Dumma prylar smartare än du tror

Dumma prylar: Smartare (och farligare) än du tror

Att skydda känslig information och företagsdata handlar inte bara om att uppdatera virusskydd och lösenord. Det största hotet kan vara en anonym och anspråkslös pryl i konferensrummet.

Det hybrida arbetslivet är nu så etablerat att det börjar bli dags att stryka epitetet ”hybrid”. Hemmet, stugan, co-working-caféet och kontoret är bara några av de scener där arbetslivet utspelar sig, ofta med olika rekvisita i form av utrustning och tillbehör. Kanske speglas jobbdatorn på en privat laptop hemma, kopplad till en skärm via en dockningsstation. På kontoret delar alla samma konferenshögtalare. En extern hårddisk vandrar mellan jobbet, caféet och sommarstugan, för de där filerna är för tunga för att skicka och ladda ner varje gång du behöver dem. Och så vidare. Vilken frihet att skifta miljö helt utifrån dagsform och behov! Så omodernt att vara inlåst mellan kontorslandskapets ljudabsorbenter och offentlig-sektor-gråa heltäckningsmatta. Visst jobbar vi bäst när vi själv får välja plats! Hybridkontor och BYOD (Bring Your Own Device) har onekligen sina fördelar för både produktiviteten och flexibiliteten. Men friheten har ett pris: Säkerheten. 

Hybridkontorets privata hårdvara och prylar saknar ofta tillräckligt säkerhetsskydd.

En öppen dörr för it-attacker

Med privata enheter i jobbsammanhang ökar risken drastiskt för intrång, malware, attacker och läckage av känslig information. Privata tillbehör och hårdvara saknar ofta tillräckligt säkerhetsskydd och suddar dessutom ut gränsen mellan privat och företagsdata. För it-chefer och säkerhetsansvariga är personalens egna prylar allt annat än symboler för frihet: de är ett hav av okända endpoints och potentiella hål i säkerhetsväven. De ägs inte av organisationen och täcks inte av samma säkerhetsprogram och -rutiner, ändå kopplas de till företagsnätverket, delar och tar emot data, matas med diverse inloggningsuppgifter och känslig information. För hackare och cyberbrottslingar är privata tillbehör som en Välkommen-matta framför en olåst dörr.

Sex problem med privata prylar i jobbet

Det finns flera konkreta problem med egen hårdvara och tillbehör. Och så finns det ett par farliga missuppfattningar — exempelvis att riskerna bara handlar om bärbara datorer och smartphones. Vi ska återkomma till det missförståndet, men låt oss börja med några vanliga, pryl-relaterade problem: 

  1. Bristfälligt skydd. Privat hårdvara saknar ofta uppdaterade operativsystem, antivirusprogram och brandväggar och är därför sårbara för cyberattacker.
  2. Integritetsproblem. En personlig laptop som används i jobbet innebär en stor risk att känslig företagsinformation råkar laddas upp eller delas på osäkra plattformar. Om någon annan i familjen också använder datorn ökar förstås risken ännu mer.
  3. Hantering och kontroll. De privata enheterna står inte under it-personalens kontroll, vilket försvårar uppdateringar, felsökning och säkerhetsåtgärder.
  4. Nätverk. De kopplas till caféets öppna wi-fi eller andra osäkra nätverk.
  5. Otillåtna appar. De innehåller skadliga eller olämpliga applikationer och program som anställda laddat ner.
  6. Andra enheter. De är mer än laptops. USB-minnen, bärbara lagringsenheter och dockningsstationer är några exempel på prylar som också kan sprida malware eller snappa upp känslig information.  

