Strenge sikkerhedskrav på Christiansborg vil få flere til at bruge privattelefoner - og det giver nye risici

Privattelefoner udgør også en sikkerhedsrisici, siger to eksperter.

Ikke kun TikTok frarådes på Christiansborg. DR Grafik: Nathalie Nystad

TikTok har lidt en krank skæbne, efter Center for Cybersikkerhed for tre uger siden frarådede ansatte i staten at have den kinesiske app på deres tjenstlige enheder.

Det skete med baggrund i Center for Cybersikkerheds 'Håndbog i sikkerhed for mobile enheder', der kommer med anbefalinger til ministre, departementschefer, særlige rådgivere og udvalgte medarbejdere.

En håndbog, som Kulturen på P1 har fået aktindsigt i.

Aktindsigten viser, at det ikke kun er TikTok, der frarådes, og så anbefaler den en række meget restriktive krav til opsætningen af arbejdstelefonerne i ministerierne.

Her fremgår det nemlig, at lokalitetstjenester, Wi-Fi, stemmestyring, cloudbackup og Bluetooth er slået fra.

Du kan jo selv prøve at slå de førnævnte ting fra på din telefon og se, hvor meget funktionalitet, der forsvinder.

Fra Ken Friis Larsen, der er lektor og viceinstitutleder på Datalogisk Institut på Københavns Universitet, lyder det:

- Det bliver en slags lille bærbar. Man kan godt ringe fra den, og man kan godt modtage mails på den, men det begrænser mulighederne for, hvad man kan med den.

Flere vil ty til privattelefonen

Og det udgør ifølge Ken Friis Larsen en risiko for, at langt flere ministre og embedsfolk vil have en privattelefon ved siden af arbejdstelefonen eller kommer til at rykke yderligere aktivitet over på privattelefonen.

- Det er der nok rigtig mange, der vælger at have til nogle af de andre ting en moderne smartphone kan bruges til. Som for eksempel at tracke motion eller dele billeder, siger Ken Friis Larsen.

Og lige præcis privattelefoner betegnes i 'Håndbog i sikkerhed for mobile enheder' som noget, der "muligvis udgør det sikkerhedsmæssigt svageste punkt".

- Idet din tjenestetelefon er sikkerhedshærdet, kan din private telefon, smartwatch eller tablet nu muligvis udgøre det sikkerhedsmæssigt svageste punkt.

- Du må derfor som det klare udgangspunkt ikke benytte din privattelefon til at udføre tjenstlige opgaver, lyder det i håndbogen.

I starten var det alene TikTok, der var "ramt" af anbefalinger fra Center for Cybersikkerhed. Nu afslører en aktindsigt dog, at der anbefales en lang række andre begrænsninger på telefonen. (Foto: © Petr Svancara, Associated Press)

Men selv hvis man følger det råd, er der en række klare risici ved en udbredt brug af privattelefoner, mener Ken Friis Larsen.

- Selv, hvis man ikke tager sin privattelefon med på arbejde, så kan man, hvis man ikke er meget opmærksom på sikkerheden på den, blive udsat for spionage og afpresning.

- Hvis din lokalitetstjeneste for eksempel afslører, at du har en elskerinde, så er du er sårbar overfor afpresning fra fremmede magter, der gerne vil have fat i nogle af de oplysninger, du har fra arbejdsregi, siger Ken Friis Larsen.

Risikere de her meget stramme krav til sikkerheden, at man får skubbet nogen over til at bruge private telefoner, der ikke er lige så "sikkerhedshærdede, og dermed skaber en sikkerhedsrisiko?

- Ja, det kan man nok godt. Når man laver en risikovurdering, så laver man et stort regnestykke, hvor man må lave en afvejning af de fordele og ulemper, der er ved ens anbefalinger.

- Og der tænker jeg, at Center for Cybersikkerhed har styr på det regnestykke. Men det er et regnestykke hvor de parametre, der indgår, kan ændre sig hurtigt, hvilket så kan betyde, at afvejningerne og anbefalingerne også ændrer sig, siger Ken Friis Larsen.

Fordelene opvejer ulemperne

Når Jan Lemnitzer, der er assisterende professor på CBS med speciale i cybersikkerhed, laver sit indre regnestykke, så er der også god ræson i anbefalingerne.

Også selvom man med sikkerhedsanbefalingerne laver telefonen om "til en telefon fra før smartphonen kom", som han siger.

- Der er altid en risiko for, at flere vil bruge skygge-it (privattelefoner, red), når man strammer på sikkerheden. Men i det her tilfælde, vil jeg sige, at sikkerhedsgevinsten ved stram sikkerhed på arbejdstelefonerne vejer op for sikkerhedsrisikoen ved, at flere begynder at bruge en privattelefon, vurderer Jan Lemnitzer.

Han mener faktisk, at anbefalingerne skulle være trådt i kraft "for måneder siden".

Han gør samtidig opmærksom på, at hvis flere ansatte i ministerierne får en privattelefon eller bruger privatelefonen mere, så skal man i den grad gøre sig en række ting bevidst.

- Du er nødt til at være opmærksom på, at så snart du har med sensitiv information at gøre, så er du et mål. Den information, der ligger på din telefon, har en værdi for trusselselementer.

- Så du bliver nødt til at sige til dig selv, at du har været vant til letheden ved de her teknologiske fremskridt, men nu har trusselsbilledet altså bare ændret sig markant.

Center for Cybersikkerhed ønsker ikke at stille op til interview om sagen, men de har fremsendt følgende skriftlige meddelelse:

"Håndbogen i sikkerhed for mobile enheder er udarbejdet til en specifik målgruppe, blandt andet ministre og embedsmænd, som kan have behov for et højt sikkerhedsniveau i lyset af den meget høje trussel fra cyberspionage. Håndbogen er ikke rettet mod en bredere kreds, og vi går derfor ikke ind i en nærmere drøftelse af indholdet.

Overordnet er det centrale i håndbogen, og i CFCS’ øvrige rådgivning om sikkerhed på mobile enheder, at man adskiller arbejde og privatliv, og at man har så få og arbejdsrelevante apps som muligt på arbejdstelefonen."