IT-säkerhet på vardagsspråk

Den här texten riktar sig till journalister, politiker och andra intresserade som vill få en första ingång till resonemang om IT-säkerhet. Texten är på inget sätt en fullständig utredning av olika säkerhetshot som kan finnas i en organisation och hur dessa kan mitigeras utan en förenklad introduktion till ämnet. Jag kommer inledningsvis att använda ett mejlsystem som exempel, men tanken är att exemplet ska vara tillämpligt på andra IT-system också. 

Texten består av tre delar:

Del 1: Säkerhetshot som innefattar att data/information hamnar i fel händer.

Del 2: Säkerhetshot som innefattar att data/information försvinner.

Del 3: Säkerhet, information och outsourcing

Texten har CC märkning BYNCSA. Den som är intresserad får gärna arbeta vidare med texten.

Del 1: Säkerhetshot som innefattar att data/information hamnar i fel händer

Säkerhet och tillgänglighet

Det första jag fick lära mig om säkerhet var att tillgänglighet är motsatsen till säkerhet. Detta kan enkelt exemplifierat med frågan om var du borde förvara din bilnyckel för att dessa ska vara säkra. Om din bilnyckel sitter i bilen är den tillgänglig, och osäker. Om din bilnyckel ligger nedgrävd i en burk under ett förråd på grannens tomt är den otillgänglig men väldigt säker. Därför är en av de första diskussionerna som bör föras ifråga om säkerhet vilken information som är tillgänglig för vem och vilken information som bör vara tillgänglig för vem.

Dessa två frågor är en bra ingång till frågan om IT-säkerhet. Om vi börjar med perspektivet att information ska säkras mot hot om att data och information potentiellt kan hamna i fel händer är det bra att börja med frågan om vem som har tillgång till vilken information och vad detta i sin tur innebär.

Det finns ytterligare två säkerhetsaspekter förutom tillgänglighet, konfidentialitet samt riktighet. Båda dessa säkerhetsaspekter diskuteras i det här dokumentet tillsammans med tillgänglighet.

Säkerhet och roller

När det gäller digital information som finns i ett IT-system kan vi börja med att dela in människorna i organisationen i två kategorier, användare och administratörer. Användarna brukar vara de som arbetar i verksamheten i en organisation, exempelvis en lärare, ett butiksbiträde, en polis eller en byråkrat. Administratörer arbetar på IT-avdelningen och en administratör kan vara administratör i ett eller flera IT-system. En person som administrerar mejlsystemet i en organisation kanske inte samtidigt administrerar inköpssystemet och vice versa. Beroende på storlek på organisation och IT-avdelning är alltså alla på IT inte automatiskt administratörer i alla IT-system.

Nu har vi delat in verksamma i en organisation i två roller i relation till IT-systemen inom verksamheten. Nästa steg är att dela upp IT-systemen i tre delar (kan vara flera men för enkelhetens skulle håller vi oss till tre delar). Om vi tar exempelvis systemet du använder när du skickar mejl, så kallas det för ett mejlsystem och när du skickar och tar emot mejl använder du dig av en mejlapplikation. Det finns flera leverantörer av mejlsystem, av volymskäl kommer jag använda Microsoft Outlook som exempel. När du öppnar upp Outlook, är det din mejlklient som är en del av mejlsystemet som du öppnar. Din mejlklient är i sin tur kopplad till en mejlserver, som i sin tur är kopplad till en mejldatabas. I din mejlklient ser du information i ett antal förutbestämda fält. Den centrala funktionen är att du får veta om du fått några mejl, när det mejlet kom, vem det är ifrån och vad som står i mejlets ämnesrad. Den informationen som du ser är hämtad ifrån mejldatabasen via mejlservern. Mejldatabasen lagrar alla mejl som skickats och mottagits för alla i en organisation som fått en mejladress och en digital brevlåda. Mejlsystemets tre delar är alltså din mejlklient, mejlservern samt mejldatabasen.

Nu ska vi återkomma till det där med användare och administratörer. Du som användare använder din mejlklient för att titta på en liten del av den informationsmängd som finns i mejldatabasen som är avsedd att vara tillgänglig för dig. Du kan ju söka i dina skickade och inkomna mejl och administrera dina egen adressbok tex. Den eller de personer som innehar administratörsrollen i mejlsystemet hanterar mejlservern och mejldatabasen (och din mejlklient). Den som är administratör kan således få ut en större mängd information om alla mejl som går ut och in från organisationens mejlserver. Administratören har möjligheten att ta sig rättigheten att läsa allas mejl, även om detta är förknippat med en del om och men.

