ComputerViews: Offentliggørelsen af en hel stribe interne dokumenter fra det panamanske advokatfirma Mossack Fonseca har vakt betydeligt opsigt i weekenden.
Dokumenterne afslører, hvordan firmaet har hjulpet tusinder af selskaber og personer med at få bragt penge i skattely - herunder (ifølge Børsen) Stein Bagger, der fortsat aldrig har gjort redde for 200 millioner kroner, som kurator i konkursboet efter IT Factory ikke kan finde, den islandske statsminister, flere kendte sportsfolk (herunder danske) og mange andre.
Den alvorlige konklusion
På Island demonstreres der i disse timer uden for parlamentet af en meget stor skare islændinge, der forlanger statsminister Sigmundur Davíð Gunnlaugsson afgang for skatte-fuskeriet
Holder oplysningerne i Panama Papers vand, er harmen selvfølgelig velbegrundet.
Men samtidig illustrerer offentliggørelsen af de mange dokumenter det, som it-chefer og direktører godt er klar over, men som alligevel giver dem grå hår i hovedet: Ingen data er sikre i dag.
Alle dine interne dokumenter - med fortrolige forretnings-oplysninger, kundeforhold, kontrakter, produktoplysninger, medarbejderforhold og alt muligt andet - risikerer alle at blive offentliggjort på samme måde.
Problemet skyldes flere ting:
- Vi gemmer i dag alle vores data på servere - enten i kælderen eller i forskellige versioner af cloud'en. Det gør det nemt at massekopiere dokumenter - ofte endda uden at nogen opdager det - og samtidig transportere dem hurtigt over store afstande og til mange samtidige modtagere.
- Alle vores data og it-systemer hænger sammen på kryds og tværs. Så en indgang i et hjørne af infrastrukturen, kan ofte bane vejen til data i den anden ende af systemet.
- Hacker-miljøerne er i dag blevet uhyre professionelle og automatiserede. Antallet af forskellige angrebsformer og indgangsveje er steget markant, og de er blevet vældigt avancerede.
Det kan du læse mere om her: Hackerne kommer - og du kan (næsten) intet gøre.
Du kan ikke købe dig til sikkerhed
It-sikkerhedsbranchen har på den anden side udviklet sig kraftigt i de senere år. Her udvikles der hele tiden avancerede værktøjer - i dag satser mange på avanceret monitoriering, beskyttelse og avanceret overvågning, der kan afsløre, når der er noget alvorligt på fære.
Det sker i erkendelsen af, at det alligevel ikke kan lade sig gøre at beskytte sig mod alt - heller ikke selv om it-sikkerheds-teknologierne i er dag avancerede og effektive (men jo altid et skridt bagefter hackerne).
Intet af dette hjælper dog, når data bliver kopieret af betroede medarbejdere. Her er det umuligt at købe sig til at god it-sikkerhed ved investering i teknologi.
Det handler om mennesker, procedurer, loyalitet, hvilket på sin vis er langt sværere discipliner end håndtering af selv avanceret it.
Det er bemærkelsesværdigt, at flere af nutidens store datalæk, der for alvor har haft jordskælvs-effekt, har haft en intern medarbejder i hovedrollen - ofte en it-mand.
Se bare på Cablegate, som tog fart, da soldaten Bradley Manning sendte en kvart million fortrolige dokumenter til Wikileaks og Edward Snowden, der lækkede dokumenter om NSA's overvågning.
Det kan du læse mere om her: Gør dig klar til 'New IT' - her er fem hovedtemaer for it-chefen i det kommende år
Ingen ved hvem kilden er
Ingen ved med sikkerhed, hvem der har leveret data fra det panamanske advokatfirma Mossack Fonseca.
Oplysningerne stammer fra en anonym kilde, som tyske Süddeutche Zeitungs har kontakt til. Denne kilde har sendt store mængder krypterede, interne dokumenter fra Mossack Fonseca til avisen.
Vi ved ikke, hvordan vedkommende har fået adgang til oplysningerne, men noget tyder på, at der er tale om en betroet medarbejder, der har fået moralsk kvababelse.
Ingen er sikker
Kunne det samme ske for dig?
