Dags för en ny säkerhetsarkitektur?

Vi har nu under några dagar upplevt stora och allvarliga informationsläckage som förorsakar stor skada för  enskilda människor, företag och deras varumärken. Jag tänker nu på Gunneboläckan och Vastaamo-fallet

Skyddet av informationen har inte fungerat trots kännedom om de stora riskerna och att IT-säkerheten följt "best praxis". Vi kanske måste ompröva etablerade sanningar och säkerhetsarkitekturer. Kanske åter titta på hur de manuella processerna som fanns före "IT" fungerade och hur man kan återvinna deras styrkor.

"Information at Your Fingertips" var ett uttryck som Bill Gates, Microsoft använde flitigt under 1990-talet och beskrev intentionen att ha all information direkt tillgänglig som behövdes för att fatta beslut och kunna jobba effektivt.

Det som var en god intention på 90-talet är i stor utsträckning förverkligat genom att värdefull verksamhetsdata har samlats i stora centraliserade "skattkistor" i form av databaser som gjort informationen lättillgänglig för behöriga. Det verkliga värdet av "skattkistorna" är ofta okänt eller underskattat men uppenbart så högt att kontrollen över dessa avgör verksamhetens möjlighet till överlevnad.

För att skydda sin "skatt" har succesivt nya verktyg för detta skapats, inledningsvis fysisk skalskydd runt information och personal, senare mer och mer sofistikerade logiska skalskydd i form av brandväggar, behörighetssystem, intrångsdetektering o.s.v. Men ändock så drabbas högprofilerade verksamheter av informationsläckage, i bland så allvarliga som inledande exempel som i förlängningen kan vara döden för de utsatta verksamheterna. Dessutom ofta med allvarliga konsekvenser för oskyldiga människor och verksamheternas samarbetspartners. 

Skydden har inte räckt till och IT-säkerhet är en kamp med tiden och de som vill ta kontroll över informationen.

Att samla allt av värde i en "skattkista" har historiskt alltid varit förenat med hög risk. Så fort de varit kända har det alltid funnits de som vill stjäla den och ju större värde den uppskattas innehålla ju större har lockelsen varit. Men information har länge inte betraktas som speciellt utsatt för att det inte har ett materiellt värde vilket har gjort att informationssäkerhet har hanteras styvmoderligt.

Vad var bättre förr och som idag skulle minska riskerna för informationsläckage?

1. Informationen var ofta spridd geografiskt och organisatoriskt och i stor utsträckning saknades kopior.
1. Uthämtning av inforation var ofta manuell, man var tvungen att efterfråga specifik information där flera personer var inblandade i processen. Gav ofta oacceptabel tröghet och svårigheter att hitta rätt då indexeringen inte var speciellt omfattande. Men för någon utomstående så var det i det närmaste omöjligt att stjäla större mängder information.
2. Objektorientering rådde även om uttrycket lanserades långt senare. En patientjournal rörde en patient och hade läkaren tillgång till denna så var det nog för vården. Däremot ett stort hinder för forskning då diagnoser, provsvar m.m. var inkapslade i journalen.
3. Man visste att man hade orginalhandlingen när den var manuellt signerad.
   
   
2. Behörighet var förr ofta informell men få, även högt upp i organisationerna hade direktaccess till arkiv. Ofta gick begäran om dokument till högt betrodda tjänstemän och arkivarier som förväntades larma om misstänkt missbruk. Att få ut dokument i någon större utsträckning tog mycket tid för kopiering eller fotografering. Risken för obehöriga att få tillgång till information var låg och ett läckage var ofta lätt att spåra till person(er).

Lösningen för att minska informationsläckage kan vara en arkitektur där informationen är spridd på många "skattkistor"/containers där nycklarna skiljer sig åt. Där nycklarna måste kvitteras ut och loggas inför varje access och att behörigheten är dynamisk, beroende på personenens roll, arbetstider, behov av tillgång till specifikt objekt m.m. D.v.s. mycket nytt tänkande behövs men bidrar det till en tröghet att få ut volymer av känslig information så kan det vara värt arbetet och kanske även ett mer tungarbetat system.

Är riskanalysen den största risken i ett systematiskt informationssäkerhetsarbete?

