25 februari, 2019
Lärdomar från 1177-läckan - så skyddar ni er känsliga information
Den uppmärksammade 1177-läckan visar prov på hur illa det kan gå när organisationer inte sköter sitt säkerhetsarbete. Vi har tittat närmare på vilka säkerhetsåtgärder som kan vidtas för att förebygga den här typen av incidenter.
- Den här historien visar på två viktiga principer: Att ha koll på vilken känslig information man har i sin ägo och hantera den därefter, samt vikten av "Defence in depth", det vill säga flera lager av skydd. Det skall inte räcka med ett enskilt misstag för att så här känslig information läcker.
Så kommenterar Kalle Zetterlund, CTO på Sentor, säkerhetshaveriet hos 1177 Vårdguiden när 2,7 miljoner telefonsamtal låg helt oskyddade på en webbserver via en underleverantör. Ett misstag som med stor sannolikhet kommer leda till rättsliga påföljder då incidenten bryter mot patientdatalagen, men också GDPR eftersom det rör personuppgifter.
Det kan dock vara en utmaning att ha full kännedom om sin information och hur man ska skydda den, speciellt om den driftas av en extern part. Men det finns säkerhetsåtgärder att vidta för att undvika att den här typen av incidenter uppstår. Vi tar tittat på några.
Ställ krav på din leverantör
Oavsett om du har din data lagrad internt eller externt ska väldigt känslig information alltid hanteras med rigorösa kontroller på plats - den sortens kontroller som faktiskt utförs och inte bara existerar på papper. Några exempel på sådana aktiviteter kan vara penetrationstester som testar hur motståndskraftig säkerheten är och vad som eventuellt bör åtgärdas, regelbundna riskanalyser och aktiv säkerhetsövervakning. Om du har outsourcat din data bör du se till att inkludera en klausul i kontraktet som fastställer att leverantörens IT-säkerhet ska få testas och granskas på regelbunden basis.
Vidare är det en god idé att undersöka om leverantören använder några preventiva åtgärder för att skydda sig mot incidenter. Privacy by design, eller inbyggd integritet, är till exempel ett effektivt sätt att undvika fallgropar genom att se till att säkerhetsmekanismer är inbyggda i IT-systemen från början.
Säkra hela leverantörskedjan
Som ägare av informationen är det även ditt ansvar att säkerställa att potentiella underleverantörer till dina leverantörer också uppfyller säkerhetskraven. Outsourcar din leverantör vidare din data till ett ytterligare led står du fortfarande som personuppgiftsansvarig, men det kan bli desto svårare för dig att kvalitetssäkra hanteringen av informationen - något som den här incidenten blev ett tydligt exempel på.
Börja med att kartlägga leverantörskedjan. Vart lagras och hanteras all data slutligen, och hur transporteras den mellan leden? Försök att kravställa att din leverantör står som ansvarig om dess underleverantör överträder lagen.
Tillämpa “defence in depth”
Känslig information av det här slaget borde skyddas enligt “defence in depth”, det vill säga en kombination av flera olika skydd som man måste passera för att få åtkomst till informationen. Dessa skydd skulle kunna bestå av att informationen lagras bakom flera lager av brandväggar och proxies som kräver flera lager av autentisering för att nå informationen. Utöver det borde informationen lagras krypterat, och separat från nyckeln.
- Målet med 'defense in depth' är just att säkerställa att inte en enskild säkerhetskontroll avgör ditt öde - fallerar brandväggen så borde proxyn fortfarande skydda datan”, säger Charlie Svensson, teknisk säkerhetsexpert på Sentor.
- Det är även anmärkningsvärt att man ansåg att det var lämpligt att ens interna system fick komma åt filerna utan autentisering, ungefär som att det är okej för vilken anställd som helst med nätverksaccess att läsa datan.
Charlie lyfter även fram vikten av att faktiskt granska hur miljön, tjänsterna och exponeringen i sitt nätverk utvecklas över tid.
- Om servern exponerades 2016 avslöjar ju hela den här skandalen även att en viktig aktör inom sjukvården inte genomfört ett enda externt säkerhetstest sedan dess”, fortsätter Charlie.
- Någonting så enkelt som regelbunden portscanning, eller någon slagning i månaden mot öppna datakällor som Shodan hade kunnat identifiera en så trivial brist i princip gratis. I vår SOC-leverans har vi flera kunder som helt enkelt prenumererar på kontinuerlig portscanning - öppnas en ny port mot Internet så får våra SOC-analytiker ett larm. Den sortens trivial övervakning tar vi knappt betalt för då det anses vara en så banal detalj i en större leverans.
Kontakta oss
Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.
08-545 333 00
Vi svarar dygnet runtinfo@sentor.se
För generella förfrågningarsoc@sentorsecurity.com
Använd vår PGP-nyckel