’’Advokater slarvar med IT-säkerheten’’
Nr 2 2002 Årgång 68
– Advokater hanterar i sina datorer stora mängder med hemlig eller känslig information som man borde vara förskräckligt rädd om. Tyvärr verkar få i kåren medvetna om hur lätt informationen kan hamna på avvägar.
Konstaterandet kommer från Joakim von Braun, konsult och rådgivare på IT-säkerhetsföretaget Symantec.Utifrån sitt jobb tycker han sig ha en ganska bra bild av advokaternas IT-användning. Han är inte imponerad av det han sett. – Advokatbyråer borde åtminstone ha samma säkerhetstänkande och sekretessnivåer som inom sjukvården. Så ser det tyvärr inte ut. Men även privatläkare och journalister, som hanterar känsliga personuppgifter, syndar också. Joakim von Braun är införstådd med varför det ser ut som det gör. – De flesta advokatbyråer är små och har sällan råd att hålla sig med kunnigt IT-folk. I stället är det vaktmästaren, sekreteraren eller någon enskild jurist som har IT-ansvaret som tilläggsuppgift. Då hamnar man tyvärr ofta på en för låg nivå.
VON BRAUN MÅLAR UPP
en skräckbild där den som vill och har kunskapen lätt kan ställa till stor skada genom att hacka sig in i advokatbyråns nätverk, plantera in virus eller trojanska hästar och lätt komma åt att sprida vidare mängder med konfidentiell information. Bara av illvilja eller för att tjäna pengar. Han känner till flera advokatbyråer som antingen fått sitt trådlösa nätverk avlyssnat, webbservern hackad eller dokument spridda med e-posten via ett illvilligt virus. Men han kan inte säga i vilken omfattning det orsakat skada för klienterna. – Ingen vill erkänna att man drabbats. Därför är det svårt att bedöma omfattningen. Dessutom är det svårare att få personalen att ta säkerhetsfrågorna på allvar om man alltid hävdar att det är konkurrenterna och inte man själv som råkat illa ut.
I SVERIGE GÖRS,
enligt von Braun, de flesta intrångsförsök än så länge av ren illvilja. I USA, Storbritannien och Tyskland har avancerad hacking däremot blivit ett sätt att pressa företag på pengar. – Ett företag fick hela sin kunddatabas krypterad och skulle vara tvungen att betala miljonbelopp för att få lösenordet.Andra har hotats att få sina databaser utlagda på Internet om man inte betalat för sig. En tröst är enligt von Braun att man med ganska enkla medel till en billig penning åtminstone kan skydda sig mot de vanligaste angreppen.Bara man är medveten om riskerna, förklarar han och räknar upp en rad hot, och tips om hur man undanröjer de flesta. Man brukar ju säga att det är lika lätt för obehöriga att läsa e-post som vykort. Men det är en underdrift, menar von Braun. Många fler kan snappa upp ett e-postmeddelande. Han tycker därför det borde vara självklart att all e-post till och från advokatbyrån krypteras. – Att bara kryptera vissa saker är otillräckligt eftersom det snarast signalerar att man då skickar något speciellt intressant. – Likaså är ordentliga virusskydd och brandväggar nödvändiga självklarheter, säger han och hänvisar till en undersökning som hans företag gjorde en månad i höstas bland hemanvändare som hade brandväggar installerade. – Åtta av tio hade varit utsatta för intrångsförsök, så kallad portskanning, och hos mer än varannan hade man försökt att ta sig in med hjälp av trojanska hästar.Brandväggarna stoppade alla försök.
JOAKIM VON BRAUN
varnar för trådlösa nätverk som är lätta att avlyssna om man befinner sig nära kontoret. Han anser dock att även den löper en risk som har ett ledningsbundet nätverk med kontor på flera plan i en fastighet om ledningarna är dragna i trapphuset. – I båda fallen finns det enkla och billiga sätt att undanröja risken för avlyssning, till exempel genom kryptering. Då krävs förstås att man känner till riskerna. Kontinuerliga säkerhetskopior som förvaras på säkra ställen är ett annat måste, enligt Braun som berättar en sedelärande historia: – När John Wall-huset vid Hötorget brann var där ett företag som överlevde tack vare att chefssekreteraren på eget initiativ alltid tog med sig säkerhetskopian i handväskan hem över natten. Trots att hela kontoret var utbränt kunde man köra igång i nya lokaler redan nästa dag. Ett tips för den mindre byrån kan förstås också vara att ta hjälp av en IT-säkerhetskonsult med att välja rätt produkter, installationer och driften. Men det är knappast heller riskfritt. – Det kan vara en bra lösning men det förutsätter att man ändå har ett hyfsat kunnande på byrån så att man kan ställa rätt krav på sin leverantör.Annars är risken att man får för dålig säkerhet eller överdriven säkerhet som kostar för mycket.
