2006.
Mange it-afdelinger vil gerne beskytte indholdet på medarbejdernes bærbare, men viger tilbage for administrationsopgaven. Aalborg Kommune har indført en løsning, der gør det muligt at beskytte 500 bærbare - uden at skulle have fat i dem.
Når det gælder kryptering af filer på bærbare pc'er gælder biblens ord om, at mange er kaldede, men få er udvalgte: Det skal forstås sådan, at it-afdelingerne i mange virksomheder godt ved, at er en god idé at beskytte indholdet på medarbejdernes bærbare, men de viger tilbage for opgaven.
- Mange er interesserede i en krypterings-løsning, men de holder sig tilbage på grund af udfordringerne ved at indføre den, og fordi det medfører en praksis, der på nogle områder kan opleves som et tilbageskridt både for it-folkene og for brugerne i forhold til, hvordan situationen var tidligere, siger systemspecialist Per Bjørn Hansen fra Center for IT, Tele & Kompetence (CITK) i Aalborg Kommune, som indførte en krypteringsløsning i 2005.
Kommunen var ikke i tvivl: Skulle medarbejderne i forvaltningerne benytte bærbare, var det nødvendigt med en løsning, der kan sikre, at det udelukkende er pc'ens retmæssige bruger, der har adgang til, hvad der måtte ligge af personfølsomme data på maskinen.
- Der lå ikke noget krav fra for eksempel revisionsfunktionen bag beslutningen om at kryptere de bærbare. Men vi vil gerne løse de potentielle problemer, inden revisionen påpeger dem, siger Per Bjørn Hansen.
Det daværende it-center, som senere ved sammenlægninger blev til CITK, gik i starten af sommeren 2004 i gang med at undersøge markedet og fandt ud af, at der grundlæggende var to typer løsninger.
Microsofts løsning benyttede på dette tidspunkt EFS-teknologien (Encryption File System), som foretager virtuel kryptering af de enkelte mapper på grundlag af certifikater. Den anden type løsning var reel harddisk-kryptering.
Fordelen ved EFS-løsningen var, at den er fuldt integreret med Microsoft Active Directory, som CITK benytter til at administrere de i dag flere end 7.000 brugere med. Løsningen levede langt hen ad vejen også op til et andet hovedkrav, nemlig at den skulle kunne køre, uden at brugerne mærkede ret meget til den. Dog var det et krav, at brugerne skulle tage stilling til, hvad der skulle krypteres og i et vist omfang også huske at dekryptere, hvis de skulle overføre dokumenter til andre.
Microsoft-løsningen krævede desuden, at kommunen etablerede en PKI-struktur (Public Key Infrastructure) til autentificering af brugerne. Det blev dog ikke udslagsgivende, for CITK vurderer, at det ville kræve nogenlunde lige så stor en indsats som at indføre fuld harddisk-kryptering, som Aalborg Kommune endte med at vælge.
Det spillede større rolle, at EFS-krypteringen blev vurderet til at være lettere at knække end den valgte fulddisk 256 bit-kryptering.
Valget faldt på harddisk-krypteringsløsningen Pointsec Management Infrastructure og Pointsec til pc fra det danske firma SecureDevice.
- Kriterierne for valget var prisen, og i særdeleshed brugervenlighed og enkel administrationen, siger Per Bjørn Hansen.
Desuden levede den valgte løsning op til kravet om at kunne integreres med Active Directory.
Brugerne kan - næsten - anvende de bærbare, som de har gjort tidligere. Det, der er ændret, er, at de skal indtaste et ekstra password, inden de kobler på pc'en med deres sædvanlige password. CITK anbefaler dog, at brugerne i dette tilfælde benytter samme password til de to funktioner, hvorimod man i alle andre tilfælde anbefaler, at bruger-passwords holdes adskilt fra andre password, brugerne måtte benytte. Fælles lock-on-passwords forudsætter dog, at brugerne er i stand til at fortage en ændring i Active Directory, der ændrer brugerens password her til vedkommendes Pointsec-password.
Kravene til enkelhed i administration bør ifølge CITK omfatte tre områder: Administrationen af passwords, brugeradministrationen og installationen af løsningen på de bærbare.
Password-administrationen er som nævnt langt hen ad vejen integreret med den almindelige håndtering af brugeridentiteter i Active Directory, og bruger-administrationen er med en undtagelse, som vi vender tilbage til, blevet enklere for CITK. Endelig udmærker løsningen sig på installationssiden ved, at den er uafhængig af, hvilken type bærbar, der benyttes.
Aalborg Kommunes ansatte benytter udvalgte modeller fra Hewlett-Packard og Dell. Det er ikke nødvendigt for CITK at have fysisk fat i de bærbare under installationen - hvilket yderligere var et krav til løsningen - det kræver blot en god forbindelse under selve installationsprocessen. Når det gælder den senere almindelige anvendelse af krypteringsløsningen, kan det principielt klares over en forbindelse via mobilnettet, selv om kommunen anvender et begrænset antal af denne type forbindelser.
De udfordringer, der afholder mange fra at give sig i kast med denne type løsninger, har de i Aalborg Kommune mærket på to områder.
Nogle brugere har haft svært ved at forstå, at de nu skulle logge sig på to gange, og for en mindre gruppe har det været en vanskelighed, at Pointsec-menuen er engelsk-sproget.
På bruger-administrationssiden har en enkelt situation vist sig at kræve mere administration end forventet. Det drejer sig om fordeling af passwords til brugere, der deles om en bærbar pc i en afdeling.
Løsningen fungerer poulært sagt ved, at administratoren udpeger en bærbar og herefter bestemmer, hvem der kan benytte den. Udfordringerne kommer, når den første bruger har fået tildelt et password til krypteringsløsningen, og andre brugere herefter skal verificeres og have password til at benytte samme maskine.
Her benyttes samme procedure, som når brugerne glemmer deres passwords: De må kontakte den forvaltning, hvor de er ansat, som ud fra de fastlagte procedurer konstaterer, at brugeren er den, som vedkommende udgiver sig for at være. Når det er gjort, stilles opkaldes videre til CITK, som udveksler tre flercifrede koder med brugeren over telefonen, og først derefter danner et nyt krypteringspassword til brugeren.
Det har vist sig at være lidt bøvlet at arbejde med i praksis. CITK ønskede, at opgaverne skulle lægges ud til it-funktionerne i kommunens forvaltninger, men det var produktet ikke forberedt til. Det er dog på vej i en kommende version.
Desuden måtte CITK vænne sig til, at det blev lidt mere besværligt at opdatere.
- Tidligere kunne vi vække alle maskiner centralt fra og opdatere dem på en gang. I dag er der nogle maskiner, som vi ikke umiddelbart kan komme i kontakt med, fordi vi ikke når længere end til krypterings-startmenuen. Opdateringerne bliver så lagt i "kø" i et opdateringssystem, og de vil blive foretaget, når maskinen bliver aktiveret. Problemet er bare, at det ikke nødvendigvis sker umiddelbart, når den bliver åbnet, og det skaber en potentiel risiko - og it-afdelinger vil helst have lukket alle potentielle huller, hvor teoretiske de end er, siger Per Bjørn Hansen.
Det er sigende for Aalborg Kommunes opfattelse af nødvendigheden af at holde maskinerne opdateret, at man har valgt den politik, at alle kommunens pc'er skal sikkerhedsopdateres hver 14. dag. Har en pc ikke har været koblet på i 45 dage, lukkes kontoen, fordi man så mener, at den er så langt bagud med hensyn til virusscanning og sikkerhedsopdateringer, at den ikke bør kobles på nettet.
- Ud over småskavankerne fungerer løsningen upåklageligt. Vi mærker ikke nogen nedgang i ydelsen på maskinerne. Leverandøren anslår, at løsningen kan koste op til to procent ydelse, men vi har ikke kunnet mærke nogen nedgang, siger Per Bjørn Hansen.
Kommunen startede med at anskaffe 250 licenser til løsningen for knap et år siden, og kort før nytår investerede den i yderligere 250. Det er besluttet, at alle bærbare, der anvendes af kommunens ansatte, skal benytte krypteringsløsningen, og det er tæt ved at være nået. Den eneste undtagelse er, hvis brugerne kan dokumentere, at de bærbare ikke kommer til at gemme personfølsomme eller andre fortrolige data: Så sparer kommunen licensen.
CITK har gennem et stykke tid overvejet, hvordan en krypteringsløsning kan etableres på håndholdte enheder som PDA'er. Første fase i det arbejde består i at etablere et management-miljø, som gør det muligt for it-folkene at understøtte de håndholdte enheder - uden, at de skal have fysisk fat i enhederne, hver gang der skal foretages opdateringer eller lignende. I øjeblikket er der omkring 150 brugere i kommunen, der synkroniserer post og kalender på deres håndholdte, vurderer CITK.
Billedtekst:
centraliseret sikkerhed Kritierierne for, hvilken løsning, Aalborg Kommune skulle vælge til at sikre sine bærbare pc'er var prisen, brugervenlighed og enkel administration.
- Vi ønsker generelt at flytte sikkerhedsbeslutninger fra brugerne til CITK, siger Per Bjørn Hansen. Foto: Michael Bo Rasmussen/Baghuset
Boks:
De fik, hvad de ønskede
I CTO lægger vi vægt på at bringe erfaringer fra brug af løsninger, som andre it-afdelinger kan bruge. Derfor har vi brugt en del tid på de udfordringer, det kan give en større it-afdeling at arbejde med fuld harddiskkryptering af bærbare.
Aalborg Kommune har fået, hvad de ønskede: En - trods alt - forholdsvis enkel løsning, der sikrer, at kun de rette brugere har adgang til personfølsomme data.
Det har blandt andet været med til at forhindre søvnløse nætter i de - heldigvis få - tilfælde i det forløbne år, hvor bærbare er forsvundet eller blevet stjålet.
