Sociala nätverkstjänster fick sitt ­stora ­genombrott 2007. Det ­bloggades, nätverkades och delades filer som aldrig förr. Men under hösten kom bakslaget. Rapporter om nät­be­drä­gerier på Facebook duggade tätt och integritetsdebatten blossade upp. Rubriker som ”Facebook äger dig” blev skrämselpropaganda när hajpen nått sin kulmen. Den här typen av överdrivna moral­panik-debatter brukar följa i kölvattnet av nya tekniker och kommunikationskanaler, så visst bör man ta oron med en nypa salt. Men vilka är de verkliga riskerna? Och hur ska du förhålla dig till fenomenet Webb 2.0 som CSO?
Vi har talat med ett gäng experter och alla är eniga: Det är inte tekniken i sig som är den stora boven i dramat utan den mänskliga faktorn. Det gäller att vara medveten om riskerna och att ha en tydlig policy för vad användarna får göra.
– Det är väldigt viktigt att ha en policy för personalen. Att vara medveten om riskerna och ta aktiva beslut både på individ- och organisationsnivå, säger Ulf Löfven som är sälj- och marknadschef på Ekelöw Infosecurity.

Att allt fler publicerar allt mer ­information, både om sig själva och sina företag, ­råder det inget tvivel om. Men problemet, enligt Ulf ­Löfven, är att många verkar göra det utan tanke på konsekvenserna. För dem som har ont uppsåt blir det allt lättare att kartlägga både personer och företag.
Identitetsstöld, riktade attacker och ryktesspridning är några av riskerna. Och det är framför allt hastigheten med vilken information kan kopieras och spridas via de nya kanalerna som är kritisk.
– Läckor och felsteg har alltid funnits, skillnaden idag är att konsekvenserna kan bli betydligt mer allvarliga med den nya teknikens hjälp. I värsta fall kan de få genomslag i hela världen.

Lätt att kartlägga flöden
Ulf Löfven manar alltså till eftertanke när det gäller vad anställda ska tillåtas göra på nätet. Och vilken information de ska få publicera. Han tar den webbaserade adressboks­tjänsten Plaxo som varnande exempel. Via Plaxo är det möjligt att samla ihop informationsflöden från vänner och bekanta, exempelvis blogginlägg, bilder och allmän profilinformation, på en gemensam sajt. Sammantaget kommer den att innehålla stora mängder data, som i värsta fall kan missbrukas.
– Låt oss säga att du låter all din personal använda Plaxo. Då får även andra tillgång till information som kan vara affärskritisk. Helt plötsligt kan någon utomstående ha fått tillgång till hela det sociala nätverket, säger han.

Det är med andra ord ett klockrent upplägg för den som vill fiska fram uppgifter om ett företag, inklusive dess rutiner och nyckelpersoner.
Därmed inte sagt att sociala nätverkstjänster är enbart av ondo. Det kan finnas många skäl att bevaka, använda och interagera i sociala med­ier – både som företag, anställd och privatperson. Ökad kontaktyta mot såväl kunder som den ­egna personalen är en av fördelarna. Ökad möjlighet att samarbeta och ta del av information är en ­annan. Men precis som när internet slog igenom finns det många frågor att ta ställning till.
Den i särklass viktigaste för dig som CSO är vad som händer när delar av den interna företagskommunikationen hamnar utanför brandväggarna? Är det lämpligt att personalen diskuterar företagsfrågor via Facebook? Eller bloggar om arbetsgivaren på en privat blogg om kvällarna? Det är sådant varje företag och dess CSO måste ta ställning till för att sedan gå ut med tydliga riktlinjer om vad som gäller.
Ulf Löfven anser att det viktiga är att låta säkerhetstänkandet domineras av aktiva val. Det handlar inte om att förbjuda vissa sajter, tycker han. Överlag är tekniska begränsningar fel väg att gå. Men det gäller att hålla koll på riskerna och informera medarbetarna om dem. Så att de vet vad som är okej att lämna ut och inte.
Det faktum att tjänsterna kan användas utan­för jobbet är avgörande i sammanhanget. Eftersom det är själva informationsspridningen som är den stora risken ger det ingen större effekt att begränsa användningen på jobbet.
– En tydlig trend idag är att yrkesliv och privatliv flyter ihop. Poängen är att göra folk medvetna om att de alltid kommer att kopplas ihop med sitt företag, säger Ulf Löfven.
– När jag jobbade i försvaret var det många journalister som frågade mig saker. När jag inte kunde uttala mig i min yrkesroll sa de ”vad ­tycker du som privatperson”, men den rollen finns ­inte, fortsätter han.