Med detta i bagaget ska vi nu gå vidare till säkerhetsdiskussionen. Det finns två olika roller att ha i åtanke, användare och administratörer, och dessa två roller har tillgång till olika mängder med digital information i ett system hos en organisation. Om någon skulle få tag på exempelvis statsministerns användaruppgifter; användarnamn och lösenord, skulle den personen alltså kunna läsa enbart statsministerns mejl, eftersom att hen bara är användare i mejlsystemet. Ponera att någon med ont uppsåt istället skulle vilja komma åt alla mejl som skickats till någon i regeringen. Denna person skulle då behöva administratörsåtkomst till mejlsystemet och dess mejldatabas. Nu börjar vi komma någonstans – vi har förstått att säkerhetsmässigt är administratörsrollen viktigare än användaren.

Säkerhetshot

Administratörsrollen

Så låt oss gå vidare till att precisera hur säkerhetshoten ser ut i relation till en It-tekniker som har en administratörsroll i ett system.

Risk ett – okunskap och misstag

Den första säkerhetsrisken som kan vara värd att adressera är kunskapsfrågan. För att ett mejlsystem ska vara säkert behöver de som administrerar det kunskap om hur detta ska göras och hur detta ska göras på ett säkert sätt. Annars finns en risk att digital information blir tillgänglig för utomstående av misstag. En minst lika stor risk ligger i att administratören gör misstag till följd av tids- eller resursbrist. Alla dessa faktorer härleds mer eller mindre tillbaka till organisationen och vilka förutsättningar den ger IT-avdelningen och dess anställda.

Risk två – illvilja

Den andra säkerhetsrisken som blir aktuell när det gäller administratörer är makten som rollen ger dem och hur de eventuellt väljer att hantera den. En person med administratörsrättigheter kan av olika anledningar ha eller få ont uppsåt mot någon i den egna organisationen eller den egna organisationen som helhet och helt enkelt använda tillgången på information som hen har med ont uppsåt.

Risk tre – yttre påverkan

Den tredje säkerhetsrisken är att en person med administratörsrättigheter helt enkelt blir lurad eller hotad till att lämna ifrån sig tillgång till systemet. Detta kan givetvis göras på lite olika vis.

Tänk dig att du är IT-tekniker med ansvar för ett mejlsystem på ett coolt teknikbolag som sitter centralt i Stockholm. På fredagarna brukar du och några kollegor och kompisar hänga kvar på jobbet och spela lite Fifa och CC innan ni går ut. En fredag har en kompis med sig en bekant. Den bekanta visar sig vara en skön lirare från Nya Zeeland. Alla pratar engelska hela kvällen och du är lite avis på nya zeeländarens dialekt. Precis innan ni ska gå vidare kommer nya zeeländaren på att han glömt sin mobil på sitt kontor och skulle behöva kolla upp numret till en tjej han träffa förra helgen. Han frågar om han får låna din dator en minut för att kolla lite grejer. Du kanske låna ut datorn, du kanske låter bli. Han kanske försöker kompromettera er IT-miljö. Han kanske inte gör det.

Den som är nyfiken på andra typer av hot av den här typen kan läsa mer om ’social engineering’ som det kallas på engelska.

Systemet

Systemet i sig kan också bedömas utifrån ett säkerhetsperspektiv. Jag tänkte ta upp tre parametrar som alla mer eller mindre också samverkar med administratörsrollen.

Risk ett – fysisk tillgänglighet

När du öppnar upp din mejlklient och läser dina mejl betyder inte det att hela din brevlåda finns lagrad på din dator. Din mejlklient visar upp information för dig som du bett din klient hämta i mejldatabasen. Mejlservern och mejldatabasen ligger på en server. Här är språket inte så tydligt direkt. Mejlservern och mejldatabasen som är en mjukvara, ligger på en server som är hårdvara. Med andra ord kan man säga att organisationens mejl i slutändan ligger på en burk någonstans. Detta faktum får ett antal konsekvenser. För det första måste den fysiska hårdvaran som innehåller mejlservern och mejldatabasen skyddas från att antingen flyttas/hämtas från den plats där den finns och även från ett intrång på plats. Detta brukar hanteras med bland annat flera lager av skalskydd; inpasseringskort, låsta rum, otillgängliga våningar osv.

