Det här har varit en intressant vecka för USB-nyckeln.
Nej verkligen; den allestädes närvarande nyckeln, som har varit inblandad i incidenter med förlust av företagsdata runt om i världen, har nu en central roll i Microsofts syn på företagssäkerhet.
Långt ifrån att vara det huvudsakliga sättet för hemligheter att glida ut ur din organisation, är Microsofts säkerhetsteknik beroende av att du bär dina BitLocker-nycklar på ett USB-minne.
Det här är ett stort steg framåt, och jag kan förutse att många företag finner sig starkt skyldiga att ta upp BitLocker, särskilt när man betänker den överraskande hårda linje som informationskommissionären tar, som rapporterats i denna BBC-artikel. Låt oss lägga upp rubriken slutsatsen här så att du har det i åtanke: om ditt företag förlorar data, då är det en halv miljon quid som böter.
Nu; kom ihåg bestämmelserna i avsnitt 49 i Lagen om reglering av utredningsbefogenheter. Detta är den där intressanta delen av lag som dök upp efter 9/11, som kräver att de som bär data krypterad på någon datorenhet, ska tillhandahålla dekrypteringsnycklarna till brottsbekämpande myndigheter på begäran. Så låt oss se vad som händer när vi tar dessa två lagar och lägger till dem i BitLockers arbetsmetod.
BitLocker krypterar hela hårddisken på en Windows-dator. Allt som går på USB-nyckeln är den personliga delen av din dekrypteringsnyckel – det är en tvådelad nyckelprocess, så ditt lösenord är en viktig del av den. Om din maskin har ett TPM-säkerhetschip ombord finns det inget krav på USB-nyckel; men med USB eller TPM finns det två sätt att falla för lagen här.
Låt mig först avslöja ett verkställighetsscenario som jag har varit med om personligen, och förklara sedan hur du kan vara besvärad om detta händer dig när du har företagets kit.
Scenariot är att köra genom en del av London (eller en annan storstad) mitt i en säkerhetsskräm som ännu inte har nått nyheterna, men som verkligen har nått polisstyrkorna. Jag har varit med om det här tre gånger, och mönstret är alltid detsamma: när polismannen väl har stoppats, hoppar polisen direkt till terrorismlagarna och läser deras ”vi kan nu göra vad vi vill”-mantra, vilket i huvudsak betyder att du måste vänta så att de på ett tillfredsställande sätt kan bevisa att du inte är laddad med binärt sprängämne, droger, eller att din skatteskiva inte har gått ut.
Så låt oss säga att du blir stoppad på det här sättet, och bak i bilen finns en bärbar dator, lånad från den gemensamma poolen på jobbet.
Det första och enklaste sättet att bryta mot lagen är att den bärbara datorn har flera användarprofiler på sig, varav bara en är din. Du känner inte till lösenorden till de andra profilerna.
Det andra sättet är att du har den bärbara datorn och att den bara innehåller din profil – men du har glömt USB-nyckeln (om den inte har en TPM inuti) eller (om den har en TPM) någon sjuk har drabbat den och den frågar efter TPM recvoery-lösenordet. Du vet inte detta, eftersom det administreras centralt som en del av din företagsdomäns gruppolicy.
Det är så BitLocker är tänkt att fungera; det är vad som krävs av informationskommissionären, för att förhindra att du slarvigt förlorar ditt företags information, oavsett om det är 25 miljoner patientjournaler eller krigsplanerna för Pinners försvar.
Så, din överupphetsade konstapel illrar sig igenom din bil, uppmuntrad av hans anti-terrorism brief, och hans hand faller på den bärbara datorn. ”Vad är lösenordet?” han frågar. ”Ingen aning”, svarar du. Med orden i det berömda brädspelet – gå inte förbi. Samla inte 200 Kr. Gå direkt till fängelset…
Jag vet, det här är ett extremt scenario – men vad lagen säger är inte ”tillfälligt oförmögen att tillhandahålla lösenord tills IT-helpdesk anländer på morgonen”, eller ”inte kan låsa upp datorn på grund av att man är frånvarande och har lösenorden nere någonstans baksidan av soffan på ett ’Hello Kitty’ USB-minne” – det står att om du inte anger lösenorden så är det du som nickar, alltså.
Vad värre är är att Information Commissioners Get Tough-policy för oavsiktliga läckor kan få en överivrig IT-chef att faktiskt vägra att avslöja dessa lösenord, genom att ringa till någon som HÅLLER att de är en vårdnadssergeant…
Jag håller med dem som säger att detta är spelets natur när det gäller att ta ansvar för data om människor, som du bär på under ditt arbete: men jag är ganska oroad över att sammanflödet av dessa två lagar – som inte tycks motsäga varandra när de ingår i stadgarna – utgör en otäck fälla för dem som sannolikt kommer att hamna både skyldiga och avskedade för bagatellartade fel som inte sammanfaller med brotten dessa lagar är utformade för att avskräcka.
IT-verksamheten – som finns i företag – behöver tänka igenom effekterna av dessa regler, och lite djupare.
