Till innehållet
Svensk Försäkring varnar för nätfiske.
Läs mer
PrivatFöretag
5 min lästid

Kryptera medarbetarnas datorer

Publicerad: 2024-10-30

Senast ändrad: 2024-12-19

Bärbara datorer och molnbaserade samarbetstjänster gör det lätt för medarbetare att arbeta flexibelt – både innanför och utanför kontorets väggar. Flexibiliteten sker dock på bekostnad av den förhöjda stöldrisken. Om en medarbetares dator blir stulen är det framför allt viktigt att tjuvarna aldrig får åtkomst till företagets filer. I den här artikeln förklarar vi vilka åtgärder företaget bör vidta för att hålla filerna säkra när de behandlas på medarbetarnas datorer.

Säkerställ att skärmlåset används

Ingen medarbetare får lämna sin dator obevakad i olåst skick. Detta är en grundförutsättning. Om en dator lämnas obevakad i olåst skick finns det inget som hindrar en illvillig person att stjäla filer som ligger lagrade på datorn helt vidöppet.

Denna risk minimeras genom en kombination av utbildning och tekniska åtgärder. Medarbetarna måste känna till riskerna som uppstår om de lämnar sina datorer olåsta. De måste också få vanan att alltid låsa sina datorer när de lämnas. Det är därför en god idé att lära medarbetarna snabbkommandot för att låsa datorn, det vill säga aktivera skärmlåset.

  • Windows: Windows + L
  • Mac OS: Control + Command + Q

Sannolikheten att medarbetarna låser datorerna ökar om det är lätt. Överväg därför att utrusta medarbetarnas datorer med fingeravtrycksläsare som gör att de kan låsa upp sina datorer utan att behöva skriva in långa lösenord.

Risken för att någon medarbetare glömmer kvarstår alltid. Medarbetarnas datorer ska därför konfigureras så att skärmlåset aktiveras automatiskt vid inaktivitet.

Kryptera lagringen

Datorns skärmlåsger inget fullständigt skydd. Om en tjuv stjäl datorn kan tjuven kringgå skärmlåset och komma åt alla filer ändå. Det kan ske genom att starta datorn från ett speciellt usb-minne eller genom att öppna datorn, plocka ut dess interna lagringsenhet (SSD-disk eller hårddisk) och koppla lagringsenheten till sin egen dator.

Av detta skäl måste lagringsenheterna i alla medarbetares datorer vara krypterade. Då är datan skyddad ävenom datorerna blir bestulna.

Både Windows och Mac OS har inbyggda funktioner för att kryptera datorns lagringsenhet. På Windows-datorer används funktionen som kallas Bitlocker. Den finns enbart i Pro- och Enterprise-versionerna av Windows.

Hemversionen av Windows 11 har en annan krypteringsfunktion som kallas Enhetskryptering (den är även kompatibel med vissa Windows 10-datorer). Enhetskryptering skyddar datorns interna lagringsenhet på samma vis som Bitlocker men saknar stöd för centraladministration och kan inte kombineras med ett användarvalt krypteringslösenord. Enhetskryptering kan inte heller kryptera externa hårddiskar eller usb-minnen. I företagssammanhang bör därför Bitlocker väljas i stället för denna funktion.

Nästintill alla Mac-modeller har numera krypterad lagring som standard. Det gäller alla Mac-modeller med Apples egna M-processorer samt äldre Intel-baserade Mac-modeller med Apples T2-chip. Apple har publicerat en lista över alla Mac-modeller som har T2-chip på sin webbplats.

På äldre Mac-modeller utan M-processor eller T2-chip måste funktionen som kallas Filevault aktiveras. I företagssammanhang är funktionen även värd att aktivera nya Mac-datorer, inklusive Mac-datorer med M-processorer, eftersom Filevault ger ett ännu starkare skydd än den vanliga krypteringen (Filevault skyddar mot sofistikerade replay-attacker genom att också dra nytta av användarens lösenord).

Skärmavbild av Systeminställningar-appen i Mac OS. Fliken Integritet och säkerhet visas. Texten ”Filevault säkrar data på skivan genom att krypteras dess innehåll automatiskt” visas.

Filevault bör aktiveras på alla Mac-datorer.

Företaget ska säkerställa att alla medarbetares datorer är krypterade. I små företag går det att kontrollera manuellt. I större företag behövs tekniska hjälpmedel för att forcera krypteringen och följa upp dess status centralt (läs mer om dessa möjligheter på Microsofts webbplats och Apples webbplats ).

Observera att Bitlocker och Filevault enbart skyddar filerna när de lagras på medarbetarnas datorer. Bitlocker och Filevault ska inte förväxlas med åtgärderna som kan behövas för att skydda filer som synkroniseras med molnet.

Kryptera externa lagringsenheter

I många organisationer sparar medarbetare filer på externa lagringsenheter, till exempel externa hårddiskar och usb-minnen. Då måste även dessa lagringsenheter krypteras så att ingen obehörig kan komma åt filerna utifall de externa lagringsenheterna hamnar på avvägar. Krypteringen förenklar också framtida kassering av externa lagringsenheter. Läs mer om detta i vår artikel om att kassera elektronik på säkert vis .

Externa lagringsenheter kan krypteras med samma operativsystemsinbyggda funktioner som krypterar datorernas interna lagringsenheter: Bitlocker i Windows respektive Filevault i Mac OS.

Skärmavbild av Utforskaren i Windows. Alternativen för en extern hårddisk visas och valet ”Aktivera Bitlocker” är markerat.

Externa hårddiskar och usb-minnen ska krypteras innan de används.

Krypteringen kan orsaka problem om de externa lagringsenheterna ska användas för att överföra filer mellan datorer som har olika operativsystem. Windows kan inte dekryptera Filevault-krypterade lagringsenheter. Mac OS kan inte dekryptera Bitlocker-krypterade lagringsenheter. I dessa specialfall kan en kostnadsfri krypteringsapp vid namn Veracrypt användas i stället.Veracrypt fungerar på båda operativsystemen.

För att undvika att medarbetare lagrar filer på okrypterade externa lagringsenheter krävs utbildningsinsatser i kombination med en tydlig skriftlig policy. Företag som har egna it-avdelningar kan också aktivera en teknisk gruppolicy för Windows-datorer som förhindrar att medarbetare överför filer till okrypteradeusb-minnen.

Sammanfattning

  • Utbilda medarbetarna så att de aldrig lämnar sina datorer obevakade i olåst skick.
  • Konfigurera skärmlåset på medarbetarnas datorer så att det aktiveras vid inaktivitet.
  • Kryptera lagringsenheterna i alla medarbetares datorer.
  • Utbilda medarbetarna så att de krypterar eventuella externa lagringsenheter (externa hårddiskar och usb-minnen) innan de börjar använda dem.

Exempel från verkligheten

  • En medarbetare hos Region Skåne lagrade känsliga personuppgifter på ett okrypteratusb-minne. Medarbetaren tappade bort usb-minnet och det återfanns aldrig. Integritetsskyddsmyndigheten utfärdade en administrativ sanktionsavgift på 200 000 kronor. (2023)