EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Transkript

1 Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet Hur hanteras och förebyggs hoten mot informationssäkerheten i multifunktionsmaskiner Syfte Syftet med detta dokument är att synliggöra säkerhetsproblematiken med multifunktionsmaskiner och dela med oss av våra erfarenheter. Med multifunktionsutrustning avses kontorsutrustning som klarar två eller fler informations- och pappershanteringsfunktioner såsom utskrift, kopiering, fax, skanning, lagring och e-post. Inledning Multifunktionella skrivare har i många företag ersatt ett antal specialiserade apparater såsom faxar, skannrar, kopiatorer och skrivare. Integrationen av flera apparater har förutom de uppenbara fördelarna fört med sig ett antal informationssäkerhetsrelaterade aspekter och risker som måste beaktas. Annars kan i värsta fall apparaten kompromettera det interna datanätet och bidra till ett okontrollerat flöde av (känslig) information. Risk föreligger att känslig information kommer obehöriga till del t ex vid reparationer och maskinbyten. Säkerhetsrisker Följande informationssäkerhetsrisker måste beaktas för denna typ av maskiner oavsett maskinens storlek och användningssätt: Mellanlagring av känslig information på apparatens interna hårddisk eller i internminne Oavsett om man kopierar, skannar, faxar eller skriver ut dokument lagras all information på maskinens interna hårddisk. Denna hårddisk är som regel på flera GB (gigabyte). Lagring av information på apparatens interna hårddisk Information som lagras på apparatens interna hårddisk blir kvar efter det att man utfört begärd aktivitet vilket innebär att stora mängder information ligger lagrad i maskinen. OBS! Detta gäller även känslig information! Den lagrade informationen blir åtkomlig i samband med service av apparaten Servicetekniker ansluter som regel en bärbar dator till apparaten i samband med service och kan då kopiera ner all information som finns på hårddisken. Har känslig information för företaget eller dess kunder hanterats i apparaten måste detta beaktas. Vid utbyte, försäljning eller Multifunkmaskiner v1.1.doc 1 (7)

2 skrotning av apparaten kan den information som finns lagrad komma i orätta händer Anslutning till det interna datanätet och eventuellt till Internet Det är inte helt ovanligt att man i samband med upphandlingar skriver avtal med möjlighet till fjärrdiagnostik vilket innebär att apparaten är åtkomlig från aktuellt serviceföretag över Internet och därmed även den lagrade informationen. Apparatens anslutning till det interna datanätet gör den åtkomlig för ett större antal anställda än just de personer som den är avsedd att betjäna. Skicka inskannad och lagrad känslig information med e-post utanför företaget Inskannad och lagrad information kan sändas till fel mottagare inom eller utom företaget. Från multifunktionsskrivare skickad e-post har ofta en anonym avsändare (t ex multimaskin@företaget.se), och detta kan på ett effektivt sätt användas för att nästan utan risk läcka känslig information. Övervakning/loggning Brist på övervakning och loggning av vad som händer med denna typ av apparater gör det svårt att ha kontroll på informationssäkerheten. Spårbarhet Då flera funktioner på maskinen (som att kopiera, skanna och skicka e-post) kan utföras anonymt, blir det omöjligt att i efterhand kontrollera vad som hänt och vem som gjort vad. Fysisk åtkomst till apparaten (och manipulation) då den står i allmänna utrymmen Risk för att obehöriga tar del av information som skrivs ut eller erhålls från inkommande fax motsvarande under den tid som förflyter från utskrift tills dokumenten hämtas. Här föreligger även risk för extern åtkomst. Säkerhetsmässiga krav och önskemål rörande multifunktionsmaskiner Nedan beskrivs krav och önskemål vid användande av multifunktionsmaskiner eller kombinationsmaskiner. Dessa krav kan med fördel användas (delvis, i sin helhet eller i kombination med andra krav) som ett underlag för en upphandling av multifunktionsmaskiner. Kraven kan också användas som en checklista för en existerande installation av multifunktionsmaskiner. De exempel som ges i dokumentet är avsedda att exemplifiera vad som menas med kravet och är ej uttömmande eller kompletta uppräkningar av samtliga kombinationer, möjligheter eller val Multifunkmaskiner v1.1.doc 2 (7)

