Universitetsansatte bekymrede over løsning til sikre mobiler: »Jeg er sådan set pikeret«

33 kommentarer.  Hop til debatten
Universitetsansatte bekymrede over løsning til sikre mobiler: »Jeg er sådan set pikeret«
Illustration: Lars Kruse, AU Foto.
På Aarhus Universitet vil man indføre et Mobile Device Management system for at forhøje it-sikkerheden, men medarbejderne er ikke blevet inddraget i den beslutning.
7. februar kl. 12:46
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

​På Aarhus Universitet kan de ansatte snart se frem til at skulle installere MDM-systemet (Mobile Device Management) Microsoft Intune på deres elektroniske enheder, hvis de vil tilgå Microsoft 365-produkter som mail og kalender. Men det er en beslutning, de ikke selv har haft indflydelse på, og det vækker bekymring.

Det skriver universitetsavisen Omnibus.

IT-sikkerherhedsekspert og stifter af CSIS Security Group Peter Kruse udtaler til avisen, at et MDM-system er nødvendigt for store virksomheder, og at det »måske er rettidigt,« at universitetet indfører løsningen. Beslutningen møder dog modstand fra de ansatte, der ikke mener, de er blevet inddraget i beslutningen.

Olav W. Bertelsen er lektor på Insititut for Datalogi ved Aarhus Universitet.

Artiklen fortsætter efter annoncen

»Jeg er sådan set pikeret over, at noget som er indgribende i folks måde at bruge deres arbejdsredskaber på, ikke er noget, vi er blevet orienteret om i hovedsamarbejdsudvalget,« udtaler Olav W. Bertelsen til universitetsavisen. Han er lektor og fællestillidsrepræsentant for det videnskabelige personale (VIP) ved Aarhus Universitet.

For nylig fik fem offentlige myndigheder kritik af Statsrevisorerne for endnu ikke at indfri alle 20 minimumskrav til it-sikkerhed, selvom de har haft mere end halvandet år til det. Særlig grelt stod det til ved Sundhedsdatastyrelsen, hvor man blot havde indfriet 12 ud af de 20 minimumskrav. Krav nr. 13 påkræver virksomheden at opdatere mobile enheder regelmæssigt, hvilket kan gøres gennem et MDM-system, som det Aarhus Universitet vil indføre.

33 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
33
9. februar kl. 10:22

Nu har jeg gået ud fra, at det kun er enheder, som faktisk har adgang og bruges til universitetets systemer, som man er ude efter: "hvis de vil tilgå Microsoft 365-produkter som mail og kalender. "</p>
<p>Jeg går ikke ud fra, at det er rent private enheder.

Microsoft O365 sættes ikke default op til at se forskel på hvor du kommer fra, så du kan logge på hvor det passer dig bare du har din mobil med dig til 2-faktor login. Det var jo ligesom en af de oprindelige "fordele" ved O365.

Du logger normalt på uden brugernavn / kode fra arbejdsenheden og med fra andre enheder.

Hvis vi så antager at filer ligger i OneDrive så er datatyveri også et "hackerangreb" - uanset om det er i forbindelse med ransomware eller ej.

Hvis du så vil sikre en vis niveau af sikkerhed kan du gennemtrumfe den med MDM som checker om din enhed er sikret godt nok og om den måske er kompromitteret - det sikrer så også at virksomhedens data kan slettes fra enheden.

Bortset fra det rent tekniske mambo jambo så er der en rent menneskelig aspekt - MDM tvinger for eksempel at folk har lås på telefoner / iPads / computere - det er der en del mennesker som ikke mener er nødvendigt så de bliver pissed bare fordi deres "frihed" bliver "indskrænket" eller fordi de ikke længere kan logge på fra tilfældige enheder de møder på deres vej... det er noget vi ikke kan ændre, sådan er mennesker skruet sammen men det er også derfor MDM kan være en nødvendighed.

Jeg mener så også at man er nødt til at have brugerne med som minimum bare med en info om at "der indføres en MDM løsning om 1 måned for at forhøje sikkerheden omkring GDPR berørte data samt mindske risikoen for hackerangreb og derefter er adgangen til virksomhedens systemer kun mulig hvis MDM er installeret på den enhed man tilgår systemerne fra". Nu har man så givet 2 håndgribelige og rationelle grunde til at indføre MDM og den ene er i øvrigt et EU direktiv som gælder alle indenfor EU's grænser - så det er lidt svært at komme uden om.

