Inuit blogg » Informationsläckage

Hur kan företag skydda sig mot informationsförluster?

Markus — Thu, 22 Apr 2010 08:39:06 +0000

Verktygslåda för säker användning av sociala medier

Markus — Thu, 18 Mar 2010 13:50:03 +0000

Sociala medier ökar i popularitet och flera företag ser möjligheterna med att nå nya kundgrupper genom att vara aktiva i dessa medier. Många företag oroar sig över riskerna med att låta användare ha tillgång till dessa sajter och ser det som ett hot mot företagets säkerhet.

Jag tror att varje organisation måste göra en egen bedömning hur de vill förhålla sig till sociala medier och väga möjligheterna mot riskerna.

Jag rekommenderar denna verktygslåda för användning av sociala medier i företag och andra organisationer

Sophos social security toolkit innehåller följande och lite till:

- Tips på hur du kan använda sociala medier på ett säkert sätt
- Exempel på en säkerhetspolicy för sociala medier
- Videofilmer som kan användas för att utbilda personalen i säker användning av sociala medier
- Sophos säkerhetsrapport
- Utbildningspresentationer
- Uppslagsbok för säkerhetshot

Ladda ned social security toolkit här

Skapa en säker åtkomst till e-posten för dina anställda

Markus — Mon, 21 Dec 2009 13:56:07 +0000

Många förknippar autentisering med krångel. Att göra ett inloggningsförfarande säkert brukar ofta innebära krångel för de som skall använda systemet. Därför har det medfört att verksamheter brister i säkerheten när man skall ge de anställda mobil frihet; t.ex i form av möjlighet att läsa företagets e-post hemifrån eller från någon annan dator än en nätverksansluten sådan.

Istället för att säkra systemet använder man en ”gömd” publik webbadress och använder bara användarnamn och lösenord som åtkomstförfarande till verksamhetskritisk information. Detta är en stor informationssäkerhetsrisk. Det finns mjukvaror tillgängliga gratis på internet som knäcker denna typ av autentisering på några minuter.

Nu finns ett enkelt sätt att säkra e-postinloggningen för dina anställda. Välj själv hur du vill att systemet skall autentisera. Här är några exempel:

Via engångslösenord i dosa (med utbytbart batteri!)
Via tvåvägsautentisering i mobiltelefonen
Via tvåvägsautentisering i mjukvara, t.ex gömd bakom krypteringen på ett USB-minne

Som du kan se på bilden ovan innebär tvåvägsautentisering att du som användare får både ditt engångslösenord och serverns svar samtidigt. Ett par engångslösenord används för att samtidigt autentisera användaren till tjänsten som tjänsten till användaren. Det betyder att lösningen inte heller kan utsättas för Phishing-attacker, då angriparen måste ha tillgång till krypteringsalgoritmen vid angreppstillfället för att kunna generera rätt svarskod då du knappar in ditt engångslösenord. Lösningen är skyddad med 256-bitars AES kryptering.

På bara några dagar kan ni täppa till ett stort säkerhetshål i er verksamhet och samtidigt informera användarna om hur viktigt det är att tänka på säkerheten utan att vare sig krångla till tillvaron för dem eller neka dem mobilitet och flexibilitet.

Myndigheternas informationshantering

Markus — Tue, 15 Dec 2009 13:34:03 +0000

Vi i Sverige har ofta uppfattningen att vi lever i ett land där vi har en mycket hög efterlevnad av de olika regler som finns i samhället. Så är det inte alls. Tvärtom struntar många myndigheter och verksamheter inom den offentliga sektorn i uppfyllandet av regler och lagar om deras efterlevnad inte kontrolleras. Även inom den offentliga sektorn är det idag ofta verksamhetens behov och risken att bli påkommen som styr investeringar. Självklart är grunden i allt säkerhetsarbete riskkalkylen, men här är det inte risken för informationsläckage som styr utan risken att ett informationsläckage upptäcks och uppmärksammas i pressen.