Risk två – Ålder och version

När det gäller IT-system är ålder och version (förhoppningsvis) tämligen synonyma. På ett sätt kan man säga, ju yngre system desto bättre. Det är en förenkling som nog upprör en del men det finns lite sanning i det. När ett IT-system, mjukvara, blir tillgängligt på marknaden börjar det genast utsättas för olika typer av medvetna och omedvetna säkerhetsutmaningar. Ibland upptäcks säkerhetsproblem som då åtgärdas av leverantören som säljer mjukvaran. Dessa åtgärder kan vara i form av ’patchar’, på svenska ofta kallat säkerhetsuppdateringar. Åtgärderna kan också vara en del av helt nya versioner av mjukvaran. Om IT-system är väldigt gamla kan det innebära att många säkerhetsproblem upptäckts, att leverantören slutat komma med åtgärder till säkerhetsproblem samt att tekniken som används blivit föråldrad och lättare att kompromettera än nyare mjukvara. Ny, ung och väluppdaterad mjukvara är alltså i många fall att föredra. Gammal mjukvara som säkerhetsrisk är ofta väldigt starkt knutet till ekonomiska förutsättningar i organisationen och ibland graden av förändringsbenägenhet hos IT-personalen.

Risk tre – mjukvara och leverantör

Om det är någonstans som det finns starka åsikter inom IT-branschen så är det inom leverantörsområdet. Vilken leverantör som uppfattas hålla hög kvalitet och vilken leverantör som uppfattas hålla lägre kvalitet. Jag ska kort nämna skillnaden mellan det som kallas egenutvecklad mjukvara respektive färdigpaketerad mjukvara. För att förstå skillnaden mellan dessa två typer utav mjukvara och varför skillnaden är viktig kommer jag först förklara med hjälp av en metafor.

För den som är intresserad av att köpa ett hus till sin nyköpta tomt finns ett antal alternativ. Ett vanligt alternativ är att köpa ett modulhus. Flera leverantörer erbjuder ett antal modeller av nyckelfärdiga hus. Om du köper ett sådant hus får du ett hus som många andra har. Det betyder att det utsätts för påfrestningar av många, om gångjärnen till dörren är av dålig kvalitét kommer det upptäckas snabbt, av både vän och fiende. Om du istället väljer att köpa ett arkitektritat hus så kommer du ha ett unikt hus, där bara du själv kan upptäcka eventuella brister. Båda dessa huslösningar har givetvis sina för- respektive nackdelar. Modulhus kan liknas vid färdigpaketerad mjukvara och arkitektritade hus kan liknas vid egenutvecklad mjukvara.

Just när det gäller mejlsystem är det idag extremt ovanligt med egenutvecklade system. Däremot är det förhållandevis vanligt med en blandning av färdigpaketerad mjukvara som också till viss mån vidareutvecklats när det gäller andra typer av program – modulhus med egensnickrade påbyggnader alltså. Det går att föra diskussionen om säkerhet hos färdigpaketerade respektive egenutvecklad mjukvara oerhört långt. Som sammanfattning vill jag bara säga att man bör vara medveten om att egenutvecklade lösningar ställer större krav på organisationen som har dessa i bruk och därför bör du i en diskussion om säkerhet veta om vilken typ av mjukvara det handlar om. Av säkerhetsskäl kommer du dock osannolikt att få veta det som utomstående.

I del två kommer jag att gå vidare och berätta mer om säkerhetsrisker som är förknippade med dataförlust.

Del 2: Säkerhetshot som innefattar att data/information försvinner

I del ett skrev jag att det första jag fick lära mig om säkerhet var att tillgänglighet är motsatsen till säkerhet. Hela framställningen i del ett byggde på utgångspunkten i att det finns ett hot om att en organisations information kan hamna i fel händer. Det finns en annan aspekt av säkerhet som också kräver säkerhetshänsyn – risker knutna till att förlora data.