3 Kraven är dels riktade mot Leverantör och avtalspartner (återförsäljare, underhålls- och servicepartners och motsvarande) Intern driftsorganisation Definitioner Med utrustning i nedanstående text menas multifunktionsapparater (kombinationsutrustning) som används i kombination med andra funktioner eller för ett eller fåtal av de funktioner som utrustningen möjliggör (t.ex att en kombinationsmaskin enbart används som nätverksskrivare) De olika kraven och önskemålen är angivna med vilken kategori av krav de skall uppfylla. De olika kategorierna som använts i dokumentet är: Autenticiering - Identifikation och kontroll av att användare har rätt att nyttja tjänster i utrustningen. Auktorisation - Behörighetskontroll av att en användare har rätt att nyttja en viss tjänst eller funktion. Konfidentialitet - Insynsskydd och sekretess av information under behandling, under transport eller lagring. Spårbarhet - Att utrustningen har stöd för olika typer av loggar och underlag så att man kan följa händelser som inträffat i systemet/utrustningen. Grundläggande systemsäkerhet Nätverkssäkerhet - Att inte utrustningen medför risker på nätverket, att inte de externa kopplingar och anslutningsmetoder som utrustningen innehar medför ökad risk för obehörig åtkomst till nätverket eller till själva utrustningen. Tillgänglighet - Att utrustning och tjänster finns tillgängliga när behov uppstår. Datakvalitet/Riktighet - Att dataintegritet upprätthålls, att data är beständigt. Fysisk säkerhet - Stöld, brand och liknande. Informationsförlust - Att inte utrustningen kan användas för att läcka information under drift eller i samband med utrangering. Informationssäkerhet - Allmänt skydd och säkerhet i samband med informationshantering Avtalsmässiga och juridiska krav och riktlinjer Krav A.1: Företagets avtal med leverantör skall vara så utformat att företaget förfogar (äger eller har rätt att köpa loss) över utrustningen eller dess komponenter så att exempelvis hårddiskar får avlägsnas för radering eller destruktion vid behov. [Juridik] Multifunkmaskiner v1.1.doc 3 (7)

4 Krav A.2: Säkerhetskrav på leverantören bör vid vite vara inskrivet i avtal med leverantören. [Juridik] Krav A.3: Krav på installatörer (exempelvis mellan leverantör och installatör, eller mellan köpare (företaget) och serviceinstans såsom ITsupport) skall vid vite vara inskrivet i avtal med installatörer. [Juridik] Krav A.4: I avtalet skall företaget ha kontroll över leverantörens och serviceleverantörens möjlighet till fjärrdiagnostik och fjärrservice samt utrustningens larmutsändning. Innebörden av denna avtalsskrivelse skall vara att företaget förbehåller sig rätten att som standard inte tilllåta fjärråtkomst för diagnostik och service samt förbehåller sig rätten att inte tillåta utrustningen att leverera status-, larm eller diagnostik till leverantören. [Nätverkssäkerhet] Krav A.5: Säkerhetskraven skall inte omförhandlas eller strykas ur upphandlingsunderlag eller avtal utan godkännande från företagets säkerhetsfunktion. [Juridik] Tekniska krav och riktlinjer Krav T.1: Leverantören skall kunna garantera att externanslutning (faxmodem, modem, nätverksanslutning, USB-portar, Skärm- och tangentbordsportar, flyttbara medier såsom Compact Flash eller disketter, och andra liknande externa portar) går att avaktivera. [Grundläggande systemsäkerhet] Krav T.2: Leverantören skall kunna garantera att trådlös anslutning (IR, Bluetooth, eller liknande) går att avaktivera [Grundläggande systemsäkerhet] Krav T.3: Installatören skall för samtliga eller enstaka anslutningar stänga av externa anslutningar (faxmodem, modem, nätverksanslutning, USB-portar, Skärm- och tangent- bortsportar, flyttbara medier såsom Compact Flash eller disketter, och andra liknande externa portar) för vissa installationsscenarios och för användning av utrustningen där känslig information skall hanteras. [Grundläggande systemsäkerhet] Krav T.4: Installatören skall stänga av trådlösa anslutningar (IR, Bluetooth, eller liknande) för vissa installationsscenarios och för användning av utrustningen där känslig information skall hanteras. [Grundläggande systemsäkerhet] Krav T.5: Administrativ åtkomst via utrustningens konsol (fysiska användargränssnitt i form av knappar och display) skall kunna stängas av eller skyddas med lösenord, PIN-kod eller motsvarande. [Grundläggande systemsäkerhet] Krav T.6: Utrustningen bör ha PIN-kodsskydd av själva utskriften av ett utskriftsjobb, mottaget fax eller liknande. När utrustningen är delad och/eller används i en öppen kontorsmiljö (exempelvis skrivarrum) kan enskilda eller samtliga utskrifter förses med PIN-kod för att fullfölja utskriften. [Autenticiering] Multifunkmaskiner v1.1.doc 4 (7)