Hvorvidt det er bare det fjerneste rationelt at bruge GDPR og Office365 sammen i betragtning af Schrems-II dommen bør virksomhedens jurister tænke lidt over.

31
8. februar kl. 19:53

Jeg synes, jeg efterhånden stort set dagligt læser om ransomware og hacker-angreb overalt i firmaer og samfundsindstitutioner. Men det er måske ikke den slags, der kan finde vej via studerendes mobiler, og som man (også) vil forebygge her?

Studerende har ikke adgang til interne systemer (andet end at de måske bruger samme mailserver som forskere - men som upriviligerede brugere).

Universiteterne er lige så sårbare overfor angreb fra deres almene studerende som de er overfor angreb fra dig. Bør de derfor kræve at du installerer deres programmel på din telefon?

28
8. februar kl. 15:49

Kunne være rart egentlig at vide hvad der diskuteres om.

Der har været en masse for/imod, men jeg kan ikke se at der er nogen der (inkl journalisten) der har en ide om hvad der er der skal passes på.

Det er også det #20 Troels skriver. Hvad er substansen ??? og hvilke jobprofiler mm diskuterer vi.

#19: Anne-Marie siger vel egentligt det samme: Hvad er det egentlig vi diskuterer om. Vi snakker om hvorfor og lidt hvordan(mdm), men forholder nogen af os egentlig til "hvad for data".

Uden det giver diskussionen ikke så meget mening. Man kan jo også bare tage den nemme: at et er alt. Så er løsningen måske et lock-down kiosk mode system der er det nemmeste - men måske ikke det helt optimale.

Bare et eksempel på at der måske en del at se på. Rigtig mange bruger idag overleaf.com til latex. Et udenlandsk(UK) firma. Er det smart at al man skriver ligger i deres systemer. Jeg ved det ikke

25
8. februar kl. 12:29

Tjah - handler alt dette ikke om, at man gerne vil have at data forbliver på arbejdspladsen? Naturligvis med den konsekvens, at arbejdstelefon og arbejdsbærbar også forbliver på arbejdspladsen udenfor arbejdstiden.

Hermed er der også god mulighed for virksomhederne for at spare omkostningerne ved hjemme-forbindelser - medarbejderne skal jo ikke spilde deres fritid på at lave arbejde hjemmefra.

Og hvis man virkelig skulle have brug for en Microsoft-pc, så kan den vel implementeres virtuelt og med remote-screen adgang (så bliver vitale data stadig på arbejdspladsen).

24
8. februar kl. 12:12

Det tror jeg allerede er standard. KU har betalt for min bærbare (som jeg også bruger privat), og selvom jeg har min egen telefon, så har mange af mine kollegaer en iPhone betalt af KU.

Det ville jeg også have formodet for de regulært ansatte, men gælder det også for de studerende? I så fald er problemet naturligvis noget mindre. Specielt hvis man kan nå at få de nye enheder inden reglerne træder i kraft.

Beklager, men det er længe siden jeg har været på et dansk universitet...

22
8. februar kl. 11:01

Det kan godt være at nogle synes, det er mere besværligt med 2 devices. Men jeg mener faktisk det er en fordel. Jeg har fri, når jeg har fri, og ingen arbejdsgiver får ved en fejl adgang til noget de ikke skulle have adgang til.

Der kan vel ikke være tvivl om at det er mere besværligt? De fleste her vil nok også sætte pris på at arbejdsgiveren ikke har adgang til ens personlige ting.

På en rejse hvor man er hjemmefra i flere dage er der nok mange der gerne vil kunne gøre personlige ting på hotellet eller på rejsen. Men det er lidt surt at slæbe rundt på to laptops når man rejser med bus, fly og tog. Måske et nødvendigt onde som man må leve med, men besværligt.

Men at kræve en ekstra enhed og/eller MDM når det eneste man som PhD studerende i matematik vil er at kunne læse sin email (som det antydes i artiklen) synes overdrevet. Det må da kunne gøres med en eller anden kombination af VPN, web baseret mail, to-faktor, osv.?