AGNE LINDBERG,
advokat på advokatbyrån Delphi och Per Furberg, jur kand hos Setterwalls bekräftar i stort von Brauns riskanalys. De är förvånade och oroade över många advokaters bristande säkerhetsrutiner. – Advokatverksamhet har ett väldigt starkt författningsmässigt skydd, betonar Per Furberg. Samtidigt åker företagshemligheter och andra känsliga uppgifter över öppna oskyddade nät med någon sorts självklarhet. Det går inte ihop. När man påtalar detta för klienter och kolleger upplevs man som obekväm. Agne Lindberg tvivlar på att de mindre byråerna anser sig ha råd att anlita IT-säkerhetskonsulter. Han hoppas i stället att Advokatsamfundet ska ta den samordnande rollen, på samma sätt som organisationen Svenskt Näringsliv gjort för sina medlemmar. – Advokatsamfundet borde ta fram en IT-policy för de mindre byråerna med riktlinjer om vilken säkerhetsnivå som är lämplig, anser Agne Lindberg.
HANS HELLBERG TOM KNUTSON
VON BRAUN MÅLAR UPP
en skräckbild där den som vill och har kunskapen lätt kan ställa till stor skada genom att hacka sig in i advokatbyråns nätverk, plantera in virus eller trojanska hästar och lätt komma åt att sprida vidare mängder med konfidentiell information. Bara av illvilja eller för att tjäna pengar. Han känner till flera advokatbyråer som antingen fått sitt trådlösa nätverk avlyssnat, webbservern hackad eller dokument spridda med e-posten via ett illvilligt virus. Men han kan inte säga i vilken omfattning det orsakat skada för klienterna. – Ingen vill erkänna att man drabbats. Därför är det svårt att bedöma omfattningen. Dessutom är det svårare att få personalen att ta säkerhetsfrågorna på allvar om man alltid hävdar att det är konkurrenterna och inte man själv som råkat illa ut.
I SVERIGE GÖRS,
enligt von Braun, de flesta intrångsförsök än så länge av ren illvilja. I USA, Storbritannien och Tyskland har avancerad hacking däremot blivit ett sätt att pressa företag på pengar. – Ett företag fick hela sin kunddatabas krypterad och skulle vara tvungen att betala miljonbelopp för att få lösenordet.Andra har hotats att få sina databaser utlagda på Internet om man inte betalat för sig. En tröst är enligt von Braun att man med ganska enkla medel till en billig penning åtminstone kan skydda sig mot de vanligaste angreppen.Bara man är medveten om riskerna, förklarar han och räknar upp en rad hot, och tips om hur man undanröjer de flesta. Man brukar ju säga att det är lika lätt för obehöriga att läsa e-post som vykort. Men det är en underdrift, menar von Braun. Många fler kan snappa upp ett e-postmeddelande. Han tycker därför det borde vara självklart att all e-post till och från advokatbyrån krypteras. – Att bara kryptera vissa saker är otillräckligt eftersom det snarast signalerar att man då skickar något speciellt intressant. – Likaså är ordentliga virusskydd och brandväggar nödvändiga självklarheter, säger han och hänvisar till en undersökning som hans företag gjorde en månad i höstas bland hemanvändare som hade brandväggar installerade. – Åtta av tio hade varit utsatta för intrångsförsök, så kallad portskanning, och hos mer än varannan hade man försökt att ta sig in med hjälp av trojanska hästar.Brandväggarna stoppade alla försök.
JOAKIM VON BRAUN
varnar för trådlösa nätverk som är lätta att avlyssna om man befinner sig nära kontoret. Han anser dock att även den löper en risk som har ett ledningsbundet nätverk med kontor på flera plan i en fastighet om ledningarna är dragna i trapphuset. – I båda fallen finns det enkla och billiga sätt att undanröja risken för avlyssning, till exempel genom kryptering. Då krävs förstås att man känner till riskerna. Kontinuerliga säkerhetskopior som förvaras på säkra ställen är ett annat måste, enligt Braun som berättar en sedelärande historia: – När John Wall-huset vid Hötorget brann var där ett företag som överlevde tack vare att chefssekreteraren på eget initiativ alltid tog med sig säkerhetskopian i handväskan hem över natten. Trots att hela kontoret var utbränt kunde man köra igång i nya lokaler redan nästa dag. Ett tips för den mindre byrån kan förstås också vara att ta hjälp av en IT-säkerhetskonsult med att välja rätt produkter, installationer och driften. Men det är knappast heller riskfritt. – Det kan vara en bra lösning men det förutsätter att man ändå har ett hyfsat kunnande på byrån så att man kan ställa rätt krav på sin leverantör.Annars är risken att man får för dålig säkerhet eller överdriven säkerhet som kostar för mycket.
AGNE LINDBERG,
advokat på advokatbyrån Delphi och Per Furberg, jur kand hos Setterwalls bekräftar i stort von Brauns riskanalys. De är förvånade och oroade över många advokaters bristande säkerhetsrutiner. – Advokatverksamhet har ett väldigt starkt författningsmässigt skydd, betonar Per Furberg. Samtidigt åker företagshemligheter och andra känsliga uppgifter över öppna oskyddade nät med någon sorts självklarhet. Det går inte ihop. När man påtalar detta för klienter och kolleger upplevs man som obekväm. Agne Lindberg tvivlar på att de mindre byråerna anser sig ha råd att anlita IT-säkerhetskonsulter. Han hoppas i stället att Advokatsamfundet ska ta den samordnande rollen, på samma sätt som organisationen Svenskt Näringsliv gjort för sina medlemmar. – Advokatsamfundet borde ta fram en IT-policy för de mindre byråerna med riktlinjer om vilken säkerhetsnivå som är lämplig, anser Agne Lindberg.
HANS HELLBERG TOM KNUTSON