Skype for Business, Slack, Microsoft Teams, WhatsApp, Starleaf, Zoom og andre lignende platforme til kommunikation og samarbejde anvendes i stor stil som følge af den nuværende corona-situation, hvor det frarådes at mødes fysisk.

Se også: Råd om sikkerhed på virtuelle mødeplatforme

Det samme gør sig gældende for fildelingstjenester, som enten er integreret i samarbejdsplatformene eller stand-alone som Dropbox, iCloud m.fl.

Ingen af disse platforme er generelt sikkerhedsteknisk undersøgt, valideret eller godkendt af Center for Cybersikkerhed. Det er heller ikke en forudsætning for deres brug, at de er godkendte, medmindre de skal anvendes til klassificeret information jf. Justitsministeriets sikkerhedscirkulære.

Ikke desto mindre bør myndigheder og virksomheder være opmærksomme på en række forhold omkring samarbejdsplatformene.

Vurdér risikoen

Center for Cybersikkerhed anbefaler, at der foretages en risikovurdering af anvendelsen af kommunikations- og samarbejdsplatforme, inden de tages i brug. Dette gælder især, hvis de skal anvendes til at behandle oplysninger af beskyttelsesværdig eller sensitiv karakter, mens der ved eksempelvis gennemførelse af undervisning ikke nødvendigvis er samme behov for at beskytte oplysninger.

Brugerinformationer og data, der anvendes herunder opbevares, på platformene, er underlagt platformens brugerbetingelser (EULA), der kan indebære datamining og andre platformsafhængige betingelser. Disse forhold bør derfor indgå som et centralt element i risikovurderingen.

Kommunikationen på disse platforme er typisk krypteret. Center for Cybersikkerhed anbefaler dog, at platformene betragtes som værende usikre. Overvej derfor nøje, hvilke oplysninger der kan behandles via disse tjenester. Være endvidere opmærksom på, at der kan være forskel på det sikkerhedsniveau, der kan opnås i gratis-versioner af platformene i forhold til versioner, som der betales licens for, og hvor leverandøren eventuelt kontraktligt har forpligtet sig til at overholde angivne specifikationer.

Selvom sikkerhedsevaluering ikke er en forudsætning for anvendelse af platformene, kan anden lovgivning f.eks. persondatareguleringen stille krav til, hvilke og hvorledes platformene kan anvendes.

Brug sikker konfiguration og opdatér

Den kraftige stigning i anvendelsen af disse platforme har givet anledning til øget fokus på trusler og sårbarheder i forbindelse med anvendelsen af forskellige platforme.

Center for Cybersikkerhed anbefaler, at virksomheder og myndigheder nøje vurderer risici ved anvendelse af kommunikations- og samarbejdsplatforme inden ibrugtagning. Hvis de benyttes, er det vigtigt, at platformen og den specifikke brug til møder og lignende opsættes sikkerhedsmæssigt forsvarligt og ikke kun med default indstillinger.

Da sårbarheder løbende lukkes af leverandørerne, er det ligeledes vigtigt altid at anvende den nyeste version.

Meld klart ud om brug til medarbejderne

Det anbefales generelt, at virksomheder og myndigheder melder klart ud til deres medarbejdere, hvilke platforme der efter risikovurderingen kan anvendes til arbejdsrelateret samarbejde, og hvorledes platformen opsættes, hvis det ikke sker centralt. I forlængelse heraf bør der fastsættes regler for, hvilke informationer, der kan deles på platformene og hvordan. Husk at kommunikere reglerne ud til hele organisationen.

Ingen platforme bør anvendes uden en forudgående risikovurdering. Hvis der alligevel tages platforme i brug inden en risikovurdering er gennemført, anbefaler Center for Cybersikkerhed, at der anvendes internationalt anerkendte samarbejdsplatforme fra større leverandører, der gennem en længere periode positivt har påvist, hvorledes de håndterer sikkerhedsmæssige udfordringer.

Find mere information om at arbejde på distancen herunder: