Den svagaste länken avgör din säkerhet

”Kan någon ta över identiteten på ett ställe är det lätt att komma vidare”, skriver Åsa Schwarz.

Publicerad: 2012-08-17 03:00, i Computer Sweden

Journalisten Mat Honan blev tokhackad. Hans Iphone, Ipad och Macbook var helt raderade. Någon annan twittrade rasistiska åsikter i hans namn och googlekontot var borta. Angreppet hade främst gjorts genom social engineering och visade på brister i flera datorjättars rutiner. Han beskriver själv hur alla foton på hans dotters första levnadsår var försvunna. Det är en personlig tragedi men jag skulle vilja lyfta problematiken ur ett företags synvinkel.

Vad Mat Honan inte beskriver är hur hans källor riskerade att bli komprometterade eller hur hans anseende som journalist var i fara. Vem vill avslöja saker till en person som inte kan hålla dem hemliga?

Det samma gäller de flesta företag. Våra kunder måste lita på att vi hanterar deras information på ett säkert sätt och att vi inte blir hindrade av att hela vår tekniska plattform blir raderad.

Hacket belyser också ett antal trender. Den första är att våra digitala identiteter är beroende av ett antal dominerande amerikanska företag. Anledningen till att jag poängterar att Twitter, Amazon och Apple är amerikanska är att USA inte har samma syn på relationen mellan personlig integritet, företag och nationens intressen som vi är vana vid i Sverige. Det kunde vi se i Wikileakshärvan då ett antal amerikanska företag hjälpte USAs regering att snabbt strypa både datorkraft och finansiering.

En annan trend är att våra digitala identiteter börjar bli allt mer gränslösa. Eftersom de skapas av en kedja av företag är det den svagaste länken som sätter nivån på säkerheten. Kan någon ta över identiteten på ett ställe är det lätt att komma vidare.

En tredje trend är att gränsen mellan digitalt privatliv och livet som anställd suddas ut allt mer. Både tekniskt och socialt. Det pågår allt fler diskussioner om att släppa in privat utrusning i företagens nät. Jag är även övertygad om att ett stort antal Iphones, Ipads och Macar säkerhetskopieras i Icloud utan att företagsledningen reflekterar över det. Bara mejlen i dem måste motsvara oändliga mängder känslig information.

Sammanfattningsvis är säkerheten hos många svenska företag på samma nivå som den svagaste länken i de anställdas digitala identitet. Företagets anseende kan sitta i händerna på en supportkille på Amazon. Sedan kan vi konstatera att om Sverige och USA någon gång kom i digitalt trubbel är vi rökta. De äger oss. Men den diskussionen hör hemma i en thriller.

Däremot ska vi inte glömma de positiva sidorna med utvecklingen. Tillgängligheten är mycket högre i dag än för tio år sedan. Säkerheten blir oftast bättre i molnet än om datorerna skulle stå i hemmet eller i företagens datorhallar.

Jag säger därför inte att du ska vara paranoid. Det viktiga är att du vet risken och ser sambanden. Sedan är det upp till dig om du vill ta den eller inte.

Oj, jag skickade mailet till fel adress.

”Börja med att förutsätta att mejlsystemet är affärskritiskt Och se till att verksamheten fattar beslut om vilka upptider som är rimliga.”, skriver Åsa Schwarz.

Publicerad: 2012-05-25 03:00, i Computer Sweden.

Jag blev iskall i magen. Hjärtat slog ett extra slag. Jag var tvungen att läsa mottagaren till mejlet en extra gång. Det var fel adress. Jag ville sjunka genom marken. Jag hade skickat ett brev där jag skrev hur tråkigt mitt jobb var till chefen i stället för till sambon. De hade samma förnamn.

Känner du igen det där? Det behöver inte vara till chefen, det kan lika gärna vara affärshemligheter till en konkurrent eller kärleksbrev till fel kollega. När jag har analyserat säkerhetsproblem med mejlsystem så är den vanligaste incidenten att brev kommer fel när användaren varit för snabb och valt fel mottagare.

Ett annat problem är att mejl oftast skickas i klartext vilket gör att vem som helst som fångar upp trafiken kan läsa mejlet. Detsamma gäller om någon stulit eller hackat sig in på en dator där det finns en mejlklient. Allt går att läsa. Det är dessutom lätt att fejka avsändaradressen och därmed hela innehållet. Sammanfattningsvis så är majoriteten av mejlsystem inte säkra.

Det konstiga är att många företag fortfarandeenvist anser att mejlsystemet inte är affärskritiskt. Jag hävdar att de har fel. Under det senaste tio åren har vi ändrat vårt sätt att arbeta. I många företag skickas nästan all information någon gång via mejlsystemet. Samtidigt blir vi allt mer mobila och får mejl i telefoner och surfplattor. De flesta människor har någon gång blivit av med sin mobiltelefon.

Det finns två vägar att gå för att minska risken. Den ena är att skaffa ett nytt system eller uppgradera det befintliga så att det har funktioner för kryptering och signering. Det är lätt och relativt billigt. Problemet är att det även måste finnas en struktur för hantering av krypteringsnycklar, inte bara internt utan även med samarbetspartner. Det är inte alls lika lätt och det är där projektet ofta strandar.

