Så minskar man risken för intrång

Covid-19 pandemin har lett till en stor ökning av distansarbete och, som ett resultat, även användningen av videomöten. En internationell videoplattform såg en 30-faldig ökning av antalet användare. En annan rapporterade mer än 4,1 miljarder mötesminuter under en enda dag i april, jämfört med 900 minuter under en normal dag.

Finansiella verksamheter har stora förväntningar på sig vad gäller hantering av data. De har ofta tillgång till en stor mängd personligt identifierbar information som namn, adress, personnummer, kreditkortsnummer med mera. Branschen regleras därför till stor utsträckning av lagar och riktlinjer som exempelvis GDPR, CCPA och HIPAA.

Trots omfattande åtgärder och kontroll sker tyvärr ändå dataintrång. En av de största internationella skandalerna under senare år involverade det amerikanska finansbolaget Equifax, ett intrång som berörde 100 miljoner människor.

När nu allt fler jobbar hemifrån och nyttjar videokonferenser, är det därför extra viktigt för finansiella verksamheter att se till att existerande säkerhets- och integritetsinsatser även omfattar de digitala möteskanalerna.

Vad händer med datan?

Ett första steg bör vara att undersöka vilken data leverantören av videokonferenslösningen samlar in. Normalt handlar det om basinformation som användarnamn och e-postadress. Men data samlas även in i bakgrunden, ofta utan att användaren är medveten om det. Det gäller till exempel IP-adress, vilken typ av enhet användaren loggar in från, vilket operativsystem de har, samt de videoadresser som används både av den som kontaktar och av den som blir kontaktad.

Detta är rutin för de flesta IT-avdelningar, men finansbolag bör vara extra noga med att fråga vad leverantören gör med den insamlade informationen.

Viss användning är godkänd enligt gällande regler och riktlinjer, som att använda datan för att genomföra själva samtalet, och i faktureringssyfte. Däremot är det inte tillåtet att dela datan med en icke auktoriserad extern part.

Det räcker alltså inte med att få garantier från leverantören att din data är privat och säker. Leverantören måste kunna tala om hur de använder din data, var den lagras, hur länge och vilka regulatoriska standarder de följer. 

Det omfattar även vilka som har tillgång till datan. Även om den är krypterad och inte kan läsas av människor, kan det till exempel finnas krav på att den lagras i en viss geografisk region.

Inbyggd säkerhet från början

Ett samtal med vänner och familj kanske kan ske via en gratis videoplattform, men vid exempelvis känsliga företagsförhandlingar bör kraven ställas betydligt högre. De flesta organisationer kommer att behöva kommunikationskanaler med kryptering enligt standarder som AES-128, SSL och TLS.

Förutom kryptering är autentisering, via exempelvis Bank-ID, viktigt för att säkra att rätt personer deltar i mötet. Andra verktyg underlättar även för arrangören att genomföra mötet på ett säkert sätt. Efter genomförd autentisering kan deltagare exempelvis vänta i en lobby tills arrangören hämtar in dem till mötet. Arrangören kan också styra vilka deltagare som kan dela material med andra, och kan till och med avvisa deltagare från mötet. Sammantaget underlättar dessa åtgärder konfidentiella och säkra möten för alla parter, oavsett om de är interna eller externa.

Sverige ligger i framkant i världen både vad gäller distansarbete och användningen av digitala verktyg som videomöten. När användningen ökar, gäller det att vara medveten om riskerna, och ha integritet och säkerhet inbyggt från början.

När skadan väl skett, är det för sent, och ett intrång kan leda till omfattande negativa konsekvenser för varumärke och verksamhet.

Charlotte Berg
Vd, Compodium