Ett systematiskt informationssäkerhetsarbete är i de flesta verksamheter ett önskemål eller krav. Ofta benämns det som ett LIS, Ledningssystem för Informationssäkerhet och bygger på en standard, vanligtvis baserat på ISO-standarden för LIS; ISO/IEC 27000-serien. Syftet med LIS är att minimera risken för oönskade händelser eller incidenter i verksamhetens information med ett brett perspektiv.
En central del i arbetet med att bygga upp och underhålla LIS är riskanalyser. Att förstå och prioritera vad man vill skydda och mot vad.
Jag har genom åren deltagit i och lett ett större antal riskanalyser men sällan varit nöjd. Det format för riskanalyser som normal används inom informationssäkerhet (“Scenario-based risk identification”) börjar ofta med ett seminarium om en halv till en dag med upp till 10 deltagare från olika roller i verksamheten. Till detta en seminarieledare som kanske saknar verksamhetskunnande.
Gruppen får inledningsvis uppmaningen att lista risker de ser i verksamheten, dessa grupperas sedan och man går igenom listade risker, värderar med vilken sannolikhet de slår in och då vilken konsekvens som de kan orsaka. Seminarieledaren dokumenterar vad som kommit fram och levererar efter några dagar en riskanalys som rapporteras inför beställaren som i sin tur beslutar om ev. åtgärder för att minska skaderisker.

Men...
Hur är det med kvalitén på analysen. Den kan svårligen bli bättre än de "indata" som redovisats vid seminariet. Jag ser följande problem:

1. Historik, incidenter som skett tidigare i samma domän i den egna verksamheten eller hos andra kommer bara med om någon deltagare har minnen av något sådant.
2. Vilka risker som kommer med är i huvudsak beroende på deltagarnas fantasi utöver den historik som redovisas.
3. Värdering av sannolikheten att någon oönskat och kanske okänt kan inträffa blir ofta vilda gissningar som i analysen läses som fakta.
4. Beskrivningen av konsekvenser och kostnader för en incident blir ofta mer realistiska, framförallt om man orkar inkludera de följdfel en incident skapar så här är problemen mindre men även här finns osäkerhet.
5. Formatet på analysen är ofta detsamma för perifera delar av verksamheten som för dess kärna. Att belysa risker som kan påverka verksamhetens existens skall också klaras av på en dag.

Så...

För ett framgångsrikt informationssäkerhetsarbete behövs oftast bättre riskanalyser än vad som görs idag. Men det kan vara svårt att motivera kostnaden för detta. Redan att avsätta tid för kanske 10 anställda under en dag och dessutom betala för någon som leder och dokumenterar analysen kan uppfattas som dyrt. Men vad är dyrt om det kan förebygga att verksamheten i värsta fall går under?

Jag har sett analyser som sannolikt uppskattar risker som hundrafaldigt fel eller överhuvud inte tagits upp. 

Jag ser att vi behöver kanske bättre och mer genomarbetade riskanalysmetoder med vetenskapligt stöd i metodportföljen för informationssäkerhet. Att en riskanalys som kan medverka till att förbygga verksamhetens hädanfärd faktiskt får kosta mer en de enkla vi gör idag.

Jag ser riskanalyser inom flyg, kärnkraft och medtech som föredöme i kvalitet. Där rör det sig direkt om människors liv och hälsa men informationssäkerhet kan indirekt beröra detsamma. Förutsättningar, historik m.m. är annorlunda i nämna branscher men man tillåter också att riskanalyserna får kosta.

Kan vi förändra synen på nyttan med riskanalyser och vad de får kosta så att vi kan göra bättre?

1177 och ansvar

Vi i Sverige har möjlighet att få kvalificerad rådgivning om sjukvård dygnet runt genom att ringa telefonnummer 1177 oavsett var i landet vi befinner oss. Beroende på var så kopplas vi till den rådgivning som varje av de 21 sjukvårdsregioner valt. 18 regioner hanterar det i egen regi och med egna journalsystem och köper telefonitjänsterna från Inera AB. Inera ägs av Sveriges Kommuner och Landsting (SKL) vilket är en medlemsorganisation för landets samtliga regioner och kommuner.
Tre av landets regioner har dock valt att upphandla rådgivning av MedHelp AB. Det är dessa tre regioner, Stockholm, Sörmland och Värmland som drabbats av läckande patientuppgifter. Hur stort läckaget är kan inte sägas för dagen men någonstans mellan 55 och 2,7milj rådgivningssamtal har läckt, den lägre siffran är vad MedHelp medger, den högre vad som fanns tillgängligt på internet.

