Klar til ferie – er din it-sikkerhed også pakket?

Lidt arbejde i ferien kan være nødvendigt – men det kan påvirke it-sikkerheden. Få idéer til, hvordan du beskytter data i ferien.

Opsummering:

• It-sikkerhed bør indgå i ferieforberedelsen, da adgang til virksomhedens data på rejsen øger risikoen for sikkerhedshændelser.
• God adfærd og et forsigtigt tankesæt på rejsen koster typisk ikke noget, men er ofte det bedste værn mod utilsigtede hændelser og tab af data.
• Rejser, især til lande med forøget risiko, kræver klare retningslinjer, begrænset adgang til data og øget opmærksomhed på enheder.

Sommerferien nærmer sig, og for mange indebærer det planlægning af rejse, ophold og praktiske forhold. I den forbindelse er det naturligt at fokusere på klassiske elementer som pas, rejseforsikring og nødvendigt udstyr.

Et ofte overset aspekt er imidlertid it-sikkerheden. I en tid, hvor arbejdsrelateret udstyr og adgang til virksomhedens data i stigende grad er mobilt, er det ikke længere realistisk for alle at efterlade laptop og mobiltelefon hjemme.

Det betyder, at medarbejdere også på ferier kan have adgang til – og i nogle tilfælde behov for at anvende – virksomhedens systemer og data. Dermed opstår et behov for at forholde sig til, hvordan dette kan ske på en sikker og forsvarlig måde. Forberedelse af it-sikkerhed før afrejse bør derfor betragtes som en naturlig del af den samlede ferieforberedelse.

Denne artikel vil komme med forslag til, hvordan man bør forholde sig i forbindelse med brug af udstyr på rejser – først i form af eksempler og gode råd til praktisk it-sikkerhed og adfærd, som bør være gældende, uanset hvor i verden man rejser, og dernæst hvordan man som virksomhed bør forholde sig til medarbejderes brug af udstyr på (ferie-)rejser uden for EU og Schengen.

Praktisk it-sikkerhed og adfærd uanset rejsens destination

Det gode med god adfærd på rejser er, at det typisk ikke koster noget, men i stedet bringer et mere forsigtigt tankesæt i spil. For – kort sagt – det koster jo ikke noget at tænke sig om.

Eksempler på situationer er:

Du bruger lufthavnens USB-porte til opladning

Det positive ved den mulighed er, at du får opladet din mobiltelefon.

Det usikre er, hvad der i øvrigt overføres til din mobiltelefon. Når du kobler din mobiltelefon til en USB-port, udsætter du i praksis din mobiltelefon for potentielt upload af ondsindet software.

Forslag til adfærd er her:

• Se efter almindeligt strømstik, og brug egen oplader.
• Sørg for at telefonen er fuldt opladet inden afrejse.
• Undersøg muligheden for en powerbank.

De samme forslag gør sig gældende for andet udstyr (tablets og laptops).

Du scanner en QR-kode

Det gode ved QR-koder er, at de er lette at anvende, og kan bruges til alt fra bestillinger og betalinger til fx at åbne beskrivelser på hjemmesiderne for udstillinger og museer osv.

Det usikre ved en QR-kode er, at det kan være meget vanskeligt at verificere ”afsenderen”, og brugeren bliver potentielt sendt videre til ondsindede eller falske hjemmesider.

Et scenarie er en reklamesøjle med en QR-kode, hvor der står ”Scan her og få et kort over seværdigheder”. Her kan det være næsten umuligt at verificere, hvem der har sat QR-koden op, og forsigtighed bør derfor iagttages.

Et andet scenarie er et museum, der har hængt QR-koder op med opfordring til, at man kan få flere oplysninger. Her er det helt anderledes let at spørge personalet om, hvad man vil få ud af at scanne QR-koderne.

Forslag til adfærd er her:

• Undlad at scanne QR-koder fra ukendte eller utroværdige kilder.
• Spørg personalet.
• Verificér altid web-adressen, inden der indtastes oplysninger.
• Anvend officielle applikationer eller manuelt indtastede adresser, hvor det er muligt.

Du bruger et åbent WiFi-netværk

Åbne WiFi-netværk er praktiske – og du skal ikke sidde og opsætte manuel internetdeling på mobiltelefonen. Til gengæld kan du ikke være sikker på hvem, der overvåger dig.

Sikkerhedsrisici er her:

• Det åbne WiFi-netværk kan være kompromitteret.
• Der kan være tale om falske adgangspunkter.
• Trafik kan manipuleres, før en sikker forbindelse etableres.

Som konsekvens heraf bør følgende adfærd iagttages:

• Brug egen mobil dataforbindelse hvis der er tvivl om sikkerheden.
• Følsomme opgaver bør undgås på offentlige netværk.
• Netværk uden tydelig og verificerbar oprindelse bør behandles med skepsis.

