2019-06-14

Är riskanalysen den största risken i ett systematiskt informationssäkerhetsarbete?

Ett systematiskt informationssäkerhetsarbete är i de flesta verksamheter ett önskemål eller krav. Ofta benämns det som ett LIS, Ledningssystem för Informationssäkerhet och bygger på en standard, vanligtvis baserat på ISO-standarden för LIS; ISO/IEC 27000-serien. Syftet med LIS är att minimera risken för oönskade händelser eller incidenter i verksamhetens information med ett brett perspektiv.
En central del i arbetet med att bygga upp och underhålla LIS är riskanalyser. Att förstå och prioritera vad man vill skydda och mot vad.
Jag har genom åren deltagit i och lett ett större antal riskanalyser men sällan varit nöjd. Det format för riskanalyser som normal används inom informationssäkerhet (“Scenario-based risk identification”) börjar ofta med ett seminarium om en halv till en dag med upp till 10 deltagare från olika roller i verksamheten. Till detta en seminarieledare som kanske saknar verksamhetskunnande.
Gruppen får inledningsvis uppmaningen att lista risker de ser i verksamheten, dessa grupperas sedan och man går igenom listade risker, värderar med vilken sannolikhet de slår in och då vilken konsekvens som de kan orsaka. Seminarieledaren dokumenterar vad som kommit fram och levererar efter några dagar en riskanalys som rapporteras inför beställaren som i sin tur beslutar om ev. åtgärder för att minska skaderisker.

Men...
Hur är det med kvalitén på analysen. Den kan svårligen bli bättre än de "indata" som redovisats vid seminariet. Jag ser följande problem:

  1. Historik, incidenter som skett tidigare i samma domän i den egna verksamheten eller hos andra kommer bara med om någon deltagare har minnen av något sådant.
  2. Vilka risker som kommer med är i huvudsak beroende på deltagarnas fantasi utöver den historik som redovisas.
  3. Värdering av sannolikheten att någon oönskat och kanske okänt kan inträffa blir ofta vilda gissningar som i analysen läses som fakta.
  4. Beskrivningen av konsekvenser och kostnader för en incident blir ofta mer realistiska, framförallt om man orkar inkludera de följdfel en incident skapar så här är problemen mindre men även här finns osäkerhet.
  5. Formatet på analysen är ofta detsamma för perifera delar av verksamheten som för dess kärna. Att belysa risker som kan påverka verksamhetens existens skall också klaras av på en dag.
Så...
För ett framgångsrikt informationssäkerhetsarbete behövs oftast bättre riskanalyser än vad som görs idag. Men det kan vara svårt att motivera kostnaden för detta. Redan att avsätta tid för kanske 10 anställda under en dag och dessutom betala för någon som leder och dokumenterar analysen kan uppfattas som dyrt. Men vad är dyrt om det kan förebygga att verksamheten i värsta fall går under?
Jag har sett analyser som sannolikt uppskattar risker som hundrafaldigt fel eller överhuvud inte tagits upp. 
Jag ser att vi behöver kanske bättre och mer genomarbetade riskanalysmetoder med vetenskapligt stöd i metodportföljen för informationssäkerhet. Att en riskanalys som kan medverka till att förbygga verksamhetens hädanfärd faktiskt får kosta mer en de enkla vi gör idag.
Jag ser riskanalyser inom flyg, kärnkraft och medtech som föredöme i kvalitet. Där rör det sig direkt om människors liv och hälsa men informationssäkerhet kan indirekt beröra detsamma. Förutsättningar, historik m.m. är annorlunda i nämna branscher men man tillåter också att riskanalyserna får kosta.

Kan vi förändra synen på nyttan med riskanalyser och vad de får kosta så att vi kan göra bättre?


2019-03-11

1177 och ansvar

Vi i Sverige har möjlighet att få kvalificerad rådgivning om sjukvård dygnet runt genom att ringa telefonnummer 1177 oavsett var i landet vi befinner oss. Beroende på var så kopplas vi till den rådgivning som varje av de 21 sjukvårdsregioner valt. 18 regioner hanterar det i egen regi och med egna journalsystem och köper telefonitjänsterna från Inera AB. Inera ägs av Sveriges Kommuner och Landsting (SKL) vilket är en medlemsorganisation för landets samtliga regioner och kommuner.
Tre av landets regioner har dock valt att upphandla rådgivning av MedHelp AB. Det är dessa tre regioner, Stockholm, Sörmland och Värmland som drabbats av läckande patientuppgifter. Hur stort läckaget är kan inte sägas för dagen men någonstans mellan 55 och 2,7milj rådgivningssamtal har läckt, den lägre siffran är vad MedHelp medger, den högre vad som fanns tillgängligt på internet.

