Debatten om huruvida den kinesiska appen TikTok bör förbjudas för statsanställda fyller spaltmeter världen över. I USA, Frankrike och Danmark samt i flera EU-instanser är förbudet redan ett faktum. Men, istället för att fokusera på TikToks vara eller icke vara, bör ledning och IT-team istället använda debatten som väckarklocka för att se över säkerheten i appar och mobiler ute på företagen.
Risk versus nytta
Det är ingen hemlighet att alla appar samlar in någon form av data. Vid installation av en ny app är det inte ovanligt att appen ber om åtkomst till både mikrofon, kamera, kontakter och kalender – ytor som potentiellt kan innehålla mycket känslig information – särskilt om den hamnar i orätta händer.
Appar och digitala tjänster har historiskt använts som verktyg för otillåten datainsamling. Just därför bör
man noggrant väga risk mot nytta när det handlar om appar och tjänster i enheter som används på arbetsplatsen.
Är eget ansvar nog?
I Sverige är rekommendationen till politiker och statliga tjänstemän att bara installera de appar ”man behöver” och att vara restriktiv med att ge apparna åtkomst till just kamera, mikrofon och kalender. Carl-Oskar Bohlin, ministern för civilt försvar, skrev nyligen att: ”…alla har ett ansvar att tänka på sin egen informationssäkerhet. Att inte installera onödiga eller okända appar på sin tjänstetelefon kan vara ett enkelt sätt att minimera sin egen, arbetsgivarens och rikets sårbarhet”.
Översätter man de här säkerhetsrekommendationerna till företag och organisationer, kan det tyckas att ett väl stort ansvar för företagets mobilsäkerhet vilar på den enskilde anställdes axlar.
Ett nyttig väckarklocka
Även om rekommendationerna på nationell nivå ligger kvar, har till exempel Försvarsmakten och vissa kommuner nu infört ett förbud. Att en app som TikTok förbjuds på mobiler världen över kan bli en nyttig väckarklocka ute på företagen. Vilka appar och tjänster ska de anställda få använda på sina arbetstelefoner? Finns det någon arbetsplatspolicy som kan fungera som guide för de anställda? Vilka risker kan företaget exponeras för via dessa appar och tjänster? Har företaget insyn och överblick över vilka applikationer och tjänster de anställda har på sina telefoner?
När användandet av mobila enheter dessutom ökar på grund av bland annat hybrid- och distansarbete, och när personalstyrkan blir allt mer geografiskt utspridd, blir det ännu viktigare att ha överblick och kontroll över företagets mobila enheter och appar.
Dataskydd, regelefterlevnad och minskad risk
Ett första steg för att ta grepp om företagets mobilsäkerhet är att se över vilken teknik som finns implementerad för att kontrollera vilken sorts applikationer som finns på företagstelefonerna, samt vilka regler och policies som gäller.
IT-teamen ska i bästa fall kunna hantera företagets alla mobila enheter och applikationer på arbetsplatsen. De ska också centralt kunna blockera nedladdning av suspekta applikationer och identifiera och hindra skadlig kod från att infektera system i Windows, Android, iOS med flera. En välfungerande Enterprise Mobility Management-lösning som effektivt säkrar och hanterar enheter och slutpunkter är A och O.
Ramar och regler
Det är också viktigt att etablera tydliga regler för användarna, och utbilda de anställda om hur mobila enheter kan utnyttjas som potentiella attackytor.
Enligt en undersökning gjord av Unionen, använder 6 av 10 tjänstemän arbetsmobilen även privat. Här gäller det att utforma policies som även värnar om personalens personliga integritet.
Utöver regler och policies för tjänstetelefoner och verksamhetens andra mobila enheter, bör man även etablera regler för BYOD- och privata enheter som har tillgång till företagets nätverk och mail.
I slutändan handlar det om att skydda personlig- och företagsrelaterad information, hantera regelefterlevnad och minska företagets sårbarhet för risker. Mobil säkerhet är bara så stark som sin svagaste länk, så även om sunt förnuft och eget ansvar räcker långt, finns det goda grunder för att ta hjälp av EMM-lösningar som centralt kan blockera opålitliga appar, och neka åtkomst till känsliga verktyg som kamera och mikrofon.
Skribent: Stefan Spendrup, Nord- och Västeuropachef, SOTI
