Balans nr 6–7 2000

IT-säkerhet: Tänkandet börjar hos dig själv

– Tänkandet och attityden är grunden i all IT-säkerhet. Säkerhet och integritet ska sitta i ryggraden. En säkerhetspolicy måste finnas inne i medvetandet hos användaren.

Det säger Dan Engström, EY-LAW, med ansvar för IT, elektronisk handel och immaterialrätt på Ernst & Young. Han möter en mycket varierad säkerhetssyn hos sina klienter. Framför allt när det gäller att skicka e-post.

– Många vet inte att e-post går att avläsa under befordran eller när det befinner sig hos en e-post server eller tänker inte på hur lätt det är att skicka till fel adressat.

Att tänka på

Dan Engström ger bland annat följande råd när det gäller kommunikation via e-post. Råd som kan användas av revisor eller annan konsult när det gäller relationen mellan konsult och klient. Men råden kan också lämnas av revisorn till klienten när det gäller dennes relationer med kunder och omvärlden.

  • All viktig korrespondens bör vara krypterad med en tillräckligt hög krypteringsnivå.

  • Om en klient trots detta ändå insisterar på att vanliga okrypterade meddelanden ska användas, ska man alltid som första meddelande skicka en förklaring där det framgår att man avrått från öppen e-post och vilka konsekvenser okrypterade meddelanden kan få.

  • Upplys om att alternativet till osäker e-post fortfarande är bud eller fax.

  • Avråd absolut från att ha e-post där meddelandena kan hämtas från Internet, exempelvis hotmail, eftersom det är mycket enkelt för obehöriga att läsa.

  • Upplys företaget om att det bör ha klassningslistor. På dessa är upptagna de personer som har rätt att skicka e-post till företagets medarbetare. Klassningslistan ska hållas ständigt aktuell och det ska finnas en ansvarig som avgör vilka som tas upp och avförs från listan. All post med annan avsändare än dem på klassningslistan ska virusscannas innan de når adressaten och alla bifogade filer i sådana brev ska omedelbart förstöras. Det är nämligen i filer som virus kan döljas.

  • Ha en ständig dialog om säkerheten.

  • Det är inte överdrivet att vara överdrivet försiktig.

Inte gratis

– Ett högt säkerhetstänkande är naturligtvis inte gratis, men konsekvenserna när något går fel kan vara oöverstigliga för ett företag. Och då talar jag inte om de enorma summorna för att rent praktiskt återställa rutiner och datorprogram. Det verkligt ödesdigra är den badwill som drabbar ett företag som inte kan handskas tillräckligt ansvarsfullt med känslig och konkurrensutsatt information.

Han tillägger att även både kryptering och verifiering går att knäcka. Det finns många hackers som sätter i ära i att knäcka de mest komplicerade sekretessprogram.

– Slutsatsen är att ingen elektronisk handel är hundraprocentig säker.