Sifo-studie: Företagen slarvar med mobilsäkerheten

Dataradering krävs. Bara 11 procent av landets börsbolag och myndigheter raderar informationen i personalens mobiler.

Majoriteten, 78 procent, av företagen och myndigheterna byter ut medarbetarnas mobiltelefoner vart tredje år eller oftare. Men bara 11 procent ser till att informationen på mobilerna raderas innan de fasas ut och riskerar därmed att känslig information hamnar i orätta händer. Det framgår av en TNS Sifo-undersökning som Inrego låtit göra. Samtidigt visar ett aktuellt samarbetsprojekt mellan Inrego och Computer Sweden att mobiler på andrahandsmarknaden innehåller stora mängder affärshemligheter och personlig information, som mötesprotokoll, kundregister och bilder. 
 
TNS Sifo-undersökningen* där IT-chefer på 100 börsbolag och myndigheter har tillfrågats om bland annat IT-säkerhet visar att ytterst få organisationer har några rutiner för att radera information i mobilerna när de byts. Vanligast är att lägga över ansvaret på personalen. Det finns till och med en medvetenhet om säkerhetsbristerna.

Fyra av tio, 40 procent av organisationerna, konstaterar att de borde göra mer för att säkerställa att affärsinformation från IT-utrustning som byts ut inte ska komma på villovägar.
 
 Endast 11 procent uppger att de rutinmässigt använder särskilda raderingsprogram för att radera information på mobilerna.

 39 procent av organisationerna låter antingen personalen radera informationen på mobilerna eller gör en så kallad fabriksåterställning. Dessa metoder innebär inte att informationen raderas, utan i princip all data ligger kvar och kan återskapas senare.

 Sex procent lägger undan mobilerna i förråd tills vidare. 
 
 17 procent skickar telefonerna till destruktion.

 Ytterligare en stor andel svarar att de inte vet hur mobilerna hanteras. 

Daniel Bonde, IT- och säkerhetschef på Inrego, menar att hanteringen av mobiler har stora brister ur ett informationssäkerhetsperspektiv. Det var precis samma situation i hanteringen av datorer för tio år sedan, konstaterar han.
 
– Även om medvetenheten har ökat något när det gäller datorer så verkar det vara direkt sällsynt med säkerhetsrutiner för mobiler vilket är förvånande. Smarta mobiler bör liksom datorer dataraderas med raderingsprogram om man vill vara säker på att ingen information ska komma på villovägar när de byts ut eller säljs. Att göra en så kallad fabriksåterställning tar egentligen inte bort någon information och det visar också vårt projekt med Computer Sweden, säger Daniel Bonde.

Han påpekar att företag bör skapa en tydlig policy för hur mobiler och annan IT-utrustning ska hanteras. En sådan policy bör innehålla tydliga regler för logistiken och vilka som ska ha rätt att hantera utrustningen samt säkerställa att mobilerna avidentifieras och dataraderas.

– Därefter kan de säljas på andrahandsmarknaden utan risk för informationsläckage. Det är ett ekonomiskt, miljömässigt och säkerhetsmässigt bättre alternativ än att destruera och skrota fullt fungerande mobiler vilket många tyvärr gör idag, säger Daniel Bonde.

Forensisk utredning av begagnade mobiler
Inrego och Computer Sweden genomförde under hösten ett IT-forensiskt projekt (utredning och analys av digitala spår i lagringsmedia) för att undersöka i vilken omfattning affärsinformation och privat information finns tillgänglig på smarta mobiler på andrahandsmarknaden.

Sammanlagt 50 begagnade mobiler från olika tillverkare köptes in slumpmässigt från bland annat second hand-butiker och via Blocket. Inköpen genomfördes av ett externt företag och styrdes mot företagsmobiler, dvs mobiler som använts av medarbetare i företag och organisationer. 

På uppdrag av Computer Sweden genomförde sedan IT-säkerhetsföretaget Bitsec en forensisk utredning och analys av mobilerna. I granskningen användes gratisprogram som finns tillgängliga på nätet.
 
Analysen visade att information från tidigare användare kunde återskapas i 39 av de 50 mobilerna. I en tredjedel av mobilerna, 16 stycken, upptäcktes information av känslig karaktär. Det handlar om tusentals filer, bland annat kundregister, mötesprotokoll, försäljningsstatistik, mejlkorrespondens, lönebesked, privata bilder, bilder av pornografisk karaktär, produktbilder med mera. Ett stort antal företag och individer kunde identifieras. Bara fantasin sätter gränser för vad någon med ont uppsåt skulle kunna använda informationen till.

Mobilerna var sannolikt återställda av sin senaste ägare, men en återställning tar bara bort ”pekarna” till informationen medan informationen i sig finns kvar och kan återskapas.

Läs mer om granskningen i Inregos pressmeddelande och i Computer Swedens artikel.

*Om undersökningen
Undersökningen har genomförts av TNS Sifo genom telefonintervjuer under september 2012 med IT-chefer på 50 slumpmässigt utvalda myndigheter/kommuner samt 50 slumpmässigt utvalda bolag på Stockholmsbörsen, Nasdaq OMX Stockholm. Totalt 100 organisationer ingår i studien.

För mer information:
Daniel Bonde, IT-och säkerhetschef, Inrego, mobil: 0709 524 524, e-post: daniel.bonde@inrego.se