Hopp til innhold

  1. Home
  2. IKT-servicefag Vg2ChevronRight
  3. Sikkerhet og kravChevronRight
  4. KravChevronRight
  5. Databruk i endring og sikkerhetsbevisste brukereChevronRight
SubjectMaterialFagstoff

Fagartikkel

Databruk i endring og sikkerhetsbevisste brukere

Utviklingen innen mobilteknologi og nettbasert databehandling skaper store utfordringer for en som er ansvarlig for IKT-sikkerhet.

PC som er plassert bak en mur med virus som angriper. Illustrasjon

Tidligere handlet sikkerhetstiltak først og fremst om å skape en barriere mellom virksomhetens datasystemer og omverdenen. Vanlige tiltak var brannmurer, systemer for tilgangskontroll, fysisk beskyttelse og overvåking av nettverkstrafikk.

Men utviklingen innen mobilteknologi med smarttelefoner, nettbrett, trådløse nettverk og programmer og data i nettskyen (cloud computing), har gjort det nesten umulig å isolere virksomhetens data fra omverden.

Det fører ikke bare til at det blir vanskeligere for virksomhetens egne IKT-medarbeidere å opprettholde sikkerheten. De må i stadig større grad også stole på at andre ivaretar sikkerheten.

Hvis en virksomhet for eksempel bruker nettsky-tjenester (cloud computing), som Google Disk, DropBox, SlideShare eller en av de tusenvis av andre tilsvarende tjenestene på nettet, er virksomheten avhengig av at leverandøren av tjenesten sørger for sikkerheten.

Videre har smarttelefoner, nettbrett og andre mobile datamaskiner gjort brukerne mindre avhengige av virksomhetens datautstyr. Stadig flere bruker like gjerne sine egne telefoner og maskiner i jobbsammenheng og installerer egne programmer og app-er.

Dette kan skape store problemer for IKT-avdelingen, som ikke har mulighet for å ivareta sikkerheten for utstyr som virksomheten ikke eier. Mange velger å forby bruk av alle enheter og programmer som ikke er godkjent av virksomheten, men det har også sine ulemper og kan skape nye problemer og misfornøyde brukere.

laptop med brukernavn og passord skrevet på en lapp festet til maskinen. Foto

Hvis sikkerhetsrutinene oppfattes som så strenge og tungvinte at brukerne føler at de ikke lenger får gjort jobben sin på den enkleste måten, vil de etter hvert finne måter å omgå sikkerheten på. Hvis du for eksempel innfører så strenge krav til passord at det blir vanskelig for brukerne å huske passordene sine, vil mange begynne å skrive ned passordene og oppbevare dem i nærheten av maskinen. Dermed risikerer du at et tiltak som skulle gi bedre sikkerhet, i praksis fører til at sikkerheten blir dårligere.

For å komme ut av denne klemmen og unngå at datasikkerhet blir et stridstema, må

  • IKT-medarbeidere anstrenge seg for å forstå brukernes behov for tilgjengelige systemer
  • ledelsen og brukerne bli bevisste på at de også selv har et ansvar for å ivareta sikkerheten

Det kan for eksempel bety at du må akseptere dårligere sikkerhet for systemer og data som ikke er så kritiske. Brukeren på sin side må akseptere strengere sikkerhetsrutiner for de mest sårbare systemene og de mest sensitive dataene.

Narvik-saken

Våren 2011 besluttet Narvik kommune seg for å gå over til Googles nettsky-tjenester (Google Apps) for e-post, kalender og dokumentutveksling for over 1500 ansatte.

Narvik var den første kommunen i Norge som valgte å satse på en slik nettsky-tjeneste, og det ble ikke godt mottatt hos Datatilsynet. Datatilsynet mente at personvernet ikke ville bli godt nok ivaretatt fordi kommunen mistet kontrollen over personopplysninger når de overlot det ansvaret til Google.

Flyfoto av Narvik. Foto
Flyfoto av Narvik

Datatilsynet var også skeptiske til at Google, som et amerikansk selskap, ikke er underlagt norske regler for personvern, og at kommunen dermed ikke kunne vite hvor opplysningene ble lagret, eller hvem som fikk tilgang til dem. Datatilsynet gav derfor Narvik kommune beskjed om at kommunen måtte si opp avtalen med Google.

Narvik kommune klaget på vedtaket og forsikret Datatilsynet om at Google Apps ikke ville bli brukt til saksbehandling eller sensitive saksopplysninger. Videre informerte Narvik kommune innbyggerne sine om at de ikke får sende sensitive opplysninger til kommunen via e-post. Høsten 2012 snudde Datatilsynet.

Datatilsynet understreker imidlertid at selv om Narvik nå har fått godkjent bruk av nettsky-tjenester, er det ikke fritt fram for alle kommuner eller offentlige etater.

Lenker

Læringsressurser

Krav