På nätet blir det dessutom en fråga om snabb och okontrollerad spridning. Du har ingen koll alls på var, när och hos vem informationen stannar. Eller på vilka sajter den faktiskt hamnar.
– Plaxo är till exempel ihoplänkad med Yahoo, Youtube med mera. Det är en enorm mängd information, säger Ulf Löfven som även menar att det är viktigt att reda ut vem som står bakom tjänsterna.
– Det är ibland luddigt att få fram. Vad är affärsidén och vilka tjänar pengar på informationen? Var alltid misstänksam om det saknas uppgifter om avsändare och affärsmodell.

Öppenhet mot säkerhet
Sajter som kategoriserar och systematiserar använ­darnas information, som Facebook och Linkedin, kanske utgör de största hoten integ­ritets­mässigt. Men även enkla bloggar eller ­foruminlägg kan äventyra säkerheten.
– I USA har man till exempel lyckats få fram hur militära hangarfartyg rör sig över världen via besättningens privata bloggar. De har skrivit var de är under resans gång så att det har gått ­pussla ihop färdrutter, säger Ulf Löfven.

Det är svårt att tänka sig en tid när det varit svårare än nu att skydda information. Det är alltså inte konstigt att militär och polis ­håller ett extra öga på utvecklingen.
Anders Ahlqvist som är chef på Rikskriminalens internetspaningsenhet förvånas av hur lättvindigt människor agerar på nätet.
– Presenterar man sin personliga information för hela världen får man räkna med att den kan bli utnyttjad, säger han.

För honom är det obegripligt att företag har så många tjänster öppna från arbetsplatsen.
– Jag förstår att man vill vara serviceminded men många fler borde göra en analys av vad de anställda behöver komma åt på nätet.

Liksom Ulf Löfven tycker Anders Ahlqvist ändå att utbildning är viktigare än att teknisk begränsning. Det är rent av enda lösningen.
– Information som anställda delar i sociala medier går inte att stoppa tekniskt.

Som så ofta när det gäller riskhantering blir det en avvägning mellan öppenhet och säkerhet och värdet av förlorad information.


Webb 2.0 i praktiken

Två typer av säkerhetshot

Det finns två typer av säkerhetshot mot sociala tjänster och webb 2.0-tillämpningar – tekniska och innehållsmässiga. Vi tittar närmare på fem tjänster och hur du kan minska riskerna.

Facebook har fått klä skott för många ­diskussioner om riskerna med personligt nätverkande på ­internet. I princip samma risker gäller för alla typer av ­sociala nätverkstjänster och communities på nätet, ­exempelvis Myspace och Linked In med mera.

Innehållshot
Communities kännetecknas av en informell ton och öppenhet. Den som publicerar information känner sig som att han eller hon är bland vänner. Men informationen kan kartläggas och analyseras av en angripare. Och i värsta fall användas för riktade attacker mot enskilda personer eller företag. Vidare: Har du koll på ­vilka som ingår i ditt nätverk? En avlägsen bekant kan vara kriminell, för omvärlden ser det ut som att ni är vänner. I värsta fall kan du få polisen på dig. Slut­ligen har spammarna börjat inta de nya kanalerna.

Tekniska hot
Många nya webbtjänster använder sig av programmeringsspråket Ajax som består av bland annat
Javascript och xml. Ajax gör det möjligt att skapa
dynamiska och interaktiva webbsidor men utför också många processer i användarens egen dator, istället för på webbservern. Det skapar bland annat utrymme för att baka in elak kod i javascriptet vilket kan underminera skyddet mot senare attacker. Det kan också gå att ta sig förbi inloggningssidor, maskerad som en annan användare.

Tänk på det här
Går det på något sätt ta del av dina interna företagsuppgifter i form av diskussioner eller konversationer på externa communities? Även om det ­verkar oskyldigt att tala om lunchvanorna med ­kollegorna eller hur möblerna på jobbet ser ut kan många små delar tillsammans ge en detaljerad bild av ­företaget. Detsamma gäller diskussioner kring projekt och ­uppdrag, där varje del för sig inte avslöjar speciellt mycket, men där helheten kan vara väldigt avslöjande. Se tilll att företaget har en tydlig policy för ­vilken information det är okej att dela med sig av. Och att ­användarna är medvetna om vad som gäller.

Bloggen
I en blogg kan vem som helst publicera information på internet – billigt, snabbt och enkelt. Den största säkerhetsrisken handlar precis som i fallet communities om den information avsändaren publicerar.

  • Innehållshot
    Information som publiceras på en privat- eller företagsblogg kan i vissa fall fungera som marknadsföring för företaget. Men den kan också användas för att kartlägga organisationen och dess personal, samt för att göra riktade attacker mot utvalda mål.

  • Tekniska hot
    Det finns risker som även förknippas med communities, till exempel utnyttjande av dålig säkerhet i Ajax programmeringsspråk. Innehållet är dock den största riskfaktorn.