Derudover er der også GDPR som virksomheden skal tage hensyn til, hvis man bruger sin mobil til både privat og job: Virksomheden må faktisk ikke snage i de apps, som ikke har med virksomheden at gøre. Og det kan de kun ved at sltte en skærm op for hvad der er adgang til. Det er i hvertfald mit bedste gæt, men er ikke helt sikker.

Her kan man så spørge om brugen af Intune (og Microsoft 365) opfylder GDPR? Her giver man Microsoft i USA direkte adgang til alle enheder og data nårsomhelst og hvorsomhelst.

Kommunikation og indragelse af medarbejderne bør dog være et must, så medarbejderne kan få et valg: installering af MDM på privatmobil eller på en seperat arbejdsmobil.

Netop! Mon ikke det er her skoen trykker? Får alle der indtil nu har brugt en personlig enhed til at læse email en betalt enhed af universitetet inden reglen træder i kraft? Hvem betaler den for en studerende? For folk på projekter hvor der ikke er luft i det resterende budget? Til folk der ikke af universitetet bedømmes at have kritisk brug for at læse email udenfor arbejdstiden?

Ifølge artiklen ser det dog ud til at det kun er "telefoner og tablets" det drejer sig om, og specifikt om hvorvidt man kan tilgå Office 365 og mail.

Som jeg læser den gælder det alle "elektroniske enheder" og Intune kører på laptops.

Som skrevet ovenfor er den konkrete sag her (MDM) ikke så slem[...]

MDM på en privat enhed er da et voldsomt indgreb! Kan misbruges til at tilgå alt på enheden og enhederne kan slettes på afstand. Hvis man kræver MDM må man stille en gratis enhed til rådighed for de ansatte.

21
8. februar kl. 07:56

Jeg har en arbejds mobil og en arbejds tablet. På disse downloades der hverken spil, SoMe apps elker lignende. Det er et arbejdsredskab og min arbejdsplads kan styre disse devices og lægge de apps på, som de mener jeg har brug for, ift at kunne udføre mit arbejde. Jeg bruger dem jo devices i deres navn.

Min arbejdsmobil slukkes efter fyraften, ved ferier osv og min chef kan kontakte mig på mit private nummer, hvis der opstår et emergency.

Det kan godt være at nogle synes, det er mere besværligt med 2 devices. Men jeg mener faktisk det er en fordel. Jeg har fri, når jeg har fri, og ingen arbejdsgiver får ved en fejl adgang til noget de ikke skulle have adgang til.

Derudover er der også GDPR som virksomheden skal tage hensyn til, hvis man bruger sin mobil til både privat og job: Virksomheden må faktisk ikke snage i de apps, som ikke har med virksomheden at gøre. Og det kan de kun ved at sltte en skærm op for hvad der er adgang til. Det er i hvertfald mit bedste gæt, men er ikke helt sikker.

Kommunikation og indragelse af medarbejderne bør dog være et must, så medarbejderne kan få et valg: installering af MDM på privatmobil eller på en seperat arbejdsmobil.

20
8. februar kl. 07:22

Jeg arbejder ikke selv på AU, men på KU, som forsker og underviser. Jeg antager at arbejdsgangene er nogenlunde de samme.

Min første bekymring ville være min arbejdsbærbare, der kører Linux, som ikke er understøttet af Microsoft Intune. Derudover tror jeg ikke at det ville tillade de ting jeg har brug for til at udføre mit arbejde. Ifølge artiklen ser det dog ud til at det kun er "telefoner og tablets" det drejer sig om, og specifikt om hvorvidt man kan tilgå Office 365 og mail. Det ville jeg personligt godt kunne leve med uden at det påvirkede mit arbejde. Det er alligevel sjældent jeg tjekker KU-dokumenter og KU-mail på min telefon.

Principielt kan man dog endnu engang overveje om det er passende at bruge samme løsning for alle medarbejdere på universitetet. Denne indførsel af MDM er måske ikke så slem, men det kan åbne døren for endnu mere rigide løsninger der ville være besværliggøre egentligt arbejde. Visse forskere har adgang til data der er følsomme i enhver gængs forstand - f.eks. personhenførbare personoplysninger eller industrihemmeligheder. Disse skal naturligvis beskyttes godt, også selvom det er besværligt. Men de fleste forskere arbejder slet ikke med følsomme data - enten fordi de laver metodeforskning, bruger åbne data, er rene teoretikere, eller måske eksplicit har fravalgt at arbejde med følsomme data, netop fordi de ikke gider besværet med at passe på det.