MedHelp AB är av Inspektionen för vård och omsorg (IVO) registrerad vårdgivare och här därmed rätt att ge råd för häls- och sjukvård. IVO är också tillsynsmyndighet vad gäller vårdkvalitet och dess förmåga att leva upp till del lagar och förordningar som reglerar sjukvård. Vad gäller person- och patientinformation gäller dataskyddslagen, den svenska anpassningen av GDPR/dataskyddsförordningen och patientdatalagen (PDL). För GDPR och PDL är Datainspektionen (DI) tillsynsmyndighet och skall bevaka efterlevnaden av båda dessa lagar. Tillsyn görs dock normalt bara efter misstanke eller anmälan om brott mot lagarna.

Eftersom MedHelp är av IVO godkänd vårdgivare så kunde regionerna, om det föregåtts av en korrekt upphandling, tryggt teckna avtal med MedHelp. Som vårdgivare är MedHelp både enligt PDL och GDPR fullt ansvariga för hantering och skydd av person- och patientuppgifter. MedHelp har också fullt ansvar  för hanteringen de uppgifter som ev. underleverantörer behandlar.  Regionerna har inte rätt att få insyn i en vårdgivares patientdokumentation och kan därmed inte heller granska hanteringen. Det kan bara tillsynsmyndigheterna göra.

Men har då inte regionerna något ansvar för att läckaget kunde hända? Jo det har man vid upphandling, kravställning på informationssäkerhet och uppföljning av denna bör göras mycket tydlig. Något som uppenbart inte gjorts i de ursprungliga upphandlingarna 2013. Man kan ställa detaljkrav på säkerhet och t.ex. krav på riskanalyser där beställaren är involverad. Men man bör också ställa krav på systematiskt säkerhetsarbete i form av ledningssystem för informationssäkerhet (LIS) där även regelbunden uppföljning ingår och där beställaren också kan ta del av uppföljningarnas resultat. Hade ett fungerande LIS funnits på plats så hade sannolikt läckaget inte hänt.

Vilket ansvar har då SKL/Inera för det som hänt? Inledningsvis så drabbades Inera av misstankar om att de medverkat till informationsläckaget vilket inte var korrekt i att de 18 regionerna som använde Ineras telefonilösning inte var drabbade.

Men... Inera äger varumärket "1177" och är därmed, i varje fall moraliskt, ansvarig för hur varumärket används. Varje region har uppenbart varit fri att använda varumärket för sin rådgivning även om de haft olika lösningar för detta. Den som ringer 1177 förväntar sig nog samma kvalitet och säkerhet på tjänsten oavsett var i landet man befinner sig.
När läckaget blev känt så smutsades varumärket och förtroendet för detta ner även för regioner som skött sig väl p.g.a. av att en leverantör till tre av de 21 regionerna hade misskött sitt uppdrag. Här har Inera ett ansvar för hur varumärket 1177 hanterats. Jämför man med starka varumärken som på franchisebasis låter andra utnyttja det så brukar franchisegivarna ställa mycket detaljerade krav på de man låter använda varumärket. Detta bl.a. för att en franchisetagare som inte sköter sig kan orsaka mycket stor skada för varumärket. Tänk tanken att en McDonaldsresturang skulle välja en underleverantör med dåligt kött och att kunder blir sjuka. Det får bara inte hända.
Här har Inera missat, de har ett ansvar för hur varumärket används och kan inte avsvära sig den badwill de nu råkat ut för.




2017-09-14

Dataskyddsförordningen och SkuggIT

SkuggIT (Shadow IT) är informationsbehandling som ofta görs och beslutas av enskilda medarbetare för att de skall kunna lösa sina uppgifter effektiv. Det är en realitet i de flesta verksamheter och är ofta accepterat i det tysta.
Dataskyddsförordingen (GDPR) som blir lag i maj 2018 sätter nytt fokus på fenomenet då även personuppgifter i ostrukturerad form omfattas av lagen. Att åtgärda detta kan bli svårt och åtgärderna kan introducera nya risker.