MedHelp AB är av Inspektionen för vård och omsorg (IVO) registrerad vårdgivare och här därmed rätt att ge råd för häls- och sjukvård. IVO är också tillsynsmyndighet vad gäller vårdkvalitet och dess förmåga att leva upp till del lagar och förordningar som reglerar sjukvård. Vad gäller person- och patientinformation gäller dataskyddslagen, den svenska anpassningen av GDPR/dataskyddsförordningen och patientdatalagen (PDL). För GDPR och PDL är Datainspektionen (DI) tillsynsmyndighet och skall bevaka efterlevnaden av båda dessa lagar. Tillsyn görs dock normalt bara efter misstanke eller anmälan om brott mot lagarna.

Eftersom MedHelp är av IVO godkänd vårdgivare så kunde regionerna, om det föregåtts av en korrekt upphandling, tryggt teckna avtal med MedHelp. Som vårdgivare är MedHelp både enligt PDL och GDPR fullt ansvariga för hantering och skydd av person- och patientuppgifter. MedHelp har också fullt ansvar  för hanteringen de uppgifter som ev. underleverantörer behandlar.  Regionerna har inte rätt att få insyn i en vårdgivares patientdokumentation och kan därmed inte heller granska hanteringen. Det kan bara tillsynsmyndigheterna göra.

Men har då inte regionerna något ansvar för att läckaget kunde hända? Jo det har man vid upphandling, kravställning på informationssäkerhet och uppföljning av denna bör göras mycket tydlig. Något som uppenbart inte gjorts i de ursprungliga upphandlingarna 2013. Man kan ställa detaljkrav på säkerhet och t.ex. krav på riskanalyser där beställaren är involverad. Men man bör också ställa krav på systematiskt säkerhetsarbete i form av ledningssystem för informationssäkerhet (LIS) där även regelbunden uppföljning ingår och där beställaren också kan ta del av uppföljningarnas resultat. Hade ett fungerande LIS funnits på plats så hade sannolikt läckaget inte hänt.

Vilket ansvar har då SKL/Inera för det som hänt? Inledningsvis så drabbades Inera av misstankar om att de medverkat till informationsläckaget vilket inte var korrekt i att de 18 regionerna som använde Ineras telefonilösning inte var drabbade.

Men... Inera äger varumärket "1177" och är därmed, i varje fall moraliskt, ansvarig för hur varumärket används. Varje region har uppenbart varit fri att använda varumärket för sin rådgivning även om de haft olika lösningar för detta. Den som ringer 1177 förväntar sig nog samma kvalitet och säkerhet på tjänsten oavsett var i landet man befinner sig.
När läckaget blev känt så smutsades varumärket och förtroendet för detta ner även för regioner som skött sig väl p.g.a. av att en leverantör till tre av de 21 regionerna hade misskött sitt uppdrag. Här har Inera ett ansvar för hur varumärket 1177 hanterats. Jämför man med starka varumärken som på franchisebasis låter andra utnyttja det så brukar franchisegivarna ställa mycket detaljerade krav på de man låter använda varumärket. Detta bl.a. för att en franchisetagare som inte sköter sig kan orsaka mycket stor skada för varumärket. Tänk tanken att en McDonaldsresturang skulle välja en underleverantör med dåligt kött och att kunder blir sjuka. Det får bara inte hända.
Här har Inera missat, de har ett ansvar för hur varumärket används och kan inte avsvära sig den badwill de nu råkat ut för.

Dataskyddsförordningen och SkuggIT

SkuggIT (Shadow IT) är informationsbehandling som ofta görs och beslutas av enskilda medarbetare för att de skall kunna lösa sina uppgifter effektiv. Det är en realitet i de flesta verksamheter och är ofta accepterat i det tysta.

Dataskyddsförordingen (GDPR) som blir lag i maj 2018 sätter nytt fokus på fenomenet då även personuppgifter i ostrukturerad form omfattas av lagen. Att åtgärda detta kan bli svårt och åtgärderna kan introducera nya risker.

Jag vill här belysa fenomenet i ett mer filosofiskt perspektiv. 

-- 

Vi har fört anteckningar och skickat brev i generationer. Ofta har de sparats under långa tider. I dessa har både subjektiva och objektiva tankar och uppgifter nedtecknats. D.v.s. det som GDPR betraktas som ostrukturerade personuppgifter.

Därmed så tvingas vi av lagen att i princip in i att göra ostrukturerad information till strukturerad, endera i lagringen eller m.h.a. verktyg som extraherar och strukturerar personinformation vid sökning. GDPR ger, om inte annan lagstiftning är överordnad, rätten för den omskrivna att få del av noteringarna, rätt att få dem ”rättade” eller borttagna. 

Min spaning är då att GDPR kan få en förlamande effekt på organisationer. Många ”personuppgifter” kommer att flyttas till de flyktiga och opålitliga databaser som våra hjärnor är. Det som idag är data blir tyckande. Jag är rädd för att GDPR, om lagen tolkas bokstavligt, resulterar i en dataminimering som kommer att ge oss sämre beslut och en historielöshet.

Jag gillar i princip GDPR, det ger människan ett anständigt skydd mot myndigheter och företags informationsmissbruk. Men ”SkuggIT” är förmodligen ett nödvändigt inslag i en fungerande organisation, stryps den så riskerar verksamheten att dö.

Är "e-röstning" bra?

I dagens Svenska Dagbladet, e-upplagan skriver Tuve Johannesson och Karin Ehnbom-Palmquist en debattartikel under rubriken ”E-röstning skulle öka valdeltagandet”. Argumenten som förs fram är att grupper som idag har svårt att komma till en vallokal skulle ges bättre möjligheter att lägga sin röst. Vidare pekas på ett antal möjliga besparingar med "e-röstning", t.ex. mindre åtgång på papper och färre transporter. D.v.s. miljöargument. Dessutom att "digitalisering" ligger i tiden och att flera andra länder har börjat med "e-röstning".

Men är det så enkelt?

1. Vi skall ha fria val, d.v.s det får inte finnas en risk till att någon tvingas till att rösta på ett sätt som inte överensstämmer med den egna viljan.
2. Vi skall ha hemliga val, d.v.s. att det skall vara möjligt att dölja och hålla hemligt hur man röstat.
3. Valen skall vara offentliga, det skall vara möjligt för envar att övervaka hela valproceduren inklusive rösträkning.

Hur är det idag? Nuvarande procedur är väl beprövad, den går att förstå för merparten av väljarna och vi vet dess brister. Det tar t.ex. ett antal dagar innan det slutliga resultatet är färdigräkning och klart. Det brukar bli fel i någon eller några valkretsar vilket kräver omräkning eller i värsta fall ett nytt val i distriktet. Men felen blir kända och det rör sig då ofta om fel på promillenivå som blir rättade. Valhemlighet och "valfrihet" är möjlig även om kritik har framkommit om att man inte kan plocka valsedlar i "hemlighet" i vallokalen. Envar har också rätt att övervaka rösträkningen så länge man inte stör verksamheten. 

Hur kan det då bli vid "e-röstning"?

Det finns idag teoretiska lösningar (algoritmer) som kan garantera valhemligheten om dessa programmeras rätt och att programmen körs på garanterat säkra datorer. Men man kan inte tekniskt skydda att någon står bakom och har synpunkter hur man röstar. Argumentet i debattartikeln att den som inte känner sig trygg med att rösta i hemmet kan ta sig till vallokalen kanske inte är så enkel. Man kan kanske bli tvingad att rösta. 

I den bästa av världar kanske perfekta programmerare och säkra datorer finns. D.v.s. en grundförutsättning att valhemligheten kan garanteras. Tyvärr så finns varken eller. Vi vet att ALLA datorsystem har brister, det är mest bara en fråga hur snart och vem som upptäcker det först. Är det "ägaren" till systemet eller är det någon annan, är det någon god eller någon ond? Kommer bristen att utnyttjas för att manipulera eller misstänkliggöra valet?

Vi vet också att de fyra år som normalt går mellan riksdagsval är utvecklingen inom IT enorm. Tekniken förändras, nya sårbarheter upptäcks så man kan förutsätta att det utvecklingsarbete som gjorts fyra år tidigare förmodligen måste göras om från grunden. Ett projekt som förmodligen hamnar på en kostnadsnivå om minst 100 miljoner kronor.  De besparingar som artikelförfattarna pekar på finns ju heller inte om röstning i vallokal skall finnas kvar som alternativ.

Sista men kanske tyngsta argumentet mot e-röstning och för att behålla vår traditionella process är att valen skall vara öppna och tillåta envar och kanske även utländska valobservatörer att övervaka process och rösträkning. Jag vill påstå att vi i Sverige bara har några 10-tal personer som har förutsättningar att förstå en e-röstningsprocess och samtidigt har förmågan att granska tekniken. Transparensen försvinner helt och risken är då stor att hela valresultatet ifrågasätts och legitimiteten för valet faller.

Så "e-röstning" kan bli ett stort bakslag för demokratin!

Information ger makt!

Delar du ut information så kan du;
1. utnyttjas
2. visa makt
3. skapa förtroende

Så dela med dig kontrollerat!
Det är informationssäkerhet.

Vad är "hemlig dataavläsning"?