Som underviser har man også adgang til personhenførbare data. Noget af det er en anelse følsomt - karakterudskrifter, dispensationsansøgninger, tilmeldingslister, osv. Vi er dog i en helt anden kategori hvad angår følsomhed end det typiske eksempel med sundhedsdata. Delvist fordi mængden af data er mindre (og mindre struktureret), og delvist fordi disse data nok ikke er interessante for en angriber. Det er data hvor den almindelige tavshedspligt naturligvis skal overholdes, men det måske ikke er nødvendigt med meget teknisk sikkerhedsindsats - der er ingen der gider stjæle det her.

Det grundlæggende problem er dog at alle disse former for data ofte ender med at blive gemt i samme system, som derfor skal beskyttes efter behovet for de mest følsomme af dem. Især email er notorisk som en skraldespand hvor alt ender. Det undergraver sikkerheden, fordi man som bruger ofte ender i en situation hvor man 99% af gangene skal gennemgå et unødvendigt sikkerhedscirkus for at beskytte de sidste 1% (eller mindre). Det betyder at man begynder at opfatte sikkerhed som et irritationsmoment, noget man skal omgå for at udføre sit arbejde, i stedet for at være opmærksom på at være særligt sikker de gange man rent faktisk arbejder med noget følsomt. Det tror jeg er skadeligt for det overordnede udfald, hvis man gerne vil passe på følsomme data. Det ville være bedre at lave en mere finkornet inddeling - f.eks. flere email-konti med forskellige sikkerhedsregler.

Som skrevet ovenfor er den konkrete sag her (MDM) ikke så slem, men den er symptomatisk for en ensrettelse i tankegang man skal passe på med.

19
8. februar kl. 07:19

...diverse uddybninger og forklaringer.

Så nu mangler der bare stadig en uddybning af, hvad det egentlig er, de ansatte er pikerede over? Er det, at man blander sig i deres brug af mobile/private enheder (der står faktisk ikke noget om, at der er tale om private enheder - bare "elektroniske enheder"), og pålægger dem sådanne foranstaltninger på deres mobile/private/alle mulige enheder? I så fald finder jeg det ikke i orden at være pikeret - det er offentlige arbejdsgiveres ret og pligt at sikre systemer og data (der er vel tale om sikring af begge dele her?), og det glæder mig, hvis man - alt for sent - begynder at tage det alvorligt.

Eller er de bare vrede over, at de ikke er blevet inddragede i beslutningsprocesser omkring, hvilke produkter der skal vælges? I så fald er det måske en rimelige indvending (det kan jeg ikke vurdere), men primært et samarbejdsproblem, som vel ikke er så it-relevant?

Min læsning af artiklen er muligvis lidt farvet af mange års læsning af artikler og indlæg om og fra diverse forskere og andre medarbejdere, som, i forskningens og forretningens hellige navn, raser, hvis der gribes ind i deres uhindrede ret til at hente, gemme, bruge og videregive diverse data fra både faste og mobile og private enheder - også i mange tilfælde private og følsomme data - fordi de finder den slags en sten i skoen. Men det er muligvis ikke det, der er på spil her.

18
8. februar kl. 06:17

Ideen om at man kan gøre for n bruger computer/client sikker er utopisk. De fleste fleste vil nok mene at man skal kunne browse for at arbejde. Der er vi allerede ude i et system det henter utallige ikke betroede programmer fra internettet. Hvis man er heldig virker sandboxen og brugerens vurdering af hvad den må.

Brugeren er i sidste ende nok det svageste led.

17
7. februar kl. 23:25

Man har vel lov til at brokke sig? Nu skal man slæbe rundt på to computere, to ladere og to telefoner på en arbejdsrejse. Når man altså ikke arbejder med følsomme ting og allerede har dårlig ryg.

