Så höjer du säkerheten

Mobiler

På de flesta mobiltelefoner finns någon form av funktion för att spåra mobilen och fjärradera innehållet på den. Det är enligt Robert Jonsson viktiga funktioner som advokater bör använda för att snabbt ta bort känslig information om mobilen blir stulen eller tappas bort.

– Väldigt få har virusskydd på sina mobiltelefoner, säger han. Det är svårt att ha virusskydd och det är frågan vilken nytta det gör. Iphone är nog den säkraste mobila plattformen för tillfället. Den är säkrare än android-mobilerna eftersom det är svårare att få in skadlig kod på en iPhone, men risken för informationsförlust är lika stor.

Robert Jonsson rekommenderar också att stänga av mobilen på möten där känslig information diskuteras.

Själv har Robert Jonsson två mobiltelefoner, en för jobbet och en privat, vilket är en enkel lösning för att undvika riskerna med att blanda privat och arbetsrelaterad information.

Har du bara en mobil ska du undvika att installera spel på den och ha så få appar som möjligt.

Ett annat tips är att bara ha sådan information som du arbetar med för tillfället i mobilen.

– Det finns ingen anledning att ha fem års arkiv på mobiltelefonen, säger Robert Jonsson. Jag rekommenderar inte att man synkar mobilen till mejlen mer än nödvändigt, men det är ju ett arbetsredskap och man måste kunna använda den.

Kryptering

Kryptering är till för att skydda data när de skickas eller skydda data i vila från åtkomst, till exempel när man har sin hårddisk krypterad.

– Det finns sätt att kryptera, men inga som är riktigt enkla och smidiga. Du måste väga kryptering mot att kunna använda systemen. Det måste samtidigt vara användbart. Men om jag jobbade på en advokatfirma och satt på väldigt känslig information skulle jag definitivt inte skicka den via okrypterad e-post, säger Robert Jonsson.

Per Furberg håller med honom, men påpekar som tidigare nämnts att om mottagaren inte har tillräcklig säkerhet hos sig kan informationen ändå läcka ut. Per Hellqvist har en annan syn på saken.

– Att kryptera mejl är så pass enkelt i dag, säger han. När jag började med det här var det krångligt. Nu är det så pass enkelt att du kan kryptera som standard, till exempel om du och jag mejlar varandra så krypteras alla mejl som går mellan oss automatiskt.

Ska advokatbyråer kryptera hela hårddisken på alla datorer och bärbara datorer eller bara kryptera vissa filer med känslig information? Funderar man på det är det bra att känna till att varje skyddslager som läggs på påverkar prestandan och arbetssättet.

– Det enklaste om du har en dator eller laptop är att du kör diskkryptering, så att allting som körs till disken krypteras, säger Per Hellqvist. Då gör det inget om de blir stulna eller tappas bort, allting är säkert. Sen kan man köra filkryptering där man väljer att kryptera alla office-dokument eller pdf:er, men jag ser inte riktigt nyttan med det när man kan kryptera alltihop.

Robert Jonsson rekommenderar också diskkryptering.

– Mitt tips är att använda krypteringsprogrammet PGP, som finns i en gratis version och är något mer lättanvänt nu än tidigare, säger han. Om man arbetar mot staten kan man använda KSU, Krypto för Skyddsvärda Uppgifter, men det är kanske lite mer knöligt att använda.

Appar

Kan du stänga av geopositioneringen på dina appar i mobiltelefonen, så att ingen kan följa och kartlägga dig? Och hur ska du hantera alla andra appar?

– Minimera antalet appar, säger Robert Jonsson. Men det är väldigt svårt att göra något åt att telefontillverkaren får väldigt mycket information om var man befinner sig. Detsamma gäller många android-appar som är väldigt frikostiga när det gäller vilka rättigheter de får ha. Det är också en sak som gör att man måste överväga om man ska ha de apparna eller inte. Jag tycker nog inte att det här är något som enskilda anställda ska ta ställning till. Det här ska det fattas ett policybeslut om som gäller hela organisationen.

Problemet med geopositionering gäller även om du som advokat använder tjänster som Instagram eller Facebook. Om du till exempel är på besök hos en klient och går och fikar tvärsöver gatan och tar en bild på den fina espressomaskinen och lägger ut på Facebook, så finns det en risk att dina klientbesök blir allmänt kända.

