Sommersæsonen er den periode, hvor flere og flere logger sig ind på virksomheders netværk fra private mobile enheder.
De fleste virksomheder og organisationer tror, at de har styr på it-sikkerheden.
Men mange af dem har fokuseret så meget på deres computere, at de har glemt at beskytte sig mod angreb på den mest sårbare flanke – nemlig medarbejdernes mobiltelefoner. Og det svarer til at låse døren til kontoret og samtidig lade vinduerne ud til gaden stå på vid gab.
Problemet vil blive forstærket i løbet af de kommende uger. Sommeren og ferietiden er lige om hjørnet, og dermed står vi over for den tid på året, hvor flere og flere logger sig på virksomhedernes netværk og systemer fra private mobile enheder rundt omkring i verden. Derfor er det ekstra aktuelt at rejse spørgsmålet, om der er styr på medarbejdernes mobiler.
Vi er blevet vant til at kunne klare næsten alt både privat og arbejdsmæssigt via mobiltelefonen. Desuden har vi fået et nyt syn på, hvad et kontor er. Vi håndterer alt fra møder til bogføring i toget, i bilen eller i sommerhuset. Der er mange positive aspekter ved mobilbaseret distancearbejde, men medaljen har også en bagside. Idet vi typisk bruger vores mobiltelefoner både privat og til jobmæssige formål, er risikoen for cyberangreb ganske stor, ikke mindst når det gælder phishing.
Ifølge den seneste udgave af Jamfs sikkerhedsrapport Security 360 lykkes phishing-forsøg i 50 procent flere tilfælde på mobile enheder end på computere. Det er en af grundene til, at medarbejdernes mobiltelefoner bør tages med i den overordnede it-sikkerhedsstrategi.
På europæisk niveau har omkring halvdelen af virksomhederne ikke en såkaldt BYOD-løsning (Bring Your Own Device), og intet tyder på, at Danmark adskiller sig fra resten af Europa. Dermed har halvdelen af de danske virksomheder og organisationer hverken indsigt i eller kontrol over, hvordan medarbejdernes mobile enheder kobles op på virksomhedens netværk og systemer. Konsekvensen er, at mobilerne går under radaren.
En BYOD-løsning indebærer, at man bl.a. fastsætter kriterier for, hvilke enheder og brugere der kan logge sig ind på virksomhedens netværk. Kun enheder og brugere, som opfylder disse kriterier, får adgang til virksomhedens data. På den måde kan man scanne og stoppe phishing-sms’er. Kriterierne kan eksempelvis vedrøre, hvordan indstillingerne skal være for forskellige apps. Skal der fx tillades brug af mikrofon eller adgang til lokalitetsoplysninger? Dermed kan virksomhedens it-administratorer bedre foretage blokeringer, som kan sikre virksomheden mod angreb.
Pontus Nord, Systems Engineer, Jamf
Mange medarbejdere vil opleve det som ubehageligt, at man som arbejdsgiver overvåger og kontrollerer mobile enheder, som også bruges til private formål. Her må man respektere medarbejdernes personlige integritet og gøre sig umage med at forklare, hvordan sikkerhedsforanstaltningerne konkret fungerer, hvordan data bliver håndteret, på hvilken måde apps og sikkerhedsprotokoller bliver installeret – samt om der vil være funktioner, der adskiller arbejdsrelaterede apps fra de private.
I et moderne arbejdsliv er fleksibilitet og mobilitet en nøgle til produktivitet. Derfor er det alfa og omega at finde en god balance mellem sikkerhed, integritet og brugervenlighed. Bliver det for besværligt for medarbejderne at bruge mobilen, vil nogle af dem finde ud af, hvordan de kan omgå sikkerhedsfunktionerne – med nye risici til følge. Men det ændrer ikke på, at man kun kan minimere risikoen for cyberangreb ved at beskytte medarbejdernes mobile enheder fra centralt hold.
Vi råder derfor til, at man tager de svære spørgsmål op med medarbejderne: Hvordan bruger vi mobilerne? Og hvornår? Lav en fælles risikoanalyse og sørg for at engagere medarbejderne ved at uddanne, informere og forklare dem om forskellige risici. Vær tydelig om, hvorfor en BYOD- eller Mobile Device Management (MDM)-løsning kan beskytte jer mod cyberkriminelle. Og find et værktøj, som rummer den rigtige balance mellem sikkerhed, integritet og brugervenlighed.