Det har jeg nu gjort i mange år og det er såmænd blot en (god) vane. Desuden er det ikke så tit at man skal "slæbe" 2 computere med sig med mindre man har for vane at blande arbejde og privatliv i en, efter min mening, usund grad. Det gør i det hele taget alting meget nemmere - og langt mere sikkert- for begge parter at man har en absolut fysisk adskillelse af telefon og computer til hhv privat brug og arbejdsrelateret brug. Desuden er det for dem der betaler gildet - her skatteyderne - nok også mere rimeligt. Det er dyrt for en virksomhed / institution at blive hacket

16
7. februar kl. 22:47

Det er vel egentlig sundt at holde arbejdsliv og privatliv adskilt. Også på ens dimser/tablets/computere/...

? ! :-)

15
7. februar kl. 22:11

...eller handler den om, at man ikke finder, at MDM er et godt valg?

MDM er ikke et produkt det er et koncept, det står for Mobile Device Management, der findes adskillige produkter til det. Apple har et for deres produkter, Microsoft har en enterprise løsning som kan styre Windows, Apple og Android og der er 2 ~ 3 andre.

MDM giver mulighed for at gennemtvinge forsk. indstillinger på en "mobil" enhed - mobil er alt fra en telefon til en computer, det er et alternativ til Group Policies som giver samme kontrol over enheder som ikke er på Windows Domainet som GPO'er gør.

Problemet er når mobile dimser bruges bredt (altså ikke kun til arbejde) så føles det dels som en klods om benet (ting virker ikke længere fordi firmapolitikken ikke tillader det) og dels er der et sværd hængend over hovedet fordi firmaet kan slette enheden remote og uden at brugeren kan forhindre det.

Hvis man så går fra et "åbent og frit" miljø som universiteter typisk er til et enterprise miljø a'la Novov Nordisk eller Danske Bank så bliver brugerne overraskede og iriterrede.

Hvorvidt det er nødvendigt er et helt andet ting, der er en stor del medarbejdere som er i berøring med GDPR ramt materiale og da bøder og ballede omkring brud på det er ret store så kan jeg godt forstå at man gør det - på den anden side kunne det løses nemt og elegant ved at holde GDPR ramte ting spærret inde i et Citrix miljø så de data aldrig kunne forlade universitetet - man kunne så fortsat arbejde på det hjemmefra men ikke tage det ud af Citrix miljøet - det er naturligvis surt hvis man vil have det ned på SIN dims.

14
7. februar kl. 17:30

Jeg har udlagt underoverskriften som udtryk for, at medarbejderne har ønsket at være med til at tage stilling:

"På Aarhus Universitet vil man indføre et Mobile Device Management system for at forhøje it-sikkerheden, men medarbejderne er ikke blevet inddraget i den beslutning."

Og:

"Beslutningen møder dog modstand fra de ansatte, der ikke mener, de er blevet inddraget i beslutningen."

Og indvendingen om, at det er indgribende i folks måde at arbejde på, har jeg opfattet som udtryk for, at man er negativt indstillet overfor dette tiltag. Det uddybes jo ikke - men ud fra det, der refereres, synes jeg, at det er et dårligt argument.

Og det er vel stadig rimeligt at man orienterer medarbejderne på passende vis og overvejer alternative løsninger.

Jaja - og jeg skriver jo også, at hvis der findes alternativer, har jeg forståelse for, at man gerne vil inddrages. Det fremstilles bare ikke som om, det er problemet med alternativer, men at man generelt lyder negativt indstillede overfor, at private "dimser" skal påtvinges den slags. Det er i hvert fald sådan, jeg læser det - men det kan da være en fejltolkning fra min side - eller dårligt refereret i artiklen.

Handler artiklen om, at man er sure over, at man ikke er blevet inddraget (irrelevant ift. Version2), eller handler den om, at man ikke finder, at MDM er et godt valg?

Findes der alternativer? For du giver mig vel ret i, at medarbejdernes bekvemmelighed - hvis det er grunden til modstanden (jeg tager jo forbehold her) - ikke er noget argument for at protestere.

Historien trænger til at inddrage lidt flere oplysninger.

13
7. februar kl. 17:01

Der er jo andre hensyn end følsomme data, Jesper Schou. Der er jo også problemet med, at alt muligt snavs kan snige sig ind via private dimser - snavs, som kan bringe funktionerne i systemer og institutioner i fare. Og som evt. indirekte kan give adgang til mere følsomme data end ikke-følsomme fysikpojekter.

