Speciellt för revisorsyrket är att man gärna arbetar med bärbara persondatorer. De datorerna är kanske det största säkerhetsproblemet som revisorerna har framför sig. Antalet bärbara datorer på byråerna ökar explosionsartat. Frågan är om den här explosionen åtföljs av tillräckliga säkerhetsrutiner, som kan hindra att klientdata kommer på avvägar.
Balans träffade tre dataansvariga på Bohlins Revisionsbyrå för att diskutera vad PC-explosionen innebär för klientdatasäkerheten.
Magnus Josefson, ADB-chef, Björn Lindberg, ADB-säkerhetskonsult, och Per-Åke Nilsson, PC-ansvarig, var eniga om att de bärbara datorerna innebär speciella risker som man måste gardera sig mot.
525 persondatorer
Bohlins hade när intervjun gjordes 200 bärbara och 150 stationära persondatorer. Man räknade med att skaffa ytterligare 175 bärbara bara under det närmaste året. Det blir sammanlagt 525 persondatorer. För fem år sedan fanns det inte en enda PC hos Bohlins. Snart har företaget en maskin på varannan anställd. Den här utvecklingen är inte unik. Det ser ungefär likadant ut på många andra revisionsbyråer.
Det här måste man se upp med.
Extra farligt är det att klientdata förekommer på hårddiskarna på de bärbara datorerna.
– Det är farligt att ha data liggande på hårddisken, säger Björn Lindberg. Tänk bara på hur stöldbegärlig själva burken är! Ett annat problem med hårddiskarna är att de kan gå sönder och måste in på service. Då måste man också se upp med att informationen kan komma ut till obehöriga.
Fann klientdata på hårddisk
Säkerhetsregel nummer ett är att klientdata inte ska finnas på hårddiskar. Där ska egentligen bara ligga programvaror.
– Ja, det finns klara instruktioner om detta, säger Magnus Josefson. Men sanningen är att vi har hittat arbetsexemplar av klientdata på hårddisk, vilket givetvis inte betyder att de kommit på avvägar. Jag hade en diskussion om detta med en av våra högre revisorer. Han sa bestämt att klientdata inte förekommer på hårddisk. Det var ingen mening att diskutera saken.
Per-Åke Nilsson:
– Men man får ju förstå att det ligger ökad arbetseffektivitet i att revisorerna utnyttjar hårddisken.
Men kan man inte acceptera att revisorn har klientdata på hårddisken medan han/hon sitter och arbetar ute hos en klient, om informationen sedan omedelbart efteråt överförs till diskett och raderas från hårddisken?
– Nej, säger Per-Åke Nilsson. Det finns enkla standardprogram som ändå kan plocka fram den raderade informationen.
Bohlins fick för inte så länge sedan in en dator för test. Den hade tidigare varit på en annan revisionsbyrå. Eftersom det var en testmaskin tittade man extra noga på den. Och på hårddisken. Där fanns åtskilligt som inte var ämnat för Bohlins ögon.
Sudda hjälper inte
– Revisorn tror kanske att han tar bort data definitivt när han raderar, säger Magnus Josefson. Men ska man ta bort information måste man så att säga skriva över den en gång till.
Somliga tror att det möjligen bara är den senast raderade informationen som går att läsa med specialprogram. Det är nästan tvärtom. Man kan plocka fram 15–20 generationer data. Plus att det är allra lättast att hitta de data som skrivits in först. Egentligen borde man börja med att lägga in ”skräpinformation”. Det skulle utan större tidsspillan kunna ske automatiskt i samband med formateringen.
Informationen på lånemaskinen spreds dock inte utanför Bohlins. På dataavdelningen har man program som definitivt tar bort data. Det var en helt rensad lånemaskin som sedan lämnades vidare.
– Användare är sällan medvetna om de här problemen, säger Björn Lindberg.
Hårddiskar kasseras
Hos Bohlins är det strängeligen förbjudet att lämna hårddisken på lagning hos en servicefirma. Den ska alltid gå till Bohlins dataavdelning, bl.a. för eventuell slutgiltig radering med de speciella program som finns där.
– Ibland har hårddisken gått sönder på sådant sätt att vi inte kan radera den, säger Magnus Josefson. Då går den undantagslöst till skrot.
En intressant öppning i den här problematiken utgör löstagbara hårddiskar, som revisorn kan bära med sig och använda både på stationära och bärbara PC.
Bohlins bärbara datorer är av märket Toshiba. Toshiba har löstagbara diskar men dessa har ännu inte börjat importeras till Sverige. Men de kommer säkert snart. Tills vidare ska man på Bohlins anskaffa en del bärbara Victor-maskiner. Till dem finns nämligen lösa diskar.
Lösa hårddiskar är lättare att kontrollera än hela datorer som kan stjälas i ett obevakat ögonblick.