5 Krav T.7: Utrustningen bör ha möjlighet att lagrad data temporärt eller långsiktigt (formulär, fonter, etc) skyddas av kryptering. [Konfidentialitet] Krav T.8: Oönskad eller oanvända funktioner (exempelvis inbyggda nättjänster såsom webbservrar, nätverksprotokoll såsom Novell IPX/AppleTalk/SNMP/telnet/ leverantörsspecifika protokoll, logg- statistiksammanställningar, sändarmodul för e-post, etc) skall gå att avaktivera via administrativa gränssnitt (konsol, nätverksmässig åtkomst eller liknande) [Grundläggande systemsäkerhet] Krav T.9: Det skall gå att begränsa vem eller vilka som får utföra fjärrövervakning av utrustningen. [Autentisering] Krav T.10: Utrustningen bör behålla mottagen information, såsom exempelvis utskriftsjobb eller mottagna fax, i händelse av strömavbrott eller driftstörning (exempelvis papperstrassel vid utskrift). [Tillgänglighet] Krav T.11: Utrustningen bör klara att göra utskrifter på arkivbeständigt pappersmaterial som uppfyller arkiveringskrav, exempelvis SS-ISO [Datakvalitet / Riktighet] Krav T.12: Utrustningen bör ha logg- och användarsammanställningar på vem som utfört en viss operation, exempelvis en utskrift. [Spårbarhet] Krav T.13: Det skall finnas modeller att beställa som inte har inbyggd hårddisk. [Informationsförlust] Krav och riktlinjer för drift, service och underhåll Krav vid service Krav S.1: Utrustningen skall ha PIN-kod, lösenordsskydd eller motsvarande för att åtkomst till administrativa åtgärder (t ex ändra inställningar eller konfiguration, få ut statistik eller loggar, etc). [Autentisering] Krav S.2: Fabriks- eller standardlösenord på utrustningen skall ej användas för administrativa åtgärder eller när service utförs. [Autentisering]. Krav S.3: Det bör finnas enkla verktyg eller metoder för att ändra lösenord för en mängd utrustningar eller samtliga utrustningar. [Autentisering] Krav S.4: Vid service av viss typ av utrustning, främst sådan som har använts för stora mängder information (som därmed inte går att klassificera) eller känslig information skall hårddisk eller annan lagringsmedia tas ut innan utrustningen lämnar företagets lokaler. [Informationssäkerhet] Krav S.5: Det skall gå att uppdatera programvaran (styrprogramvara, bios, operativ-system eller liknande) i utrustningen i händelse av att Multifunkmaskiner v1.1.doc 5 (7)

