Informationssäkerhet för offentlig sektor – 21-22 augusti 2012

Hi5Blog, News

Hi5:s specialist på informationssäkerhet, Tommy Rampling, deltog nyligen på denna intressanta konferens och rapporterar nedan om sina intryck och lärdomar.

Konferensen arrangerades av Myndigheten för samhällsskydd och beredskap, Post- och telestyrelsen, Försvarets materielverk, Försvarets radioanstalt, Rikspolisstyrelsen/SÄPO samt Försvarsmakten. Det var över 400 personer från kommuner, landsting och olika myndigheter som deltog. Det var flera intressanta föredrag från olika delar inom området informationssäkerhet.

Att jobba med informationssäkerhetsfrågor är i stort samma utmaning som det alltid varit. Målet är skydda skyddsvärd information så att den inte kommer i orätta händer, förstörs eller inte kan nås inom en rimlig tid. Det finns många olika definitioner på vad informationssäkerhet är och det här är nog den kortaste jag sett hittills:

Rätt information till rätt person i rätt tid och med hög rättssäkerhet.

Det handlar alltså om följande:

  • Endast behöriga skall komma åt informationen.  (Konfidentiellt/sekretess)
  • Att information inte ändras eller tas bort av obehöriga (Riktighet)
  • Behöriga användare har tillgång till de resurser de är behöriga till i rätt och omfattning.  (Tillgänglighet)
  • Kunna se vem som skapat, ändra, tagit bort information ( spårbarhet)

Det som är nytt idag är att användning av olika typer av mobila enheter som smartphones och olika läsplattor ökar väldigt mycket och många tänker inte på att hantera informationen på ett säkert sätt. Det är lätt att tappa en mobiltelefon eller ett USB-minne som då kan innehålla känslig information. Idag kan vi nå mycket information via våra mobiltelefoner och här finns en del att tänka på. Exempelvis hittat Stockholm Taxi ca 25 mobiltelefoner i veckan i sina bilar.

Man kan lätt bli skärrad när man lyssnar på FRA:s demonstration om hur enkelt det är att avlyssna datatrafik och att det på nätet säljs produkter som direkt kan användas för att komma över andras information.

I det anförande som IT- och energiminister Anna-Karin Hatt höll så började hon med att räkna upp vad det kostade att köpa tjänster för att komma åt de säkerhetshål som ännu inte täpps till av olika leverantörer. http://www.youtube.com/watch?v=azZ24oORDR0&feature=youtu.be

Hitta rätt nivå och tänk på den mänskliga faktorn!

Utmaningen är att hitta rätt säkerhetsnivå för sin egen verksamhet. Verksamheten måste själv ta ställning till vilken säkerhetsnivå man behöver. Då är det viktigt att ha klart för sig vilka resurser man har och vad som skall skyddas så att man verkligen skyddar de delar som är viktiga att skydda. En fråga man kan ställa sig är hur mycket resurser en angripare vill satsa för att komma åt, ändra eller förstöra information. När man väl bestämt sig och insett vad som behöver skyddas så är det dags att se över de åtgärder man behöver genomföra. Det gäller att hitta en rimlig nivå på sitt skydd.

I de flesta fall så räcker det långt med att se till att man med hjälp av bra lösenord, uppdaterade programvaror och virusskydd skyddar sin information. Även om det finns en hel del tekniska och administrativa lösningar så är det ändå alltid du och jag som användare som är den svagaste länken i säkerhetskedjan. Därför är det viktigt att vi alla förstår att det är viktigt att hanterar information på ett säkert sätt. Det kommer trots allt att inträffa incidenter och då är det viktigt att vi har bra rutiner för att på ett säkert och effektivt sätt kunna hantera dessa för att minimera de negativa konsekvenserna.