Policy

Säkerhetsexperterna är överens om att de största riskerna uppstår när anställda gör fel eller slarvar och att det enda som kan förhindra det är en IT-policy som alla känner till.

– Har advokatbyrån ingen policy är det dels väldigt svårt att komma åt anställda som gör dumma saker, dels har anställda ingenting att förhålla sig till om de undrar över något, säger Per Hellqvist. De flesta som gör fel gör det av misstag. Man förstår inte effekten av det man gör. Därför är det så bra att ha en IT-policy eller en informationssäkerhetspolicy. Är man bara två eller tre medarbetare på företaget räcker det att man sätter sig ner och pratar om detta. Fällan för de små och vissa fall även de medelstora företagen är att man inte har någon som är IT-ansvarig. Då måste chefen ta det ansvaret och se till att det blir av.

Robert Jonsson räknar upp ett par exempel på regler som policyn bör innehålla.

– Det är jätteviktigt att anställda inte får använda Facebook eller Instagram när de är ute på kunduppdrag. En policy ska vara väldigt tydlig med att arbetsredskap inte ska användas på fritiden så länge det inte stör arbetet menligt. Man ska inte heller låta barnen installera appar, spela spel eller surfa i mobilen.

Lars Perhard understryker att policyn inte får vara för krånglig.

– Är arbetsgivaren alltför rigorös är risken stor att personalen struntar i vad som gäller och lägger upp egna system. Så det gäller att hitta en rimlig balans mellan krav på säkerhet och pragmatism. Om inte en rimlig säkerhetsnivå kan nås på detta sätt måste policyn kopplas till att personalen får utbildning och policyn ska kvitteras, säger han.

Hur ska man göra med behörigheten. Ska alla på advokatbyrån ha tillgång till allt?

– Nej, där är man tvungen att hitta vettiga avvägningar, säger Robert Jonsson. Det finns definitivt ingen anledning till att alla ska ha tillgång till allting, utan advokatbyrån kan dela upp behörigheten, så att bara de som arbetar med en viss klient kan se den informationen. Det är en policyfråga som ledningen måste ta ställning till.

Per Furberg konstaterar att det inte finns några färdiga modeller för hur en advokat ska utforma sin IT-policy. Han tror det handlar om sunt förnuft och att man har tillräcklig hjälp av någon som kan det här med IT-säkerhet.

– Det måste införas någon slags lägsta nivå. Man skulle behöva skapa en gemensam kravställning där man anger vad som är lägsta nivå för advokater, säger Per Furberg som anser att Advokatsamfundet skulle kunna driva det här.

Molnet

Hur ska advokatbyråer förhålla sig till molntjänster? Advokatsamfundet har tagit fram direktiv som presenterades 2011. Rapporten togs fram av advokaterna Lars Perhard, Björn Gustavsson, Henrik Bengtsson och Advokatsamfundets ställföreträdande chefjurist Johan Sangborn.

– Vår konklusion i rapporten är att man måste anpassa säkerheten till sin verksamhet och situation, säger Lars Perhard. Har man höggradigt känslig verksamhet och hanterar till exempel börspåverkande information är kanske tiden inte riktigt mogen för att lägga ut information i molnet.

Rapporten slår dock fast att advokatbyråer i allmänhet kan använda molntjänster.

– För många av dem som inte har kunskap och intresse av IT-frågor skulle molnet kunna vara ett bra alternativ. Där får de hos många leverantörer en avancerad, anpassad nivå som motsvarar deras behov. Men de ska inte hålla på med gratislösningar som ofta innebär att tjänsten ensidigt kan stängas ned eller ändras och att leverantören har rätt att använda innehållet i kundens information för riktad reklam. Läs villkoren och betala för tjänsten för att komma runt de för advokater mer olämpliga lösningarna. Säkerhetsnivån vid inloggning kan sättas i med hjälp av en konsult i början, säger Lars Perhard.

Robert Jonsson ger rådet att du ska vara medveten om var du har dina data.