6 säkerhetsproblem hittas i utrustningen. [Grundläggande systemsäkerhet] Krav vid installation Krav I.1: Viss utrustning som används för hantering (utskrift/inskanning/faxning/ kopiering eller liknande) av känslig, företagshemlig eller kvalificerat företagshemlig information skall 1. Vara helt fristående 2. Anslutas direkt till datorn 3. Hållas i stängda och kontrollerade utrymmen [Informationssäkerhet] Krav I.2: Utrustningen bör vara försedd med anordningar så att det med hjälp av tilläggsutrustning går att låsa fast utrustningen. Detta gäller särskilt för utrustning som skall installeras i publika utrymmen såsom foajéer och liknande. [Fysisk säkerhet] Krav vid drift Krav D.1: Delade utrymmen som används för utskrift, kopiering och liknande informationsbehandling av känslig eller hemlig information skall vara utrustade med papperstugg. [Informationssäkerhet] Krav vid utrangering, skrotning eller liknande Krav U.1: Datamedia som använts i utrustningen (exempelvis hårddisk, Compact Flashminnen, etc.) skall raderas eller destrueras på ett av företagets godkända metoder. [Informationssäkerhet] Övriga krav och riktlinjer Krav Ö.1: Utrustningen skall säkerställas mot överhettning och brand [Fysiskt skydd] Krav Ö.2: Levererad dokumentation skall beskriva de olika säkerhetsfunktioner som utrustningen tillhandahåller. [Informationssäkerhet/tillgänglighet] Övrigt Frågor kan ställas till EBITS via e-post ebits_box@svenskenergi.se Multifunkmaskiner v1.1.doc 6 (7)

7 Ordförklaringar Bluetooth En industrispecifikation för radiobaserad kommunikation med begränsad räckvidd (1m, 10m eller 100m) som dock kan fångas upp på betydligt större avstånd. Bluetooth används för informationsutbyte mellan t.ex. mobiltelefoner, bärbara datorer, skrivare, digitala kameror osv. IEEE i En utökning av IEEE standarden som specificerar säkerhetsmekanismer för trådlösa nät. IDS Intrusion Detection System - Ett system för att upptäcka olika typer av oönskade aktiviteter i datorsystem (datornät och datorer). Dessa aktiviteter inkluderar bl.a. överbelastningsattacker, intrångsförsök och virusangrepp. IPSec IPSec är en samling protokoll för att säkra IPprotokollet m.h.a. autenticering och/eller kryptering av datapaket. IPSec kan användas för att upprätta och skydda ett VPN (Virtual Private Network). VPN Virtual Private Network - Ett samlingsnamn för ett antal tekniker och protokoll som använder publika nät för att skapa privata datornät. På detta sätt kan lokala datornät (LAN) kopplas ihop och externa användare kan ges åtkomst till företags interna nät. IR Olika tekniker för att på korta avstånd trådlöst kommunicera m.h.a. infrarött ljus. PoE Power over Ethernet - Ett samlingsnamn för olika tekniker att tillsammans med data skicka elektrisk energi till apparater (t.ex. trådlösa accesspunkter, IP-telefoner och webbkameror) i en tvinnad parkabel i ett Ethernet. "Rogue" accesspunkt En accesspunkt i ett WLAN som satts upp utan administratörens tillåtelse och som kan t.ex. användas av en angripare för att avlyssna trafik på WLAN:et. SSID Service Set Identifier - Ett namn som delas av de utrustningar som vill kommunicera med varandra i ett trådlöst nät (enligt IEEE standarden). WLAN Wireless Local Area Network - Ett samlingsnamn för olika typer av trådlösa nät. Den vanligaste typen är de nät som bygger på IEEE standarden och används bl.a. för att koppla ihop datorer med trådlösa accesspunkter både i hem och på företag Multifunkmaskiner v1.1.doc 7 (7)