Jag vill här belysa fenomenet i ett mer filosofiskt perspektiv. 
-- 
Vi har fört anteckningar och skickat brev i generationer. Ofta har de sparats under långa tider. I dessa har både subjektiva och objektiva tankar och uppgifter nedtecknats. D.v.s. det som GDPR betraktas som ostrukturerade personuppgifter.
Därmed så tvingas vi av lagen att i princip in i att göra ostrukturerad information till strukturerad, endera i lagringen eller m.h.a. verktyg som extraherar och strukturerar personinformation vid sökning. GDPR ger, om inte annan lagstiftning är överordnad, rätten för den omskrivna att få del av noteringarna, rätt att få dem ”rättade” eller borttagna. 
Min spaning är då att GDPR kan få en förlamande effekt på organisationer. Många ”personuppgifter” kommer att flyttas till de flyktiga och opålitliga databaser som våra hjärnor är. Det som idag är data blir tyckande. Jag är rädd för att GDPR, om lagen tolkas bokstavligt, resulterar i en dataminimering som kommer att ge oss sämre beslut och en historielöshet.
Jag gillar i princip GDPR, det ger människan ett anständigt skydd mot myndigheter och företags informationsmissbruk. Men ”SkuggIT” är förmodligen ett nödvändigt inslag i en fungerande organisation, stryps den så riskerar verksamheten att dö.

2016-03-25

Är "e-röstning" bra?

I dagens Svenska Dagbladet, e-upplagan skriver Tuve Johannesson och Karin Ehnbom-Palmquist en debattartikel under rubriken ”E-röstning skulle öka valdeltagandet”. Argumenten som förs fram är att grupper som idag har svårt att komma till en vallokal skulle ges bättre möjligheter att lägga sin röst. Vidare pekas på ett antal möjliga besparingar med "e-röstning", t.ex. mindre åtgång på papper och färre transporter. D.v.s. miljöargument. Dessutom att "digitalisering" ligger i tiden och att flera andra länder har börjat med "e-röstning".

Men är det så enkelt?
  1. Vi skall ha fria val, d.v.s det får inte finnas en risk till att någon tvingas till att rösta på ett sätt som inte överensstämmer med den egna viljan.
  2. Vi skall ha hemliga val, d.v.s. att det skall vara möjligt att dölja och hålla hemligt hur man röstat.
  3. Valen skall vara offentliga, det skall vara möjligt för envar att övervaka hela valproceduren inklusive rösträkning.
Hur är det idag? Nuvarande procedur är väl beprövad, den går att förstå för merparten av väljarna och vi vet dess brister. Det tar t.ex. ett antal dagar innan det slutliga resultatet är färdigräkning och klart. Det brukar bli fel i någon eller några valkretsar vilket kräver omräkning eller i värsta fall ett nytt val i distriktet. Men felen blir kända och det rör sig då ofta om fel på promillenivå som blir rättade. Valhemlighet och "valfrihet" är möjlig även om kritik har framkommit om att man inte kan plocka valsedlar i "hemlighet" i vallokalen. Envar har också rätt att övervaka rösträkningen så länge man inte stör verksamheten. 

Hur kan det då bli vid "e-röstning"?

Det finns idag teoretiska lösningar (algoritmer) som kan garantera valhemligheten om dessa programmeras rätt och att programmen körs på garanterat säkra datorer. Men man kan inte tekniskt skydda att någon står bakom och har synpunkter hur man röstar. Argumentet i debattartikeln att den som inte känner sig trygg med att rösta i hemmet kan ta sig till vallokalen kanske inte är så enkel. Man kan kanske bli tvingad att rösta. 

I den bästa av världar kanske perfekta programmerare och säkra datorer finns. D.v.s. en grundförutsättning att valhemligheten kan garanteras. Tyvärr så finns varken eller. Vi vet att ALLA datorsystem har brister, det är mest bara en fråga hur snart och vem som upptäcker det först. Är det "ägaren" till systemet eller är det någon annan, är det någon god eller någon ond? Kommer bristen att utnyttjas för att manipulera eller misstänkliggöra valet?