Sverige har, liksom andra länder i Europa, ett antal informationssäkerhetsregler som påverkar offentlig sektor. Detta omfattar, men begränsas inte till, bl.a PUL och Patientdatalagen. I andra länder som t.ex England finns mycket hårda krav på efterlevnad av dessa informationssäkerhetsregler. Många är de som hanterar känslig information om medborgarna men hur hanteras informationen i Sverige?

Vi gjorde för ungefär ett halvår sedan en undersökning bland ett stort antal kommuner i Mälardalen om hur de tillåter de anställda att hantera information i och utanför verksamheten. Det visar sig att så gott som samtliga tillåter sina anställda att använda oskyddade USB-minnen inom och utanför verksamheten. Det visar sig också att de anställda har i genomsnitt 6st USB minnen per anställd och att 66% av dessa tappas bort. Ändå hänvisar man till tjänstemannaansvaret och att de anställda vet att de inte skall lagra känslig information på andra ställen än inom nätverket. Många säger sig inte veta om att man skulle hantera någon känslig information och att all information (dvs din personliga information som kommunen hanterar) ändå är offentlig. Endast en handfull kommuner visar intresse för att ge de anställda möjlighet att använda säkra USB-minnen istället, trots att dessa kostar försumbart mer.

Gång efter gång ser vi rapporter om borttappad och upphittad information i pressen. De senaste åren haglar läckorna tätt och vi kan läsa om allt från lärare som tappar USB-minnen med information om eleverna till medarbetare på militära underrättelsetjänsten som glömmer minnen med försvarhemligheter i biblioteksdatorer. Om något inträffar faller ofta ansvaret på den enskilde anställde som blir uthängd och utpekad samt att man hänvisar till de arbetsinstruktioner som finns i verksamheten. När man pratar med IT-avdelningarna pekar dessa på politikerna som inte fattat beslut i frågan varför ingen budget finns för projektet. Politikerna känner i sin tur inte till de tekniska möjligheterna eller den potentiella hotbilden. Personalavdelningarna hänvisar till IT och verkar utifrån sett inte involverade i att tillhandahålla rätt redskap för de anställda gällande detta område.

Så vem är det då som har ansvaret för att din information hanteras på ett säkert sätt? Jag tror inte att någon av oss skulle vilja att den information som kommuner och myndigheter hanterar om oss skulle hamna på villovägar. Det kan gälla allt från bygglovsansökningar till dina barns utvecklingssamtal i skolan eller kontakter med sociala myndigheter, stödinsatser, kontaktpersoner etc. Som det ser ut nu kommer det inte att hända något förrän medborgarna kräver redovisning för hur deras information hanteras och hur kommunerna använder skattebetalarnas pengar.

Inuit är specialister inom just säkerhetsområdet och jobbar idag med ca hälften av landets landsting och kommuner. En del av dessa har varit föreblider och bedriver ett mycket seriöst säkerhetsarbete. Vi hjälper t.ex verksamheterna att sätta upp skyddsbarriärer för mail- och webbtrafik, hantera hot från virus och annan malware på klienter, servers och mobiltelefoner, kryptera information i vila och i rörelse och hantera säker inloggning i systemen. Inom just det aktuella området väljer många en enkel väg att gå; det finns färdiga krypterade USB-minnen som kan hanteras i en central funktion, t.ex er egen helpdesk. Om kommunen bestämmer sig för att endast dessa säkra USB-minnen får användas för extern lagring av intern information har man både sett till att personalen kan jobba med den interna informationen var som helst och samtidigt tillsett att om minnet skulle glömmas eller tappas så kan ingen obehörig komma åt informationen. De är lika enkla att köpa som osäkra minnen och finns bl.a tillgängliga via återförsäljare som ATEA och Dustin.

Lösningen används redan idag av en del av våra hårt granskade myndigheter samt även en del kommuner. I Storbrittanien har nyligen hela den nationella hälsoverkamheten (NHS) valt att standardisera på SafeStick. Minnena är utvecklade i Sverige och 95% av företagets försäljning sker idag på export, mycket beroende på att dessa tankegångar kommit längre i andra länder och att man är mer rädd att bli satt till offentlig skampåle i pressen där.

När kommer du att kräva att få veta hur din och dina barns eller anhörigas information hanteras av det offentliga Sverige?

Ny iPhone-mask sprids nu – stjäl bankuppgifter!

Markus — Mon, 23 Nov 2009 15:54:36 +0000

Ett ny iPhone-mask sprider sig nu. Den kallas ”Duh” och har framförallt spridits i Nederländerna men skall även kunna spridas i flera länder i Europa. Syftet är att ladda upp bankuppgifter till en server i Litauen som fjärrstyrs av hackers.

”Duh” ändrar lösenord på din iPhone – vilket betyder att cyberbrottslingarna vet vilket lösenord telefonen har men den infekterade användaren vet det inte. På så sätt kan brottslingarna logga in på din iPhone senare. Dock lyckades Sophos experten Paul Ducklin att knäcka lösenordet samt avslöja att smittade användare kan logga in som root med lösenordet ”ohshit”.

Paul säger: ”Apple’s default root password – ‘alpine’ – on the iPhone breaks two fundamental rules – it’s both a dictionary word and well-known. This doesn’t matter for most iPhone users, as they haven’t jailbroken their iPhones and installed SSH to allow remote access – but the new worm will break in and immediately change it. This change is made by directly editing the encrypted value of the password in the master password file, so that the new password is never revealed,” förklarar Paul Ducklin, head of technology på Sophos Asia Pacific. ”This password-changing represents an additional risk, as it means that cybercriminals now know what your password is – allowing them to log back into your iPhone later – but you don’t, so you cannot login and eliminate the virus.”

Så om du har en jailbroken iPhone så rekommendera jag dig att byta lösen omdelbart.

Enligt en undersökning på webben som Sophos har gjort tror 96 procent att vi kommer se en ökning av skadlig kod för iPhone. Vad tror du?

Svininfluensan utnyttjas av kriminella grupper på Internet

Markus — Fri, 13 Nov 2009 15:55:03 +0000

Grahan Cluley från Sophos deltar på ett nyhetsinslag på CNBC där han beskriver hur kriminella grupper utnyttjar människors oro för svininfluensan för att tjäna pengar.

Dags att se över lapptäcket

Markus — Fri, 13 Nov 2009 14:45:55 +0000

It-chefen har en svår vardag. Han/hon måste brottas med ständigt krympande budget och ökade krav på mobilitet, flexibilitet och en ständigt växande hotbild såväl utifrån som internt på företaget. Men det vi måste förstå är att IT-chefen vill säga ja – inte nej, nej, NEJ! IT-chefen vill skapa sätt att understödja verksamheten med effektiva it-system, inte hindra användarna från att använda Iphones eller trådlös mobil inloggning till nätverket.

Hur kommer det sig då att IT-chefen måste säga nej så ofta? Jo, han/hon har inte bara verksamhetens it-system att tänka på, de måste också tänka på vilken risk som tas av att tillåta användarna dessa olika möjligheter och verktyg. Om risken inte kan överblickas eller snabbt utvärderas blir svaret ofta nej.

IT-säkerhet består av så många olika aspekter. Anti-virusprogram för klienter och servers, Spam och virusfiltrering av epost, skalskydd av webtrafik, hårddiskkryptering, krypterade lösttagbara minnesenheter, applikationskontroll, IPS, NAC, portkontroll, AV för Linux-servers, AV för Exchange eller Domino, patchhantering, informationsläckageskydd…

För de allra flesta IT-chefer så kommer en strid stöm med nya hot forsande varje år. Nya hot målas upp till den värsta farsoten som verksamheten ställts inför sedan begynnelsen. Vad skall prioriteras? Tyvärr blir följden av den minskade budgeten att helikopterperspektivet försvinner. För varje nytt år läggs nya prioriteringar och det som bedöms som högst prioriterat sätter man med full kraft tänderna i och implementerar den bästa lösningen som finns att få tag i. För varje nytt år läggs nya lösningar till de andra man redan har i verksamheten varpå man snart har ett lapptäcke av säkerhetslösningar.

