Det er så smart med de smartphones. Du har adgang til kalender, e-mail og kontaktoplysninger. Og måske også til de egentlige forretningssystemer i form af planlægnings- og økonomiprogrammer.
Det samme har den person, der finder din smartphone, når du taber den i toget eller glemmer den på restauranten.
I hvert fald hvis smartphonen ikke er beskyttet med adgangskode og data-kryptering, som ifølge eksperter er de mest oplagte sikkerhedsredskaber for de danske virksomheder, der har mobile medarbejdere.
Den største risiko er tab
"Generelt skal man overveje de risici, man har lyst til at løbe. Der har været uendeligt mange eksempler på tabte bærbare og mobiltelefoner, som jo relativt enkelt kan tømmes," forklarer Thomas Kristmar, chefkonsulent i IT- og Telestyrelsens It-sikkerhedskontor.
"Man bruger rigtig meget krudt på at beskytte firmaets webmail med tokens og det hele, mens password-beskyttelsen på mange mobiltelefoner bare er 'stjerne plus firkant'. Der skal laves en synkronisering, så man er enige om, hvilket niveau af beskyttelse, man har," siger han.
Thomas Kristmar vurderer, at den største sikkerhedstrussel, når det kommer til smartphones, er tab. Og han mener, at løsningen kan være alt lige fra at forbyde, at der ligger noget vigtigt på telefonen til at anvende password og kryptering.
"Man glemmer, at det her ikke bare er de gamle drejeskivetelefoner, der er blevet trådløse. Du udleverer faktisk en lille minicomputer til folk, og du skal behandle den som sådan sikkerhedsmæssigt," siger Thomas Kristmar.
Post Danmark beskytter 13.000 smartphones
Post Danmark er en af de danske virksomheder, hvor brugen af smartphones for alvor har taget fart. I øjeblikket er omkring 13.000 enheder i brug, som primært betjenes af postbudene ude på ruterne.
De mobile enheder bruges blandt andet til ruteplanlægning og til at vise, hvis der sker ændringer under vejs. Smartphonen bruges også til at registrere, om posten er leveret klokken 10 for de kunder, der har betalt for den service.
Vibe Vallentin Jensen, it-sikkerheds- og kvalitetschef i Post Danmark, fortæller, at sikkerhedsniveauet på postmedarbejdernes smartphones i høj grad tager udgangspunkt i deres arbejdsvilkår.
"Den strategi, vi lagde, da vi gik i gang med det, var at begrænse funktionaliteten så meget som muligt. Det hænger selvfølgelig sammen med antallet - der er ikke tale om seks direktionsmedlemmer, der skal læse email, men om postbude, der render rundt med de her mobiler på gader og stræder og derfor er mere udsatte for at miste mobilerne," siger it-sikkerhedschefen.
Post Danmarks strategi betyder derfor, at postbudene ikke kan gå på internettet med deres smartphones, og de kan heller ikke sende- eller modtage mails, for de nødvendige applikationerne er simpelt hen fjernet.
"Man kan bruge dem til at ringe på, og så kan man bruge dem til den funktionalitet, som vi skal bruge i produktionen. Der er lavet en analyse af, hvad vi har brug for for at kunne give den nødvendige funktionalitet til postmedarbejderne. Og det er ikke nødvendigt, at man kan gå på internettet," forklarer Vibe Vallentin Jensen.
"Det er et arbejdsredskab, og ikke ligesom det, man ville stille til rådighed for en vidensmedarbejder, hvor det kan være rart lige at kunne tjekke nettet."
Lav en sikkerhedspolitik med måde
Ulf Munkedal, der er direktør og grundlægger af sikkerhedsfirmaet FortConsult, peger på, at man som sikkerhedsansvarlig bør starte helt fra begyndelsen, når man skal forsøge at skabe en sikker, mobil løsning i virksomheden.
"Der mangler noget 'awareness' om, hvad det er, medarbejderne har i hånden. Det handler om, at få medarbejderne til at forstå, hvad det er for et redskab, de har."
"Der bliver synkroniseret masser af data ud på de her smartphones, og fordi folk ser det som en mobiltelefon, tror de ikke, at der er brug for den samme sikkerhed, som hvis de sidder og ser på nøjagtig de samme data på en computer," siger Ulf Munkedal.
Han peger på, at virksomhedens sikkerhedspolitik altid bør forholde sig til medarbejdernes brug af smartphones.
"Man kan godt blive overrasket over, hvor ofte de her smartphones er sat op, uden at der er pinkode eller nogen som helst form for adgangskontrol," forklarer han.
Pas på med for mange forbud
I IT- og Telestyrelsen arbejder man blandt andet rådgivning og vejledning om sikkerheden i staten, hvor brugen af smartphones også vinder frem.
Thomas Kristmar, chefkonsulent i IT- og Telestyrelsens It-sikkerhedskontor, forklarer, at man som virksomhed bør nedskrive en politik på området, så medarbejderne ved, hvad de skal overholde.