Vi vet också att de fyra år som normalt går mellan riksdagsval är utvecklingen inom IT enorm. Tekniken förändras, nya sårbarheter upptäcks så man kan förutsätta att det utvecklingsarbete som gjorts fyra år tidigare förmodligen måste göras om från grunden. Ett projekt som förmodligen hamnar på en kostnadsnivå om minst 100 miljoner kronor.  De besparingar som artikelförfattarna pekar på finns ju heller inte om röstning i vallokal skall finnas kvar som alternativ.

Sista men kanske tyngsta argumentet mot e-röstning och för att behålla vår traditionella process är att valen skall vara öppna och tillåta envar och kanske även utländska valobservatörer att övervaka process och rösträkning. Jag vill påstå att vi i Sverige bara har några 10-tal personer som har förutsättningar att förstå en e-röstningsprocess och samtidigt har förmågan att granska tekniken. Transparensen försvinner helt och risken är då stor att hela valresultatet ifrågasätts och legitimiteten för valet faller.

Så "e-röstning" kan bli ett stort bakslag för demokratin!

2015-10-02

Information ger makt!

Delar du ut information så kan du;
1. utnyttjas
2. visa makt
3. skapa förtroende

Så dela med dig kontrollerat!
Det är informationssäkerhet.

2015-08-29

Vad är "hemlig dataavläsning"?

Inrikesminister Anders Ygeman presenterade 2015-08-28 Regeringens skrivelse 2014/15:146 "Förebygga, förhindra och försvåra – den svenska strategin mot terrorism".
I den presskonferens som följde pekade ministern på hemlig dataavläsning som ett möjligt tvångsmedels för avlyssning.
Vad är i detta sammanhang "hemlig dataavläsning"? Förmodligen refererar ministern till SOU 2005:38 -- Tillgång till elektronisk kommunikation i brottsutredningar m.m. samt SOU 2012:44 -- Betänkande av Utredningen om vissa hemliga tvångsmedel  där detta begrepp används och föreslås som ett möjlig tvångsmedel.

Värdering av de juridiska argumenten i utredningarna lämnar jag åt sidan och fokuserar på de möjliga tekniker som kan finnas i detta begrepp. Jag uppfattar "hemlig dataavläsning" som riktade åtgärder mot en eller ett fåtal personer beslutad av domstol. D.v.s. inte den allmänna lagringen som teleoperatörer är ålagda att utföra.
Det är alltså frågan om att plantera teknik eller programvara i utrustning som den misstänkte förfogar över. Detta kräver att myndighet på något sätt får tillgång till utrustningen, fysiskt eller via internet. Fysiskt kan det vara fråga om att ansluta loggningsutrustning som keyloggers eller sniffers som samlar ihop information, lagrar och levererar till myndighet. Att göra fysiska ingrepp i misstänktas utrustning eller bostäder är förenat med problem och risken för att det skall upptäckas är stor. Ett par alternativ står då till buds, endera utnyttja sårbarheter i produkter och dess programvaror som illasinnade hackers har för vana. Ett andra är att helt enkelt lura användaren att installera avlyssningsprogramvara. Det senare förutsätter någon form av undercoververksamhet som nog inte är förenlig med svensk rättstradition. Att någon med ont uppsåt är beredd att klicka på en länk i ett mail från Polisen är knappast troligt.

Att utnyttja sårbarheter för hemlig dataavläsning.

Stor del av de problem vi har med virus, trojanska hästar, "maskar" under samlingsnamnet "skadlig kod" (malware) beror på att de produkter vi använder har sårbarheter (buggar) som tillverkaren inte känner till vid leverans. Det pågår en ständig kamp och kapplöpning mellan de som söker sårbarheter som kan användas i onda syften och leverantörernas förmåga att rätta och distribuera rättningarna (patchar). I denna kamp finns också antivirusföretagen som tillverkar och säljer programvara för att bromsa spridning av och skadeverkning från skadlig kod.

