Datasäkerhet

Datasäkerhet

Det bästa är givetvis om datorn aldrig blir utsatt för virus, hårddiskkrascher eller ­liknande tråkigheter, men om det skulle inträffa är en säkerhetskopia på all information ovärderlig. Detta kapitel fokuserar på hur det går att skydda sina filer mot både förlust och stöld.

Vikten av säkerhetskopiering

Det är viktigt att ta regelbunden backup. Hårddisken är ett stabilt lagringsmedium men det är inte omöjligt att något går fel. Hårddisken har trots allt rörliga delar som är ­känsliga för stötar. Särskilt känslig är hårddisken medan den läser och skriver. Skade­program är en annan anledning till varför backup är viktigt. Inte ens avancerade Raid-system ­skyddar mot virus eller den typ av utpressningsprogram som behandlades i Dator 19.10. En sista anledning är att det kan vara bra med en backup för att kunna backa tillbaka och se hur en fil såg ut i tidigare versioner.

Säkerhetskopior behöver tas i olika intervall, beroende på hur känslig data som lagras och vad den ska användas till. Dokument som det arbetas aktivt med bör säkerhets­kopieras varje dag, vilket ett backupprogram kan användas till. Ett sådant tar en automatisk kopia av alla filer som har ändrats och lagrar kopiorna på antingen en extern hårddisk, ett USB-minne eller en Nas (nätverkshårddisk). Allt sker helt automatiskt. I både Windows och Mac OS X finns det inbyggda sådana program. Hemversionerna av Windows 7 (Starter och Home Premium) klarar dock endast att lägga kopiorna på en lokalt ansluten extern hårddisk, inte en Nas. Läs mer om de inbyggda säkerhets­kopieringsfunktionerna i Nätverk 18.8

Fotoalbum och liknande data med starkt personligt värde bör det finnas extra kopior på. Ta regelbundet kopior på alla viktiga filer och lägg dem på ett USB-minne eller en ­extern hårddisk. Förvara sedan minnet eller hårddisken på jobbet eller annan plats skild från hemmet. På så sätt skyddas datan även mot inbrott och brand. Om en tjuv bryter sig in i huset och tar datorn är risken stor att även den externa hårddisken med säkerhetskopiorna följer med. 

"Data man inte har två kopior på är data man inte bryr sig om"
- Okänd

Ett relativt nytt sätt att ta backup är med hjälp av molntjänster där ett säkerhetsföretag upplåter serverplats på internet till användarens säkerhetskopior. Då körs ofta ett litet program i bakgrunden på datorn, vilket automatiskt laddar upp filer som har ändrats så att det alltid finns en färsk kopia på materialet i molnet. Där är datan säker även vid brand och inbrott. Programmen innehåller ibland även versionshantering för att användaren ska kunna backa tillbaka och plocka fram äldre versioner av dokument.

Här följer ett förslag på säkerhetskopiering (utan användning av molntjänst):

  • Daglig backup: Använd ett program som vid dagens slut automatiskt tar en säkerhets­kopia på alla dokument du jobbar aktivt med. Du kan lägga alla ­sådana dokument i en speciell mapp som programmet synkroniserar mot. Lämpligt lagrings­medium: ett USB-minne, en hårddisk eller NAS.
  • Månadsbackup: Använd en extern hårddisk och ta en säkerhetskopia på alla ­relevanta filer, minst en gång i månaden. Spara varje säkerhetskopia av denna typ så går det att backa tillbaka till äldre versioner om det skulle behövas. Lämpligt medium: en extern hårddisk eller en NAS.
  • Kvartalsbackup: Ta en kopia på alla filer som betyder mycket för dig personligen. Undvik att förvara kopian i hemmet! Lämpligt medium: ett USB-minne eller en extern hårddisk.

Ha exempelvis den första dagen varje månad som backupdatum för att inte glömma bort säkerhetskopieringen. Lägg gärna in en påminnelse som upprepas varje månad i mobiltelefonens kalender.

Ha de allra viktigaste filerna (fotografier och andra minnen) som ska långtidsförvaras på två olika typer av lagringsmedier. Anledningen till detta är att hållbarheten på hårddiskar och USB-minnen endast har blivit testad i laboratoriemiljöer. Ingen känner än så länge till den faktiska livslängden.

