Nyligen upptäckte US Geological Survey (USGS, den amerikanska motsvarigheten till svenska Lantmäteriet) att den skadliga programvaran malmware, som är utformad för att stjäla data från enheter, infiltrerat deras nätverk. För att ta reda på hur den skadliga koden tog sig in i deras system tog de hjälp av ett säkerhetsföretag som genomförde en grundlig översyn av alla enheter.
Kort därefter kunde de se att viruset var kopplat till en anställd och dennes dator som hade en ”omfattande besökshistorik på webbplatser med pornografiskt innehåll”. Många av de sidor som personen besökt var länkade till ryska webbplatser som innehöll koden.
Brister i IT-säkerhetspolicyn
Undersökningen avslöjade att den anställde sparat ner innehåll från vissa av webbplatserna på en obehörig USB-enhet och till sin mobiltelefon, som också var anslutna till datorn. Således blev även telefonen oundvikligt smittad med koden. Den efterföljande rapporten [1] pekar ut stora brister i USGS’s IT-säkerhetspolicy - bland annat saknade de en lista över förbjudna webbplatser och regler för användning av obehöriga USB-enheter.
Det kanske är lätt att vara efterklok, men det råder inga tvivel om att den skadliga koden aldrig hade infekterat nätverket om dessa två punkter varit uppdaterade och en del av IT-policyn.
IT-säkerhet, var ska man börja?
Historien om en anställd som hade över 9 000(!) besök på olika webbplatser med ”vuxet innehåll” är uppseendeväckande och visar att inga företag eller organisationer är immuna mot säkerhetshot, mycket på grund av den mänskliga faktorn.
Beroende på hur många IT-användare ett företag har kan det egna säkerhetsarbetet upplevas som övermäktigt eftersom det finns en hel djungel av saker att tänka på. Men för att underlätta arbetet bör man ställa sig frågor som: vilka rutiner ska vi ha gällande egna datorer och mobiler för att undvika dagens säkerhetshot? Ett grundläggande och enkelt tips är att se till att operativsystem, program och webbläsare är uppdaterade med den senaste versionen, eftersom det ger en ökad motståndskraft mot dagens säkerhetshot.
Nästa fråga att ställa är: Hur ska känslig information på de enheter som inte längre används/behövs tas om hand? Idag finns det en utbredd bild av att ”ta bort information” är samma sak som att ”radera information”. Detta är dock en missuppfattning. För att vara säker på att informationen på den avvecklade IT-utrustningen raderas korrekt råder vi att använda en certifierad dataraderingslösning i kombination med en säker utrangeringsplan, och det är här 3stepIT kommer in i bilden.
En effektiv IT-livscykelhantering ger rätt verktyg som effektiviserar hanteringen av enheterna – från installation till utbyte. Livscykelhanteringen omfattar även en säker och hållbar avveckling av den förbrukade utrustningen där hela 98% av alla datorer och mobiler får ett nytt liv genom återanvändning.
När hotbilden mot IT ökar och allt mer känsligt material hålls digitalt är det viktigt att sluta kretsloppet med sina enheter. 3stepIT's policy kring säkerhetsarbetet är alltid full transparens och spårbarhet.
Vill du veta mer om hur en livscykelhantering kan stötta er verksamhet? Då är du välkommen att kontakta en av våra lokala experter idag.