It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: byod

Varför är Bildts Gmail ett säkerhetsproblem?

I lördags gick Aftonbladet ut med nyheten att utrikesminister Carl Bildt använder en privat Gmail-adress för officiell kommunikation:

Enligt uppgift till Aftonbladet har Bildt uppmanat höga tjänstemän inom utrikesförvaltningen att kontakta honom på Gmail-adressen i stället för hans officiella via Utrikesdepartementet. Kommunikationssättet ska vara utbrett bland svenska ambassa­dörer trots att systemet är ifrågasatt.

– Gmail är inte säkert. Informationen ligger lagrad på servrar i andra länder. Det är ett amerikanskt företag som inte tvekar att lämna ut material till säkerhetstjänster, säger Joakim von Braun, it-säkerhetsexpert.

Flera källor uppger att Bildt föredrar att kommunicera via sin Ipad, men det har inte varit problemfritt.

Fotografi av Aftonbladets framsida

Både molntjänster och BYOD alltså? Hualigen.

Låt oss först och främst konstatera att säkerhetsproblemen med gmail.com i stort också gäller riksdagen.se (eller var hans formella mail nu ligger), den viktiga skillnaden är att man saknar kontroll över Gmail; det är svårt eller omöjligt för Riksdagens säkerhetsfolk att övervaka, kontrollera eller anpassa säkerheten hos Google.

Vilka säkerhetsproblem riskerar Bildt i praktiken?

Först och främst, (1) med tillgång till Bildts Gmail-konto kan man förstås läsa allt som har skickats och tagits emot. Enligt utsago så ska inget omfattas av sekretess och det kanske stämmer. Bildt är ju en rätt van politiker och har säkerligen koll på vad han skickar, frågan är om de som skickar mail till honom har det.

(2) Någon som får åtkomst till Bildts Gmail-konto kan utge sig för att vara honom, det kan förstås få oanade konsekvenser.

(3) Någon som får åtkomst till Bildts Gmail-konto kan ta bort de mail som har skickats och tagits emot eller varför inte, byta lösenord eller avsluta kontot? Så mycket för allmänna handlingar som kan vara offentliga.

(4) Dessutom, som Jocke nämner i artikeln, servrarna som Bildts mail bor i ägs av ett företag i ett annat land och kan därför bli tvungna att lämna ut åtkomst till myndigheter på ett eller annat sätt. Detta var aktuellt nyligen i samband med Petraeus-affären där en CIA-chef kommunicerade med en älskarinna via Gmail och kraftigt underskattade sina motståndares (FBI) kapacitet.

Faktum är att även om Bildt använder precis samma mailtjänst som ”vanliga” människor så är hans konto utsatt för större risk. Dels för att han är en offentlig person och därför har en större hotbild men också för att han är en offentlig person och därför har avsevärt svårare att lyckas med s k social authentication som är vanlig i sådana sammanhang. För självklart är det lättare att ta reda på svaret till den offentliga Bildts ”hemliga fråga” än hans okände namnes i Häggvik. (Ja, det finns en till Carl Bildt, Henric Robert Carl Bildt närmare bestämt.)

Uppdatering samma dag: Såg nu också att Bildt (på ett härligt bildtskt vis) har kommenterat saken på sin blogg. Tyvärr gör han det något amatörmässiga misstaget att likställa säkerhet med skydd mot att information läcker. Det är ju, enligt ovan, bara ett av problemen.

BYOD-säkerhet är en svår gränsdragning

På Skydd 2012 i förra veckan var jag med på en paneldebatt om bring your own device, BYOD. Tyvärr var panelen i princip överens om läget, vilket alltid är tråkigt vid debatter. Jag tänkte oavsett ge min bild av detta hype-omgärdade fenomen som till och med är viktigare än molnet. Vem kunde ha anat?

Det man läser i tidningar om BYOD tenderar vara ganska onyanserat. Ofta låter det som att alla är rörande överens om vad exakt BYOD är för något, frågan är om du har skrivit en säkerhetspolicy eller inte. Så är det inte, BYOD kan betyda vad som helst.

