2020-10-27

Dags för en ny säkerhetsarkitektur?

Vi har nu under några dagar upplevt stora och allvarliga informationsläckage som förorsakar stor skada för  enskilda människor, företag och deras varumärken. Jag tänker nu på Gunneboläckan och Vastaamo-fallet

Skyddet av informationen har inte fungerat trots kännedom om de stora riskerna och att IT-säkerheten följt "best praxis". Vi kanske måste ompröva etablerade sanningar och säkerhetsarkitekturer. Kanske åter titta på hur de manuella processerna som fanns före "IT" fungerade och hur man kan återvinna deras styrkor.

"Information at Your Fingertips" var ett uttryck som Bill Gates, Microsoft använde flitigt under 1990-talet och beskrev intentionen att ha all information direkt tillgänglig som behövdes för att fatta beslut och kunna jobba effektivt.

Det som var en god intention på 90-talet är i stor utsträckning förverkligat genom att värdefull verksamhetsdata har samlats i stora centraliserade "skattkistor" i form av databaser som gjort informationen lättillgänglig för behöriga. Det verkliga värdet av "skattkistorna" är ofta okänt eller underskattat men uppenbart så högt att kontrollen över dessa avgör verksamhetens möjlighet till överlevnad.

För att skydda sin "skatt" har succesivt nya verktyg för detta skapats, inledningsvis fysisk skalskydd runt information och personal, senare mer och mer sofistikerade logiska skalskydd i form av brandväggar, behörighetssystem, intrångsdetektering o.s.v. Men ändock så drabbas högprofilerade verksamheter av informationsläckage, i bland så allvarliga som inledande exempel som i förlängningen kan vara döden för de utsatta verksamheterna. Dessutom ofta med allvarliga konsekvenser för oskyldiga människor och verksamheternas samarbetspartners. 

Skydden har inte räckt till och IT-säkerhet är en kamp med tiden och de som vill ta kontroll över informationen.

Att samla allt av värde i en "skattkista" har historiskt alltid varit förenat med hög risk. Så fort de varit kända har det alltid funnits de som vill stjäla den och ju större värde den uppskattas innehålla ju större har lockelsen varit. Men information har länge inte betraktas som speciellt utsatt för att det inte har ett materiellt värde vilket har gjort att informationssäkerhet har hanteras styvmoderligt.

Vad var bättre förr och som idag skulle minska riskerna för informationsläckage?

  1. Informationen var ofta spridd geografiskt och organisatoriskt och i stor utsträckning saknades kopior.
    1. Uthämtning av inforation var ofta manuell, man var tvungen att efterfråga specifik information där flera personer var inblandade i processen. Gav ofta oacceptabel tröghet och svårigheter att hitta rätt då indexeringen inte var speciellt omfattande. Men för någon utomstående så var det i det närmaste omöjligt att stjäla större mängder information.
    2. Objektorientering rådde även om uttrycket lanserades långt senare. En patientjournal rörde en patient och hade läkaren tillgång till denna så var det nog för vården. Däremot ett stort hinder för forskning då diagnoser, provsvar m.m. var inkapslade i journalen.
    3. Man visste att man hade orginalhandlingen när den var manuellt signerad.

  2. Behörighet var förr ofta informell men få, även högt upp i organisationerna hade direktaccess till arkiv. Ofta gick begäran om dokument till högt betrodda tjänstemän och arkivarier som förväntades larma om misstänkt missbruk. Att få ut dokument i någon större utsträckning tog mycket tid för kopiering eller fotografering. Risken för obehöriga att få tillgång till information var låg och ett läckage var ofta lätt att spåra till person(er).
Lösningen för att minska informationsläckage kan vara en arkitektur där informationen är spridd på många "skattkistor"/containers där nycklarna skiljer sig åt. Där nycklarna måste kvitteras ut och loggas inför varje access och att behörigheten är dynamisk, beroende på personenens roll, arbetstider, behov av tillgång till specifikt objekt m.m. D.v.s. mycket nytt tänkande behövs men bidrar det till en tröghet att få ut volymer av känslig information så kan det vara värt arbetet och kanske även ett mer tungarbetat system.