SamirMaktabiMar 4, 2024
Løft sikkerheden på de mobile enheder
Center for Cybersikkerhed, PET og Statens IT udgav sidste år en håndbog for sikkerheden på den mobile enheder for ministre, departementschefer, særlige rådgivere og udvalgte medarbejdere i ministerierne. Håndbogen giver indirekte
https://minmening.samirmaktabi.dk/2024/03/04/loeft-sikkerheden-paa-de-mobile-enheder/
#DataSikkerhed #Mobility #Overvgning #Smartphone #Android #Apple #CFCS #DeviceManagement #EMM #MDM #MobileDeviceManagement #Signal #UEM
Løft sikkerheden på de mobile enheder - Min mening om IT sikkerhed og mobilitet

Center for Cybersikkerhed, PET og Statens IT udgav sidste år en håndbog for sikkerheden på den mobile enheder for ministre, departementschefer, særlige rådgivere og udvalgte medarbejdere i ministerierne. Håndbogen giver indirekte indblik i det trusselsbillede, som CFCS ser i dag. Bestemt noget, som mange virksomheder bør skele til, når de udarbejder deres egen politik omkring de mobile enheder. Et nøgleord her er cyberspionage eller sagt på en anden måde at tilsikre højst mulige sikkerhed omkring organisationens data. Og løsningen er ligetil: du skal have 2 telefoner fremover. Den ene telefon er “sikkerhedshærdet” til det maksimale og 100% styret af den device management løsning, som staten benytter. Her sættes en høj sikkerhedspolitik, der fx helt lukker for GPS og Bluetooth, cloudbackup er slået fra og kun godkendte apps vil kunne blive installeret på enheden. Hertil kommer nogle “adfærds”-vejledninger, sikkerhedsinstrukser og retningslinjer, som også kan inspirere virksomhedsledere. Til de mere nørdede læsere, så har jeg lige kopieret overskrifterne fra vejledningen, på de områder, hvor disse enheder er ekstra hærdet: Og endelig følger en oversigt over de apps, som er fundet forsvarlige at installere på disse enheder (lagt i en intern App-store, hvor brugeren selv vælger hvilke apps, denne vil have installeret). Vejledningen tillader ikke TikTok, Dropbox, SnapChat eller motionsappen Strava. Brug Signal til kommunikation. Jeg finder det interessant, at CFCS udover en særligt udviklet app “SMART-2” til kommunikation anbefaler appen SIGNAL. Jeg har igennem mange år advokeret for at folk skulle bruge denne app i stedet for WhatsApp, iMessage, Messenger og almindelig SMS til privat kommunikation. Den gamle vejledning bør opdateres. Desværre har CFCS ikke opdateret deres gamle vejledning om “Sikkerhede på mobile enheder”. Vejledningen er fra november 2018, men den tager efter min mening ikke højde for de funktioner, som henholdsvis Apple og Android har indført sidenhen for at styrke sikkerheden på enhederne. Jeg har tidligere skrevet en indlægs serie, hvor jeg gennemgår deres 15 bud og tilføjer yderligere 5 råd. Jeg skal for god ordens skyld anerkende at deres råd holder, hvis man ønsker allerhøjeste sikkerhed, da de anbefaler at man har 2 enheder: en til arbejde og en til det private! Min erfaring er dog, at hverdagen ser helt anderledes ud for langt de fleste virksomheder og ansatte indenfor det offentlige! De færreste vil gå rundt med 2 smartphones. Hertil kommer at mange virksomheder tilbyder deres medarbejdere “fri-telefon”, der betyder at medarbejderne må benytte den udleverede enhed privat, (mod en beskatning). Hvad skal danske virksomheder gøre? I danske virksomheder er der ofte usikkerhed omkring hvor man skal ligge sikkerhedsniveauet mht. de mobile enheder. Det har jeg rådgivet om i snart 18 år. Min erfaring og råd er at virksomheden først skal inddele alle virksomhedens ansatte i sikkerhedsgrupper, hvor fx. topledelsen ligger i øverste gruppe, største delen af de ansatte vil være i en mellemgruppe og så kan der være medarbejder grupper, hvor sikkerheden kan sættes til lav. Måske skal der være flere grupper. Herefter skal ledelsen tage udgangspunkt i en risikovurdering omkring de data, som de forskellige grupper. Design nu sammen med jeres rådgivere de forskellige (sikkerheds-) politikker, der skal rulles ud på de mobile enheder ved hjælp af virksomhedens device management løsning. Lad jer inspirere af vejledningerne fra CFCS, mine blog indlæg og ikke mindst tage højde for hvad henholdsvis Apple og Android seneste OS-version giver mulighed for. Link til vejledningen på CFCS’ hjemmeside.