Raid-funktionen

Med flera hårddiskar går det att använda Raid (Redundant Array of Independent Disks). Raid gör att lagringen blir driftsäkrare och i några fall även snabbare. I Raid-system kan nämligen flera hårddiskar arbeta tillsammans och vara kopior av varandra. Grundtanken är att om en hårddisk går sönder ska informationen inte gå förlorad utan det ska alltid finnas en kopia. Det går att sätta upp Raid-konfigurationer i ­vanliga ­datorer, men för konsumenter är det framförallt i Nas-sammanhang som Raid-­funktioner stöts på.

Att lagra sina filer på en Nas med Raid-stöd ger en förhöjd säkerhet eftersom en hårddisk kan gå sönder utan att datan försvinner. Om datan endast lagras på en hårddisk i en vanlig dator räcker det med att den hårddisken går sönder för att datan ska vara försvunnen för evigt. Observera att en Nas med Raid endast kan ta hand om den ena delen av säkerhetskopieringen. De allra viktigaste filerna bör fortfarande förvaras på en annan plats än den där datorn och Nasen står.

För Raid krävs minst två hårddiskar och en Raid-kontroller. Kontrollern kan i ­datorsammanhang antingen sitta på moderkortet eller köpas löst. Raid-kontrollern ­monteras då i en PCI- eller PCI-express-sockel. I Nasar med plats för flera hårddiskar sitter Raid-kontrollern inbyggd från början.

Raid-nivåer

När flera hårddiskar samverkar i ett RAID-system skapar de en gemensam ”volym”. Volymen är det som användaren av datorn kan se. Om exempelvis två hårddiskar på 2 TB slås samman för att få större lagringsutrymme upplevs de inte som två separata diskar utan som en stor volym (disk) på 4 TB.

Hårddiskarna kan samverka med varandra på flera olika sätt, vilket brukar kallas att de använder olika nivåer av RAID. Det kan exempelvis vara RAID 1, RAID 5, RAID 6, eller RAID 1+0. Här följer en beskrivning av vad de olika nivåerna innebär.

Raid 1

RAID 1 är en smidig säkerhetslösning som kräver två likadana hårddiskar. Med den speglas den ena hårddisken mot den andra så att allt som ändras på Hårddisk 1 ändras även på Hårddisk 2. Därmed finns det alltid en perfekt kopia av alla filer. RAID 1 är en ganska dyr lösning då endast 50 % av lagringsutrymmet kan användas. Om två hårddiskar på 2 TB sammankopplas med RAID 1 blir volymen 2 TB stor.

Med RAID 1 speglas två hårddiskar mot varandra. Det finns alltid en kopia.

Raid 0

RAID 0 är egentligen ingen riktig RAID-nivå eftersom den inte gör systemet säkrare på något sätt. RAID 0 ger däremot en prestandaökning. I Dator 9.4 visas hur det genom partitionering går att skapa flera volymer av en hårddisk. RAID 0 är motsatsen och slår istället samman flera hårddiskar till en volym.

Två hårddiskar som ser ut som en enda genom RAID 0.

Då två hårddiskar slås samman ökar prestandan. Som det nämndes i ­avsnittet om ­defragmentering skriver hårddisken ut informationen där det finns plats. Med RAID 0 kan samma fil spridas ut över två hårddiskar, vilket teoretiskt fördubblar skrivhastig­heten eftersom de två hårddiskarna kan dela på jobbet. Nackdelen är att om en hårddisk kraschar så går hela volymen sönder. Även om den andra hårddisken är hel, så finns inte alla filer (eller delar av filer) på den. RAID 0 är därför inte säkert. Ju fler hårddiskar som kopplas samman till en RAID 0-volym, desto större blir risken att volymen går sönder.

JBOD

JBOD är en lösning som är lik Raid 0. Skillnaden är främst att JBOD inte kräver att hårddiskarna har lika hög kapacitet, något som är nödvändigt i Raid 0. En disk på 2 TB och en disk på 1 TB ger med JBOD en volym på 3 TB, medan samma diskar med Raid 0 endast hade gett en volym på 2 TB. JBOD står för övrigt för Just a Bunch Of Disks eller Just a Bunch Of Drives (sv. bara en hög med diskar).

