De senaste åren har andelen smarttelefoner på andrahandsmarknaden ökat, enligt Inrego som sysslar med inköp, dataradering och vidareförsäljning av begagnad it-utrustning.
De har på CS uppdrag låtit köpa in telefonerna som granskats.
– Undersökningen blir ett facit på att företagens hantering av gamla telefoner har stora brister. Det finns risk att känslig information kommer på villovägar, säger Inregos informationschef Fredrik Nilsson.
i första hand köptes begagnade företagsmobiler. Enligt Inrego verkar säkerhetsrutiner för mobiler avlägset.
Daniel Bonde, säkerhetschef och cio på Inrego, säger att en av de viktigaste metoderna för att motverka att information hamnar i fel händer är att sätta upp regler och policy för hur mobiler och annan it-utrustning ska hanteras på ett säkert sätt.
– Det bör på förhand regleras vad som ska hända med telefonen när en medarbetare byter jobb eller position eller då telefonen byts ut.
– När en mobil fasas ut från verksamheten bör man radera minnet med särskilda raderingsprogram. Det räcker inte att göra en fabriksåterställning.
Fortfarande är det en bit kvar. Många företag har enligt Daniel Bonde och Fredrik Nilsson fortfarande inte rutiner på plats för att hantera datorer som säljs vidare.
En konsekvens av det är att utrustning förstörs. I onödan, anser Inrego. I stället går det att sälja vidare utrustningen om den dataraderas och hanteras säkert.
Här är några råd från Bitsec och Inrego om vad som går att göra för att skydda sina data om en telefon säljs vidare:
- Det finns verktyg som krypterar innehållet i Android- och Symbiantelefoner och gör det svårare att rekonstruera innehållet efter en fabriksåterställning. En Iphone har den funktionen inbyggd. Det gör tröskeln högre, men Wesam Dayem på Bitsec säger att en stor del handlar om hur mycket du litar på tillverkarna av verktygen, och hur mycket tid och pengar du lägger ner.
- Det bästa rådet är i stället att vara försiktig med vilken typ av information som lagras i telefonen. Allt för känslig information ska inte lagras där alls, anser Bitsec. "Det finns så otroligt många tillverkare, så det går inte att ge något generellt råd. Man får räkna med att det kan läcka data", säger Wesam Dayem.
- Är man riktigt orolig och har lagrat väldigt känslig information i telefonen kanske det är bättre att inte sälja den vidare, enligt Wesam Dayem. Inrego anser däremot att det räcker med att genomföra en dataradering av telefonerna och att de därefter går att sälja.
- Företag kan, och bör, sätta upp regler för hur de anställda använder telefonerna. Det bör även regleras hur telefonerna ska hanteras efter att en medarbetare till exempel slutar eller byter position inom företaget.
