Advokaten 1
Fokus IT-säkerhet » ”Ska ni flytta information på
kontoret är det enklare att ha en gemensam disk la på med gratislösningar som ofta innebär att tjänsten ensidigt kan stängas ned eller ändras och att leverantören har rätt att använda innehållet i kundens information för riktad reklam. Läs villkoren och betala för tjänsten för att komma runt de för advokater mer olämpliga lösningarna. Säkerhetsnivån vid inloggning kan sättas i med hjälp av en konsult i början, säger Lars Perhard. Robert Jonsson ger rådet att du ska vara medveten om var du har dina data. – Advokatbyråer måsSÄKERHET ENLIGT PERSONUPPGIFTSLAGEN För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas saker som brandväggar, krypteringsfunktioner och antivirus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner, instruktioner och policyer. Källa: Datainspektionen 36 te se över var deras data finns och vilka krav klienterna ställer, säger han. Även där finns sätt att skydda sig genom att ha krypterade containrar som data finns i. Men hur man än gör måste man ha förtroende för leverantören. Man kan ju inte skydda sig mot leverantören. Då har man hamnat väldigt fel. Man måste vara noga med att kontrollera, men man måste samtidigt kunna ha förtroende för sina leverantörer. Annars fungerar det inte. När det inträffar molnrelaterade incidenter kan det vara avgörande vem som äger loggarna för datorn och vem som har rätt att få se dem. – Det kan vara väldigt viktigt när man ska utreda en incident. Har man inte tillgång till loggar har man faktiskt ingen möjlighet att se vad som har hänt. Därför är det viktigt att man kollar om man har rätt att få se loggar innan man tecknar avtal. LÖSENORD Räcker det att ha bra lösenord för att vara skyddad och hur ska man komma ihåg dem? – I alla lägen där man har möjlighet bör organisationer ha tvåfaktorsautentisering, till exempel ett lösenord och en säkerhetsdosa av typen som banker använder, säger Robert Jonsson. Det är en väldigt stark rekommendation. Och när man har lösenord ska man ha bra lösenord. För att komma ihåg alla lösenord rekommenderar han ett program som heter KeyPass som är fritt tillgängligt och går att ha både till mobiltelefoner och datorer. Det lagrar alla dina lösenord och informationen är krypterad. Att ha ett papper inlåst med alla lösenord är kanske ännu bättre om du tycker det är okej att behöva gå dit varje gång du har glömt ett lösenord. För en liten advokatbyrå kan det vara ett alternativ om man betraktar pappret som ett viktigt dokument och låser in det. Kan advokater svara ja när man får frågan om de vill spara lösenord till en viss webbplats ”kom ihåg mig med id och lösenord”? – På viktiga konton ska man aldrig svara ja på den frågan, säger Robert Jonsson. Men på skräpkonton, till exempel kontot till gymmet, skulle jag mycket väl kunna tänka mig att ha i datorn. Det enda som skulle kunna hända är att någon skulle ändra mina träningstider. LAPTOP, SURFPLATTA, DATOR Är man duktig på att uppdatera sina system och har antivirus, brandvägg och intrångsdetektering klarar man sig mot huvuddelen av attackerna som förekommer. Ha en backup. Spara ingen känslig information i system som är anslutna till internet. Då klarar du dig i huvuddelen av fallen. Det rådet ger Per Hellqvist. – Då är det väldigt svårt att komma in i datorn om man inte har otur och råkar ut för en helt ny sårbarhet eller om man har någon av de här tunga grabbarna emot sig, säger han. När det gäller mobila enheter är det viktigt att tänka på att du inte bär omkring allt för mycket information utan bara det du behöver just nu. Det gäller speciellt vid resor. Ett annat problem är att när du passerar gränser till andra länder kan myndigheterna ha rätt att kopiera hela disken, så är till exempel fallet när du kommer till USA. – Om du har mycket känslig information kan du ha en reselaptop som är tom och bara innehåller ditt operativsystem. När du har passerat gränsen hämtar du hem de filer du behöver via en krypterad server eller om du kopplar upp dig mot VPN, en krypterad tunnel in till företaget, och hämtar filen som du behöver, säger Per Hellqvist. Robert Jonsson tycker att man ska tänka igenom ITstrukturen, så att till exempel servrar inte är tillgängliga från mobiler, surfplattor och bärbara datorer. KONSULTER Kan man göra en egen analys av ITsäkerheten eller ska man anlita hjälp? De intervjuade experterna rekommenderar att du tar hjälp av en duktig konsult. – Jag tycker att man ska anlita hjälp, dels för att du lätt blir hemmablind när du arbetar med systemen, dels för att det är så pass viktigt att testa säkerheten, säger Robert Jonsson. Advokaten Nr 2 • 2014