Utöver möjligheten att blanda hårddiskar med olika kapacitet har JBOD nästan inga fördelar. Tekniken ger exempelvis inte samma prestandaökning som Raid 0. Det finns en lite större möjlighet att kunna återskapa filer från en kraschad JBOD-volym, men det är fortfarande mycket svårt.

Raid 5

Den femte RAID-nivån används ofta i större NAS:ar och servrar. Den är säker och kostnadseffektiv men ger något försämrad skrivprestanda. För att den ska fungera krävs minst tre hårddiskar. Till skillnad från RAID 1 finns det ingen fullständig kopia någon­stans utan istället lagras felkorrigeringsdata som tar upp lika stor plats i volymen som en av hårddiskarna. Felkorrigeringsdatan sprids ut över diskarna så att om tre hård­diskar är sammankopplade kommer en tredjedel av varje disk att användas för felkorrigerings­data (en fjärdedel av varje disk om fyra hårddiskar används o.s.v.). Om en av tre hårddiskar kraschar går det att plocka ut den och ersätta den med en ny. Informationen kommer då att återskapas med hjälp av felkorrigeringsdatan på de två hela diskarna.

Tre eller fler hårddiskar kan samarbeta på ett smidigt sätt med RAID 5.

RAID 5 är ett bra val i många sammanhang eftersom nivån är så pass säker och dessutom ger skaplig prestanda. Den är också relativt prisvärd eftersom det endast är ­motsvarande en hårddisks kapacitet som inte går att använda. Om exempelvis tre diskar på 2 TB kopplas samman med RAID 5 blir den totala volymen 4 TB. Om fyra sådana diskar kopplas samman blir volymen 6 TB stor.

Raid 5 + hot spare

Vissa serversystem har en extra hårddisk som reserv (hot spare drive). Om en av hårddiskarna kraschar kopplas reservhårddisken in direkt och datan återskapas till den. Systemet meddelar samtidigt administratören att en hårddisk har gått sönder samt att reservhårddisken används istället. Med denna teknik spelar det alltså ingen roll om en hårddisk kraschar. För att volymen ska gå sönder måste två hårddiskar krascha innan någon av dem har hunnit bytas ut.

Raid 6

Raid 6 ger ytterligare högre säkerhet jämfört med Raid 5. En Raid 6-volym består av minst fyra hårddiskar och två av dem kan krascha utan att data förloras. Om en hårddisk i en Raid 5-volym kraschar ligger volymen i riskzonen tills datan har åter­skapats till en ny hårddisk. Skulle en annan disk krascha under återskapningstiden ­förstörs Raid 5-volymen. I och med att Raid 6-volymen klarar av två hårddiskkrascher är ­systemet säkert även om en hårddisk slutar att fungera. Systemet hålls därmed även säkert under återskapningstiden.

Sammanställning över Raid-nivåer

RAID-nivåAntal diskarAnvändbart utrymmeSäkerhet
Ingen RAID 1 eller fler 100 % Ingen
JBOD 1 eller fler 100 % Ingen
RAID 0 1 eller fler 100 % Ingen
RAID 1 2 50 % 1 disk
RAID 5 3 eller fler (n-1)/n 1 disk
RAID 5 + hot spare 4 eller fler (n-1)/n (-hot spare) 1+1 disk
RAID 6 4 eller fler (n-2)/2 2 diskar

n = antal diskar

Special-Raid

Nästlade Raid-nivåer

Det går att nästla (kombinera) olika Raid-nivåer. Raid 1+0 (kallas även Raid 10) speglar först ett antal hårddiskar (Raid 1) och slår sedan samman dem (Raid 0). Det går även att först slå samman ett antal hårddiskar och sedan spegla dem (Raid 0+1). Detta är ett alternativ till att använda Raid 5 eller Raid 6 och det krävs minst fyra hårddiskar.

Hybrid-Raid gör det enkelt

Tidigare var Raid nästan bara något som användes i större företagssammanhang, men i och med att allt fler konsumenter inser fördelen med att ha en Raid-skyddad hårddisk­uppsättning i en Nas börjar tekniken leta sig in i hemmen. Vissa Nasar erbjuder därför så kallad Hybrid-Raid där Nasen själv konfigurerar hårddiskarnas Raid-uppsättning, för att volymen ska bli så stor som möjligt utan att kompromissa med säkerheten.