Den andra vägen är vara pragmatisk. Börja med att förutsätta att mejlsystemet är affärskritiskt och se till att verksamheten fattar beslut om vilka upptider som är rimliga. Utifrån det är det lätt att arbeta med tillgänglighetsfrågor som elförsörjning, internetleverantörer och säkerhetskopiering.

Se därefter över klientsidan, speciellt den mobila. Det viktiga är att se på telefoner på samma sätt som datorer. De ska levereras till användarna med fördefinierade säkerhetsinställningar. Allt annat är dömt att misslyckas. Det ska finnas regler för uppdateringar, brandvägg, antivirus och kryptering . Lösenord och automatisk utloggning ska vara obligatoriskt.

Nyckeln är att ifrågasätta hur mycket information som behöver ligga på klienterna. Ibland räcker det med dagens mejl utan bilagor. Då minskar risken betydligt.

Slutligen ska mejlen användas med sunt förnuft. Det är lättare sagt än gjort. Det finns minst en som saknar det i alla större organisationer.

Läckande myndigheter gör skyddad identitet till papperskonstruktion

Åsa Schwarz om det bristande skyddet för hotade personer.

Publicerad 19 december, 2012 – 06:01, SVT Debatt

TRYGGHET 12 500 personer har skyddad identitet i Sverige. Men hundratusentals myndighetsanställda har tillgång till uppgifterna, och misstag sker alltför ofta i hanteringen. Gemensamma nationella riktlinjer för skyddade personuppgifter behövs därför omgående. I dag är ”skyddet” ofta bara en falsk trygghet, skriver Åsa Schwarz, författare och it-säkerhetsexpert.

I dag finns runt 12 500 personer med vad som slarvigt brukar benämnas som skyddad identitet i Sverige. En tredjedel av dem är barn och antalet växer. Men namnet inger falsk trygghet.

Skyddet är ofta bristfälligt.

Skatteverket godkänner om en person kan få skyddade personuppgifter. Det finns olika nivåer av skydd. Det vanligaste är att ett litet kryss blir ifyllt som anger att uppgifterna bör skyddas. Oftast är det adressen som är känsligast. Sedan synkas registret kontinuerligt med minst tretton andra myndigheter, samt kommuner och landsting. Det innebär att hundratusentals anställda kan få tillgång till uppgifterna – spridningen är enorm.

Vad är sannolikheten att någon av dem är ett rötägg? Det vet Kerstin, som fick tänderna utslagna efter att hennes före detta sambo fått tillgång till hennes journal och adress.

Samtidigt finns inga gemensamma riktlinjer för vare sig it-system eller övrig hantering. Varje organisation får uppfinna hjulet igen. Om det nu görs. Desto fler personer som har tillgång till uppgifterna, desto större är risken för ett misstag. Allt för många patienter har fått sina namn upplästa i väntsalen, trots att de har skyddade uppgifter.

Även om man har det något högre skyddet som kallas kvarskrivning, är problemen stora. Barn måste kunna gå i förskola och skola. Studenter måste kunna få studielån. Alla måste kunna få sjukvård och hämta ut mediciner. För att inte tala om att arbeta, hyra en bostad eller ha ett abonnemang. Fortfarande finns det inga nationella riktlinjer. Okunskapen är stor och tekniken brister så mycket att det oftast är säkrast att inte registrera något i datorsystem alls.

Undervisning och information kryper ut på internet och i de sociala medierna. Men det finns barn och vuxna vars fotografier och namn aldrig får cirkulera där. Det händer tyvärr allt för ofta av misstag. Även om ett barn utesluts från ett klassfoto kan det säga mer än om det finns kvar.

Vad vi ser här är ett systemfel. Vid arbete med säkerhetsfrågor är det viktigt att analysera hela kedjan. Alla delarna i ett informationsflöde måste vara skyddat, annars  faller hela arbetet. Att stifta lagar och sedan hänvisa till att alla ska följa dem fungerar inte.

De största problemen uppstår när information passerar mellan olika organisationer. Som till exempel förSusan och hennes tre söner, som lever under kidnappningshot. De tvingades flytta när ett av barnen ansökte till gymnasiet och betygen skrevs in i en databas.

Frågan är vad Beatrice Ask tänker göra för utsatta människor verkligen får det skydd som de behöver? Det behövs, precis som Barnombudsmannen nyligen påpekade i rapporten Oskyddad, gemensamma natioenlla riktlinjer för skyddade personuppgifter i Sverige. De borde ha målgrupper som skola, vård, företag och myndigheter och säkerställa att uppgifterna även skyddas över organisationsgränserna.

Att peka på varje myndighet separat håller inte längre. Samma säkra rutiner ska gälla när en person med skyddad identitet söker vård i Stockholm som i Umeå. Samma krav ska finnas för it-system som hanterar uppgifterna. Utmaningen är att göra det lätt och enkelt. Alla måste kunna förstå.

Men det svåra är inte att skriva riktlinjer – det svåra är att se till att skyddet verkningen införs och följs upp. Någon måste ha ansvar för helheten för att de ska gå. Sist men inte måste arbetet gå fort. Lösningen borde ha funnits redan för tio år sedan.

Åsa Schwarz, författare och konsult inom it-säkerhe