Låt oss börja med att konstatera att BYOD, oavsett vad man rimligen kan mena med det, kommer att sänka säkerhetsnivån. Men, det kanske är värt det.

Med det ur världen… Vad innebär BYOD? Som fan av akademiska, abstrakta definitioner skulle jag säga:

BYOD innebär att organisationen minskar sin kontroll över sina data och ökar användarens kontroll med förhoppningen att det är värt risken.

Minskad kontroll över data, sänkt säkerhetsnivå. Det viktiga är att inse att kontrollen och därmed säkerhetsnivån går att variera. Frågan är hur mycket du är beredd att sänka nivån och hur du avgör om du har sänkt den tillräckligt.

Det här är ju förstås frågor som är omöjliga att besvara entydigt, däremot kan det vara värt att fundera kring olika metoder att sänka sin säkerhetsnivå. (Ja, lite cyniskt uttryckt.) Låt till exempel personal…

  • skicka och ta emot mail på sin privata telefon,
  • koppla upp sig med vpn hemifrån med privat hemdator,
  • dela filer med Dropbox i projektgrupper,
  • använda usb-minnen för att överföra filer fritt eller varför inte
  • ta anteckningar på möten med EverNote på en privat iPad.

Du kanske tycker att den om Dropbox är att tänja på begreppet, jag tycker nog inte det, BYOD handlar inte så mycket om prylarna i sig, snarare om mjukvaran på dem. Jag skulle till exempel inte tycka att det ”räknades” om jag fick ha min egen device men var tvungen att flasha om den enligt arbetsgivarens direktiv. Jag vill ratta arbetsgivarens data med mina egna verktyg, om de sedan kommer på någon särskild hårdvara eller inte spelar ingen roll.

Bring your own tools eller BYOT, vore ett bättre begrepp.

Angående exemplen ovan: är det en stor risk att ha filer på Dropbox? Är det ett problem att hantera mail på privata telefoner? Egna datorer då? I stort rör det sig om två risker man utsätter sig för: (1) risken för dataläckor och (2) risken att de egna verktygen utgör en svaghet i organisationens försvar (läs: någon hackar den anställdes hemdator som har tillgång till företagsnätverket).

Det finns inget recept på hur man ska hantera BYODT, var man ska dra gränsen för säkerhetsnivån. Däremot finns bokstavligt talat hundratals artiklar som tar upp en massa punkter som är nyttiga att tänka på. Exempelvis de sju tips som CIO nämner.

Allt det här förutsätter naturligtvis att dina data är värda att skyddas. Om din verksamhet inte är känslig för dataläckor eller intrång i övrigt och det finns tydliga fördelar med att låta anställda använda sina egna verktyg har du förstås inget att oroa dig över, det är bara att åka.

Däremot, om dina data är skyddsvärda lutar jag dock åt att det är ett för stort risktagande just för att det är svårt att sätta en lagom nivå och avgöra om den är lagom. En okänd risknivå måste anses vara lika med en hög risknivå.

Förutom det som står i alla andra artiklar skulle jag:

  1. göra mig beredd på konsekvenserna av intrång till följd av BYOD-tavlor och
  2. ta tillvara på möjligheten att understryka den anställdes ansvar för de data de hanterar.

Den sistnämnda punkten blir förstås svår som Tomas Djurling påpekade under debatten. Man kan inte göra så mycket mer än att avskeda en person, möjligen i kombination med en rejäl avhyvling om man är lagd åt det hållet, om den har uppvisat grov oaktsamhet. Samtidigt handlar det ju faktiskt om ett givande och ett tagande, som Marcus Ehrstrand från McAfee så elegant uttryckte det under samma debatt.

Under ett sådant här inlägg kan man inte undvika att påpeka att många förmodligen kör med BYOD redan, utan att veta om det. Undersök saken. Om läget är så kan man antingen satsa på att stävja beteendet eller få upp det på bordet, lite som att legalisera spel (eller motsvarande).

Även om en okänd risknivå är att jämföra med en hög risknivå så måste det vara ännu värre att inte veta om att man har en okänd risknivå.