Som jeg skrev: "Der står intet i artiklen om at det sker af hensyn til følsomme data." Min anke var at det blev gjort til et spørgsmål om følsomme data og at dette fører til absurde argumenter.

Med andre ord formoder jeg at det netop er af de grunde som du giver. Ting der er god grund til at være bekymrede over og som ofte ikke tages alvorligt nok i disse miljøer. Beklager hvis det ikke var klart.

Og det er vel stadig rimeligt at man orienterer medarbejderne på passende vis og overvejer alternative løsninger.

12
7. februar kl. 16:29

Der er jo andre hensyn end følsomme data, Jesper Schou. Der er jo også problemet med, at alt muligt snavs kan snige sig ind via private dimser - snavs, som kan bringe funktionerne i systemer og institutioner i fare. Og som evt. indirekte kan give adgang til mere følsomme data end ikke-følsomme fysikpojekter.

Ja, man kan da godt mene, at der kunne have været orienteret om dette i hovedsamarbejdsudvalget. Men når det er en artikel i Version2, tænker jeg, at det ikke bare kan være et spørgsmål om at belyse evt. dårligt samarbejde på Århus Universitet. Der må vel også være et eller andet it-relevant i sagen, nemlig om det er et rimeligt/nødvendigt krav, at ansatte skal sikre deres "dimser".

Men kære V2: Hvorfor er personalet pikerede?

11
7. februar kl. 16:16

dette problem - følsomme arbejdsdata/oplysninger på private dimser

Der står intet i artiklen om at det sker af hensyn til følsomme data. Det ser ud til at gælde for alle. Mange universitetsfolk (tænkt PhD studerende i teoretisk matematik) har nok ikke brug for mange følsomme data i deres arbejde. De få gange de muligvis har kan de vel tilgå tingene på arbejde.

Der står: »Jeg er sådan set pikeret over, at noget som er indgribende i folks måde at bruge deres arbejdsredskaber på, ikke er noget, vi er blevet orienteret om i hovedsamarbejdsudvalget,«

Klagen er altså over man ikke er blevet orienteret eller inddraget tidligere.

"Men bekvemmelighed er ikke en gyldig grund til at brokke sig over dette."

Man har vel lov til at brokke sig? Nu skal man slæbe rundt på to computere, to ladere og to telefoner på en arbejdsrejse. Når man altså ikke arbejder med følsomme ting og allerede har dårlig ryg.

Tiltag som dette har en pris. Både i penge til nye computere og i "bekvemmelighed". Det er vel rimeligt at forholde sig til medarbejdernes bekymringer og inddrage dem for at se om der er andre løsninger for en del af dem. Men det er klart at sikkerheden skal være i orden og loven overholdt og det er muligt at dette er den eneste realistiske løsning.

PS. Bare for at gøre det klart så arbejder jeg ikke på Aarhus Universitet.

10
7. februar kl. 15:37

Jens Frederik Dalsgaard Nielsen:

Som jeg forstår det, anses det åbenbart som sikkerhedsmæssigt nødvendigt at "gøre noget", eks. MDM. Og jeg tænker, at det ikke kun er ift. evt. følsomme data, men også pga. risikoen for angreb af forskellig art, som kan lamme institutioner og arbejdspladser og infrastruktur.

9
7. februar kl. 15:33

Tak for svar og indblik, Søren Koch.

Jamen, det er jo helt utroligt her flere år efter ikrafttræden af GDPR...

Og det mest utrolige er jo, at der ikke er længe imellem, at vi skal høre på (bestukne?) politikere og myndighedspersoner, som uden at rødme praler af, at vi har god it-sikkerhed i det offentlige Danmark, så vi kan ganske roligt "giv mig dine data, du kan være helt rolig - giv mig dine data, du kan være helt rolig - giv mig dine data, du kan være helt rolig. ..."

8
7. februar kl. 15:32
  1. hvad mener I er følsomme data ? er det feks kursushjemmesider, eller andet i den duer ? Eller er det noget helt andet?. Eller er det alt der står arbejdsplads på ? Det sidste er nemt men firkantede verdner har tit skarpe hjørner.