– Advokatbyråer måste se över var deras data finns och vilka krav klienterna ställer, säger han. Även där finns sätt att skydda sig genom att ha krypterade containrar som data finns i. Men hur man än gör måste man ha förtroende för leverantören. Man kan ju inte skydda sig mot leverantören. Då har man hamnat väldigt fel. Man måste vara noga med att kontrollera, men man måste samtidigt kunna ha förtroende för sina leverantörer. Annars fun­gerar det inte.

När det inträffar molnrelaterade incidenter kan det vara avgörande vem som äger loggarna för datorn och vem som har rätt att få se dem.

– Det kan vara väldigt viktigt när man ska utreda en incident. Har man inte tillgång till loggar har man faktiskt ingen möjlighet att se vad som har hänt. Därför är det viktigt att man kollar om man har rätt att få se loggar innan man tecknar avtal.

Lösenord

Räcker det att ha bra lösenord för att vara skyddad och hur ska man komma ihåg dem?

– I alla lägen där man har möjlighet bör organisationer ha tvåfaktorsautentisering, till exempel ett lösenord och en säkerhetsdosa av typen som banker använder, säger Robert Jonsson. Det är en väldigt stark rekommendation. Och när man har lösenord ska man ha bra lösenord.

För att komma ihåg alla lösenord rekommenderar han ett program som heter KeyPass som är fritt tillgängligt och går att ha både till mobiltelefoner och datorer. Det lagrar alla dina lösenord och informationen är krypterad.

Att ha ett papper inlåst med alla lösenord är kanske ännu bättre om du tycker det är okej att behöva gå dit varje gång du har glömt ett lösenord. För en liten advokatbyrå kan det vara ett alternativ om man betraktar pappret som ett viktigt dokument och låser in det.

Kan advokater svara ja när man får frågan om de vill spara lösenord till en viss webbplats ”kom ihåg mig med id och lösenord”?

– På viktiga konton ska man aldrig svara ja på den frågan, säger Robert Jonsson. Men på skräpkonton, till exempel kontot till gymmet, skulle jag mycket väl kunna tänka mig att ha i datorn. Det enda som skulle kunna hända är att någon skulle ändra mina träningstider.

Laptop, surfplatta, dator

Är man duktig på att uppdatera sina system och har antivirus, brandvägg och intrångsdetektering klarar man sig mot huvuddelen av attackerna som förekommer. Ha en backup. Spara ingen känslig information i system som är anslutna till internet. Då klarar du dig i huvuddelen av fallen. Det rådet ger Per Hellqvist.

– Då är det väldigt svårt att komma in i datorn om man inte har otur och råkar ut för en helt ny sårbarhet eller om man har någon av de här tunga grabbarna emot sig, säger han.

När det gäller mobila enheter är det viktigt att tänka på att du inte bär omkring allt för mycket information utan bara det du behöver just nu. Det gäller speciellt vid resor.

Ett annat problem är att när du passerar gränser till andra länder kan myndigheterna ha rätt att kopiera hela disken, så är till exempel fallet när du kommer till USA.

– Om du har mycket känslig information kan du ha en reselaptop som är tom och bara innehåller ditt operativsystem. När du har passerat gränsen hämtar du hem de filer du behöver via en krypterad server eller om du kopplar upp dig mot VPN, en krypterad tunnel in till företaget, och hämtar filen som du behöver, säger Per Hellqvist.

Robert Jonsson tycker att man ska tänka igenom IT-strukturen, så att till exempel servrar inte är tillgängliga från mobiler, surfplattor och bärbara datorer.

Konsulter

Kan man göra en egen analys av IT-säkerheten eller ska man anlita hjälp? De intervjuade experterna rekommenderar att du tar hjälp av en duktig konsult.

– Jag tycker att man ska anlita hjälp, dels för att du lätt blir hemmablind när du arbetar med systemen, dels för att det är så pass viktigt att testa säkerheten, säger Robert Jonsson.

Är det inte risk att konsulten får dig att installera alldeles för avancerade säkerhetssystem?

– Det finns ju bra och dåliga konsulter. De stora konsultbolagen är seriösa, men det finns ju även mindre som är bra, svarar Robert Jonsson.

Per Furberg tar upp problemet med att du inte kan få allt på en gång.