Kryptering säkrast
Men egentligen är det bara en enda sak som är riktigt säker. Per-Åke Nilsson:
– Ska man ha en riktig säkerhetsnivå på PC så måste man kryptera. Krypteringen bör helst vara automatisk så att allt krypteras. Det förhindrar misstag.
Bohlins har ännu inte börjat med kryptering. Däremot har man ett behörighetskontrollsystem för persondatorer. Behörigheten kollas först genom en id-kontroll med hjälp av exempelvis lösenord. Sedan måste man också visa behörighet till de resurser i systemet som man vill använda.
Men för att åstadkomma en verklig PC-säkerhet måste data krypteras, eftersom operativsystemet är vidöppet för den som kan det.
Mycket att välja på
– I väntan på att vi börjar med kryptering försöker vi sprida budskapet att inte lagra känsliga data på hårddisk och att all utrustning som går till service måste gå via oss på dataavdelningen så att vi kan tömma maskinen ordentligt.
Det finns redan i dag en uppsjö med krypteringsprogram. Problemet är att hitta ett program som täcker alla behov. Det är svårt att komma fram till en bra standard.
Dessutom bör även ett krypteringsprogram vara användarvänligt. Helst ska användaren inte behöva märka att han arbetar i en krypterad miljö.
Hur som helst krävs det stor beredskap inför framtiden när det gäller datasäkerhet på revisionsbyråerna.
– Nästa nivå är att få säkerheten att fungera när man från persondatorerna kopplar upp sig till mini- och stordatorer, säger Magnus Josefson.
Lätt att avlyssna
Då räcker det inte med vanliga lösenord för att upprätthålla säkerheten. Lösenorden går ju i klartext på linjerna. Med ganska enkla prylar kan man avlyssna vad som sänds. Den elektroniskt händige fixar utrustningen själv. Övriga kan köpa proffsiga program- och analysvaror för olika protokoll per postorder för cirka 20 000 kr.
Man kan i sammanhanget också ta upp nätverk som Token Ring eller Ethernet. Något mer öppet än Ethernet är svårt att hitta. Med ett litet modifierat chip kan man lyssna på allt som sänds.
På Bohlins håller man just på att koppla ihop tre PC-nätverk med varandra och till stordatormiljö. I de systemen cirkulerar inga klientdata ännu. Men att skapa säkerhet i detta är en av de stora utmaningarna för dataavdelningen just nu.
Slarv i nätverk
– När det gäller nätverk och avlyssning kan de supervisors som arbetar vid PC-nätväxlarna vara ett problem, säger Björn Lindberg. De kan ju komma åt all information. Där har jag sett exempel på hur man slarvar. Man ska ju komma ihåg att många PC-användare är datoramatörer. De är inte vana vid samma skyddade miljö som de människor som arbetar med mini- och stordatorer. De tenderar att vara oaktsamma med lösenord. Jag har tittat på nätverk där det plötsligt funnits tio supervisors med behörighet. Det finns inte samma säkerhetstradition på PC-sidan.
Så illa är det förstås inte på Bohlins?
– Nej, vi ska behandla nätverken som vi behandlar våra minidatorer, säger Björn Lindberg. Dataavdelningen ska i högsta grad medverka och styra upp säkerheten i PC-nätverken. Det ska i framtiden inte vara någon skillnad mellan stordator och PC – grunden blir samma säkerhetskrav oavsett var man arbetar.
Extra höga krav
I vissa fall är kraven på säkerhet extra höga. Kommersiell säkerhet är en sak, militär säkerhet något helt annat.
Revisionsbyråer med försvarsklienter kan knappast räkna med att få använda bärbara persondatorer. Där är det kunden som bestämmer. Bofors är klient hos Bohlins. Hos Bofors släpps ingen revisor med bärbar dator in.
Även om det är bättre att lagra data på disketter än på hårddisk, så bör man inte i onödan låta data ligga och skräpa på disketter om det inte behövs.
Papperstuggen på Bohlins sätter också i sig en hel del disketter. De små 3,5-tumsskivorna är ganska svårtuggade.
Dagens diskettsäkerhet torde emellertid vara bättre än gårdagens pappersdito. Hur hanteras en pärm? Vad händer om en pärm försvinner när revisorn är ute på resa?
Pärmen kan man slå upp och läsa innantill i. En diskett skyddad med lösenord blir ett par snäpp säkrare, trots allt.
Säkerheten betonas mer
Men en annan skillnad är förstås att om det blir känt att man slarvar bort känsligt material som är lagrat på datamedier så blir man en rubrik i kvällstidningen – troligen betydligt lättare än om en pärm försvinner.
Detta faktum är förmodligen ett utslag av den allmänna misstänksamheten mot datorer – grundad på kritik mot personregister m m. Men följden blir naturligtvis att säkerhetstänkandet betonas hårdare än på den gamla manuella tiden.
Inge Wennberg