Inuit blogg » USB-minnen

”Förbud mot usb-minnen går mot alla trender”

Markus — Thu, 25 Feb 2010 12:00:38 +0000

En artikel på IDG där Kudret Karan säger att han tycker man skall förbjuda usb-minnen väckte en debatt där Åke Wieslander på Inuit besvarade detta uttalande. Här är inledningen av debattartikeln som kan läsas i sin helhet på CIO Sweden.

Debatt: Åke Wieslander på säkerhetsföretaget Inuit tycker att Kudret Karans uttalande om att förbjuda usb-minnen saknar förankring i verkligheten.

Kudret Karans uttalande om att förbjuda usb-minnen är uppenbarligen gjort i syfte att skapa debatt och ”sticka ut hakan” lite. Ofta är denna typ av uttalanden baserade på vad respektive representant har för lösningar i sin egen produktportfölj.

Min personliga uppfattning är att denna typ på uttalanden snarare skall vara baserade på verklig kundnytta och hur säkerhet respektive effektivitet påverkas på den arbetsplats man uttalar sig om. Ett uttalande om att helt förbjuda usb-minnen i alla typer av offentliga verksamheter synes mig inte bara oövervägt utan dessutom utan någon som helst förankring i verkligheten.

Läs hela debattartikeln på CIO Sweden

Myndigheternas informationshantering

Markus — Tue, 15 Dec 2009 13:34:03 +0000

Vi i Sverige har ofta uppfattningen att vi lever i ett land där vi har en mycket hög efterlevnad av de olika regler som finns i samhället. Så är det inte alls. Tvärtom struntar många myndigheter och verksamheter inom den offentliga sektorn i uppfyllandet av regler och lagar om deras efterlevnad inte kontrolleras. Även inom den offentliga sektorn är det idag ofta verksamhetens behov och risken att bli påkommen som styr investeringar. Självklart är grunden i allt säkerhetsarbete riskkalkylen, men här är det inte risken för informationsläckage som styr utan risken att ett informationsläckage upptäcks och uppmärksammas i pressen.

Sverige har, liksom andra länder i Europa, ett antal informationssäkerhetsregler som påverkar offentlig sektor. Detta omfattar, men begränsas inte till, bl.a PUL och Patientdatalagen. I andra länder som t.ex England finns mycket hårda krav på efterlevnad av dessa informationssäkerhetsregler. Många är de som hanterar känslig information om medborgarna men hur hanteras informationen i Sverige?

Vi gjorde för ungefär ett halvår sedan en undersökning bland ett stort antal kommuner i Mälardalen om hur de tillåter de anställda att hantera information i och utanför verksamheten. Det visar sig att så gott som samtliga tillåter sina anställda att använda oskyddade USB-minnen inom och utanför verksamheten. Det visar sig också att de anställda har i genomsnitt 6st USB minnen per anställd och att 66% av dessa tappas bort. Ändå hänvisar man till tjänstemannaansvaret och att de anställda vet att de inte skall lagra känslig information på andra ställen än inom nätverket. Många säger sig inte veta om att man skulle hantera någon känslig information och att all information (dvs din personliga information som kommunen hanterar) ändå är offentlig. Endast en handfull kommuner visar intresse för att ge de anställda möjlighet att använda säkra USB-minnen istället, trots att dessa kostar försumbart mer.

Gång efter gång ser vi rapporter om borttappad och upphittad information i pressen. De senaste åren haglar läckorna tätt och vi kan läsa om allt från lärare som tappar USB-minnen med information om eleverna till medarbetare på militära underrättelsetjänsten som glömmer minnen med försvarhemligheter i biblioteksdatorer. Om något inträffar faller ofta ansvaret på den enskilde anställde som blir uthängd och utpekad samt att man hänvisar till de arbetsinstruktioner som finns i verksamheten. När man pratar med IT-avdelningarna pekar dessa på politikerna som inte fattat beslut i frågan varför ingen budget finns för projektet. Politikerna känner i sin tur inte till de tekniska möjligheterna eller den potentiella hotbilden. Personalavdelningarna hänvisar till IT och verkar utifrån sett inte involverade i att tillhandahålla rätt redskap för de anställda gällande detta område.

Så vem är det då som har ansvaret för att din information hanteras på ett säkert sätt? Jag tror inte att någon av oss skulle vilja att den information som kommuner och myndigheter hanterar om oss skulle hamna på villovägar. Det kan gälla allt från bygglovsansökningar till dina barns utvecklingssamtal i skolan eller kontakter med sociala myndigheter, stödinsatser, kontaktpersoner etc. Som det ser ut nu kommer det inte att hända något förrän medborgarna kräver redovisning för hur deras information hanteras och hur kommunerna använder skattebetalarnas pengar.

