Upplýsingaleki er það þegar trúnaðarupplýsingar einstaklinga eða fyrirtækja komast í hendur óviðeigandi aðila. Slíkt getur gerst af ýmsum ástæðum, hvort heldur sem er viljandi eða óviljandi, af völdum innri eða ytri aðila og óháð því hvort upplýsingar séu á rafrænu formi eða ekki. Mörg nýleg dæmi eru um upplýsingaleka og hefur slíkum dæmum fjölgað mikið á síðustu árum. Skemmst er að minnast á samantekt úr lánabók Kaupþings banka sem birt var á uppljóstrunarvefnum Wikileaks, óvarlegar sendingar stjórnmálamanna, týndra farsíma og nýlegan leka óritskoðaðra sendiráðspósta hjá Wikileaks.

Trúnaðarupplýsingar geta verið af ýmsu tagi, svo sem viðkvæmar persónuupplýsingar um einstaklinga, greiðslukortanúmer, upplýsingar um afsláttargjöf eða aðrar viðskiptaáætlanir, hönnunarskjöl eða annað hugverk sem skapar þeim sem komast yfir slíkar upplýsingar samkeppnisforskot. Leki á trúnaðarupplýsingum getur líka haft fleiri óæskilegar afleiðingar í för með sér, svo sem beint fjárhagslegt tjón vegna tapaðra viðskipta eða minna trausts, auk þess sem slíkt getur varðað bæði lög og ákvæði í samninga við t.d. viðskiptavini eða samstarfsaðila.

Hvernig er hægt að bregðast við þessum áhættum á skilvirkan og markvissan hátt? Þegar búið er að skilgreina hvaða upplýsingar séu trúnaðarmál þarf að huga að því hvar þær eru geymdar, hvernig þær eru fluttar á milli staða,  hverjir eru notendur og hvernig þær eru notaðar. Upplýsingar á rafrænu formi eru t.a.m. geymdar á netdrifum eða í tölvupósti, skjalastjórnunarkerfum, fjárhagsupplýsingakerfum og víðar. Slíkar upplýsingar eru oft fluttar yfir ýmis konar netkerfi sem sum hver eru vel varin en gagnvart öðrum gæti þurft að grípa til frekari úrræða, svo sem dulritunar. Notkun upplýsinga er orðin fjölbreyttari með aukinni útbreiðslu fjarvinnu og stóraukinni notkun á spjaldtölvum og snjallsímum. Allt gerir þetta þeim sem bera ábyrgð á að verja upplýsingar fyrirtækja erfiðara fyrir.

Byggt á áhættumati og eftir greiningu á geymslu, flutningi og notkun upplýsinga þarf að grípa til viðeigandi úrbóta til að bregðast við þeim áhættum sem taldar eru óásættanlegar. Slíkar úrbætur geta verið af ýmsu tagi og ekki allar tæknilegar. Nauðsynlegt er að til staðar séu reglur um meðferð upplýsinga og þær kynntar starfsmönnum og að þeir hljóti þjálfun í viðeigandi meðferð upplýsinga hvort heldur sem er að senda upplýsingar eða hvernig eigi að farga þeim með öruggum hætti að notkun lokinni. Stærstan hluta upplýsingaleka má rekja til óvarlegrar eða óviðeigandi hegðunar starfsmanna eða annarra, svo sem þjónustuaðila, hvort heldur sem er viljandi eða af ásetningi. Auðvelt er að senda óviðeigandi aðila trúnaðarupplýsingar í tölvupósti án ásetnings eða setja til bráðabirgða skrá með viðkvæmum upplýsingum inn á vefsvæði fyrirtækisins, sem mögulega eru opið almenningi.

Auk þess að huga að þætti þeirra einstaklinga sem koma að geymslu, notkun eða flutningi upplýsinga þarf að tryggja að þeir hafi þau tæki, kerfi og lausnir sem gera þeim mögulegt að meðhöndla trúnaðarupplýsingar á öruggan hátt. Slíkt getur verið vandasamt t.d. ef hluti af vinnslu eða notkun upplýsinga er í höndum þjónustuaðila (svo sem útvistuð upplýsingatækniþjónusta eða önnur sérfræðiþjónusta, t.d. launavinnsla eða lögfræðiaðstoð). Tryggja þarf að þjónustuaðilinn sé virkur þátttakandi í þeirri vernd upplýsinga sem við teljum nauðsynlega og oft er æskilegt að slíkt sé tilgreint í samningum milli aðila. Einnig þarf að huga sérstaklega að aukinni notkun snjallsíma og spjaldtölva því slík tæki hafa oft sama aðgang að upplýsingum okkar og önnur tæki. Gera þarf sömu kröfur til öryggis slíkra tækja og annarra sem notuð eru til að vinna með eða geyma trúnaðarupplýsingar okkar. Þetta gæti t.d. verið gert með sérstökum öryggiskröfum til stýrikerfis slíks búnaðar, sérstökum hugbúnaði sem t.d. sækir ekki upplýsingar og geymir á tækinu sjálfu heldur vinnur með upplýsingarnar á öðrum búnaði þar sem auðveldara er að viðhafa öryggisráðstafanir til að verja trúnað upplýsinganna.

Að mörgu er að hyggja til að takmarka áhættu vegna upplýsingaleka. Þótt úrræðin séu mörg þarf að forgangsraða og velja réttu úrræðin til að auka skilvirkni og verja fjármunum á sem hagkvæmastan hátt. Svo slíkt sé mögulegt þarf að liggja til grundvallar heilstæð greining á gagnaflæði sem tekur til geymslu, flutnings og notkunar trúnaðarupplýsinga sem og áhættumat til að forgangsraða aðgerðum í samræmi við þær áhættur sem eru til staðar. Varasamt getur verið að innleiða öryggisúrræði án slíks undirbúnings þar sem illa ígrunduð og takmarkandi öryggisúrræði geta valdið því að notendur fari að leita nýrra og enn óöruggari leiða til að komast hjá þeim öryggisúrræðum sem eru til staðar.

Upplýsingaleki getur haft mjög alvarlegar afleiðingar fyrir rekstrarhæfi fyrirtækja og því er nauðsynlegt að bregðast við þeim með viðeigandi og ábyrgum hætti.

Tryggvi R. Jónsson, CISA, liðsstjóri Áhættuþjónustu Deloitte á Íslandi og sérfræðingur í upplýsingaöryggi

Mynd í fyrirsögn er fengin á http://www.freephotosbank.com/12331.html