, , ,

Om sisteleddssikkerhet på Sikkerhetsdagen

På Sikkerhetsdagen presenterte ADs Geir Erik Lian sisteleddssikkerhet for et lydhørt publikum.

Computerworld hadde invitert aktører som NorSIS, Nasjonal sikkerhetsmyndighet (NSM) og Cyberforsvaret til å snakke om informasjonssikkerhet i det daglige på forskjellige nivåer. Lian tok for seg rutiner og tiltak for sikker sletting og sikker retur ved avhending, altså sisteleddssikkerhet.
– Dette er for mange det glemte aspektet: hva som skjer med IT-utstyret som ikke lenger brukes, sa han.

Sluttbruker kritisk for sisteleddssikkerheten

Lian fikk støtte fra Pretorius i Nasjonal sikkerhetsmyndighet i at den kritiske brikken i puslespillet er klienten som sluttbrukerne jobber på, ettersom innholdet der normalt ikke er kryptert. I motsetning til hva det oftest blir når data sendes på e-post eller går til skytjenester. Dermed er det særdeles mye mer nyttig for de som bedriver målrettede tyverier, enten digitalt eller fysisk.

Varierende kunnskap

– Hos virksomhetene er det store sprik i kunnskapen om sikkerheten, men det er ingen tvil om at en del har mangelfulle prosesser for behandling av data på IT-utstyr når det skal avhendes. Og de som ikke følger dagens lover og regler vil få det vanskelig når den nye EU-lovgivningen trer i kraft i mai neste år, sa Lian.

Prosess med seks elementer

Hva ligger så i sisteleddssikkerhet ved avhending av IT-utstyr? Lian presenterte disse elementene:

  1. Foretas av autorisert personell
  2. Forsvarlig sikring ved avhenting og under transporten
  3. Sikker oppbevaring i sikrede lokaler etter mottak
  4. Kun sertifiserte og godkjente sletteverktøy benyttes
  5. Full dokumentasjon og rapportering i etterkant
    -> Dokumentert sletting
    -> Sporbarhet/revisjonsspor
  6. Klargjøring til gjenbruk, eventuelt gjenvinning

Les mer om Sikker sletting og Sikker retur

 

Definisjonen på sisteleddssikkerhet:

Rutiner og tiltak som sikrer forsvarlig og lovmessig håndtering av lagrede data ved avhending av IT-utstyr. I tillegg miljømessig korrekt behandling av utstyret.

 

Ønsker du møte AD for en prat om Sisteleddssikkerhet? Kontakt oss på post@ad.no

 

Flere ville diskutere Sisteleddssikkerhet.

 

Omkring 100 deltagere var til stede. 

Sammen med Lian var ADs sikkerhetssjef Lene Zachariassen på plass.