Han er professor i faget «computer forensics», kort forklart digital etterforskning i materiale som er lagret på datamaskiner. På Noroff underviser han bachelorstudenter i dette faget, og til bruk i undervisningen har Iain Sutherland samlet inn harddisker fra tilfeldige kilder på Sørlandet.
— Dette er maskiner ulike folk kvitter seg med. Noe er funnet på Finn.no. Vi ville undersøke om folk har gode rutiner for å slette sensitive data.
Dette har Sutherland gjort flere ganger tidligere, blant annet i regi av sin gamle arbeidsplass, University of South Wales. Nå bor han i Vennesla og er ved siden av undervisningen på Noroff engasjert i sikkerhetsarbeid gjennom den lokale kryngen av it-bedrifter, Digin.— Jeg er ikke oppløftet av hva vi fant her. Denne første lille studien vår viser nedslående holdninger til datasikkerhet, sier han.
Les også:
Bestilte datainnbrudd hos seg selv
Private bilder
Bare tre av tretti undersøkte harddisker var blanke eller forskriftsmessig slettet.
— Man finner nesten alltid ting som private bilder og private tekster og notater.
Noen ganger bilder som er svært private og man ikke vil skal komme på avveie. Andre ting kan være dokumenter som inneholder personnummer, bankdetaljer og ting som brukernavn og passordfiler.
Overvåkningsbilder
Men det kan også dreier seg om pc-er brukt i jobbsammenheng.
- Hva er det største problemet?
— Det kommer an på perspektivet ditt. Men i vårt materiale var det også harddisker som åpenbart har vært i bruk i private bedrifter. Det er lister over ansatte, interne dokumenter som avslører markedsføringsplaner og salgsstrategier. Og noen videoer.
- Hva slags videoer?
— To av diskene inneholder opptak fra overvåkningskameraer i banklokaler. Jeg vil ikke si hvilke banker. I alle fall tre av diskene har overvåkningsbilder fra andre bedrifter. Disse diskene må stamme fra ansatte ved disse stedene, eller fra et firma som selger løsninger for å håndtere disse kameraene.
Utpressingsmateriale
Sutherland forteller om en tidligere studie han har gjort i Wales, da en av diskene de fikk tak i tilfeldig inneholdt mye materiale fra en ungdomsforening.
— Grundigere studier viste at disken hadde vært eid av en annen tidligere, og inneholdt masse materiale fra et verft som bygger skip for sitt lands marine. Man kunne også identifisere en ansatt der, som hadde brukt maskinen. Han var gift, men en del av bildene avslørte at han hadde et intimt forhold med en mannlig kollega. Kort sagt: materiale som var egnet til utpressing. Legg til at verftet befant seg i en viktig anbudsprosess. Det er ikke bra at slike ting kommer på avveie.
Lite fokus
- Hva kjennetegner utfordringene her?
— Norge og Sørlandet har mange små og mellomstore bedrifter. Disse er ofte spesialister på sine felt, fremfor masseprodusenter med lavkost slik vi ser i Kina og andre asiatiske land. Slike små bedrifter lever av sine kunnskap og sin teknologi, og de må ha gode rutiner for å beskytte seg mot angrep og tyverier.
Den lille studien han har gjennomført, sier Sutherland bør gjentas med et større utvalg harddisker for å få enda bedre kunnskap om folks rutiner her til lands.
Sutherland minner om at det er gode grunner til å resirkulere it-utstyr, både økonomiske og miljømessige.
— Men du bør tenke deg om før du sender maskinen din til en veldig organisasjon i Nigeria. Du kan skru ut harddisken, eller du kan slette den forsvarlig med noe av den programvaren som finnes for slikt, sier han.
Sutherland anbefaler alle arbeidsplasser å ha rutiner for sikker sletting av lagringsmedier, og å tilby dette gratis til alle sine ansatte.
Har rutiner for å slette
Sparebanken Sør er overrasket over Sutherlands funn og sier de har rutiner for sikker sletting av overvåkningsbilder.
— Jeg er overrasket over å høre om disse bildene, sier Rolf Søraker, direktør konsernstab i Sparebanken Sør.Han forsikrer at banken hans har rutiner for å håndtere slike bilder på en sikker måte, og at begge bankene hadde det også i flere år før fusjonen.
— Vi har en avtale med en autorisert leverandør av tjenesten med overvåkningsbilder. Slike bilder kan lagres i inntil 90 dager før de slettes. Firmaet skal ha rutiner for sikker destruksjon av disker som har vært i bruk, sier Søraker.
— I dette tilfellet må det ha skjedd en glipp. Men jeg vet jo ikke hvor det skjedde, så det er vanskelig å si noe mer om det, sier han.
Fædrelandsvennen vet ikke hvilke banklokaler bildene er fra.