Et argument er ofte, at man skal huske at bruge VPN som sikkerhed. Det er også korrekt, og VPN er rigtig godt. En potentiel risiko ved brugen af VPN er dog, at det ”kun” opsætter en sikker forbindelse mellem din enhed og din virksomheds interne systemer og data. Anvender du fx et kompromitteret netværk, vil brugen af VPN kunne give ondsindede aktører adgang til virksomhedens systemer og data, da VPN giver adgang gennem firewalls mv. i virksomheden.

Den menneskelige faktor

Den menneskelige faktor – dvs. dig og alle os andre – er central i it-sikkerhed.

Adfærd og opmærksomhed påvirkes ofte af kontekst, og især i ferier kan fokus være reduceret. Dette kan udnyttes i angreb baseret på social engineering.

Eksempler kan være:

• E-mails med angivelse af hastende betalinger.
• Opkald med anmodning om hurtig handling.
• Beskeder fra formodede kollegaer med presserende opgaver.

Disse scenarier adskiller sig ikke fra dem, der forekommer i hverdagen, men risikoen øges, når opmærksomheden reduceres.

Grundlæggende principper bør derfor iagttages:

• Handlinger bør altid baseres på en vurdering af legitimitet.
• Afsendere og anmodninger bør verificeres ved tvivl.
• Links og vedhæftninger bør behandles kritisk.
• Ikke-kritiske opgaver kan med fordel udsættes.

Når (ferie-)rejsen er uden for EU og Schengen

Hvor den menneskelige adfærd altid bør iagttages, uanset hvor rejsen går hen, er der især ét andet forhold virksomheder bør forholde sig til, når it-udstyr udleveres til medarbejdere – og det er, hvor rejsen går hen.

Virksomhederne skal ikke kontrollere medarbejdernes ferieplaner, men bør i stedet have et ”rejseafsnit” i den interne it-politik, hvor virksomheden har vurderet risici ved anvendelse af it-udstyr uden for landets grænser. Denne vurdering vil i sagens natur være forskellig fra virksomhed til virksomhed, alt efter hvad forretningen er baseret på, og hvilke data virksomheden opbevarer, men som udgangspunkt bør lande uden for EU og Schengen vurderes.

I vurderingen af it-sikkerheden ved rejser uden for EU og Schengen, bør virksomheden have retningslinjer for, at en medarbejder fx kan sige, at hun skal til Kina i ferien, og spørge efter, hvordan hun skal forholde sig til det, hvis hun har behov for at medbringe virksomhedens it-udstyr.

Eksempler på risici forbundet med rejser til lande uden for EU og Schengen kan være:

• Krav om adgang til data på det medbragte udstyr i form af oplåsning og overdragelse.
• Inddragelse af det medbragte udstyr. Reelt i form af tyveri fra, typisk, medarbejdere med forbindelser til styret i det pågældende land.

Virksomheden bør derfor, og forud for medarbejderes rejser, vurdere risici for fremmedes adgang til systemer og data og tiltag til begrænsning heraf. Eksempler på imødegåelse af uautoriseret adgang til virksomhedens systemer og data via udlevering i lande, vurderet som risikofyldte at rejse til, kan være:

• At medarbejdere ikke medbringer standardkonfigureret udstyr med adgang til følsomme data.
• At der anvendes midlertidige enheder (“burner-devices”), som er konfigureret med et begrænset funktionelt omfang og uden adgang til kritiske systemer eller data.
• At adgang til virksomhedens systemer helt eller delvist suspenderes under opholdet.

Som med øvrige interne politikker bør rejsepolitikken vurderes løbende, og tilpasses det til enhver tid gældende risikobillede, ligesom medarbejderne løbende bør orienteres om de opsatte politikker.

Afsluttende bemærkninger

It-sikkerhed ved (ferie-)rejser er således et delt ansvar. Virksomheden skal opstille politikker, retningslinjer og gøre medarbejderne opmærksomme herpå. Medarbejderne skal til gengæld udvise forsigtig og ansvarlig adfærd ved at udføre nødvendige vurderinger før og under (ferie-)rejsen.

Ved at kombinere hensigtsmæssig adfærd med passende forberedelse kan risikoen for sikkerhedshændelser reduceres væsentligt.

God ferie!

Kontakt os

Kontakt os gerne, hvis du ønsker at indgå i en dialog med os som en aktiv sparringspartner. Vi har, som en betroet rådgiver, stor erfaring med at hjælpe vores kunder både proaktivt, men også reaktivt hvis uheldet er ude.

• Julia B. Thomassen, Associate Partner, Forensic & Integrity Services, EY, tlf. 2529 5390
• Hanny Ammal, Senior Manager, Forensic & Integrity Services, EY, tlf. 2529 5754
• Lars Frandsen, Senior Manager, Forensic & Integrity Services, EY, tlf. 2529 6837