Inuit är specialister inom just säkerhetsområdet och jobbar idag med ca hälften av landets landsting och kommuner. En del av dessa har varit föreblider och bedriver ett mycket seriöst säkerhetsarbete. Vi hjälper t.ex verksamheterna att sätta upp skyddsbarriärer för mail- och webbtrafik, hantera hot från virus och annan malware på klienter, servers och mobiltelefoner, kryptera information i vila och i rörelse och hantera säker inloggning i systemen. Inom just det aktuella området väljer många en enkel väg att gå; det finns färdiga krypterade USB-minnen som kan hanteras i en central funktion, t.ex er egen helpdesk. Om kommunen bestämmer sig för att endast dessa säkra USB-minnen får användas för extern lagring av intern information har man både sett till att personalen kan jobba med den interna informationen var som helst och samtidigt tillsett att om minnet skulle glömmas eller tappas så kan ingen obehörig komma åt informationen. De är lika enkla att köpa som osäkra minnen och finns bl.a tillgängliga via återförsäljare som ATEA och Dustin.

Lösningen används redan idag av en del av våra hårt granskade myndigheter samt även en del kommuner. I Storbrittanien har nyligen hela den nationella hälsoverkamheten (NHS) valt att standardisera på SafeStick. Minnena är utvecklade i Sverige och 95% av företagets försäljning sker idag på export, mycket beroende på att dessa tankegångar kommit längre i andra länder och att man är mer rädd att bli satt till offentlig skampåle i pressen där.

När kommer du att kräva att få veta hur din och dina barns eller anhörigas information hanteras av det offentliga Sverige?

Vart tar informationen vägen?

Markus — Tue, 20 Oct 2009 10:48:08 +0000

Informationsmässig dynamit i smart förpackning?

Att information läcker kan ske avsiktligt eller oavsiktligt. Misstag, försummelse eller okunskap är vanliga orsaker till att informationen hamnar i fel händer, men det finns även kriminella nätverk som vill tjäna pengar. Eftersom informationen idag är digital och tar liten plats är det lättare än någonsin att den hamnar fel.

Förlust av känslig information kan innebära ekonomiska förluster, förtroendekris och i värsta fall utplåna en hel verksamhet. Beroende på vilken typ av verksamhet man arbetar i finns det olika behov och skyldigheter att skydda informationen. Både företag och offentliga myndigheter har lagar, standarder och riktlinjer för att säkerställa att känslig information hanteras på ett säkert sätt. Ett exempel på en sådan standard är PCI, som reglerar hur kortinformation ska skyddas så att inte obehöriga får tillgång till den. Andra lagar som PUL och Patientdatalagen syftar till att skydda den personliga integriteten.

När jag träffar representanter från den offentliga sektorn är den allmänna uppfattningen att de lagar de lyder under ofta är öppna för olika tolkningar. Det kan innebära stora skillnader i investeringar beroende på hur tolkningen görs. Enligt datainspektionen är lagarna framförallt riktlinjer och bedömningar görs fall till fall.

Lagar har varit drivande när det gäller att skydda känslig information men jag ser en trend där allt fler organisationer inser att information är en av deras viktigaste resurser och agerar därefter. Det finns ett behov att förbättra kontrollmekanismer och att ha spårbarhet på vart informationen tar vägen. Ett exempel ur vardagen är när ett konfidentiellt dokument ligger på en server som endast utvecklingsavdelningen har tillgång till. Men hur påverkas säkerheten om dokumentet kan sparas på ett USB-minne eller laptop utan kryptering? Då är kedjan bruten och säkerheten haltar. Det är därför det är så viktigt att se till helheten när man arbetar med informationssäkerhet.

Även om en stor del av informationsläckage beror på försummelse utgör de kriminella kretsarna ett verkligt hot. Personer med specialistkunskaper samverkar i syfte att tjäna pengar. Exempel på det kan vara skadlig kod som infekterar datorer vid webbsurfning på en nyhetssajt eller ett intrång som leder till att tusentals personuppgifter, bankkonton eller lösenord blottas. Teknikutvecklingen har gått snabbt och det är en utmaning för säkerhetsansvariga att få en klar bild av hur hotbilden ser ut för dem. Det är viktigt att analysera denna hotbild kontinuerligt.

Allt säkerhetsarbete börjar med att klassificera vilken information som är känslig eller konfidentiell för att sedan avgöra vilka rutiner och lösningar som behövs i organisationen.