Hybrid-Raid är ingen exakt teknik utan kan se lite olika ut beroende på vilken Nas-tillverkaren är. I exempelvis Synologys fall möjliggör Hybrid-Raid att användaren kan använda diskar med olika kapacitet, varefter Raid-kontrollern skapar en så stor Raid-volym som möjligt. Om Nasen exempelvis utrustas med två 2 TB-diskar och två 1 TB-diskar kan Nasen skapa en volym som är 4 TB stor. Detta genom att Raid 5-koppla 1 TB av varje disk och Raid 1-koppla de resterande 1 TB-delarna av de två 2 TB-diskarna:

RAID 5: 3 TB
RAID 1: 1 TB
3 TB + 1 TB = 4 TB

Hybrid-RAID maximerar RAID-volymens kapacitet

Om samma hårddiskar hade använts i en vanlig Raid 5-volym hade den totala kapaciteten blivit 3 TB.

Kryptering

Ofta bör filer inte endast skyddas mot förlust utan även mot stöld. Bärbara datorer kan innehålla mycket känslig information som inte får hamna i orätta händer. Därför är det bra att kryptera sina filer så att inte någon annan kan komma åt dem. En vanlig missuppfattning är att det räcker med att lösenordskydda sitt användarkonto på ­datorn för att ens filer ska vara säkra. Så är tyvärr inte fallet. Genom att starta datorn från ett USB-minne eller en CD-skiva kan en illvillig person komma åt filerna utan problem. Filerna går också att komma åt genom att plocka ut hårddisken och koppla den till en annan dator. Att sätta lösenord på sitt användarkonto är givetvis något som rekommenderas i alla fall, men det hindrar inte obehöriga personer från att komma åt filerna om de verkligen vill det.

Windows Bitlocker

I Windows Vista och senare finns en funktion som heter Bitlocker. Tyvärr saknas den i hemversionerna av nämnda operativsystem, men den finns i Pro-versionerna (t.ex. Windows 10 Pro). Med hjälp av Bitlocker går det att kryptera en hårddisk så att endast ­användare med rätt lösenord kan komma åt innehållet. Det går att välja ­mellan att kryptera bestämda partitioner eller hela hårddisken. Det sistnämnda gör att det inte spelar någon roll var informationen sparas; den är alltid krypterad i alla fall. Om en speciell partition används för att spara krypterade dokument måste användaren vara noga med att verkligen lägga alla viktiga filer på den partitionen. Annars finns risken att vissa program sparar filer felaktigt. Exempelvis kan mailen lämnas okrypterad om inte e-postprogrammet ställs in på att spara all e-post på just den krypterade disken.

Bitlocker i Windows 7 och senare har blivit bättre på att kryptera hela datorn. Tidigare var ­användaren tvungen att skapa två partitioner på huvudhårddisken: en ­okrypterad och en krypterad. Så är visserligen fallet fortfarande, men nu sker det helt automatiskt och den okrypterade partitionen varken syns eller får någon egen ­enhetsbokstav. Det finns därmed ingen risk för att av misstag råka spara någon kritisk ­information okrypterat. Anledningen till att partitionsuppdelningen är nödvändig är att datorn måste ha en okrypterad systemdisk för att kunna starta. Utöver filerna som krävs för detta lagras inget okrypterat. Operativsystemet, programmen och alla användarfiler sparas automatiskt på den krypterade partitionen.

Att aktivera Bitlocker är enkelt. Det räcker med att högerklicka på volymen som ska krypteras och välja Aktivera Bitlocker.

I vissa fall kan datorn stöta på problem för att den saknar en TPM (Trusted Platform Module), vilket är en kryptoprocessor som bland annat hanterar Bitlockers krypteringsnyckel.

Datorn har ingen TPM.

Saknas en sådan måste en policyinställning ändras för att hela hårddisken ska kunna krypteras. Det görs i verktyget gpedit.msc (som öppnas genom att skriva namnet på startmenyn eller startskärmen) som har inställningen Ytterligare autentisering krävs vid start. Inställningen ligger under Datorkonfiguration, Administrativa mallar, Windows-komponenter, Bitlocker-diskkryptering och Operativsystemsenheter.