Jeg mener "rigtige" følsomme data hører ikke hjemme på en lokal arbejdsplads, hverken on campus eller hjemme. Men "alt det andet" ???

Et andet eksempel. Jeg holder fra tid til anden lidt kursus i operativsystemer, device driver og har dygtige kolleger der underviser i IT sikkerhed. Der roder man mildest talt nede i maskinrummet af ens systemer. Hvad med det ?

Langt de fleste af mine "VIP" (hader det udtryk) kolleger har ikke adgang til havd jeg vil kalde kritiske systemer.

Men ellers enig med #6 hvis man kan få skilt tingene lidt ad.

7
7. februar kl. 15:26

Du vil nok blive overrasket desværre.

Det er f.eks først nu at det er blevet påkrævet at bruge 2-faktor på webmail på DTU (På Risø havde vi 2-faktor på alt fjernadgang allerede for 15 år siden pga samarbejde med Haldor Topsoe, men det forsvandt gradvist efter fusionen med DTU og er ført nu ved at komme igen.

(Der var indtil kort før jul nogle institutter der på det kraftigste mente at der i hvert fald IKKE skulle 2-faktor på mail da det jo var besværligt og der jo ikke var nogen problemer med ikke at have det)...

mvh Søren

6
7. februar kl. 14:07

De skal bare lade være med at installere lortet og kun bruge arbejdsgiverens dimser til at arbejde og private dimser til private ting.

Og jeg er da endnu mere pikeret, og direkte harm, over, at dette problem - følsomme arbejdsdata/oplysninger på private dimser - ikke er løst for længst. At man åbenbart ikke for længst har gennemtvunget en af to løsninger:

  • Ingen følsomme arbejdsdata eller adgange på private enheder.

  • Tvungen sikring (jeg er ikke fagmand, så jeg har ingen mening om, hvilken løsning der er bedst der) af evt. følsomme arbejdsdata og adgange.

Hvordan kan det gå til? Og hvilke andre steder i det offentlige kan medarbejderne stadig opbevare og tilgå følsomme data via egne dimser, uden passende foranstaltninger?

4
7. februar kl. 13:41

Jeg tænker at det som Olav W. Bertelsen er pikeret over er at han benytter sin egen private telefon og denne nu pålægges nogle politikker som han ikke har bestemt.

Hvis jeg har ret, forstår jeg godt at personer uden indsigt i it truslen kan blive pikeret.

Faktum er bare at det er Universitets data og systemer han tilgår. Denne adgang indebære nogle risici som han ikke kan overskue.

Jeg ved at mange forskere føler et meget højt ejerskab for deres arbejde. Hver forsker skal bare huske på at hver forsker forventer at Universitetet sikre at når en anden forsker kompromitteres så bliver han ikke selv kompromitteret. Universitet er med dette tiltag i gang med at sikre dette forhold.

3
7. februar kl. 13:35

Er det medarbejdernes bekvemmelighed, der er på spil, eller er det fordi, medarbejderne mener, at der er bedre løsninger, som yder det samme?

Det kunne jo være at medarbejderne ikke mener at arbejdsgiveren skal rode/overvåge/spionere på deres enheder - det er det som MDM reelt gør.

De skal bare lade være med at installere lortet og kun bruge arbejdsgiverens dimser til at arbejde og private dimser til private ting.

2
7. februar kl. 13:12

Jeg vil mene at det på det normale arbejdsmarked er almindeligt med MDM. Tilføjer du din arbejdsmail til mobilen, kommer der nogle restriktioner med. Fx virker ofte Androids Smart-lock ikke mere af sikkerhedshensyn. Jeg mener det er rimeligt og åbenbart også nødvendigt at stille krav til sikkerhed af arbejdspladsen.

1
7. februar kl. 13:01

.... over, at medarbejderne lyder til ikke at prioritere samfundets fungeren, og og evt. berørte borgeres/forsøgspersoners perspektiv omkring beskyttelse af privatliv, når man gør indsigelse overfor denne foranstaltning.

Er det medarbejdernes bekvemmelighed, der er på spil, eller er det fordi, medarbejderne mener, at der er bedre løsninger, som yder det samme?

I så fald har jeg selvfølgelig forståelse for, at man gerne vil inddrages. Men bekvemmelighed er ikke en gyldig grund til at brokke sig over dette.