Ja, det kunne det.
Vi vil uden den mindste tvivl mange gange i fremtiden komme til at se lignende sager - i større eller mindre målestok - hvor virksomheders fortrolige data bliver lækket.
I tilfældet med Panama Papers er det selvfølgelig godt (hvis oplysningerne altså holder vand).
Men hvad når det gælder dit eget firma? Har du helt orden i alle data? Og sager? Kan alle dine data tåle at se offentlighedens lys og blive eksponeret i medier?
EU's persondataforordning
EU er på trapperne med den store persondata-forordning, der blandt andet har som mål at tvinge virksomheder og organisationer til at få styr på deres it-sikkerhed - herunder beskyttelse, beredskabsplaner og håndtering af data.
Der trues med store bøder, hvis data lækkes. Men virksomhederne frygter faktisk mere reglen om, at de selv skal kontakte alle ramte og fortælle dem om skaden, hvis den opstår.
Denne tvangsmelde-pligt kan skade omdømme og brand uopretteligt og derved true virksomhedens eksistens langt mere end en given bøde.
Du kan læse mere om persondata-forordningen her: Overblik: Få styr på EU's nye persondata-forordning - her er alt du behøver at vide
Hvad skal man gøre?
Det kan det selvfølgelig ikke lade sig gøre at svare entydigt på. Men indførelsen af gode sikkerheds- og kontrol-procedurer kan altid hjælpe lidt på sagen og supplere de udadvendte sikkerheds-systemer.
Ved virksomhedens it-organisation nok om it-sikkerhed? Er der styr på kompetencer, riscisi og løsninger? Eller er det noget, der nok bare 'kører af sig selv.'? Det er væsentlige spørgsmål for dig som CIO.
Et godt eksempel er Rigspolitiets koncern-it, der for halvandet år modtog lammende kritik fra Rigsrevisionen for sin it-sikkerhed - primært på grund af problemer med mandskabs-procedurerne.
Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil it-chefen løse problemerne
Det er ligeledes en udbredt fejl, at organisationer og virksomheder giver alt for mange medarbejdere adgang til alt for mange data - og glemmer at inddrage tilladelserne, når medarbejderne stopper i virksomheden.
Det kan du læse eksempler på her: Medarbejdere afslører alvorlig brist: Vi har fri adgang til forbudte data
Hertil kommer, at rundspørger (ganske vist globale) har indikeret, at rigtigt mange medarbejdere - helt op til hver syvende - er villig til at sælge deres adgangskoder for helt ned til 150 dollar til fremmede mennesker.
Så grelt er det næppe herhjemme. Og dog. For husker vi ikke alle Se & Hør-sagen fra foråret 2014, hvor en betroet dansk medarbejder solgte fortrolige kreditkort-informationer fra Nets om kendte danskere til sladderbladet?
Det var et scenarie, der ifølge sikkerhedsorganisationen DK-Cert kunne få 'det til at løbe koldt ned ad ryggen på enhver sikkerhedsansvarlig.'
"Hvem har adgang til hvilke data? Hvad må de gøre med dem? Hvordan bliver adgangen logget? Er der personsammenfald mellem dem, der har adgang, og dem, der tjekker logfilerne? En god tilgang her er den såkaldte "separation of duties"," skrev DK-Cert dengang.
Der har på samme måde gentagne gange været historier fremme om, hvordan medarbejdere i danske organisationer uden videre kan gemme arbejdsdokumenter i deres Dropbox eller lignende.
Det kan du læse mere om i denne blot et par måneder gamle undersøgelse: Kritik: Hver femte offentligt ansatte bruger privat Dropbox-konto til arbejds-filer
Det er selvfølgelig en vældigt praktisk løsning for mange.
Men alene det, at det kan lade sig gøre, stiller krav om, at organisationen har fuld tillid til medarbejderne.
Samt at alle dokumenter kan tåle at blive spredt ud under offentlighedens søgelys, hvis en medarbejder (eller en hacker) skulle få anledning til det.
Og kan de lige det?
Har du styr på din sikkerhed? Og dine data? Hvad mener du er løsningen? Giv dit besyv med i debatfeltet herunder.
