Hvilke regler gjelder for å laste opp Tik Tok og andre apper på tjenestetelefonen til ansatte i finansnæringen? Finansfokus har tatt kontakt med flere i finansnæringen med spørsmål om regler for bruk av tjenestetelefoner, sikkerhet og nedlasting av apper. 

Først ute er sikkerhetssjef Anders Hardangen i DNB. Han forteller at i DNB har de ingen retningslinjer som går spesifikt på nedlasting av TikTok og lignende apper. Grunnen til det er at DNB benytter teknologi og sikkerhetsmekanismer på de ansattes mobiltelefoner som beskytter informasjonen og kommunikasjonen mot forretningssystemene. 

– Vi er opptatt av å bevisstgjøre de ansatte, og har opplæring rundt hva ulike apper kan ha mulighet til å gjøre på telefonen hvis de får riktige tilganger. Men vi følger nøye med på debatten som går rundt TikTok og hva eventuelt myndighetene vil komme med av anbefalinger fremover for å se om det vil komme frem informasjon som gjør at vi skal revurdere dette, sier Hardangen. 

Tyst fra Nordea og SpareBank 1 Østlandet 

Hardangen sier at de vil naturlig nok ikke gå inn på detaljene i DNBs sikkerhetsmekanismer. Han er likevel villig til å dele mer enn andre Finansfokus har vært i kontakt med, som Nordea og Sparebank 1 Østlandet (SPØ). 

Kommunikasjonsrådgiver hos Nordea, Johannes Utvåg, svarer slik i en mail:

– Vi deler ikke og går ikke inn på detaljer rundt våre regler og retningslinjer rundt informasjonssikkerhet.

– Vi har strenge policyer, sikkerhetskrav og rutiner vedrørende tjenestetelefonene hos oss. Av sikkerhetsmessige årsaker går vi ikke nærmere inn på hva disse er. På samme måte har vi klare policyer vedrørende valg av tjenestetelefon, sier informasjonsrådgiver Bjørnar Mikkelsen i SPØ.

Telefoner er ikke blitt hacket

Hos inkassoselskapet Intrum forteller kommunikasjonsrådgiver Eivind Evjen at de har definerte regler for hva ansatte har lov til og ikke å gjøre med en tjenestetelefon. Men per dags dato er det ingenting som hindrer ansatte i å laste ned TikTok eller andre sosiale plattformer. 

– Alle tjenestetelefonene er utstyrt med krypteringer og forsvarsmekanismer for å beskytte Intrums data, sier Evjen. 

– Har det vært tilfeller der de ansattes telefoner har blitt hacket eller på andre måter tappet for informasjon?

– Nei. Vi tar informasjonssikkerhet på største alvor, og det viser at våre rutiner og prosedyrer så langt har vært effektive, sier Evjen. 

Ingen begrensninger hos KLP

Heller ikke KLP kjenner til at ansattes telefoner er blitt hacket. 

– Tilgang til interne systemer via telefon krever at telefonen må være registrert i vår sikkerhetsløsning, det som heter Mobile Device Management, forkortet MDM. Der kjører all data fra interne systemer i nedlåste sandkasser, som er isolerte områder på telefonen som ikke kan nås av andre applikasjoner, sier konserndirektør for teknologi, Rune Hørnes. 

Han forteller at KLP ikke begrenser hvilke apper ansatte kan installere på telefonen. Men at de ikke tillater telefoner der grunnsikringen omgås, såkalt jailbraking på Iphone eller rooting på Android

KLP følger nøye med diskusjonen og utviklingen rundt TikTok. 

– Vi ser også med interesse på hvordan EU nå håndterer denne og andre tilsvarende løsninger, sier Hørnes. 

Har retningslinjer om sosiale medier

I Den Gule Banken, Sandnes Sparebank, advarer HR-sjef Stein Haga om at han må svare rundt på noen av spørsmålene siden de er forsiktige med å gå ut med denne type informasjon. 

– IT-sikkerhet og personvern er et stort tema for banken, og oppmerksomheten rundt det har økt. Fram til nå har det først og fremst handlet om tiltak for å unngå svindel. 

Men også i Den Gule Banken har TikTok vært et tema. Som del av Eika Alliansen forholder banken seg til alliansens sikkerhetsrutiner. 

– Er det fritt frem å laste opp alle typer sosiale plattformer på telefonen eller er det begrensninger?  

– I dag finnes det ingen begrensinger når det gjelder nedlasting av apper. Vi har sikkerhetsmekanismer som sjekker apper som er installert og gir beskjed om det er uønskede apper på telefonen. Så har vi retningslinjer knyttet til bruk av sosiale medier. Overordnet går det på at en skal være bevisst bruken, ikke minst av bilder, og at en skal framstå på en ryddig måte i og med at en kan kobles til arbeidsgiver. 

Disse retningslinjene har de hatt lenge, siden da Facebook kom. Men bevisstheten og oppmerksomheten rundt de har økt i den senere tid. 