Selvom sikkerheden bør komme i første række, hvilket betyder, at sikkerhedstiltag som adgangskoder, kryptering og antivirus, kan være nødvendigt, bør sikkerhedspolitikken omvendt heller ikke være én lang liste med forbud, mener han.
"Hvis den bliver for detaljeret, læser folk den jo ikke, og det er heller ikke håndterbart. Den kan jo være tilstrækkeligt at sige, at du skal være opmærksom på, at vi kan se, hvilke hjemmesider, du besøger - og at der er nogen, vi ikke tillader," siger han.
"Det skal også være baseret på, hvad der er smart for forretningen, for man giver netop folk mobiltelefoner og smartphones for, at de skal kunne arbejde på dem," forklarer Thomas Kristmar.
Intet indhold - ingen trussel
Selvom Post Danmarks 13.000 mobile enheder er underlagt massive begrænsninger, da der ikke er mulighed for tant og fjas, har it-sikkerhedschef Vibe Vallentin Jensen ikke oplevet utilfredshed blandt postbudene.
"Mobiltelefonen har været afløser af scanneren, og scannerne kunne heller ikke mere - de var bare mere klodsede og måske også vanskeligere at anvende. Og så giver det (smartphonen, red.) dem jo den funktionalitet, at de kan kommunikere med deres kolleger," siger hun.
Selvom der ikke ligger fortrolige data på smartphonen, er den dog fortsat beskyttet med en adgangskode. Men hvis en smartphone tabes eller bliver stjålet, behøver sikkerhedschefen - adgangskode eller ej - ikke at sove uroligt om natten.
"Den er beskyttet på den måde, at der ikke ligger noget på den. Vi mister en mobil, og det er det," siger Vibe Vallentin Jensen.
Passwords, kryptering, og eliminering
Det er dog ikke alle virksomheder, der kan benytte sig af Post Danmark-løsningen med at skrælle alt det overflødige væk og ikke opbevare fortrolige data på telefonerne.
For mange virksomheder vil specielt vidensmedarbejderne være nødt til at have adgang til internettet, email og forretningssystemer.
I de tilfælde kunne smartphone-sikkerheden generelt godt være bedre, mener Ulf Munkedal, FortConsult, og Thomas Kristmar, IT- og Telestyrelsen.
Ulf Munkedal peger på kryptering som et oplagt redskab til at undgå problemer, hvis en smartphone mistes.
"Du skal sørge for, at de her smartphones er krypterede. Og det nytter ikke noget at kryptere den interne hukommelse, hvis man så glemmer SD-kortet. Så det bliver nødt til at være sådan, at du sætter løsningen op, så du kan kryptere det hele - og det er vigtigt, at du kan administrere løsningen centralt fra," forklarer han.
Med kryptering følger typisk også en eller anden form for pinkode, du skal taste ind, for at få adgang til det krypterede indhold.
Ulf Munkedal peger på, at den optimale løsning er, at der både kræves pinkode, når man tænder for telefonen, men også når man tilgår de applikationer, der indeholder fortrolige data.
Krav om krypterings-mulighed i staten
Thomas Kristmar fra IT- og Telestyrelsen oplyser, at det i den statslige indkøbsaftale er et krav, at dem, der leverer mobiltelefoni til staten, skal tilbyde kryptering af lagringsmediet på mobiltelefonen.
"Det er så det enkelte ministerområdes vurdering i hvilket omfang, det skal anvendes, for det er klart, at det ikke er alle, der har brug for det - men muligheden skal være til stede," siger han.
Hvis man er så uheldig, at en mistet smartphone bliver fundet (eller stjæles) af en person med onde hensigter, kan adgangskoder og kryptering dog vise sig ikke at være tilstrækkeligt.
Derfor anbefaler både Ulf Munkedal og Thomas Kristmar, at man bør overveje fra centralt hold at have mulighed for at slette alt indhold på den forsvundne smartphone.
Slet alt indhold fra centralt hold
"Der findes teknologiske løsninger, der for eksempel sletter mobiltelefoners indhold, hvis man har forsøgt sig for mange gange med password, eller som lader it-afdelingen slette indholdet ved at ringe op til den," forklarer Thomas Kristmar.
Ulf Munkedal fortæller dog, at eliminerings-løsningerne endnu ikke er noget, han ser hos ret mange kunder.
"Men de er på vej, og generelt kan det anbefales at man kan styre så meget som muligt fra centralt hold," siger han.
Endelig peger begge sikkerhedseksperter på, at antivirus og firewall på smartphones også bør overvejes. Svaret på, om det er nødvendigt, er dog ikke givet på forhånd, mener Ulf Munkedal.
"Du kan tale for og imod det, og jeg kan godt forstå, at der er nogen, der vælger ikke at gøre det. Det er ikke en trussel, der er så alvorlig, så du absolut skal have det," siger Ulf Munkedal.