Organiserad IT-brottslighet omsätter idag mer världen över än knarkhandeln. Straffsatserna på de flesta håll i världen är löjligt låga. Hoten som dyker upp blir mer och mer avancerade. Brottslingarna använder idag t.ex 256-bitars krypteringslösningar för att skydda kommunikationen mellan zombiedatorerna och uppdaterande servers i botnets. Sinnrik programmering används för att injicera elakartad kod på fullt legitima hemsidor, så att man kan utnyttja såväl ditstyrd trafik från spammail samt legitim trafik för spridning, sk. Drive by-downloads. Nya infekterade websidor hittas var femte sekund, dygnet runt.

Säkerhetsnivån för ett företag ligger inte längre i vilken separat lösning man har för respektive del av skyddet. Man kan ha investerat i state-of-the-art lösningar på enskilda områden som fortfarande står helt handfallna så länge de inte har förmågan att kommunicera snabbt och intelligent med resten av säkerhetslösningarna i verksamheten. Säkerheten ligger i helheten. Borta är argumentationen att den bästa säkerhetslösningen är den som består av skydd i flera skal delade på olika tillverkare för att på det sättet sprida riskerna. När hotbilden blir ett komplext nätverk av specialiserade brottsliga verksamheter ligger säkerheten i att ha en väl fungerade och sammansatt lösning som snabbt kommunicerar med de andra delarna av lösningen. Spamfiltret pratar med klientskyddet, NAC-lösningen, serverskyddet och webfiltret samtidigt för att skydda användarna på insidan. Även det bäst sydda lapptäcket i världen kommer aldrig att bli vattentätt.

Så min uppmaning till IT-chefen är att ta ett steg tillbaka, ta ett djupt andetag och förbered dig på att se över era befintliga skydd. Imorgon kommer ni att behöva ett helt täcke.

Är virtualisering en ny kanal för informations-läckage?

Markus — Thu, 29 Oct 2009 17:04:43 +0000

Idag har allt fler organisationer virtualiserat sin serverpark för att minska sina driftkostnader. Det har varit väldigt få diskussioner om säkerheten i virtuella miljöer. Vad medför virtualiseringen för säkerhetsrisker? Vad kan man göra för att säkerställa att informationen är skyddad?

Vi publicerade en nyhet runt detta i augusti men jag tycker det är värt att ta upp detta till diskussion igen. Dr James Lyne från Sophos väckte denna fråga i en podcast där han beskriver skillnaden på säkerhet på fysiska servrar till skillnad från virtuella servrar och varför han rekommenderar att man krypterar informationen i den virtuella infrastrukturen.

Han ger några konkreta råd hur man kan skydda sin information:

- Se över åtkomstkontroll för lagringsinfrastrukturen för den virtuella plattformen. Alla som har tillgång till den här lagringsytan kan komma åt data i systemen oberoende av kontroller i den virtuella maskinen
- Kontrollera att du har en policy för hur man kan behålla segmentering i den virtuella världen
- Många av dessa virtuella system är utformade för att ge hög tillgänglighet, vilket ofta innebär replikering till en rad olika geografiska platser. Se till att dessa andra platser också följer din säkerhetspolicy
- Affärsförfaranden för virtualiseringsinfrastrukturen tillämpas ofta med föga hänsyn till deras säkerhet. Se till att backupförfaranden inte är ett kryphål ur säkerhetssynpunkt, t.ex. flytta virtuella maskiner till osäkra backupband
- Kryptera dina känsliga virtuella maskiner med full diskkryptering. Skulle den virtuella filen på hårddisken läcka ut kommer den inte vara tillgänglig, ungefär som en krypterad bärbar dator som hittas på ett tåg

Dr James Lyne sammanfattar: ”Genom att lämna uppgifter okrypterade på dessa virtuella system äventyrar organisationer säkerheten för känsliga och konfidentiella uppgifter och i de flesta fall är de ovetande om denna hotbild.”

Är virtualisering en ny kanal för informationsläckage?
Vi vill gärna ha era åsikter om hur ni ser på säkerheten i virtuella miljöer. Är faran överdriven eller instämmer ni med James Lyne?