Kan bli innstramminger 

Gitt dagens sikkerhetspolitiske situasjon ser Haga for seg at det kan komme innstramminger også når det gjelder nedlasting av apper på de ansattes tjenestetelefoner. 

– De interne sikkerhetssystemene er i stadig utvikling og vi følger godt med. Dette er et område som er i stadig vekst og utvikling hvor ting endrer seg fort. 

13 sikkerhetsråd fra myndighetene

Anniken Beyer Fjeld, rådgiver i Norsk sikkerhetsmyndighet (NSM) har fått mange telefoner i det siste etter alt oppstyret i ly av at justisminister Emilie Enger Mehl hadde TikTok på sin telefon. 

Hun forteller at hun pleier å gi de fleste det samme svaret, og det er å vise til NSMs 13 råd om sikkerhet på mobile enheter.

NSM er et direktorat som administrativt er underlagt Justis– og beredskapsdepartementet. De har det sektorovergripende ansvaret for at forebyggende sikkerhetsarbeid blir utført i samsvar med Lov om nasjonal sikkerhet. 

Ekspert mener justisministeren brøt rådene

Siden denne artikkelen ikke hadde blitt noe av om Emilie Enger Mehl ikke hadde installert TikTok, kan det være interessant å høre om hva en ekspert mener om det. 

Gaute Wangen, førsteamanuensis ved NTNUs Institutt for informasjonssikkerhet og kommunikasjonsteknologi mener justisministeren på sin side brøt tre av NMS sine 13 råd da hun installerte TikTok.

Blant dem råd nummer 12: Bare installer nødvendige apper og foretrekk kjente og tiltrodde kilder.

– Justisministeren har brutt de rådene på grunn av den spesielt utsatte posisjonen hun har. En kan ikke si det samme om en ansatt i finansnæringen på generelt grunnlag. Det kommer mye an på hvilken rolle en har i bedriften og om en har sensitiv informasjon på telefonen. 

Sikrest å ikke nedlaste TikTok

På en måte så skiller ikke TikTok seg fra andre apper på sosiale medier, forteller Wangen. 

– De er alle ute etter samme type informasjon for å tilby målrettet reklame og få flest mulige annonseklikk. Som i mitt tilfelle er at jeg er 40 år, mann, de vil vite hva jeg liker, hva som engasjerer meg og hva som provoserer meg. 

Men Wangen nevner at det er et to hovedproblem med TikTok. 

Den første er at de enda ikke er underlagt samme reglement som andre apper, som personvernforordningen (GDPR), og kan samle inn mer data. 

Det andre et at det er et kinesisk selskap som er underlagt kinesisk etterretningslov. Den sier at selskapet skal gi ut data til myndighetene ved forespørsel.  

– Samme lov har de også i USA for amerikanske selskaper. Forskjellene er at Kina ikke er vår allierte. Når de samler så omfattende informasjon, kan det lettere misbrukes. 

– Kan en installere TikTok på jobbtelefonen? 

– Dette er komplekst. Jeg anbefaler alle å spørre seg om appen gir merverdi for jobben? Gjør den ikke det er det sikreste å ikke laste den ned, sier Wangen. 

Finansnæringen mer regulert

– Bør finansnæringen ha andre og strengere regler enn andre når det gjelder nedlasting av apper som TikTok? 

Det får Morten Tandle, administrerende direktør i Nordic Financial Cert svare på. De beskrives som finansnæringens brannkorps mot internettkriminalitet på nordisk basis. 

– Jeg vil si at det kommer an på hvilken stilling en har.  Dersom du er Kjerstin Braathen er det naturlig at du tar andre forholdsregler enn om du jobber på et kundesenter i en bank som student. Og dersom du jobber med informasjon og markedsføring i en bank kan det hende du trenger TikTok i jobben, sier Tandle, og påpeker videre: 

– Finansnæringen er gjerne mer regulert enn resten av samfunnet. Ting som NSM anbefaler er ofte allerede pålagt. 

Risiko å laste ned TikTok 

Tandle vet det er store forskjeller der ute, og at noen virksomheter er strengere enn andre. Det kan være flere grunner til at noen apper ikke tillates, som gambling–apper. Så er det andre som kan virke uskyldige, men som en må ha et bevisst forhold til. 

– Google Translate er jo en nyttig app, men teksten du oversetter sendes til google. Og om du oversetter børssensitiv informasjon kan akkurat det være å gå over streken sikkerhetsmessig. 

Han mener at det i dag er viktig å ha et realistisk og klart forhold til det sikkerhetspolitiske bildet, som er blitt ubehagelig endret. 

– Særlig Russland, men også Kina ses på med andre øyne i Europa nå. Å bruke apper som kontrolleres av de landene er å gjøre seg sårbar. For enkelte, for eksempel regjeringen, er den risikoen uakseptabel, sier Tandle.