TV4:s försök att visa myndigheternas dåliga datasäkerhet

Under oktober 2016 flertal allvarliga globala intrång och överbelastningsattacker skedde.
TV4 försökte att visa hur lätt det är att få möjlighet att infektera och manipulera datorer hos nio olika svenska  myndigheter. Detta skulle ske med dold skadlig kod genom att be om en utskrift av ett dokument på en USB sticka. Tydligen receptionisterna hos Polisen, Socialstyrelsen, Svenska kraftnät, Skolverket, FMV, och MSB nekat utskriften medan receptionisterna på Ekobrottsmyndigheten, Inspektionen för vård och omsorg samt Datainspektionen var tillmötesgående och snällt skrivit ut TV4 reporters CV genom att koppla USB-stickan i myndighetens dator och skrivit ut dokumentet.

Vad kunde hända?

  1. Dold skadligt program på USB sticka kunde smitta myndighetensdator och andra datorer och servrar i nätverket (t.ex. genom STUXnet kod) eller tillföra andra skador t.ex. s.k. Ransomware då datafiler krypteras med hemliga krypteringsnyckel.
  2. Säkerhetsskyddet i datorn upptäcker USB minnet och INTE tillåter att USB-stickan kan användas i datorn.
  3. Skadlig kod upptäcks av ”antivirus/antimalware” programmet och kopieringen INTE tillåts

 I TV4:s försök är det lätt att få intrycket att ”den mänskliga faktorn” eller möjligtvis myndighetens säkerhetsrutiner var den svaga länken. Lite djupare funderingar kan ge lite bättre insikt i detta fall.

Rutiner/föreskrifter/säkerhetsmedvetande
En av viktigare uppgifterna för IT-säkerhetsfunktionen i varje arbetsplats är STÄNDIG förbättrande av IT-säkerhetsmedvetande hos samtliga personalen.  Vanligtvis receptioner hos majoriteten av myndigheter är bemannade med personal från säkerhetsföretag och/eller bemanningsföretag. Dvs möjligtvis utbildning av “EXTERN” personal måste ständigt ses över så att även extern personal får adekvat ”utbildning och kunskap” .

 Teknisk skydd

  1. Att säkerhetsskyddet inte tillät anslutning av USB-stickan.
    Jag är övertygad att de flesta myndigheter har infört detta skydd i känsliga datorer. Speciellt med tanke på s.k. ”bad USB” där skadligkod finns inprogrammerad i hårdvaran svårt att upptäcka av antivirusskyddet.
  2. Att Antivirus programvaran i datorn skulle upptäcka skadligkod.
    I TV4 fallet USB-stickan innehöll ingen skadligkod.
     Vi vet dessutom inte vad receptionisten såg på sin datorskärm. Antivirusprogrammet skyddar normalt datorn genom att scanna nya filer på nya enheter (USB-stickan i detta fall) innan något annat program startas.

 Potentiell risk
Tyvärr det framgick inte i programmet om de största och katastrofala riskerna i TV4 scenarion nämligen risken att receptionisten med eventuella höga behörigheter till andra vanligtvis otillgängliga system t.ex. andra servrar, printerserver, inpasseringssystem, vatten, el, larm system, mm som skulle kunna vara en riktig rysare om den hackades med sofistikerade skadlig kod.

Råd för receptioner
Fortsätt att vara snäll och bemöta besökare med god service men servicen får ske från en ”tunndator” med endast lokalanslutenskrivare (ej nätverkskopplade). Till sist inte att glömma kontinuerlig genomgång av adekvat IT-säkerhet och rutin utbildningar.

Advertisements

2 thoughts on “TV4:s försök att visa myndigheternas dåliga datasäkerhet

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s