Text: Inge Wennberg
Det har skrivits mycket om revisorer och datorer i Balans genom åren. Här tar vi upp ett säkerhetsproblem som aktualiseras i slutet på åttiotalet. Det blir ett exempel på den där typen av snabbt uppflammande debatter där problemet kanske inte blir löst, i alla fall inte då.
FAR-revisorerna blir tidigt invigda i datatekniken.
Redan vid årsmötet 1956 bjuds det på föredrag om ”principerna för en databehandlande elektronmaskin”. Några år in på sextiotalet startar FAR en databehandlingskommitté. Storföretagen börjar köpa in datorer för sin redovisning och snart kommer dataservicebyråer med maskiner som kan serva de mindre företagen. Och revisionsbyråer kan relativt tidigt erbjuda klienter att låta köra deras huvudböcker på datorer.
Revisionsprogram
Kring 1975 kommer de första lärospånen kring datorstödd revision. FAR studiereser till USA och finner att revisionsbyrån Haskins & Sells utarbetat programmet ”Auditape”. Det körs på bandstationer. Detta revisionspaket har snart följts av bl.a. Auditassist från Alexander Grant & Co och Computer File Analyzer från Price Waterhouse.
Behovet av att arbeta med ADB-baserade granskningsprogram blir tydligt.
Året när IBM:s PC introduceras, 1982, ordnar FAR bl.a. kursen ”Känna på datorn” som är PC-inriktad. Nu kan envar revisor börja med sin egen dator.
Persondatorerna drar in på byråerna ganska snabbt. Exempelvis har Bohlins Revisionsbyrå 1988 sammanlagt 350 datorer, flertalet är bärbara.
Flera säkerhetsproblem
Nu, 1988, upptäcks att utvecklingen av dessa datorer medför flera säkerhetsproblem med tanke på tystnadsplikt och sekretess.
De första persondatorerna lagrade data enbart på disketter som kunde tas ut och låsas in. Men nu finns det hårddiskar i maskinerna. De kan inte tas ur datorn och läggas i säkert förvar vid arbetsdagens slut.
Så sent som 1987 hade det skrivits i Balans om hur praktiskt det var att lagra data på hårddisk. Men nu upptäcks att det är farligt. Klientdata kan komma på drift.
Bärbara datorer är extra stöldbegärliga och tjuven kan lätt ta dem med hårddisk och allt.
Dessutom kan datorer gå sönder och lämnas på service. Då finns risken att hårddiskinformation kommer ut till obehöriga.
Inga klientdata på hårddisken
Nu blir det också känt att obehöriga kan återskapa raderad information från hårddiskar med enkla standardprogram. Med specialprogram går det att plocka fram data som ligger 15–20 raderingsgenerationer tillbaka.
Någon revisionsbyrå inför som säkerhetsregel nummer ett att klientdata aldrig får finnas på hårddiskar – inte ens under arbete ute hos klienterna.
Några inför ett totalförbud mot att lämna trasiga datorer med hårddiskar till service. Data ska först raderas med specialprogram inom revisionsbyrån. Eller också ska trasiga diskar kasseras.
Olika lösningar
Säkerhetsproblemen med hårddiskarna upplevs som allvarliga. Men det upplevs också som opraktiskt att inte kunna utnyttja de snabba diskarna.
Så vad göra? Olika lösningar diskuteras. Löstagbara hårddiskar är en ny teknik på ingående och på vissa håll köps sådana.
Många datorer har fysiska nycklar som låser datorns hårddisk. Det används också lösenord (hur ofta är inte lösenordet fasttejpat på maskinen, undrar en debattör i Balans). De enkla lösenorden kan kompletteras med mer avancerade behörighetskontrollsystem.
Som en slutlösning väntar de säkerhetsmedvetna på kryptering av data.
Använd hårddisken men töm den!
Men vad gör FAR?
Föreningens databehandlingskommitté är inte riktigt lika oroad som man är ute på en del av byråerna. Den har faktiskt inte hört talas om problemet med att raderad hårddiskinformation lätt kan återskapas.
Kommittén rekommenderar att tömma hårddisken på klientdata efter varje uppdrag och spara data till disketter eller magnetband. Är revisorn ute på uppdrag bör den bärbara datorn låsas in när den inte hålls under uppsikt.
Några ytterligare bulletiner från databehandlingskommittén i denna sak blir det dock inte. Och hårddiskdebatten ebbar ut.
E-post
Vid den här tiden har revisionsbyråer också börjat arbeta med e-post. Internet finns inte för allmänt bruk men det finns andra system. Även här diskuteras säkerheten. En artikelförfattare i Balans ger rådet ”göra en säkerhetsbedömning” och ställa upp regler för vilken typ av information som får sändas med e-posten.
Det har byråerna säkert gjort.
Men vad ska man egentligen säga om de fotnoter som sedan länge bifogas all e-post från revisionsbyråer? Det står att informationen kan vara konfidentiell och att det är förbjudet för annan än angiven mottagare att läsa den?
Är detta säkerhet? Kanske dags för en ny debatt?
Texter: Inge Wennberg
Bilder: Stig-Göran Nilsson, Mikael Röhr m.fl.