Felaktiga ränteberäkningar och kontoutdrag. Hemliga uppgifter som skickas till fel personer. Kunder krävs på betalningar de redan gjort. Skattemyndigheterna jagar oskyldiga.
Detta är exempel på några händelser som kan bli följden när datakvalitetskontroll åsidosätts eller ADB-systemen klappar ihop i banker eller andra storföretag. Slarvfel liksom medvetna brott kan skapa enorma problem. Därför måste företagens toppchefer ta sitt ansvar för datasäkerheten hävdar Ivan Ekebrink, Risk Manager på S-E-Banken i denna intervju av Björn Davegårdh.
Intresset för ADB-säkerhet har ökat i takt med avslöjandena om att s k ”hackers” har tagit sig in i databaser och rumsterat om. Storföretagen satsar nu stora belopp för att skydda sig.
”All säkerhet baseras på ordning och reda”, säger Ivan Ekebrink. Så kallade ADB-brott i bankvärlden brukar få stora rubriker i tidningarna. Men ett betydligt allvarligare problem sett i tid och pengar är olika typer av slarvfel. Det är pinsamt att skicka fel kontoutdrag till folk – eller att 10.000 kronor förvandlas till 100.000 kr vid en telexremissa. För att undvika sådana fel krävs väl strukturerade rutiner, väl utbildad personal och ordning och reda. Ivan Ekebrink betonar personalvården. En person som trivs på sitt arbete gör betydligt mindre fel än en som vantrivs.
ADB-situationen varierar naturligtvis från arbetsplats till arbetsplats. Stora företag har kanske ett 20-tal anställda som ansvarar för säkerheten totalt sett, varav kanske hälften vid ADB. I ett litet företag får däremot VD ta på sig alla hattar. Det som skall skyddas varierar också. Större teknikorienterade företag vill skydda sina ritningar. I andra företag är kundregistret viktigast. Ett sätt att analysera sin sårbarhet är att testa företaget med den s k Sårbarhetsanalysmetoden (SBA) som kan erhållas från Riksdataförbundet.
I bankvärlden finns en lång tradition av sekretess. Kunderna vill inte att uppgifter om dem skall cirkulera ohejdat. Fortfarande måste alla banktjänstemän skriva under en sekretessförbindelse. Förr var problemen lätthanterliga. Böckerna låstes in i valvet varje dag. För att öppna valvet krävdes närvaro av två personer. Med datorernas inträde i bankvärlden i början på 1970-talet blev det mer komplicerat.
Ivan Ekebrink: ”Bankerna började med en s k closed shop. Det innebar att datorerna låstes in i ett rum med en lucka där tjänstemännen fick presentera sina datorärenden. I samband med utbyggnaden av datornätet med terminaler togs luckan bort – eller snarare flyttades fram till kunddiskarna.”
Enligt Ivan Ekebrink har bankväsendet nu ändrat karaktär. Förr var banken en institution som hanterade pengar. Nu är det en informationsindustri. Och det ställer helt andra krav på ADB-säkerhet. Informationscentralen/datahallen måste skyddas från insyn, attentat, brand etc.
Bankernas terminalisering har gått oerhört långt. Praktiskt taget alla tjänstemän har tillgång till en terminal. Därför måste det finnas en behörighetspolicy. Bara den som har användning av en viss information skall få titta, ändra respektive kopiera den. Datorn skall också kunna identifiera vem som har gjort vad med informationen. Ett särskilt problem är när t ex ordbehandlingsmaskiner kopplas till stordatorer. Här är det ett absolut krav att varje terminal kan identifieras, anser Ivan Ekebrink.
För den här typen av behörighetskontroll krävs också en särskild administration. Annars kan det uppstå gnissel i maskineriet. Personer skall snabbt kunna få temporär behörighet till vissa data eller vid särskilda tillfällen.
Information transporteras och måste i vissa fall skyddas mot avlyssning. Detta sker genom kryptering som gör informationen obegriplig för den som inte har rätt nyckel. Någon måste alltså utses för att se till att nycklar byts och distribueras till rätt personer vid rätta tidpunkter.
Ivan Ekebrink: ”All säkerhet måste börja uppifrån och spridas utåt i organisationen. Det är oerhört viktigt att ledningen ger sitt stöd för säkerhetspolicyn. Det är lika viktigt att de olika enheterna sedan känner ansvar för sitt avsnitt från säkerhetssynpunkt. Utformningen av ADB-säkerhetspolicyn måste ingå i företagens långsiktiga planering.
Björn Davegårdh