Missförstådda dumma prylar

När ”personliga enheter” kommer på tal tänker nog de flesta på bärbara datorer och smartphones. Och de är definitivt en stor del av BYOD-hotbilden. Men också de vardagliga, småtråkiga tillbehören, prylarna som ingen skulle få för sig att kalla ”smarta”, är tickande små it-attackbomber.
Tanken bakom det populära konceptet hot-desking, ett slags Hela Havet Stormar för kontor där alla kan sätta sig var de vill, är att skapa en miljö som uppmuntrar till samarbete och samtal. I praktiken betyder det ofta ett antal kontorsplatser utrustade med skärm och dockningsstation. Säkert finns här också ett par mötesrum med konferenshögtalare som dagligen kopplas till en rad olika datorer. Det är lätt att förbise alla dessa passiva enheter, tillbehören som ”sover” tills någon väcker dem med ett stick av en USB-kontakt. Problemet är att de här enheterna kan manipuleras.
— Du ser dockningsstationer överallt på kontor där många människor rör sig, och en mängd olika datorer ansluts varje dag. De ses som en betrodd del av infrastrukturen, ingen tänker att någon kan manipulera eller byta ut en docka. It- och säkerhetsansvarig är mer fokuserad på att skydda din bärbara dator; det är ju i den som lösenorden och all värdefull information finns, säger Andy Davis, forskningschef på brittiska it-säkerhetsföretaget NCC Group. Men dockor, som sällan är fastlimmade vid konferensbordet eller kontorsplatsen, kan riggas. Andy Davis byggde själv en prototyp som enkelt planteras i en bärbar dockningsstation för att snappa upp och stjäla känslig information från anslutna datorer.
— Om du har tillgång till en docka får du information från alla andra portar, allt som kopplas till den, och kan fånga upp data både innan den krypteras och efter att den dekrypterats, säger Andy Davis. Det behövs inte ens en fingerfärdig cyberskummis som byter ut eller komprometterar en dockningsstation: Alla USB-enheter kan infekteras med skadlig programvara. USB-minnen, tangentbord, mikrofon, mus, externa hårddiskar — ja, kort sagt allt som ansluts via USB-port kan bära på virus. Viruset kan sedan spridas vidare helt oavsiktligt, när en användare i god tro kopplar den oskyddade enheten till sin redan (i tysthet) infekterade dator. 

Dumma prylar? Att manipulera eller rigga obevakad hårdvara är enkelt.

Håll koll på allt som sparar data

Illasinnade cyberkriminella kan alltså komma åt våra företagshemligheter från alla möjliga håll och portar, oavsett om vi jobbar hemma eller på kontoret. Och skurkarna behöver inte ens anstränga sig, för vi godtrogna kontorsslavar gör jobbet åt dem genom att surfa på oskyddade nätverk, koppla ihop smittade datorer med dockor, hörlurar, externa hårddiskar, osäkra plattformar, familj och vänner. För att skydda sig kan man antingen gå tillbaka till papper, penna och rörpost (och för säkerhets skull skriva sina lösenord i kod på små lappar som sväljs hela tillsammans med en cyanidkapsel, ifall någon försöker läsa över axeln). Eller så utarbetar man en stabil, företagsövergripande säkerhetsstrategi.
Först och främst: Inventera! Få koll på vad ni har. Det innebär att ta ett samlat grepp och lista alla enheter som används inom organisationen. De måste förstås vara säkra — men också förbli säkra. För att lyckas med det krävs förmodligen en utbildningssatsning för alla medarbetare, varesig de hybridjobbar eller enbart arbetar på kontoret. Alla behöver lära sig vad man ska undvika, hur man ska göra istället, vilka varningstecken och röda flaggor man ska vara uppmärksam på, och så vidare.
Du som är ansvarig för inköp och hårdvara bör hålla koll på nya, smarta prylar som samlar och lagrar data (exempelvis tillbehör som, när du kopplar in dem, kommer ihåg dina inställningar). Vilken data sparas, vem kommer använda enheten? Och framför allt: Håll ett extra skarpt öga på skrivare, konferenshögtalare, dockningsstationer och andra dumma enheter. De kan vara smartare än du tror.

Gå tillbaka till papper, penna och floppy disc… eller utarbeta en stabil säkerhetsstrategi.