Vi er vant med å begrense tilgangen til informasjon avhengig av hvem som ber om den. Tilgangskontroll er kanskje den mest selvsagte sikkerhetsmekanismen vi har. Det er utenkelig at en bedrift ikke skulle ha implementert noe som helst slags tilgangskontroll på sine tjenere og tjenester. Til og med på Facebook begynner folk å skjønne at det kan være greit å skille mellom hva venner og resten av verden skal ha tilgang til.
Men hva om en ansatt videresender konfidensiell informasjon, eller en “venn” på Facebook publiserer på nytt et bilde du har delt med ham?
Hva kan du gjøre for å kontrollere hvordan informasjonen blir brukt?
Problemet er at når informasjonen forlater systemet så forsvinner samtidig all kontroll. Informasjon du har sendt til noen kan de gjøre hva de vil med, uavhengig av hva du opprinnelig hadde tenkt. Derfor er det ingen hindringer for å publisere bilder på internett eller lekke konfidensiell informasjon.
Du kan for eksempel få mottakeren til å signere en taushetserklæring, Non-Disclosure Agreement (NDA), kontrakt eller noe annet som gir deg muligheten til å saksøke vedkommende dersom han går utover sine fullmakter. I teorien skal noe slikt sørge for at mottakeren ikke tør annet enn å følge de reglene for bruk som du har bestemt. Det er imidlertid vanskelig å vite om noen bryter reglene og det er svært upraktisk (og ikke minst dyrt) å skulle rettslig forfølge de som gjør det.
Hvis du derimot vil forhindre noen fra å bryte dine regler, er det brukskontroll som gjelder. Brukskontroll er en forlengelse av tilgangskontroll som ikke begrenses av systemer. Det kan ligne litt på Digital Rights Management (DRM), men er ikke nødvendigvis knyttet til verken media-filer eller betaling. Det er kort og godt program- og maskinvare på mottakerens maskin som passer på at reglene dine blir håndhevet uansett hvor informasjonen måtte bli distribuert. Du kan til og med endre reglene underveis: for eksempel trekke tilbake rettigheter. Med brukskontroll kan du spesifisere at man bare får lese et dokument i 30 dager, eller så lenge man er ansatt i bedriften, eller så lenge man er tilknyttet et gitt prosjekt. Du kan kontrollere videresending, kopiering og utrskrift, og du kan gjøre det dynamisk. Du har full kontroll.
Hvorfor bruker ikke alle dette?
Det er det jeg forsøker å finne ut av i mitt doktorgradsprosjekt. Hva er det som gjør at industrien ikke bruker dette? Hvordan opplever de risikoen for misbruk av informasjon? Hvordan kan brukskontroll redusere risikoen? Og sist, men ikke minst: Hva tror de er ulempene ved å brukskontroll?
Ved å øke forståelsen for industriens utfordringer vil vi være bedre i stand til å maksimere fordelene og samtidig begrense ulempene med brukskontroll. På den måten kan vi være bedre beskyttet i fremtiden.