Inställningen ska vara inställd på Tillåt Bitlocker utan TPM.

Windows Bitlocker To Go

I Windows 7 lanserades en ny Bitlockerfunktion som kallas Bitlocker To Go. Den gör det möjligt att kryptera en extern lagringsenhet. Den går sedan att ta med sig till en annan dator och använda där, under förutsättning att datorn kör valfri version av ­Windows 7, Windows 8 eller Windows 10 (även hemversionerna). Om datorn kör Windows Vista eller Windows XP startas ett program som heter Bitlocker To Go Reader, vilket endast kan öppna filer och kopiera över dem till den vanliga hårddisken. Det går alltså inte att redigera eller lägga till filer från något annat operativsystem än Windows 7, Windows 8 och Windows 10.

Att aktivera Bitlocker To Go görs på samma sätt som aktivering av Bitlocker.

Ange lösenordet som sedan ska användas för att låsa upp enheten. I samband med detta skapas en återställningsnyckel för att låsa upp enheten om lösenordet glöms bort. Skriv antingen ut återställningsnyckeln eller spara den digitalt på en säker plats. Om både återställningsnyckeln och lösenordet glöms bort går det inte att komma åt de krypterade filerna igen.

Filevault (Mac OS X)

Mac OS X har sin motsvarighet till Bitlocker, vilken kallas Filevault. Den har funnits med sedan Mac OS X Panther (10.3) men fick en stor förbättring i Mac OS X Lion (10.7). Tidigare gick det endast att kryptera hemmappen, men med den senaste ­versionen av Filevault går det att kryptera hela hårddisken.

Börja med att gå in i Systeminställningar, välj Säkerhet och gå till fliken Filevault.

Klicka på Aktivera Filevault. Systemet genererar då automatiskt en återställningsnyckel. Förvara denna på ett säkert ställe. Det går även att välja att spara den hos Apple.

Radera data

Att skapa dokument och kalkylblad är enkelt. Att bli av med dem helt och hållet är betydligt svårare. När en fil raderas hamnar den först i papperskorgen varifrån den ­givetvis går att plocka fram igen. När papperskorgen töms försvinner dock inte filen helt. Den markeras endast som borttagen av operativsystemet så att lagringsytan på hårddisken går att använda igen. Inte ens en formatering av hårddisken garanterar att all data är omöjlig att återskapa. Det finns företag som har specialiserat sig på att återskapa filer som har råkat raderas eller legat på hårddiskar som har kraschat.

Faktumet att det vanligtvis går att återskapa filer från hårddiskar, USB-minnen och minnes­kort är väl värt att fundera över vid försäljning av begagnade datorer. Om hårddisken i en sådan inte byts ut finns det risk för att köparen kan plocka fram ­gammal data från disken. Samma sak gäller även vid försäljning av exempelvis begagnade ­kameror där minneskortet följer med på köpet.

Radera data på Windowsdatorer

För att vara helt säker på att alla filer på en hårddisk försvinner måste den skrivas över helt och hållet flera gånger. Öppen-källkodsprogrammet DBAN (Darik’s Boot And Nuke) kan användas för detta. Det är ett program som körs från en CD-skiva när ­datorn bootar (innan operativsystemet har startats) och skriver över anslutna hård­diskar ­önskat antal gånger. Programmet finns att ladda ned gratis från www.dban.org. Varning! Använd inte detta program om du inte är helt säker på att du vill ta bort all data.

DBAN tar bort data på riktigt.

Radera data på Macar

I Mac OS X fanns fram till Yosemite-versionen (10.10) en funktion som hette Säker papperskorgstömning. Den gjorde att papperskorgen tömdes på riktigt, så att filerna inte endast markeras som borttagna.

Använd Säker papperskorgstömning för att tömma papperskorgen på riktigt.

I Mac OS X El Capitan finns en ny funktion i Skivverktyg. Genom att välja att radera en enhet (t.ex. ett USB-minne) kan användaren välja hur säker raderingen ska göras.

Säker radering i Mac OS X El Capitan.
Senast ändrad: 2015-11-17