Med en fortid som it-direktør i en virksomhed, underlagt strenge kvalitetssikringskrav, er Torben Christensen vant til at omsætte lovgivning til praktik. Her fortæller han, hvad han ville gøre, hvis han var it-direktør igen, i forhold til pc-indkøb - forud for Persondataforordningens ikrafttræden den 25. maj 2018.
Med en fortid som it-direktør i en virksomhed, underlagt strenge kvalitetssikringskrav, er Torben Christensen vant til at omsætte lovgivning til praktik. Her fortæller han, hvad han ville gøre, hvis han var it-direktør igen, i forhold til pc-indkøb - forud for Persondataforordningens ikrafttræden den 25. maj 2018.
Du er muligvis allerede træt af at høre om Persondataforordningen - også kaldet GDPR (General Data Protection Regulation). Med tiden bliver man døv overfor den slags ”buzzwords”. Der er jo ikke en deadline for, hvornår man skal bruge ”Big Data” eller ”Disruption”. Men Persondataforordningen har en skæringsdato. Vi behøver næppe at gå i panik, men noget skal vi alle gøre, og vi kan lige så godt begynde at plukke de lavt hængende frugter.
Når vi køber en PC, virker det indlysende at kaste et blik på, om den er bestykket på en måde, så det bliver nemmere for os at højne sikkerheden. For uanset hvilke projekter vi skal igennem for at leve op til forordningen i rimelig grad, kan vi nok være enige om, at et rimeligt skridt må være at sikre, at personfølsomme data ikke er tilgængelige for uvedkommende.
Mange af os render rundt med adgang til stakkevis af personfølsomme data. Ikke mindst i vores inbox. Hvis vores pc bliver stjålet og solgt på et værtshus, er det ikke sikkert, at det fører til misbrug af data. Den bliver sandsynligvis formateret og genbrugt uden interesse for indholdet. Men fremover skal vi som virksomhed kunne dokumentere, at vi i rimelig grad har sikret os, at der ikke kan skaffes adgang til personfølsomme data. Og sker der et brud på sikkerheden, har vi indberetningspligt.
Der er teknologier, som uden de store sværdslag kan sikre data bedre på mobile enheder, der jo i sagens natur er i risikozonen for at blive mistet.
Kryptering af data er indlysende nyttigt - persondataforordning eller ej.
Alligevel er det forbavsende sjældent anvendt, særligt i små og mellemstore virksomheder.
4 gode spørgsmål
Herunder uddyber Torben, hvorfor det er en god idé - ved indkøb af mobilt udstyr - at overveje:
- Har det en TPM chip?
- Er disken Opal 2.0 kompatibel?
- Er der en fingeraftryksaflæser eller anden biometrisk skanning?
- Har CPU eller netkort vPro?
Er du i tvivl om, hvorvidt en pc fx har TPM chip, så kontakt edgemo på info@edgemo.com eller 69898800. Vi kan hjælpe - også ved ældre udstyr via bl.a. forskellige kommandoer m.m., der kan afklare spørgsmålene.
Softwarebaseret kryptering: Bitlocker
Har I Pro- eller Enterprise-udgaver af (nyere) Windows, har I også licens til at anvende Microsoft's Bitlocker. Så det er et nemt valg. Softwarebaseret kryptering har dog relativt stort behov for CPU-kraft. Det er særligt problematisk, hvis man aktiverer Bitlocker på en næsten fyldt disk. Brugeren vil opleve dårlig performance, indtil hele disken er krypteret.
Bitlocker kræver, at pc’en (eller tablet’en eller mobiltelefonen) er udstyret med en TPM chip (Trusted Platform Module). Den tager sig af autenticering af hardware, software og firmware ved opstart.
Hardwarebaseret kryptering: Opal 2.0
Opal er en industristandard for Self Encrypting Drives (SED). Det er ikke noget nyt, men har ikke før nu fået den helt store opmærksomhed. Opal-kompatible lagermedier kan altså kryptere sig selv i stedet for at benytte softwareprodukter som Bitlocker.
Hardwarebaseret kryptering er mere effektivt end softwarebaseret kryptering, dvs. med højere hastighed og mindre indflydelse på ressourceforbrug på maskinen. Hardwarebaseret kryptering benytter ikke CPU’en og kan være 20-40% mere effektivt en softwarebaseret kryptering.
Desuden udvides mulighederne for at benytte administrationssystemer efter eget valg. I en virksomhed vil man nok ønske at kunne administrere sine krypterede diske, så man har mulighed for eksempelvis helt at slette data via fjernadgang og holde styr på krypteringsnøgler. Og med dette har man også dokumenteret en rimelig teknologisk foranstaltning mod datalæk i forhold til persondataforordningen.
Hardwarebaseret kryptering anses desuden for at være sikrere end softwarebaseret.
Biometrisk skanning
Multifaktor-brugervalidering er heller ikke et nyt begreb. Mange har i dag et adgangssystem, som kræver en kode tilsendt per SMS, for at kunne logge på virksomhedens systemer. Det bliver dog sjældent anvendt for at få adgang til selve pc’en.
Et password kan knækkes eller lækkes, men et fingeraftryk er vanskeligt at få ”fingre” i. Det samme gælder ansigts- eller håndfladeskanning - teknologier, som alle er tilgængelige for bærbart udstyr.
Er det overkill at anvende biometrisk skanning, hvis pc’ens data er krypterede? Det er en vurderingssag. Men hvis pc’en efterlades på et bord med pauseskærm, beskyttes data kun af et password. En fingeraftryksskanner er ikke alene sikrere, den er også bekvem for brugeren. En finger kan jo ikke glemmes eller fornys hver tredje måned.
Læs også: Brugernavn og password er ikke nok
Fjernbetjening: vPro
vPro er en hardwarebaseret og sikker fjernbetjeningsmulighed (fra Intel), der benytter TPM chippen til adgang til pc’en. Det er ikke i sig selv en sikkerhedsforanstaltning - tværtimod vil nogle måske påstå.
Fjernbetjent support via software er ikke nyt. Men med vPro bliver man mere softwareuafhængig og kan få fat i pc’en på root-niveau, fx via Wifi-netkortet selvom pc’en er slukket (Wake on LAN).
Teknologien er nyttig i det hele taget, men er også relevant, når det drejer sig om Persondataforordningen. Med vPro har vi mulighed for at lave generelle opdateringer til BIOS, firmware og hardware på mange maskiner ad gangen. Og vi kan slette data, hvis udstyret bliver stjålet. Dermed har vi et godt værn mod datalæk, fx hvis software kompromitteres af hackere eller ondsindet kode.
Tænd kontakten