Det finns en internationell marknad för handel med upptäckta men ännu inte allmänt kända sårbarheter som förmodligen omsätter stora belopp. Denna marknad är i huvudsak svart men ibland blir en grå verksamhet känd. På försommaren hackades det italienska "säkerhetsbolaget" Hacking Team som specialiserat sig på att sälja okända sårbarheter (Zero-day) till polis och underrättelsetjänster i många länder. Då även amerikanska myndigheter fanns på kundlistan så det är troligt att det är denna typ av företag som svensk polis behöver anlita för att köpa verktyg för "hemlig dataavläsning".

Ett ytterligare alternativ som förekommer, framförallt i USA, är att med lag tvinga IT-företag att medverka till att skapa produkter eller tjänster där myndigheter har bakdörrar för avlyssning alternativt att IT-företagen själva åläggs att selektivt eller brett avlyssna och leverera informationen till myndigheter.

Men Snowden-avslöjandena har gjort att IT-företagen har blivit ovilliga att medverka. De ser en internationell motvilja mot produkter som USA har avlyssningsmonopol på. De lägger in krypton i sina kommunikation för att försvåra avlyssning. De skapar som t.ex. Apple lösningar där det inte är möjligt att gå runt krypteringen, inte ens för Apple själva. Tjänsten iMessage är idag avlyssningssäker så länge ingen fysiskt har haft möjlighet att gå in i telefonen (iPhone) och detta är ett förhållningssätt som fler IT-företag håller på att ta efter.

För att svensk polis och andra myndigheter skall kunna genomföra "hemlig dataavläsning" där tekniken som skall avlyssnas i huvudsak är amerikansk krävs ett nära samarbete med USA och dess arbete med avlyssning. Motviljan hos konsumenter och andra kunder till att köpa utrustning med bakdörrar som i varje fall amerikanska myndigheter har tillgång till kommer nog att få IT-företagen att vara fortsatt motvilliga till detta.






2015-06-21

Har du makt? Har du fiender?

Informationskrigföring är nu en realitet. Det utövas av både politiska och ekonomiska skäl. Det kan vara en del av organiserad brottslighet, det kan också utövas av stater eller terroristorganisationer.
Gemensamt för dessa operationer är att de oftast angriper någons eller någon grupps trovärdighet genom att sprida falsk information eller illasinnade rykten.
Informationskrigföring är ett mycket billigt sätt att föra "krig" och möjligheten att spåra källan till angreppen kan vara begränsad. Vi kan därför förutse att detta sätt att utöva makt kommer att eskalera kraftfullt och att metoderna blir fulare.

Så har du makt, tänk igenom vilka anklagelser du skulle få svårt att värja mot.
Tänkbart är t.ex. att bli anklagad för eller påkommen med att syssla med barnpornografi.
Att plötsligt få besök av Polisen som gör husrannsakan, tar med din dator och anhåller dig. Att detta sedan följs av rubriker i media om att du är föremål för förundersökning om barnpornografibrott. Hur ser din framtid ut nu? Hur ser den ut om det dessutom hittas "bevis" på din dator och du kanske blir fälld för brottet?

Allt detta kan ske utan att du gjort något olagligt.
Det är som känt svårt att skydda sig mot datavirus och skadlig programkod. Det är dessutom i princip omöjligt om det är ett riktat, kvalificerat angrepp som någon är beredd att lägga lite pengar på. Det går att ta över din dator, plantera lämpliga bevis, radera spåren och därefter se till att Polisen och media får lämpliga tips. Därefter blir det svårt att hävda sin oskuld. Även om bevisen inte räcker för en fällande dom, ja att det rent av går att bevisa att du inte är skyldig så kommer du att vara skadad och dömd av många enligt uttrycket "ingen rök utan eld".

Kan man skydda sig mot detta? Helt är nog svårt men man kan göra så gott man kan. Konsekvent leva efter de råd om god datorhygien som finns. T.ex. använda starka lösenord, unika på varje tjänst, aldrig använda öppna wifi-nät, aldrig använda publika datorer (internetcaféer, bibliotek m.m.), aldrig klicka på mailade länkar även om de ser ut att komma från kända avsändare. Bara öppna väntade bilagor i mail. Inte låna ut den dator där du läser dina mail, inte ens till familjemedlemmar.
Sedan skall man vara förberedd på att den här typen av anklagelser kan komma och ha en genomtänkt strategi för hur dessa skall hanteras.