Inrikesminister Anders Ygeman presenterade 2015-08-28 Regeringens skrivelse 2014/15:146 "Förebygga, förhindra och försvåra – den svenska strategin mot terrorism".
I den presskonferens som följde pekade ministern på hemlig dataavläsning som ett möjligt tvångsmedels för avlyssning.
Vad är i detta sammanhang "hemlig dataavläsning"? Förmodligen refererar ministern till SOU 2005:38 -- Tillgång till elektronisk kommunikation i brottsutredningar m.m. samt SOU 2012:44 -- Betänkande av Utredningen om vissa hemliga tvångsmedel  där detta begrepp används och föreslås som ett möjlig tvångsmedel.

Värdering av de juridiska argumenten i utredningarna lämnar jag åt sidan och fokuserar på de möjliga tekniker som kan finnas i detta begrepp. Jag uppfattar "hemlig dataavläsning" som riktade åtgärder mot en eller ett fåtal personer beslutad av domstol. D.v.s. inte den allmänna lagringen som teleoperatörer är ålagda att utföra.
Det är alltså frågan om att plantera teknik eller programvara i utrustning som den misstänkte förfogar över. Detta kräver att myndighet på något sätt får tillgång till utrustningen, fysiskt eller via internet. Fysiskt kan det vara fråga om att ansluta loggningsutrustning som keyloggers eller sniffers som samlar ihop information, lagrar och levererar till myndighet. Att göra fysiska ingrepp i misstänktas utrustning eller bostäder är förenat med problem och risken för att det skall upptäckas är stor. Ett par alternativ står då till buds, endera utnyttja sårbarheter i produkter och dess programvaror som illasinnade hackers har för vana. Ett andra är att helt enkelt lura användaren att installera avlyssningsprogramvara. Det senare förutsätter någon form av undercoververksamhet som nog inte är förenlig med svensk rättstradition. Att någon med ont uppsåt är beredd att klicka på en länk i ett mail från Polisen är knappast troligt.

Att utnyttja sårbarheter för hemlig dataavläsning.

Stor del av de problem vi har med virus, trojanska hästar, "maskar" under samlingsnamnet "skadlig kod" (malware) beror på att de produkter vi använder har sårbarheter (buggar) som tillverkaren inte känner till vid leverans. Det pågår en ständig kamp och kapplöpning mellan de som söker sårbarheter som kan användas i onda syften och leverantörernas förmåga att rätta och distribuera rättningarna (patchar). I denna kamp finns också antivirusföretagen som tillverkar och säljer programvara för att bromsa spridning av och skadeverkning från skadlig kod.

Det finns en internationell marknad för handel med upptäckta men ännu inte allmänt kända sårbarheter som förmodligen omsätter stora belopp. Denna marknad är i huvudsak svart men ibland blir en grå verksamhet känd. På försommaren hackades det italienska "säkerhetsbolaget" Hacking Team som specialiserat sig på att sälja okända sårbarheter (Zero-day) till polis och underrättelsetjänster i många länder. Då även amerikanska myndigheter fanns på kundlistan så det är troligt att det är denna typ av företag som svensk polis behöver anlita för att köpa verktyg för "hemlig dataavläsning".

Ett ytterligare alternativ som förekommer, framförallt i USA, är att med lag tvinga IT-företag att medverka till att skapa produkter eller tjänster där myndigheter har bakdörrar för avlyssning alternativt att IT-företagen själva åläggs att selektivt eller brett avlyssna och leverera informationen till myndigheter.

Men Snowden-avslöjandena har gjort att IT-företagen har blivit ovilliga att medverka. De ser en internationell motvilja mot produkter som USA har avlyssningsmonopol på. De lägger in krypton i sina kommunikation för att försvåra avlyssning. De skapar som t.ex. Apple lösningar där det inte är möjligt att gå runt krypteringen, inte ens för Apple själva. Tjänsten iMessage är idag avlyssningssäker så länge ingen fysiskt har haft möjlighet att gå in i telefonen (iPhone) och detta är ett förhållningssätt som fler IT-företag håller på att ta efter.

För att svensk polis och andra myndigheter skall kunna genomföra "hemlig dataavläsning" där tekniken som skall avlyssnas i huvudsak är amerikansk krävs ett nära samarbete med USA och dess arbete med avlyssning. Motviljan hos konsumenter och andra kunder till att köpa utrustning med bakdörrar som i varje fall amerikanska myndigheter har tillgång till kommer nog att få IT-företagen att vara fortsatt motvilliga till detta.