Kommentera gärna med dina tankar i detta ämne.

Att själa personuppgifter på gatan är enkelt

Markus — Sun, 25 Oct 2009 22:14:04 +0000

Graham Cluley på Sophos intervjuar personer på stan och får dem att avslöja en hel del om sig själva till en för dem helt okänd person. Läs mer på http://www.inuit.se/?page=49&display=234:2653

Vart tar informationen vägen?

Markus — Tue, 20 Oct 2009 10:48:08 +0000

Informationsmässig dynamit i smart förpackning?

Att information läcker kan ske avsiktligt eller oavsiktligt. Misstag, försummelse eller okunskap är vanliga orsaker till att informationen hamnar i fel händer, men det finns även kriminella nätverk som vill tjäna pengar. Eftersom informationen idag är digital och tar liten plats är det lättare än någonsin att den hamnar fel.

Förlust av känslig information kan innebära ekonomiska förluster, förtroendekris och i värsta fall utplåna en hel verksamhet. Beroende på vilken typ av verksamhet man arbetar i finns det olika behov och skyldigheter att skydda informationen. Både företag och offentliga myndigheter har lagar, standarder och riktlinjer för att säkerställa att känslig information hanteras på ett säkert sätt. Ett exempel på en sådan standard är PCI, som reglerar hur kortinformation ska skyddas så att inte obehöriga får tillgång till den. Andra lagar som PUL och Patientdatalagen syftar till att skydda den personliga integriteten.

När jag träffar representanter från den offentliga sektorn är den allmänna uppfattningen att de lagar de lyder under ofta är öppna för olika tolkningar. Det kan innebära stora skillnader i investeringar beroende på hur tolkningen görs. Enligt datainspektionen är lagarna framförallt riktlinjer och bedömningar görs fall till fall.

Lagar har varit drivande när det gäller att skydda känslig information men jag ser en trend där allt fler organisationer inser att information är en av deras viktigaste resurser och agerar därefter. Det finns ett behov att förbättra kontrollmekanismer och att ha spårbarhet på vart informationen tar vägen. Ett exempel ur vardagen är när ett konfidentiellt dokument ligger på en server som endast utvecklingsavdelningen har tillgång till. Men hur påverkas säkerheten om dokumentet kan sparas på ett USB-minne eller laptop utan kryptering? Då är kedjan bruten och säkerheten haltar. Det är därför det är så viktigt att se till helheten när man arbetar med informationssäkerhet.

Även om en stor del av informationsläckage beror på försummelse utgör de kriminella kretsarna ett verkligt hot. Personer med specialistkunskaper samverkar i syfte att tjäna pengar. Exempel på det kan vara skadlig kod som infekterar datorer vid webbsurfning på en nyhetssajt eller ett intrång som leder till att tusentals personuppgifter, bankkonton eller lösenord blottas. Teknikutvecklingen har gått snabbt och det är en utmaning för säkerhetsansvariga att få en klar bild av hur hotbilden ser ut för dem. Det är viktigt att analysera denna hotbild kontinuerligt.

Allt säkerhetsarbete börjar med att klassificera vilken information som är känslig eller konfidentiell för att sedan avgöra vilka rutiner och lösningar som behövs i organisationen.

USB-minnen – informationsmässig dynamit i minimal förpackning
Enligt en undersökning tappas mer än 60 procent av USB-minnena bort. En annan undersökning påvisade att en genomsnittsanställd hade sex till sju olika lagringsenheter. Även om man tar siffrorna med en nypa salt är det tankeväckande att det finns många USB-minnen, iPods, datorer med mera där det kan ligga känslig information. I media dyker det regelbundet upp fall där känslig information på USB-minnen tappats bort. I Storbritannien var det nyligen ett fall där ett USB-minne med försvarshemligheter hittades på ett dansgolv. I Sverige var det tidigare i år ett fall där ett USB-minne med sekretessbelagt material från svenska och amerikanska försvaret hade glömts i en dator på ett bibliotek.

