Ert þú að gefa út trúnaðarupplýsingar – óvart?

Í gegnum árin hefur það of oft gerst að fyrirtæki eða stofnanir hafa óvart gefið út trúnaðarupplýsingar. Tilkoma Internetsins og notkun rafrænna gagna hefur sérstaklega ýtt undir þessa þróun. Helst má nefna þrjú algeng mistök sem valda því að trúnaðarupplýsingar leka út: Í fyrsta lagi þegar að trúnaðarupplýsingar hafa verið sendar ódulkóðaðar með tölvupósti sem einhver hefur komist yfir. Nærtækt dæmi úr íslenskum veruleika eru tölvuskeyti Jónínu Benediktsdóttur í tengslum við Baugsmálið. Í öðru lagi þegar að gögn eru geymd á vef viðkomandi aðila og þá hugsanlega á földu svæði sem gert var ráð fyrir að enginn vissi af. Í þriðja lagi þegar að upplýsingar eru settar á vefinn í hugsunarleysi. Sem dæmi um það eru milljónir bloggsíða um allan heim opnar hverjum sem er og allt sem þar er gefið út er í raun opið hverjum sem er, því ættu menn t.d. að varast að blogga um vinnutengda hluti sem gæti stuðlað að trúnaðarbresti.

Internetið er opin bók

Í dag gera flestir þeir sem meðhöndla trúnaðarupplýsingar sér grein fyrir ógnum Internetsins og er fólk nú varkárara með það efni sem það setur á Netið. Sífellt algengara verður að nota dulkóðun við tölvupóstsendingar en það er ekki alltaf nóg. Það eru fleiri ógnir eins og vankunnátta á hugbúnað eða jafnvel gallar í hugbúnaði sem eru til staðar í dag sem geta valdið því að upplýsingar eru ekki óhultar. Hér á eftir eru tekin dæmi þar sem trúnaðarupplýsingar láku óvart út, annars vegar vegna vankunnáttu á Microsoft Powerpoint og hinsvegar vegna galla í pdf-skjali.

Leki trúnaðarupplýsinga

Í byrjun júní s.l. láku trúnaðarupplýsingar út frá skrifstofu DNI í Bandaríkjunum (Office of the Director of National Intelligence). Um var að ræða tölur um umfang þess fjármagns sem varið hefur verið í njósnastarfsemi í Bandaríkjunum. Þetta var alveg óvart. Á DIA (Defense Intelligence Agency) ráðstefnu 14. maí síðastliðin var haldin kynning með aðstoð Microsoft Powerpoint sem sýndi meðal annars súlurit um það fjármagn sem ýmsum verktökum hafði verið greitt vegna verkefna sem tengdust njósnastarfsemi í Bandaríkjunum undanfarin ár. Á súluritinu sáust í engar tölur, en hægt var að lesa út hlutfallslegar breytingar á milli ára af glærunum. Þetta Powerpoint skjal var síðan gefið út á Netinu (á vef DIA). Það var ekki fyrr en rithöfundurinn R. J. Hillhouse skoðaði Powerpoint skjalið að lekinn varð ljós en með því að tvísmella á súluritið í Powerpoint skjalinu birtust raunverulegar tölur sem voru á bak við súlurnar en höfðu ekki verið sýnilegar á kynningunni. Í sömu kynningu kom fram að 70% fjármagns sem varið hafði verið í njósnastarfsemi hefði farið til verktaka. Út frá þessu var hægt að áætla hver heildarkostnaðurinn var- “60$ billion” árið 2005. DIA hefur nú þegar eytt þessu skjali af vefsvæði sínu en það er enn hægt er að finna slóð á afrit af Powerpoint skjalinu á vefsíðu Stika. Eftir að þetta mál komst upp hefur skrifstofa DNI gefið út þá yfirlýsingu að ekki sé hægt að draga neinar ályktanir út frá þeim upplýsingum sem voru í skjalinu en þeir geta ekki gefið frekari upplýsingar, þar sem þetta er trúnaðarmál. Hvort sem að þetta sé í raun upphæðin sem varið var í njósnastarfsemi skiptir kannski ekki öllu máli, heldur skiptir meira máli að læra af mistökunum um hvernig þessar tölur láku út. Spurningin er hvort um var að ræða kæruleysi eða vanþekkingu á Microsoft Powerpoint. Einnig er vert að benda fólki á að þegar það gefur frá sér Powerpoint skjöl til birtingar á Internetinu þá vilja oft fljóta með athugasemdir sem hafa verið skrifaðar með hverri glæru fyrir sig sem voru einungis hugsaðar fyrir þann sem flutti viðkomandi erindi.

PDF og PowerPoint
Annað dæmi sem vert er að hafa í huga er að þegar að pdf skjöl hafa verið gefin út með yfirstrikuðum texta. Þegar að viðkomandi pdf skjöl eru skoðuð þá er ekki hægt að lesa textann sem hefur verið svertur/strikað yfir. Ef að yfirskrifaði textinn er valinn og lýstur í Adobe Reader þá er hægt að velja copy (t.d. með því að nota ctrl-c) til þess að afrita textann sem hefur verið máður og líma /paste í Notepad og lesa þar. Eitt þekktasta tilfellið er þegar að lögfræðingar símafyrirtækisins AT&T gáfu út slík skjal þegar AT&T var kært fyrir að aðstoða Bandaríkjastjórn við ólögmætar hleranir. Nánari upplýsingar og tengil á pdf skjalið er að finna á vefsíðu Stika. Skilaboðin eru því þessi: Fara skal varlega með gögn og viðhafa verklagsreglur sem lágmarka hættuna á því að trúnaðarupplýsingar fari í rangar hendur eða birtist þeim sem ekki eiga að sjá þær.