Min mening om IT sikkerhed og mobilitet
SamirMaktabiMar 2, 2024

Bloggen her skifter retning
Det sidste år har været en spændende rejse, hvor mit fokus har flyttet sig. Man kan sige at det er en drømmestilling, hvor mange års erfaring indenfor mange forskellige områder samler sig og forenes.

Igennem de sidste godt 10 år har juraen fyldt mere og mere og i dag ser vi hvordan myndighede
https://minmening.samirmaktabi.dk/2024/03/02/bloggen-her-skifter-retning/
#Causerier #Overvgning #Compliance #DeviceManagement #GDPR #MobileDeviceManagement #NIS2

Bloggen her skifter retning - Min mening om IT sikkerhed og mobilitet

Det sidste år har været en spændende rejse, hvor mit fokus har flyttet sig. Man kan sige at det er en drømmestilling, hvor mange års erfaring indenfor mange forskellige områder samler sig og forenes. Igennem de sidste godt 10 år har juraen fyldt mere og mere og i dag ser vi hvordan myndighederne kommer med flere og flere love, forordninger og direktiver, som danske virksomheder skal forholde sig til. Mange virksomheder bander fx. Persondataforordnignen-forordningen (“GDPR”) langt væk, mens mange private borgere hilser beskyttelsen af deres privatliv og private data meget velkomment. Det sidste år har NIS2-direktivet været det nye “GDPR”, som alle virksomheder skal forholde sig til. “Chromebook”-sagen fra Helsingør viser hvordan juridiske forhold spiller mere og mere ind. “Schrems II” dommen sendte cloudløsningerne, som fx. AWS, Microsoft og Google på overarbejde og der er stadigvæk usikkerhed omkring hvordan data håndteres af disse løsninger. Hertil kommer geopolitiske forhold, som også spiller ind: Tag hele sagen omkring kinesiske TikTok indsamling af data, spionsoftware som israelske Pegasus, statssponserede hackervirksomheder og den stigende cyberkrig, som vi ser udføres af statsmagter. “Compliance” fylder mere og mere. Det er min klare opfattelse at Compliance spiller mere og mere ind i dialogen omkring anskaffelse af nye løsninger. Løsningens tekniske funktioner og pris er naturligvis centrale forhold, men jeg har set løsninger falde til jorden fordi data blev behandlet i fx. Indien. Fremover skal en en rådgiver/sælger ikke blot oplyse forhold om løsningens muligheder, tekniske funktioner, størrelse, osv. og løsningens pris, leveringsforhold, osv. Kunden vil også vide om løsningen overholder alle relevante regulativer, forordninger osv. Kort sagt er “Compliant”. Hertil kommer at mange kunder fremover vil stille krav til deres leverandører og samarbejdspartnere at de også er “compliant”.Tag nu blot kravet i NIS2-direktivet til “forsyningskæden”. Det hele samler sig. Jeg føler mig heldig. Fremover skal jeg fokusere på netop Compliance i den virksomhed, hvor jeg har været i i over 8 år. Her har jeg rådgivet om IT-sikkerhedsløsninger, med fokus på opsætning af disse, så de vil være “compliant”. Jeg har siddet “på den anden side af bordet” med ansvaret for IT-driften og senest som CISO og nu med ansvar for at virksomheden er Compliant og kan dokumentere dette. Det føles som om alle de erfaringer, værktøjer og færdigheder, som jeg har samlet igennem mit liv, alle forenes i denne nye udfordring. Men det betyder også, at denne blog vil uvægerligt skifte fokus. Jeg sidder ikke længere med fokus på device management-og sikkerhedsløsninger. Det er overladt til dygtige kollegaer at sætte sig ind i løsningernes seneste funktioner. Jeg vil have mere fokus på compliance delen i forhold til disse løsninger. Jeg vil fremover nok se mere på de forhold, som virksomheder skal tage højde for, men også forhold, som måske ikke værner nok om borgerens/medarbejdernes privatliv. Jeg vil stadigvæk interessere mig for gadgets, især dem, der effektiviserer min egen hverdag. Der vil fortsat være indlæg, hvor jeg ser på ting (fx. overvågning), som optager mig. Jeg har været temmelig passiv her siden i sommers. Undskylder. Har fået forklaret at man skal hele tiden levere noget “content” til ens læsere. Men jeg har aldrig haft et ønske om at blive “influencer” eller “blogger”. Jeg har altid gerne ville dele min viden og erfaring, og ja måske påvirke jer læsere til bl.a. værne mere om jeres privatliv. Jeg kommer fremover til at skrive, når jeg har tid, bliver indigneret over noget aktuelt eller falder over noget spændende. Jeg håber at du bliver hængende. Få hver fredag mit nyhedsbrev. Jeg garanterer dig for at du ikke bliver spammet.

Min mening om IT sikkerhed og mobilitet