Tölvumál - 01.11.2011, Side 31
T Ö LV U M Á L | 3 13 1 | T Ö LV U M Á L
Upplýsingaleki er það þegar trúnaðarupplýsingar einstaklinga eða
fyrirtækja komast í hendur óviðeigandi aðila. Slíkt getur gerst af ýmsum
ástæðum, hvort heldur sem er viljandi eða óviljandi, af völdum innri eða
ytri aðila og óháð því hvort upplýsingar séu á rafrænu formi eða ekki.
Mörg nýleg dæmi eru um upplýsingaleka og hefur slíkum dæmum fjölgað
mikið á síðustu árum. Skemmst er að minnast á samantekt úr lánabók
Kaupþings banka sem birt var á uppljóstrunarvefnum Wikileaks, óvarlegar
sendingar stjórnmálamanna, týndra farsíma og nýlegan leka óritskoðaðra
sendiráðspósta hjá Wikileaks.
Trúnaðarupplýsingar geta verið af ýmsu tagi, svo sem viðkvæmar
persónuupplýsingar um einstaklinga, greiðslukortanúmer, upplýsingar um
afsláttargjöf eða aðrar viðskiptaáætlanir, hönnunarskjöl eða annað hugverk
sem skapar þeim sem komast yfir slíkar upplýsingar samkeppnisforskot.
Leki á trúnaðarupplýsingum getur líka haft fleiri óæskilegar afleiðingar í för
með sér, svo sem beint fjárhagslegt tjón vegna tapaðra viðskipta eða minna
trausts, auk þess sem slíkt getur varðað bæði lög og ákvæði í samninga við
t.d. viðskiptavini eða samstarfsaðila.
Hvernig er hægt að bregðast við þessum áhættum á skilvirkan og
markvissan hátt? Þegar búið er að skilgreina hvaða upplýsingar séu
trúnaðarmál þarf að huga að því hvar þær eru geymdar, hvernig þær
eru fluttar á milli staða, hverjir eru notendur og hvernig þær eru notaðar.
Upplýsingar á rafrænu formi eru t.a.m. geymdar á netdrifum eða í
tölvupósti, skjalastjórnunarkerfum, fjárhagsupplýsingakerfum og víðar.
Slíkar upplýsingar eru oft fluttar yfir ýmis konar netkerfi sem sum hver eru
vel varin en gagnvart öðrum gæti þurft að grípa til frekari úrræða, svo sem
dulritunar. Notkun upplýsinga er orðin fjölbreyttari með aukinni útbreiðslu
fjarvinnu og stóraukinni notkun á spjaldtölvum og snjallsímum. Allt gerir
þetta þeim sem bera ábyrgð á að verja upplýsingar fyrirtækja erfiðara fyrir.
Byggt á áhættumati og eftir greiningu á geymslu, flutningi og notkun
upplýsinga þarf að grípa til viðeigandi úrbóta til að bregðast við þeim
áhættum sem taldar eru óásættanlegar. Slíkar úrbætur geta verið af ýmsu
tagi og ekki allar tæknilegar. Nauðsynlegt er að til staðar séu reglur um
meðferð upplýsinga og þær kynntar starfsmönnum og að þeir hljóti þjálfun
í viðeigandi meðferð upplýsinga hvort heldur sem er að senda upplýsingar
eða hvernig eigi að farga þeim með öruggum hætti að notkun lokinni.
Stærstan hluta upplýsingaleka má rekja til óvarlegrar eða óviðeigandi
hegðunar starfsmanna eða annarra, svo sem þjónustuaðila, hvort heldur
sem er viljandi eða af ásetningi. Auðvelt er að senda óviðeigandi aðila
trúnaðarupplýsingar í tölvupósti án ásetnings eða setja til bráðabirgða skrá
með viðkvæmum upplýsingum inn á vefsvæði fyrirtækisins, sem mögulega
eru opið almenningi.
Auk þess að huga að þætti þeirra einstaklinga sem koma að geymslu,
notkun eða flutningi upplýsinga þarf að tryggja að þeir hafi þau tæki, kerfi
og lausnir sem gera þeim mögulegt að meðhöndla trúnaðarupplýsingar
á öruggan hátt. Slíkt getur verið vandasamt t.d. ef hluti af vinnslu
eða notkun upplýsinga er í höndum þjónustuaðila (svo sem útvistuð
upplýsingatækniþjónusta eða önnur sérfræðiþjónusta, t.d. launavinnsla
eða lögfræðiaðstoð). Tryggja þarf að þjónustuaðilinn sé virkur þátttakandi
í þeirri vernd upplýsinga sem við teljum nauðsynlega og oft er æskilegt að
slíkt sé tilgreint í samningum milli aðila. Einnig þarf að huga sérstaklega
að aukinni notkun snjallsíma og spjaldtölva því slík tæki hafa oft sama
aðgang að upplýsingum okkar og önnur tæki. Gera þarf sömu kröfur til
öryggis slíkra tækja og annarra sem notuð eru til að vinna með eða geyma
trúnaðarupplýsingar okkar. Þetta gæti t.d. verið gert með sérstökum
öryggiskröfum til stýrikerfis slíks búnaðar, sérstökum hugbúnaði sem
t.d. sækir ekki upplýsingar og geymir á tækinu sjálfu heldur vinnur
með upplýsingarnar á öðrum búnaði þar sem auðveldara er að viðhafa
öryggisráðstafanir til að verja trúnað upplýsinganna.
Að mörgu er að hyggja til að takmarka áhættu vegna upplýsingaleka.
Þótt úrræðin séu mörg þarf að forgangsraða og velja réttu úrræðin til að
auka skilvirkni og verja fjármunum á sem hagkvæmastan hátt. Svo slíkt
sé mögulegt þarf að liggja til grundvallar heilstæð greining á gagnaflæði
sem tekur til geymslu, flutnings og notkunar trúnaðarupplýsinga sem
og áhættumat til að forgangsraða aðgerðum í samræmi við þær áhættur
sem eru til staðar. Varasamt getur verið að innleiða öryggisúrræði án slíks
undirbúnings þar sem illa ígrunduð og takmarkandi öryggisúrræði geta
valdið því að notendur fari að leita nýrra og enn óöruggari leiða til að
komast hjá þeim öryggisúrræðum sem eru til staðar.
Upplýsingaleki getur haft mjög alvarlegar afleiðingar fyrir rekstrarhæfi
fyrirtækja og því er nauðsynlegt að bregðast við þeim með viðeigandi og
ábyrgum hætti.
Upplýsingaleki: orsakir
og afleiðingar
Tryggvi R. Jónsson, CISA, liðsstjóri
Áhættuþjónustu Deloitte á Íslandi og
sérfræðingur í upplýsingaöryggi
Trúnaðarupplýsingar geta verið af ýmsu tagi, svo
sem viðkvæmar persónuupplýsingar um einstaklinga,
greiðslukortanúmer, upplýsingar um afsláttargjöf eða
aðrar viðskiptaáætlanir, hönnunarskjöl eða annað
hugverk sem skapar þeim sem komast yfir slíkar
upplýsingar samkeppnisforskot.
Að mörgu er að hyggja til að takmarka áhættu vegna
upplýsingaleka. Þótt úrræðin séu mörg þarf að
forgangsraða og velja réttu úrræðin til að auka skilvirkni
og verja fjármunum á sem hagkvæmastan hátt.