Kriminella kretsar drar nytta av USB-minnenas förträfflighet. Det går att programmera USB-minnen att dammsuga en dator på information när den sätts i USB-uttaget. Ett annat sätt är att installera key-loggers som registrerar allt som skrivs på en dator på ett minne eller skicka det trådlöst utanför lokalerna. Båda dessa tillvägagångssätt kräver fysisk närvaro vid något tillfälle.

Tips: Kryptering av alla flyttbara lagringsenheter gör att all data som lämnar den interna miljön är oåtkomlig för obehöriga. Sätt en policy för hur informationen skall hanteras beroende av vilken säkerhetsklass den tillhör och kommunicera den till användarna Vid behov använd teknologi för att styra i minsta detalj hur information får förflyttas till olika enheter och vilka portar som får användas.

E-post är lätt att skicka fel
Det är inte ovanligt att ett konfidentiellt e-postmeddelande som är tänkt att det ska skickas till någon internt av misstag skickas till en person utanför organisationen med liknande namn. Det händer då och då att jag får e-post som av misstag kommer till mig vilket kan bero på att e-postklienten föreslår namn i kontaktlistan och avsändaren inte är uppmärksam. Ett exempel på känslig information som kommit fel är när ett utkast till en delårsrapport av misstag gick till en journalist istället för till en kollega. E-post som skickas okrypterat likställs med att skicka vykort. Men hur många är det egentligen som krypterar sin e-post? Det är inte särskilt vanligt om jag ser till min omgivning.

Tips: Se till att information som är säkerhetsklassad inte kan skickas till vem som helst. Om man vill skicka konfidentiell information på e-post ska man välja ett krypteringssystem som automatisk krypterar alla information som innehåller känslig information.

Skadlig kod sprids oftast via legitima webbsidor
En trojan infekterar datorer i nätverket med uppgift att sända ut känslig information till kriminella grupper. Informationen kan sedan användas i syfte att säljas vidare eller användas som utpressning. Skadlig kod kan komma in på grund av att den passerar de säkerhetssystem som finns eller att den planteras in av någon som har tillgång till nätverket.

Tips: Se till att säkerhetssystemen upptäcker och förhindrar att skadlig kod kommer in i organisationen oavsett på vilket sätt det sker och att ingen skadlig kod kan köras på datorer i nätverket. Se till att datorer i nätverket är uppdaterade med de senaste säkerhetspatcharna och att säkerhetsprodukter som antivirus har de senaste signaturfilerna.. Där kan en NAC (Network Access Control) lösning vara ett alternativ samtidigt som den möjliggör kontroll av vilka resurser som tilldelas respektive användare. Tänk på att de flesta virus och trojaner sprids via helt legitima webbsidor vilket betyder att webbtrafik bör säkerhetskontrolleras.

När man inte har råd med misstag
DRM – Digital Rights Management- kan användas av organisationer som hanterar mycket känslig information. DRM är en teknologi för att skydda filer genom kryptering och där åtkomst till dessa filer endast medges till användare och enheter vars identitet har autentiserats och åtkomsträttigheter styrkts. DRM-skyddet är konstant och oavsett var data placeras behålls skyddet, detta till skillnad från en fil som placerats på en server med access-kontrollmekanism.

I kombination med CMS (Content Management Systems) kan organisationer nå en mycket hög säkerhetsnivå och efterlevnad av de regelverk de lyder under.

Väga risker mot kostnader
Utmaningen är att ta ett helhetsgrepp för att ta reda på hur informationen skall skyddas, digitalt och fysiskt, och sedan hitta en lösning för att nå dit. Det gäller att hänga med i utvecklingen och tänka proaktivt och sedan agera i tid. En omvärldsbevakning över vilka nya hotbilder som uppenbarar sig samt vilka metoder som finns att möta dessa är av stor vikt. Allt säkerhetsarbete handlar om riskbedömning och att väga kostnader mot varandra. Därför är det så viktigt att dessa frågor lyfts upp till ledningsnivå och betraktas som strategiskt viktiga för verksamheten.