Der findes mange eksempler på, at virksomheder har en naiv tro om, at de har styr på omfanget af adgangsrettigheder. Arbejdsgivere og dermed it-afdelinger skal fx være opmærksomme på, at når en medarbejder ikke længere er ansat eller flytter afdeling, skal diverse logins, passwords og dertilhørende rettigheder annulleres eller ændres.
Det gik blandt andet galt for en direktør i en større dansk virksomhed, der fik oprettet et privat drev til fortrolige filer. IT-afdelingen havde bekræftet at adgangen var begrænset til en lukket kreds af de tætteste medarbejdere, inklusiv sekretæren. Det viste sig imidlertid at være hele 45 personer, der havde fri adgang.
Ifølge en analyse fra Ponemon Institute er det blevet vurderet at omkring 71 % af alle medarbejdere har tilkendegivet, at de har adgang til irrelevant data, som kort sagt ikke kommer dem ved. Det giver god mening, når man hører lignende tilfælde, hvor sikkerheden er blevet brudt.
Store problemer i det offentlige
Region Hovedstaden har for nylig været i ilden på grund af sløsethed med adgangen til de elektroniske patientjounaler. Et klassisk eksempel på dårlig sikkerhed. Årsagen er manglende kontrol af rettigheder til de forkerte personer. Det viser sig desuden, at der er flere store huller i datasikkerheden, og ikke kun af nyere dato.
Problemerne med it-sikkerheden var ikke nyt for Regin Hovedstaden, der var klar over det et stykke tid før de blev offentliggjort i medierne. Der er igangsat et omfattende projekt, der skal lukke hullerne, og de står for at slette hele 20.000 brugerkonti ud af 52.000. Med ord har imponerende 40% haft uhensigtsmæssigt eller fejlagtig adgang til irrelevante informationer. Det drejer sig blandt andet om personale, der ikke bør havde adgang til særlige informationer, som portører og økonomiansatte. Kritikken er også rettet mod tilfælde, hvor læger og sygeplejersker, der har skiftet job, men ikke taget ud af systemet. Det vil sige, at adskillige forhenværende medarbejdere gik eller stadig går rundt med et aktivt login og password til forskellige systemer med mere eller mindre følsomme informationer.
Tag adgangskontrollen alvorligt
EU har formuleret en databeskyttelsesforordning, hvorigennem Datatilsynet kan udskrive store bøder til virksomheder og myndigheder, der ikke har styr på deres ansattes rettigheder.
Ernst & Young har tidligere foretaget en undersøgelse, der viser at medarbejdere er den typiske årsag til problemer med IT-sikkerheden. I større virksomheder med 500+ ansatte (og muligvis også færre) vil der nok være minimum én person, der får adgang til fortroligt materiale ved en fejl. Hvis den pågældende person vælger at håndtere de følsomme informationer i ond tro, kan det få store konsekvenser for virksomheden i den ene eller anden retning.
Følsomme informationer eller data kan eksempelvis være i HR-regi eller fra et CRM-system med kundeoplysninger. Det er derfor utrolig vigtigt at holde styr på hvem, der skal have adgang til hvad, og fraskrive rettigheder til personer, der ikke længere sidder med samme funktion eller har forladt arbejdspladsen.
Kutymen er for mange virksomheder, at de foretager et sikkerhedstjek én eller få gange om året, hvor de i IT-afdelingen gennemgår alle brugernes rettigheder. Man kan dog argumentere for, at der kan ske en del på 12 måneder. Både i forhold til et stigende omfang af informationsdata, fællesdrev og medarbejdere.