Adgangssjusk kan koste virksomheder dyrt: 45 havde adgang til direktørs private drev

Syv ud af ti har uberettiget adgang til fortrolig data, og det rammer virksomheder på sikkerheden, mener udbyder.

Det gik ikke helt som håbet, da en direktør i en større dansk virksomhed fik oprettet et privat drev til fortrolige filer. It-afdelingen forsikrede ham om, at adgangen var begrænset til en lille kreds af betroede medarbejdere - herunder direktørens sekretær. En nærmere analyse viste, at der reelt var 45 ansatte med fri adgang til direktøren fortrolige drev.

Casen kommer fra det danske softwarehus Omada. Og den er langtfra unik, fortæller administrerende direktør Morten Boel Sigurdsson.

»Det er ikke første gang, vi har set det. Og ofte kan virksomhederne ikke gøre rede for, hvordan det er opstået,« siger han til Version2.

Læs også: Region H afviser læk af sundhedsdata - men erkender sjusk med brugerkonti

I det specifikke tilfælde havde en lang række medarbejdere i virksomheden fået tildelt rettigheder ved at kopiere en anden medarbejders rettigheder. Og sådan blev adgangen til det fortrolige drev stille og roligt udvidet.

Tidligere har en analyse fra Ponemon Institute vurderet, at 71 procent af medarbejdere oplever, at de har adgang til fortrolig data, som de ikke burde have. Også Rigsrevisionen har påpeget, at administrationen af rettigheder i det offentlige lader meget tilbage at ønske. Senest måtte Region Hovedstaden i sidste uge erkende, at 20.000 ud af 52.000 brugerkonti skal slettes.

Tror de har styr på adgang

Typisk udfører virksomheder et tjek en gang om året for at se, om der er styr på adgangen.

»Men der kan ske rigtig meget på 12 måneder,« indleder Morten Boel Sigurdsson.

Læs også: Rettigheder – den næste odyssé for digital forvaltning?

»Historisk kan vi se, at virksomheder ikke kan gennemskue deres egne data. Så nogle gange leder den traditionelle kontrol til, at virksomhederne fejlagtigt tror, at de har styr på adgangsrettigheder,« fortsætter han.

I stedet er virkeligheden, at tidligere medarbejdere er oprettet som brugere, og nuværende medarbejdere, der har flyttet afdeling, stadig har adgang til systemer, de burde være lukket ude fra.

Kan give bøder

Omada, der leverer systemer til id-kontrol, synes ikke overraskende, at danske virksomheder skal tage adgangskontrollen mere alvorligt. Ikke mindst fordi Datatilsynet under EU’s nye databeskyttelsesforordning kan udstede klækkelige bøder til virksomheder og myndigheder, der sjusker med kritiske data.

»Det er data i et HR-register, eller det kan være data om kunderne i salgsafdelingen. For at man kan få styr på den data, kræver det, at du har styr på, hvem der har adgang,« siger Morten Boel Sigurdsson.

Læs også: Rigsrevisionen: Statslige politidata og sundhedsdata er elendigt beskyttet

En undersøgelse fra Ernst & Young påpeger netop, at den mest sandsynlige kilde til brister på it-sikkerheden er medarbejderne

»Hvis du har 1.000 medarbejdere, så skal én nok komme til at dumme sig, og konsekvensen kan være stor. Derfor er man nødt til at begrænse adgangen,« understreger Morten Boel Sigurdsson.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jimmy Christiansen

Har virksomheden styr på rettigheder. Har de også nødvendigvis kortlagt hvilke værktøjer de forskellige roller har brug for.

På den måde er der et godt grundlag, for at uddanne/oplære medarbejdere i de værktøjer de skal bruge: rent effektivitets mæssigt hjælper det eks. ikke at have adgang til en masse. Hvis du ikke ved hvilke værktøjer du skal bruge og hvilke der er bedst til hvad.

Så der kan opnås synergi mellem sikkerhed og effektivitet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere