It-säkerhet enligt HPS

Stefan Pettersson på High Performance Systems skriver om säkerhet på svenska

Tagg: insider

Hacka lönedatabasen

Den som […] olovligen bereder sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändrar, utplånar, blockerar eller i register för in en sådan uppgift döms för dataintrång till böter eller fängelse i högst två år.

Så beskrivs ”hacking” av 4 kap. 9c § Brottsbalken. Den är en gammal sanning att poliser och sjukhuspersonal är överrepresenterade i brottsstatistiken över dataintrång. Det är dock inte för att de är särskitl l33t utan bara för att de har legitim tillgång till register över patienter och kriminella och bara får ta del av uppgifter som rör sina egna ärenden. Det är t ex många läkare som har tillgång till Micke Persbrandts journal men det är bara hans läkare som får ta del av den.

Det är skillnad på behörighet och befogenhet.

Ingen regel utan undantag dock, en sjuksköterska i Malmö har enligt utsago höjt sin egen lön.

Fråga 1: Hur gick det till? Helt utan belägg gissar jag att hon (ja det är en hon) har använt någons lösenord.

Fråga 2: Hur upptäcktes det? Artikeln säger att det upptäcktes i september 2011 och att intrånget skett någon gång mellan januari och september samma år. Jag gissar att det inte upptäcktes av en säkerhetsavdelning utan av en (1) löneadministratör/revisor, (2) chef eller (3) kollega.

Vi får helt enkelt vänta till att förundersökningens sekretess hävs.

Trevlig helg!

Annonser

Insider på svenska

Det engelska begreppet insider är svårt att översätta till svenska. Som tur är så har Svenska akademien uppvisat både snille och smak genom att ta upp ordet i SAOL. Se även två tidigare inlägg om insider-problematiken.

Insider i Svenska akademiens ordlista

Inkompetens ett större problem än ondska (del 2)

I förra delen lades ett påstående fram. Att man genom att skydda sig mot interna brottslingar automatiskt kan skydda sig mot inkompetens. Hur kommer det sig?

Som av en händelse blev ämnet på tapeten när landstingets granskning av hur sjukhusen i Skåne drabbades av Conficker i våras publicerades. CS skriver ”Slarv bakom virusangreppet i Skåne”:

Det står klart att dåligt uppdaterade Windowsdatorer bär en del av skulden till att den skadliga koden kunde sprida sig så snabbt och till så stora delar av sjukvårdens it-system. En säkerhetsuppdatering som Microsoft släppte i oktober 2008 saknades på minst 1 000 datorer. Just den säkerhetslucka som åtgärdas med uppdateringen är en av dem som masken Conficker utnyttjar för att infektera fler maskiner på nätverket.

Hur som helst, förra posten avslutades med följande påstående:

Skydd implementerade för att motverka elakingar motverkar generellt också klantar. Dock inte nödvändigtvis tvärtom.

Påståendet är lätt att ta till sig när man inser att elakingen kan välja att ignorera bestämmelser och försöka gå förbi skydd. En varningsskylt vid utgången som säger ”Du har väl inte känslig data med dig hem?” leder sannolikt till att färre råkar få med sig data hem. (Givetvis gäller detta bara fram till att alla har vant sig vid skylten och inte ser den längre eller slutar bry sig för att det uppfattas som en dum regel.) Samma sak gäller för bensinmackar på landet som lånar ut toalettnyckeln på en nyckelring i form av en 30 cm lång två-tum-fyra så att den inte ska glömmas kvar i fickan.

Man behöver inte ens gå in på i vilken utsträckning skylten och nyckelringen hindrar elakingar…

(Här skulle man kunna dra en tydlig parallell till säkerhetskontroller som är implementerade på klientsidan. Vi skippar det.)

Vad kan göra för att skydda sig mot elakingar på riktigt då? Och, framför allt, påverkar det samtidigt klantarna? (Detta är inte nödvändigtvis en uttömmande lista.)

Minimera möjligheter till insiderbrott:

  1. Betro bara personer du tror att du kan lita på.
  2. Betro så få personer som möjligt.
  3. Betro varje person så lite som möjligt.
  4. Tillse att personer har överlappande ansvar.
  5. Betala betrodda personer väl.
  6. Straffa brott mot förtroendet och var öppen med det.

(Punkterna ovan är inspirerade av tankar från Bruce Schneier och Ross Anderson, något anpassad för svenska förhållanden.)

Det är självklart att ovanstående är riktat mot eventuella elakingar men hur påverkar det klantarna?

(1) På samma sätt som du känner att du kan lita på att grannen inte stjäl din post när hon vattnar dina blommor under semestern kan du eventuellt också lita på att hon inte glömmer att låsa dörren efter sig. En semestervattnare bör ha båda kvaliteter. Om du inte har en egen uppfattning kan du exempelvis kontrollera med andra grannar som du litar på vad de har för uppfattning (jfr bakgrundskontroll).

(2) Ju färre som har tillgång till känslig information, desto färre kan sprida den av misstag.

(3) Ju mindre information som är tillgänglig för personen, desto mindre värde kan förloras.

(4) Här avses överlappande ansvar som att det krävs två eller fler personer för att genomföra något, även att klanta sig. På samma sätt som två semestervattnare kan kontrollera varandra så att de inte stjäl posten kan de påminna varandra om att stänga balkongen efter sig.

(5 och 6) Båda handlar om att ge personen mer att förlora, det kommer naturligt att personer aktivt undviker detta. Dessa två är förmodligen de som är minst effektiva mot klantarna.

Där har ni det. Huruvida man borde öppet, straffa systemadministratörer som inte patchar 1 000 Windowsdatorer mot ett nästan två månader gammalt säkerhetshål som är lätt att utnyttja är dock en helt annan fråga.

Inkompetens ett större problem än ondska (del 1)

(Publicerad 2009-08-26)

RSA har beställt en undersökning från IDC som tittar på insiderbrott. Resultaten är inte överraskande men intressanta.

BBC och The Register har artiklar om rapporten. Det mest intressanta resultatet är att 52 % av de incidenter ett företags egen personal står för beror på misstag medan endast 19 % görs med avsikt. (Ingen av artiklarna nämner de återstående procenten och originalrapporten står ej att finna.) Det här förstås smaskens. Än en gång (se Verizons 2009 Data Breach Investigations Report) visar det sig att insiderbrott inte är så vanligt som det sägs.

Resultatet är ganska lätt att acceptera; hur många på din avdelning tror du är kapabla (för någon definition på kapabla) till att stjäla känslig information och sprida jämfört med att sumpa ett USB-minne med samma data på tunnelbanan?

Det är ett vanligt misstag att överdriva sensationella hot (en rysk spion på säljavdelningen) och bagatellisera alldagliga (en slarvpelle på ekonomiavdelningen). Därför är det bra att problemet lyfts.

Så, hur skyddar man sig mot sina kollegor? Om vi delar in alla kollegor i två kategorier; elaka kollegor och klantiga kollegor. De flesta av oss kommer att (som tur är) tilldelas epitetet klantig. Ett intressant förhållande råder mellan elakingar och klantar:

Skydd implementerade för att motverka elakingar motverkar generellt också klantar. Dock inte nödvändigtvis tvärtom.

Jag tänkte återkomma till hur detta kommer sig i en senare post eftersom att jag har lovat mig själv att skriva kortare inlägg…

Avslutningsvis skriver The Register i artikeln:

IDC concludes that organisations ought to apply a comprehensive risk management-based approach to information security, rather than firefighting security problems.

Nähä?

(Se nästa del.)


Stefan Pettersson