I Sønderjylland blev BOYD forleden til Bring Your Own Disaster, efter at en elev medbragte en inficeret PC, og satte den på skolens netværk. Formentlig og forhåbentlig “lykkeligt” uvidende om den katastrofe, det snart skulle medføre.
I mange pædagogiske læringsmiljøer er Bring Your Own Device (BOYD) imidlertid en forudsætning for, at undervisningen overhovedet kan gennemføres. Baggrunden er primært og oftest økonomisk, fordi skolerne ikke har midlerne til at stille (reguleret) udstyr til rådighed for de studerende. En del af baggrunden for BOYD kan også være, at man vil lade eleverne og de studerende anvende deres eget udstyr, som de kender. Og som de kan downloade og installere hvad som helst på. Det stiller til gengæld store krav til, at elever (og forældre) og de studerendes forstår vigtigheden af høj sikkerhed på eget udstyr.
Sagen fra Sønderjylland bør give anledning til, at man i uddannelsessektoren generelt, overvejer om det er prisen værd. Skadevirkningen af et hackerangreb som dette, er formentlig langt højere end prisen for det udstyr, man kunne stille til rådighed. Konsekvenserne for de registrerede personer, kan være endog meget alvorlige.
Der er utroligt mange GDPR- og informationssikkerhedsmæssige aspekter, man kan tage fat i, i en sag som denne. Lige nu har IT-Center Syd formentlig rigeligt at gøre med at inddæmme og følge op. Alligevel ser angrebet ud til at være mere omfattende end først antaget. Formentlig havde IT-Center Syd allerede iværksat en en masse gode foranstaltninger til at sikre passende sikkerhed. Det er op til andre at vurdere, om det så var tilstrækkeligt.
Kig på din egen sikkerhed – kunne det ske for dig?
Min formål med dette indlæg er at få dig til at kigge på IT- og Informationssikkerheden i dit eget IT-miljø. Også selvom du kun er dig selv i din virksomhed eller I kun er ganske få ansatte. Kunne noget lignende ske for dig? Hvad nu, hvis det var dine kunders personoplysninger og dine virksomhedsdata? Vidste du, at flere end 75% af alle sikkerhedsbrud kan henføres til menneskelige årsager?
Et godt sted at starte, når du skal vurdere og forbedre IT- og informationssikkerheden, er i den nye DS/IEC/ISO-27002 standard for informationssikkerhed. Et nyt element i 2022-standarden er de såkaldte attributter. En af disse er #Forebyggelse. Ved at søge på disse i standarden, kan du finde de foranstaltninger, som kan bidrage til at forhindre hackerangreb, som det i IT-Center Syd.
For eksempel afsnit 6.3 om awareness, uddannelse og træning af medarbejdere (og elever/forældre), så de er bevidste om og lever op deres ansvar for informationssikkerheden. Eller hvad med afsnit 8.1 om brugerenheder, som handler om fastlægge regler for håndtering og anvendelse af brugerenheder. Et af de specifikke emner, standarden peger på i 8.1, er beskyttelse mod malware og løbende opdatering af f.eks. antivirus- og firewall-software på de lokale enheder.
Mon den pågældende elev havde den slags software på sin enhed? Var det opdateret? Hvordan ser det ud med din egen computer eller smartphone? Har I styr på IT- og informationssikkerheden i din virksomhed?
DS/ISO/IEC-27002-standarden rummer selvfølgelig mange flere gode elementer til forbedret IT- og informationssikkerhed. Også i forhold til forebyggelse af og beskyttelse mod cyberangreb, som det i Sønderjylland.