USB-minnen – informationsmässig dynamit i minimal förpackning
Enligt en undersökning tappas mer än 60 procent av USB-minnena bort. En annan undersökning påvisade att en genomsnittsanställd hade sex till sju olika lagringsenheter. Även om man tar siffrorna med en nypa salt är det tankeväckande att det finns många USB-minnen, iPods, datorer med mera där det kan ligga känslig information. I media dyker det regelbundet upp fall där känslig information på USB-minnen tappats bort. I Storbritannien var det nyligen ett fall där ett USB-minne med försvarshemligheter hittades på ett dansgolv. I Sverige var det tidigare i år ett fall där ett USB-minne med sekretessbelagt material från svenska och amerikanska försvaret hade glömts i en dator på ett bibliotek.

Kriminella kretsar drar nytta av USB-minnenas förträfflighet. Det går att programmera USB-minnen att dammsuga en dator på information när den sätts i USB-uttaget. Ett annat sätt är att installera key-loggers som registrerar allt som skrivs på en dator på ett minne eller skicka det trådlöst utanför lokalerna. Båda dessa tillvägagångssätt kräver fysisk närvaro vid något tillfälle.

Tips: Kryptering av alla flyttbara lagringsenheter gör att all data som lämnar den interna miljön är oåtkomlig för obehöriga. Sätt en policy för hur informationen skall hanteras beroende av vilken säkerhetsklass den tillhör och kommunicera den till användarna Vid behov använd teknologi för att styra i minsta detalj hur information får förflyttas till olika enheter och vilka portar som får användas.

E-post är lätt att skicka fel
Det är inte ovanligt att ett konfidentiellt e-postmeddelande som är tänkt att det ska skickas till någon internt av misstag skickas till en person utanför organisationen med liknande namn. Det händer då och då att jag får e-post som av misstag kommer till mig vilket kan bero på att e-postklienten föreslår namn i kontaktlistan och avsändaren inte är uppmärksam. Ett exempel på känslig information som kommit fel är när ett utkast till en delårsrapport av misstag gick till en journalist istället för till en kollega. E-post som skickas okrypterat likställs med att skicka vykort. Men hur många är det egentligen som krypterar sin e-post? Det är inte särskilt vanligt om jag ser till min omgivning.

Tips: Se till att information som är säkerhetsklassad inte kan skickas till vem som helst. Om man vill skicka konfidentiell information på e-post ska man välja ett krypteringssystem som automatisk krypterar alla information som innehåller känslig information.

Skadlig kod sprids oftast via legitima webbsidor
En trojan infekterar datorer i nätverket med uppgift att sända ut känslig information till kriminella grupper. Informationen kan sedan användas i syfte att säljas vidare eller användas som utpressning. Skadlig kod kan komma in på grund av att den passerar de säkerhetssystem som finns eller att den planteras in av någon som har tillgång till nätverket.

Tips: Se till att säkerhetssystemen upptäcker och förhindrar att skadlig kod kommer in i organisationen oavsett på vilket sätt det sker och att ingen skadlig kod kan köras på datorer i nätverket. Se till att datorer i nätverket är uppdaterade med de senaste säkerhetspatcharna och att säkerhetsprodukter som antivirus har de senaste signaturfilerna.. Där kan en NAC (Network Access Control) lösning vara ett alternativ samtidigt som den möjliggör kontroll av vilka resurser som tilldelas respektive användare. Tänk på att de flesta virus och trojaner sprids via helt legitima webbsidor vilket betyder att webbtrafik bör säkerhetskontrolleras.

När man inte har råd med misstag
DRM – Digital Rights Management- kan användas av organisationer som hanterar mycket känslig information. DRM är en teknologi för att skydda filer genom kryptering och där åtkomst till dessa filer endast medges till användare och enheter vars identitet har autentiserats och åtkomsträttigheter styrkts. DRM-skyddet är konstant och oavsett var data placeras behålls skyddet, detta till skillnad från en fil som placerats på en server med access-kontrollmekanism.

I kombination med CMS (Content Management Systems) kan organisationer nå en mycket hög säkerhetsnivå och efterlevnad av de regelverk de lyder under.

Väga risker mot kostnader
Utmaningen är att ta ett helhetsgrepp för att ta reda på hur informationen skall skyddas, digitalt och fysiskt, och sedan hitta en lösning för att nå dit. Det gäller att hänga med i utvecklingen och tänka proaktivt och sedan agera i tid. En omvärldsbevakning över vilka nya hotbilder som uppenbarar sig samt vilka metoder som finns att möta dessa är av stor vikt. Allt säkerhetsarbete handlar om riskbedömning och att väga kostnader mot varandra. Därför är det så viktigt att dessa frågor lyfts upp till ledningsnivå och betraktas som strategiskt viktiga för verksamheten.