DATASÄKERHET: förutseende förebygger faror Datorn är inte bara redskapet du jobbar med, utan också skåpet där du förvarar resultatet av ditt arbete. Står det öppet för vem som helst att stjäla från eller sabotera i? Där dörren är öppen går tjuven in. I informationssamhället är det information, inte guld, som har blivit det begärligaste bytet. Värdet av en lyckad datakupp får ett bankrån att te sig barnsligt vid jämförelse. Både företagets och den datorarbetande individens säkerhet är precis så stor som blottan i datorskyddet. Det räcker inte att utrymmena skyddas med effektiva låsningssystem och elektronisk övervakning. Motorvägen in i företagets hjärna är inte större än kabelns diameter. Ett databrott är en straffbar handling vars objekt, verktyg eller brottsplats är ett datasystem och därtillhörande datoranläggningar, och vars utförande förutsätter datatekniskt kunnande. Det ger ett brett spektrum katastrofmöjligheter. Hackerlegenden Kevin Mitnick sammanfattar problematiken: "Om datorn är kopplad tillnätet kan man komma in i den". Externa och interna fiender Det mest självklara hotet är konkurrenter som har potentiellnytta av företagets information eller av att sabotera den. Hackers utan koppling tillföretaget kan testa sin skicklighet eller 'adresslöst' roa sig med datorterrorism. Organiserad brottslighet hittar nya vägar på nätet. Men det största hotet kommer inifrån. "Det är bara 5 procent av databrotten som utförs av s.k. hackers", säger kriminalöverkonstapel Jukka Mäkynen vid Centralkriminalpolisens databrottsrotel. "Det troligaste hotet mot företagets datasystem är faktiskt internt, och över hälften av 'fallen' kan härledas tillmisstag eller felgjorda av anställda. Fysiska hot som eldsvådor eller vattenskador står för en femtedelav datorskadorna. Av de faktiska databrotten utförs ca 20 procent av oärliga eller förbittrade anställda." Det finns ingen tillförlitlig statistik över databrottslighet i Finland: bara en tiondelrapporteras. Företagen polisanmäler ogärna denna typ av brott. Å ena sidan villman inte oroa kunder vilkas information genom databrott blivit åtkomlig för tredje part, eller ge konkurrenter tillfälle tillskadeglädje, och marknadens skälatt ifrågasätta företagets trovärdighet. Å andra sidan kan misstankarna vara riktade mot en möjlig intern förövare, vilket gör utredningen känslig och före­tagsklimatet sårbart. Det finns många kategorier av databrott som potentiellt kan drabba företag, påpekar Mäkynen: - industrispionage - utpressning - förfalskning - försnillning - ekonomiskt bedrägeri - sabotage - brott mot kommunikationshemlighet - brott mot upphovsmannarätt - olaga informationsåtkomst Utredning och bestraffning av databrott är komplicerade inte bara tekniskt, utan också för att det är svårt att markmässigt definiera skadans omfattning. Sunt förnuft & livlig fantasi För att skydda datasystemen mot brott måste man tänka som brottslingen: ge fritt spelrum för destruktiv fantasi. Hur skulle jag göra för att komma in i mitt eget datasystem? Var finns blottorna? Datasystem kan hotas av hackerattack inifrån systemet ­ lovlig användare/olovlig eller skyddad information ­ eller utifrån. Mäkynen indelar hackers i 'arter': - lovliga användare - olovliga användare inom företaget - olovliga externa användare - olovliga användare utalnågon koppling til- företaget Checklista ölr de mest primära skyddsåtgärderna för att minimera riskerna: Dataåtkomst enligt arbetsuppgift och behov. (Alla behöver inte ha åtkomst till allt!) Kryptering av elost. Internetskydd. Kryptering av känslig information. Lösenord för bärbara datorer. Sunt förnuft vägleder då det gäller att eliminera de mest självklara 'makrofysiska' riskerna i arbetsmiljön: Står printern så att vem som helst lätt kan nappa med sig utskrifter från den? Lämnas datorerna öppna utan tillsyn långa stunder i taget? Eller öppna i sällskap med tillfälliga besökare? Sker datorreparationer under övervakning av företagets egen representant? Är företagets utrymmen effektivt låsta då ingen jobbar i dem? Även lunchtid? Strategi nyckelredskap En datasäkerhetsstrategi borde vara en självklarhet för företaget, men det räcker inte att den definierats och pappret ligger i VD:s låda. Datasäkerhet kräver utbildning och kontinuerlig utveckling, helst med benäget bistånd av experter. Dessa tjänster kan köpas, precis som man köper säkerhetslås och bevakningstjänster. Datasäkerhetsexperten kan skräddarsy säkerhetsprogram och handlingsregler, som beaktar företagets verksamhet och specifika behov. Varje anställd bör i eget intresse sträva till att eliminera datasäkerhetsriskerna i sin egen datamiljö. Grundregeln är att alla datatrafikstråk är befarbara också för objudna trafikanter, oavsett dessa kommer utifrån eller inifrån. Det är inte bara i filmer som kollegia- avundsjuka deletar doklent och 'bearbetar' material under arbete. Ragnhild Artimo   Säkerhlsrutiner som skyddar Skriv ut regelbundet under arbetets gång och arkivera ­ 'gutenbergsk' säkerhetskopiering! - Säkerhetskopiera nya/älrade filer varje vecka. - Defragmentera hårddiskl varje vecka. - Ta en komplett säkerhelkopia av datakatalogen varje månad. Spara de gamla kopiorna sex månader. - Förvara säkerhetskopiolpå annan plats i händelse av t.ex. eldsvåda. - Om hårddisken börjar lla konstig, stäng av. Nystarta inte om viktiga data på den inte har säkerhetskopierats. (Tillkalla experthjälp.) - Skriv upp felmeddelandl som kommer upp, om data blir oåtkomliga. (Tillkalla experthjälp för reparation av filsystem.) - Du har väl installerat virusskyddlrogram?