  • Tänk på det här:
    Precis som i fallet med communities är det ­viktigt att göra personalen uppmärksam på vilken typ av ­information som inte bör lämnas ut eller nämnas i ­privata bloggar. Se till att ha en policy som lever!
    Om du använder bloggar internt inom företaget bör du reflektera över vilket bloggverktyg som används. Det kan vara riskabelt att helt förlita sig på en ­extern gratistjänst om innehållet är känsligt. Bättre då att sätta upp bloggarna innanför brandväggen med ­verktyg anpassade för egen serverinstallation.

Wikin
En Wiki, en webbsida som alla kan editera och ­redigera, kan vara ett utmärkt verktyg för att samla och dela information. Men eftersom alla användare kan uppdatera informationen ökar även sårbarheten. Det gäller både externa och interna wikis.

  • Innehållshot
    Felaktig information om företaget eller de anställda kan publiceras. Det kan leda till ryktesspridning eller förtroendekonflikter. Enskilda personer kan publicera känslig information av misstag eller medvetet. Den kan sedan användas av konkurrenter eller kriminella.

  • Tekniska hot
    Någon kan råka publicera en virussmittad fil och ­sprida den till andra användare.

  • Tänk på det här:
    Det är omöjligt att ha full kontroll över vilken infor­mation som sprids om det egna företaget. Både ­anställda och okända människor kan lägga till och ta bort information från publika wikisajter som till ­exempel Wikipedia. Låt de anställda bli dina ambassadörer i att upptäcka och komplettera felaktigheter och bristfällig information som de hittar på nätet.

Google Desktop
Med Google Desktop kan användaren indexera och söka i allt innehåll på den egna datorn. Även information från mejltjänster och cachade webbsidor indexeras, och det är detta som en del ­säkerhetsexperter oroar sig över. Google Desktop kan orsaka stora ­säkerhetsluckor om datorn kommer i orätta händer.

  • Innehållshot
    Uppgifter som inte ens finns på företagets server kan finnas lokalt på en användares dator och indexeras av Google Desktop. Vid ett eventuellt angrepp kan informationen snabbt hittas och spridas vidare, vilket ­underlättar för angriparen när det är ont om tid.

  • Tekniska hot
    Känsliga uppgifter från till exempel banktjänster och andra personliga sajter kan indexeras och ­återskapas – även information som raderats av användaren.

  • Tänk på det här
    l Google Desktop bör inte installeras på datorer som hanteras eller kan komma att hanteras av flera olika personer.


Webbmejl (Gmail)
Webbaserade e-posttjänster blir allt vanligare. Och Gmail är en av Googles populäraste tjänster ­utöver sökmotorn. Det är en e-posttjänst som är helt webb­baserad och även tätt ihopkopplad med andra ­Googletjänster så som Calender och Google Docs.

  • Innehållshot
    Google lagrar och analyserar innehållet i användarnas e-post, bland annat för att kunna anpassa annonser efter innehållet. Vad informationen kan användas till i övrigt går inte att veta. Och Google får ofta kritik för just kartläggningen av sina användare.

  • Tekniska hot
    Som i alla e-postprogram finns hotet från spam, smittade bilagor eller länkar till sajter som genomför phisingattacker. Både inkommande och utgående e-post analyseras och lagras på Googles servrar, ­oavsett om avsändaren gett sitt samtycke eller ej.

  • Tänk på det här
    Hur stor makt vill du att Google ska ha över informationen? Det avgör inställningen till Gmail. I övrigt ­föreligger samma risker som i andra webbaserade e-posttjänster, som Hotmail eller Yahoo.
    Stora etablerade webbmailtjänster har ofta betyd­ligt bättre spamskydd och säkerhetsfunktioner ­jämfört med mindre leverantörer. Det hindrar dock inte direktkommunikation och identitetsbedrägeri riktat mot enskilda personer.

Fakta

Använd tydliga riktlinjer för vilken typ av information som får och inte får spridas ­utanför företaget.

Vem står bakom den sajt du eller dina användare publicerar information på? Ta reda på ägarförhållanden och fundera på om informationen kan användas i andra syften än de som avses.

Du representerar ditt företag – både på jobbet och privat. Även en privat blogg kan kopplas ihop med sin arbetsgivare. Säkerställ att dina användare är på det klara med det – och att de inte publicerar information som strider mot punkt ett i något av de forum de använder privat.

Var lika vaksam online som offline. Den information som man inte skulle dela med en främling på gatan ska antag­ligen inte heller delas på en ­öppen sajt.

Försök värdera den ­information sompubliceras. Hur mycket förlorar individen ­eller företaget om informa­tionen kommer i fel händer?

Fokusera på riktiga hot och risker. Det är inget själv­ändamål att vara onödigt snål i gemenskapen på nätet. Många sociala medier är fantastiska verktyg med stora möjligheter. Låt inte skrämselpropaganda passera oreflekterad.