eyesnearsDu skulle förmodligen inte skicka känslig information skrivet på ett vykort.

Men hur är det med e-post?

Det verkar som om vi, trots att vi får höra att vi avlyssnas på internet, ändå upplever det som så esoteriskt att vi liksom inte riktigt tycker att det finns.

Kan det ha att göra med att det som syns mest av ett meddelande, som skickas digitalt, bara verkar finnas i sändarens och mottagarens användargränssnitt? Eller förleds vi av att det kallas för ”post”, även när informationen lagras och skickas digitalt, och därför reflexmässigt tänker oss att det funkar likadant som för snigelpost?

Det är svårt att säga, men vad det än är, så beror det i alla fall definitivt på våra analoga tillkortakommanden.

Antingen så har vi känslan av att kommunikationen är privat, fast meddelandet kan läsas av alla som det passerar (och det kan vara många, eftersom mailet mycket väl kan valsa runt jorden på vägen mellan två datorer i Sverige). Eller, även när vi är bättre informerade, så orkar vi helt enkelt inte göra alla de handgrepp som är nödvändiga för att säkra upp meddelandet med kryptering.

När det gäller våra privata liv, så får väl var och en – så långt det är möjligt – ta ställning till hur noga vi vill hålla i våra data. Men företag har ansvar för både kunder, anställda, partners och leverantörer, så det är många som kan drabbas om informationssäkerheten inte tas på allvar.

På den tiden vi skickade snigelpost så var meddelanden betydligt säkrare, per automatik. Men brevhemligheten gäller inte för digitaliserad information som skickas över Internet, så vi är piskade att ta eget ansvar för den, numera.

(Som före detta postanställd så kommer jag ihåg att tystnadsplikten faktiskt även gällde sånt som vi råkade läsa på vykort, medan vi hanterade dem).

Alla företag bör ha en tydlig policy för klassning av information, och tillhörande riktlinjer för hur information med viss klassning får hanteras, så att samtliga i verksamheten vet om det.

Beroende på vilken marknad det handlar om, så behöver inte det vara någon större ansträngning. Sedan måste naturligtvis de verktyg som krävs för att till exempel kryptera dokument finnas tillgängliga, så att det är praktiskt att följa policyn också.

Men det är viktigt att förstå att säkerhet inte kan garanteras med hjälp av teknik (trots våra regeringars iver att vilja massövervaka oss under förevändning att vi skulle kunna känna oss mer säkra då). Till och med ett stort företag som Telia, som har väldigt tydliga riktlinjer både för klassning och hantering av känslig information, kan råka ut för att en individ inte följer dem, till exempel.

Så det hänger i högsta grad också på avtal, företagskultur, och förtroende – alla helt analoga och mänskliga företeelser.

Anledningen till att det här är ett sånt problem är, återigen, att vi har så dimmiga begrepp om den digitala domänen. Hittade en annan artikel om Telia-incidenten ovan, där journalistens okunnighet om digitalisering märks tydligt.

Incidenten bestod i slarv – de skickade lösenord via oskyddad e-post – inte att driften är utlagd på ett annat företag.

Att det företaget är belaget i ett annat land är, om avtalen är ordentliga, egentligen inte större risk än att personalen lokalt på ett kärnkraftverk skulle kunna åstadkomma en härdsmälta om de ville det. De är faktiskt betrodda med att sköta driften.

I den digitala domänen – cyberrymden, om man så vill – så saknar geografiska avstånd betydelse. Det betyder att risken med att lägga ut driften av ett system i princip skulle vara lika stor även om handläggarna satt i samma hus.

Att anlägga våra analoga föreställningar på riskbedömning i det digitala blir ofta fel – ett kunskapslyft behövs, definitivt.