För att en organisation ska fungera krävs det dels att respektive anställd har tillgång till den information som hen behöver för att kunna göra sitt jobb och dels att den information som behövs är tillgänglig för att hela verksamheten ska kunna utföra de förehavanden som är verksamhetens uppgift och kärnverksamhet. Ett annat hot mot en organisation är alltså att data/information försvinner.  För att förstå varför både hot om information i fel händer och hot om förlust av information är relevant kan man exempelvis tänka på polisens brottsregister. Det skulle vara katastrofalt om detta hamnade i fel händer, tillika om det helt sonika försvann. Samma sak gäller för information inom svenskt näringsliv. Tänk att Saab Aerospace information hamnade i fel händer alternativt försvann – katastrofalt i båda fallen.

Användare och administratörer

När det gäller användare och administratörer är det inbördes förhållandet dessa emellan ungefär det samma vad gäller säkerhetsrisk i fråga om potentiell dataförlust. I normalfallet kan en enskild användare ta bort en liten mängd information och en administratör kan i normalfallet ta bort en betydligt större mängd information. Det som är det mest intressanta kring risken med dataförlust är systemaspekten och hur det lite senare hänger samman med outsourcingdiskussionen.

System

Åtkomst

För att minimera risken att data försvinner eller inte blir tillgänglig och då hindrar verksamheten från att fungera finns ett antal åtgärder som kan tillämpas. Ni minns att jag skrev att data i slutändan finns på en fysisk datormaskin någonstans. Ett första alternativ som finns för att minska risken för otillgänglig information är att lagra dubbletter av informationen på en och samma maskin. Om det handlar om en lite större organisation där tillgängligheten på information är av yttersta vikt brukar större åtgärder vidtas.

Ett annat sätt att minska risken för oåtkomlig information är att ha samma information på två olika maskiner. Dessa två maskiner vill man dessutom gärna placera på två skilda geografiska lokationer. Anledningarna till att ha två kopior av samma information på två skilda geografiska platser är flera.  För det första säkras maskinerna och informationen upp mot eventuell fysisk åsamkande, så som brandskador, vattenskador, värmeskador, eller inbrott. För det andra är det vanligt att den digitala kontakten, alltså nätverkskontakten med dessa två separata platser sker via två separata internetlinor. Den dagliga verksamheten säkras alltså även upp mot eventuella störningar hos internetleverantörer.

Att säkra tillgängligheten på information kallas bland annat för att skapa redundans i systemet. I förklaringen ovan använder jag ord som kopia och dubblett. Dessa ord förekommer i det tekniska språket men ett vanligare uttryck för det som beskrivs ovan är spegling eller att spegla.

På nittiotalet vet jag att en del svenska företag hade egna speglade datahallar, alltså att det hade två kopior av alla (eller en delmängd) datormaskiner på IT-avdelningen på två platser. Det förekommer fortfarande inom vissa branscher men jag gissar att det är ovanligare idag på grund av flera saker som jag kommer återkomma till i delen om outsourcing.

Återställning

Åtgärderna som jag diskuterat ovan handlar om att säkra tillgängligheten på information, en annan nära besläktad säkerhetsaspekt som också behöver hanteras är möjligheten till att återställa förlorad information.

För att skapa säkrare tillgång till information har vi infört redundans. Eventuella problem med information kommer dock att fortplanta sig i en speglad miljö. Data som kanske tas bort av misstag på en lagringsplats kommer samtidigt att tas bort på den andra lagringsplatsen. Spegling säkrar alltså att information är identisk på två platser samtidigt. Men för att säkra att information fortsätter att vara tillgänglig om informationen komprometteras på något vis behöver vi också säkerställa att det finns en tredje kopia av informationen, en säkerhetskopia. Säkerhetskopior av information brukar tas i intervaller, hur ofta beslutas i slutändan utifrån en sammanvägning av risker och värdet på informationen. Olika typer av information kan alltså hanteras på olika vis i en organisation. I praktiken är säkerhetskopiering och återställning svårt, lite beroende på vilket system och vilken information det handlar om.

När det gäller exempelvis mejlsystem så är arbetar en del av dem i dag med generationer av information. När information plockas bort så plockas den inte bort. Den lagras som en äldre version av informationen och det som du har tillgång till är den senaste generationen av information. Olika generationer av information lagras sedan på olika vis beroende på version. Allt för att säkerställa att det är möjligt att återställa en tidigare version av information om problem skulle uppstå.

I nästa del kommer jag att fördjupa diskussionen om olika typer av information och data och försöka knyta detta till olika sätt att se på outsourcing.