Du visar för närvarande Ett skepp kommer lastat med känslig information

Ett skepp kommer lastat med känslig information

I den digitala världen betonar man att när känslig information skall transporteras fysiskt så skall den vara krypterad och inlåst för att skydda informationen från att komma på villovägar mellan punkt A och B.

Men hur är det då med analog information, dvs papper? Hur hanteras den, eller framför allt hur borde den hanteras?

I morse när jag checkade ut från hotellet i huvudstaden mötte jag en person i hissen som till utseendet gissningsvis är advokat. Det bekräftas snabbt genom att personen bär eller snarare släpar på ett antal tygkassar fulla med pärmar av analog information och påsarna är tydligt märkta med företagets logotyp.

Vad är det egentligen för fel med det kan man undra? I de bästa av alla världar så kanske det inte är något problem, men utifrån vad jag jobbar med, nämligen att upptäcka hot och sårbarheter så blir det tydligt en vardagssituation som kan utgöra ett hot för ett företag, nämligen kunden till advokatfirman.

Givetvis kan jag bara gissa vad som finns i pärmarna men utan att vara raketforskare samt med en sökmotors hjälp kan jag snabbt räkna ut att informationen bör vara av ytterst känslig karaktär. Företaget som inte är helt okänt visar tydligt personalbilder på webbsidan, samt inom vilket juridikområde de arbetar som i detta fallet förenklat är affärsjuridik.

Det här är förvisso en hypotetisk reflektion men ett tydligt exempel på när det skulle kunna gå riktigt tokigt. 

Lek med tanken för en sekund att informationen i pärmarna gäller köp/försäljning av ett börsnoterat företag, patentärende eller en arbetsrättstvist. Vad skulle då konsekvenserna bli om den informationen hamnade i fel händer pga att personen glömmer påsarna eller blir bestulen.

Hur skulle ditt företag påverkas om det företag du anförtrott känslig information till gick omkring öppet med den på stan?

Det finns många sätt man skulle kunna undvika den här situationen och största anledningen till att jag reagerade på situationen är att informationen transporterades ”öppet”. Hade personen lagt pärmarna i en resväska, gärna med lås så hade jag inte reagerat på att någon bär en resväska på ett hotell. Det är givetvis fortfarande inte det mest optimala sättet att transportera känslig information på, men tänk vad den lilla förändringen kan göra för skillnad för att skydda information bättre.

Jag vill inte på något sätt hänga ut ett visst skrå eller företag som skulle vara mer oförsiktigt än andra, utan vill belysa något som sker daglige. Kanske syns det tydligare med ett tränat öga men vi skall vara medvetna om att skurkar har också tränade ögon.

Min förhoppning är att dessa små reflektioner från verkligheten skall bidra till att vi tänker efter när vi hanterar information, speciellt av känslig karaktär.

Om ditt företag inte har en rutin uppsatt för hur ni hanterar egen och andras information så vill jag uppmuntra er till att ta fram det snarast. En enkel rutin är bättre än ingen rutin!

/ Mikael Jansson
Certified Ethical Hacker (CEH)