Brukte smarttelefoner er ofte fulle av sensitiv informasjon. Det er konklusjonen fra en undersøkelse IT-sikkerhetsselskapet Bitsec har gjort for Computer Sweden.
Kan rekonstrueres
På oppdrag fra Computer Sweden har Bitsec gransket 50 smarttelefoner som tidligere var brukt av svenske bedrifter. Telefonene var kjøpt på bruktmarkedet, og var skaffet til veie av Inrego, et svensk firma som kjøper og selger brukt datautstyr.
Alle telefonene hadde fått fabrikkinnstillingene gjenopprettet. Da slettes en del av innholdet, men slett ikke alt.
Ved hjelp av lett tilgjengelige verktøy klarte Bitsec å hente ut informasjon fra 39 av de 50 telefonene. I 16 av telefonene – omtrent en tredel - ble det funnet informasjon som kan betegnes som sensitiv.
Alle de 39 mobilene Bitsec klarte å hente informasjon fra kjørte operativsystemene Android eller Symbian.
Det lyktes ikke å rekonstruere informasjon fra de tre iPhonene i testen. Det er imidlertid uklart om dette skyldes at informasjonen i disse telefonene er kryptert, eller om de tidligere eierne faktisk hadde slettet informasjonen.
Les også: Tilgang til andres e-post: 1080 kroner
Fant bilder av pass
Noe av informasjonen var av privat karakter, som for eksempel sexbilder og -videoer. Imidlertid inneholdt flere av telefonene også kundelister, salgstall, produktinformasjon og og møtereferater fra bedrifter.
Ifølge Computer Sweden fant Bitsec både bankdokumenter og bilder av kundenes pass og ID-kort i en telefon som hadde tilhørt en eiendomsmegler.
Wesam Dayem, sikkerhetskonsulent i Bitsec, er ikke overrasket over at privatbrukere slurver med sikkerheten. Derimot er han sjokkert over at svenske bedrifter ikke har bedre rutiner.
– Når det gjelder bedrifter, er det svært urovekkende og uforståelig at de ikke håndterer data på en sikrere måte, sier han til Computer Sweden.
BYOD-dilemma
Seniorrådgiver Tone Hoddø Bakås fra Norsk senter for informasjonssikring (NorSIS) kjenner ikke til lignende norske undersøkelser, men hun mener den svenske undersøkelsen er både viktig og relevant, spesielt siden mange nå bruker sine egne telefoner og nettbrett på jobben.
– Den er svært aktuell etter hvert som mange har bedriftens kontakter og e-post på telefonen. Mange tillater ulike varianter av BYOD (Bring Your Own Device). Dersom den ansatte eier smarttelefonen selv, men har bedriftens data lagret på den – hvilke rettigheter har da bedriften til å ha kontroll på informasjonen, og for eksempel slette den ved behov, sier hun til Teknisk Ukeblad.
Bakås tror ikke vi nordmenn er bedre enn svenskene til å slette informasjon, eller at mobilsikkerheten hos norske bedrifter er god nok.
– Jeg tror absolutt ikke det. Hvert år mistes for eksempel over 3.000 mobiltelefoner på Gardermoen flyplass. Mange legges igjen i drosjer og andre steder også. I tillegg gir mange bort sin gamle telefon til bekjente eller selger den til ukjente. Sletting av informasjon som bilder, e-post og kontakter vet vi i mange tilfeller ikke skjer. Ved reparasjon og service er det mange leverandører som gir oss lånetelefoner. Svært mange har erfaringer med at det ligger igjen sensitiv informasjon i form av bilder, sms, kontakter og så videre, sier hun.
Les også: – Sjokkerende dårlige antenner i smarttelefoner
Dårlige til å slette
En annen undersøkelse som TNS Sifo har gjort for Inrego, bekrefter inntrykket av dårlig mobilsikkerhet. Bare 11 prosent av de svenske IT-lederne som er spurt i undersøkelsen oppgir at de bruker egne sletteprogram for å fjerne informasjonen på telefonene.
39 prosent av bedriftene stoler enten på at de ansatte sletter sensitiv informasjon selv, eller de nøyer seg med en fabrikkgjenoppretting.
– Smarttelefoner bør akkurat som datamaskiner gås over med sletteprogram om man vil være sikker på at ikke informasjon skal komme på avveie når de byttes ut eller selges. Å gjøre en såkalt fabrikkgjenoppretting tar egentlig ikke bort noe informasjon, og det viser også vårt prosjekt med Computer Sweden, sier Daniel Bonde, IT- og sikkerhetssjef i Inrego, i en pressemelding.
Fjernsletting
Tone Hoddø Bakås mener det er viktig for norske bedriftsledere å være bevisste på at smarttelefoner kan være en kilde til informasjonslekkasjer.
– Viktige tiltak kan være regler for bruk av telefon og synkronisering av e-post med videre. Fjernsletting er et annet viktig tiltak for bedriftens data, som e-post, kontakter med videre. Det er viktig at dette settes opp likt for alle bedriftens telefoner, slik at man har gode rutiner og prosesser for å sikre informasjon hele veien. Etter hvert som vi får ny funksjonalitet og nye dingser er det mer komplisert å sikre informasjon fra fødsel til død, sier hun til Teknisk Ukeblad.
Les også:
– Alle med Android-telefon trenger sikkerhetsprogramvare