2007-09-05

Botemedel mot informationsstöld

Att röster nu höjs för att varna företag för IT-baserat industrispionage är verkligen på tiden. I en värld av komplex företagsintern IT-infrastruktur är övervakningen och möjligheten att förhindra informationsläckage samt särskild inhämtning en komplicerad uppgift att lösa.

Precis som IDG.se skriver finns ett naturligt och förståerligt inre motstånd hos företag att låta externa parter ta del av den inre infrastrukturen. Vad SÄPO, SITIC och FRA kan göra är att dels genomföra en allmän och övergripande upplysningskampanj kring IT-säkerhet, men bör också kunna erbjuda revision och översyn - security audit - av IT-system, utan att för den skull oroa företag över att ta hjälp av utomstående resurser.

Alla kan köpas vilket kan förklara att det finns en försiktighet och skepsis även mot samhällsoffentliga organisationer. Därmed inte sagt att SÄPO eller FRA verkligen skulle ha tvivelaktigt orienterade anställda - man gör rigorösa undersökningar av anställdas bakgrund, familjeförhållanden och ekonomi - men det finns alltid en risk om aldrig så liten.

Så vilka grundläggande tekniska åtgärder kan ett företag genomföra för att minska risken för olovlig informationsavledning? En uppenbar teknik är att uteslutande använda tunna klienter istället för rena arbetsstationer. Dessa klienter ska givetvis sakna all form av möjlighet att ansluta varje typ av sekundärminne. Kryptosäkrade trådburna nätverksförbindelser även företagsinternt är A och O. Som kryddan på moset måste också hård autenticering - SmartCard eller biometrisk identifiering tänkbara alternativ - användas för inloggning och övrig access. detta handlar även om spårbarhet.

Tunna klienter skyddar inte mot allt, men det är en elementär och enkel väg att gå för att åtminstone minska risken för att utsättas för särskild inhämtning.

Inga kommentarer: