Nya enheter ställer krav på informationsklassning

2011-12-05

Vi ser att smarta telefoner och läsplattor snabbt vinner mark. Plötsligt finns de på arbetsplatserna och förväntas hanteras i organisationen. Kunder och medborgare hejar på och vill kunna utföra tjänster ännu mer mobilt än tidigare. Vad betyder det här för säkerheten? Finns det nya hot och risker att hantera?

De nya enheterna har egenskaper som skiljer sig från andra. Den trådlösa kommunikationen kanske vi har vant oss att hantera. Men hur är det med utmaningar som autentisering, kryptering, patchhantering och skydd mot exempelvis skadlig kod?

Sverige och Norden har sedan internet blev kommersiellt legat i framkanten och ofta varit ett föredöme när det gäller säkerhet. De stora svenska bankerna var tidigt ute med internetbanker och har från början krävt stark autentisering för att kunna använda tjänsterna. Trots höga krav på kanske krångliga inloggningsmetoder har internetbank blivit en succé och fick snabbt många användare. Att erbjuda bra tjänster där fördelarna såsom tidsvinst och mobilitet är övervägande blir en framgångsfaktor.

Oavsett om enheten är en klassisk PC eller om det är i form av en telefon eller läsplatta som måste givetvis samma regelverk tillämpas. I grund och botten så är det informationens skyddsvärde som är avgörande för vilka administrativa- och tekniska åtgärder som skall vidtas. Här ligger utmaningarna!

Mobila plattformen såsom läsplattor och smarta telefoner är ny teknik och som så ofta har funktion gått före säkerhet vid lanseringen. En enkel lösning är att klassa ner informationstillgångarna och på så sätt anpassa informationens skyddsvärde till de nya mobila enheterna. Förhoppningsvis är detta ett otänkbart scenario utan mer rimligt att i vanlig ordning klassificera informationstillgångar och IT-system så att rätt tjänster erbjuds med rätt tillitsnivå.

Kanske är det så att utrustning som inte lever upp till de tekniska- och administrativa krav som ställs för extra skyddsvärd information inte heller skall ha åtkomst till den samma. Logiskt kan tyckas, men kanske är beslutet inte lika enkelt när det är just beslutsfattaren som precis fått en läsplatta i sin hand som skall ges samma möjligheter som all annan utrustning.

Givetvis går det inte att stoppa utvecklingen av ny teknik. Hur skulle det se ut? Det skulle inte vara till gagn för någon. Det informationssäkerhetsregelverk som tillämpas i form av policy och riktlinjer behöver i stället konkretiseras. Vad betyder det konkret att en informationstillgång har klassats i termer av mycket hög sekretess? Sannolikt krävs det rejäla ansträngningar för att regelverket skall bli så pass tydligt att de inte uppstår en ny frågeställning varje gång en ny teknisk innovation skall ges tillgång till skyddsvärda informationstillgångar. Då får ni en bra karta att arbeta utifrån och regelverket används i en beprövad och redan inövad process för bedömning av hur ny teknik kan komma till nytta för användare, nya affärsmöjligheter och tjänsteutbud.