– Alla vill ha det enkelt, säkert och billigt, säger han. Men får du det enkelt blir det antingen dyrt eller osäkert. Och får du det svårt blir det billigt och säkert. Det handlar också om att hitta en bra balans mellan IT-säkerhet och tillgänglighet och marknadsföring.

Lars Perhard betonar att huvudbudskapet i rapporten ”Externa IT-tjänster vid advokatverksamhet” fortfarande gäller: ”det finns inte någon patentlösning utan det är advokaten til syvende og sidst som är ansvarig för sin kontorsorganisation”.

– Vi kan inte rekommendera någon viss lösning eller visst varumärke. Var och en måste ta sitt ansvar. Ju mindre man begriper själv, desto mer hjälp får man ta in, säger han.

Känslig information

Vad är känslig information och ska man sortera innan man bestämmer vad som ska skyddas?

– Det är svårt att särskilja känslig och öppen information, säger Per Hellqvist. Det är bara filer och mejl i en stor hög. Det innebär att man inte kan särskilja informationen. Då måste du säkra alltihop och ta säkerhetskopior på alltihop och lagra det i tio år. Inkluderar det familjebilder och musik kostar det ju pengar någonstans. Men om man kan särskilja vad som är öppen och vad som är känslig information kan man spara väldigt mycket pengar och säkerhetskopieringen går väldigt mycket snabbare.

Å andra sidan kan det vara mycket enklare för en liten advokatbyrå att skydda allt.

– Man vill ju inte försvåra, säger Per Hellqvist. Säkerhet behöver inte vara krångligare än man gör det. I mindre företag skulle man kunna slå ett lager kring allting och säga att det här skyddar vi punkt. Det är nästan enklast.

Advokatbyråer som hanterar mycket känslig information kan slå två flugor i en smäll.

– Det fina är att om du ändrar ditt skydd för hur du säkrar ditt företag för att klara av en riktad APT-attack så skyddar du dig på köpet mot de lite enklare attackerna, säger Per Hellqvist.

Utanför internet

Ska man lämna internet ibland när man hanterar väldigt känslig information?

– Om du har superkänsliga uppgifter och inte kan lita på systemet kan du så klart ha allt på papper, men i dag är det svårt, säger Robert Jonsson. Jag tror att det är ganska få som är villiga att leva med de begränsningarna. Då får man i stället hitta sätt att skydda sin utrustning. Man kanske inte behöver ha laptopen uppkopplad på nätet eller ha en dator där möjligheten att koppla upp sig på nätet är helt borttagen.

En del företag som har känslig information har bara en surfdator som står i receptionen eller i matrummet. Där kan anställda kolla Facebook eller läsa sin privata hotmail.

Den största risken för infektion uppstår på sociala nätverksplatser, den privata mejlen eller när du strösurfar. Länkar som du klickar på kan ta dig till en elak webbsida som infekterar din dator. Då kan det vara en bra idé att ha två datorer, en surfdator och en arbetsdator.

Alla de intervjuade experterna rekommenderar advokatbyråer att ha säkerhetskopiering.

– Försvinner all information som du har på advokatbyrån så är du ”out of business”, säger Per Furberg. Det är ju så uppenbart att det förstår väl alla att de måste ha säkerhetskopiering.

USB-stickor och e-post

Mattias Hanson tycker inte advokater ska använda USB-stickor för känslig information. Och Robert Jonsson menar att om man ska ha USB-stickor så måste de vara krypterade.

– Tappar du en USB-sticka kan du inte påverka det, säger Robert Jonsson. Det är säkrare att bränna CD-skivor eller kryptera USB-stickorna, men det måste drivas av organisationen så att man tar fram en policy för det. Ska ni flytta information på kontoret är det enklare att ha en gemensam disk på servern som många kommer åt än att använda USB-stickor.

Experterna avråder från att använda okrypterad e-post för att kommunicera känslig information. De avråder också från att använda gratistjänster för e-post i arbetet.

– Tyvärr ser jag kolleger som ibland använder gratistjänster som g-mail. Det brukar jag försöka avstyra. De har förmodligen inte läst villkoren, säger Lars Perhard.

Mats Cato och Tom Knutson