EBITS 2012-01-09 Arbetsgruppen för Energibranschens Informationssäkerhet E-MÖTE / VIRTUELLT MÖTE 1 Syfte Syftet med detta dokument är att belysa de risker som finns med olika former av virtuella möten. Med det avses telepresence, videokonferenser, webbmöte via Internet eller Intranät samt telefonkonferenser. 2 Avgränsningar Detta dokument fokuserar på frågor kring informationssäkerhet. Det innebär att det inte visar på vilka virtuella mötessystem som finns på marknaden, ej heller hur kravspecifikationen kan eller bör utformas. 3 Bakgrund Många företag planerar att tillämpa virtuella möten i någon form. Detta görs dels för att spara pengar för biljetter, hotell och traktamenten, dels för att spara tid både arbetstid och fritid för den anställde. Dessutom kan det minskade resandet innebära en reduktion av miljöpåverkan. Detta innebär nya risker sedda ur ett informationssäkerhetsperspektiv, vilket måste beaktas i planeringsfasen. Med tanke på den starka utvecklingen av kapacitet på Internet och teknikutvecklingen på system för virtuella möten har EBITS sett nödvändigheten av att ta fram denna skrift. 4 Informationsformer Information förekommer i många former. Den kan exempelvis vara tryckt eller skriven, elektroniskt lagrad, skickad med post eller e-post, visad på film eller muntlig. 5 INFORMATIONSKLASSNING Information är en tillgång som, liksom andra viktiga tillgångar i en organisation, har ett värde och följaktligen måste få ett adekvat skydd. Informationssäkerhet syftar till att skydda information mot förekommande hot, förhindra avbrott i verksamheten, minska skador och bidrar därigenom till att säkerställa organisationens verksamhet. Oavsett vilken form informationen har, eller det sätt på vilket den överförs eller lagras, måste den alltid ha ett godtagbart skydd. Oftast prioriteras tillgängligheten vid virtuella möten, vilken ju är grunden för detta. Mötets karaktär är avgörande för vilka krav man skall ställa på sekretess, riktighet och spårbarhet. 120109 Webb-möte v1.0.doc 1 (5)
Exempel 1 VD för Bolag A har ett strategiskt informationsutbyte med sin styrelse för att diskutera uppköp av Bolag B, vilket naturligtvis ställer höga krav på sekretess. Exempel 2 I en förhandlingssituation mellan Bolag C och Bolag D, där parterna icke känner varandra personligen, kan det vara svårt att verifiera motparten, dvs riktigheten i den information som ges. Exempel 3 Ett virtuellt möte ställer och medger andra krav på mötets dokumentation jämfört med ett fysiskt möte, eftersom förutsättningarna är så olika. För att få spårbarhet av mötet kan det spelas in, vilket kan upplevas som ett integritetsintrång. 5.1 Sekretess Säkerställande av att information är tillgänglig endast för dem som har behörighet för åtkomst. 5.2 Riktighet Bevarande och skydd av information och behandlingsmetoder så att de förblir korrekta och fullständiga. 5.3 Tillgänglighet Säkerställande av att behöriga användare vid behov har tillgång till information och tillhörande tillgångar. 5.4 Spårbarhet Åtkomst och informationsöverföringar loggas eller på annat sätt märks (exempelvis genom signering) för att händelseförlopp ska kunna kontrolleras och kopplas till specifik person. 6 Olika tekniker för virtuella möten 6.1 Telepresence Ett telepresence-system är ett tekniskt avancerat system där användarna ska få en känsla av att befinna sig i samma fysiska möte. Systemet klarar av att visa personer, bilder, white board, dela arbetsyta och filmer i hög kvalité, samt har högkvalitativt ljud. Ofta är lokalen anpassad med flera skärmar, bild i HD-kvalité, flerkanalsljud, multipla noder, möjlighet att strömma videosändningar, etc. Tekniska risker: o Leverantör och operatör av systemet kan avlyssna o Avtappning av information till obehöriga 120109 Webb-möte v1.0.doc 2 (5)
Att tänka på: o Systemens begränsade förmåga att på ett säkert sätt kommunicera med andra fabrikat. Administrativa risker 6.2 Videokonferens o Funktionella krav går före säkerhetskrav o Hur sköts användarstöden? o Vem sköter driften av systemet och varifrån? Stationärt system som kräver anpassad lokal. Tillgänglighet har det valda nätet tillräcklig kapacitet och kvalité? Se till att det på ett enkelt sätt går att få till ökad nätkapacitet, eftersom det kan bli stark efterfrågan på tekniken och uppskalning kan behövas. Sekretesskrav efter målgrupp! Don efter företag! Eget eller hyrt system. Användandet sker ofta inte bara internt, utan verksamheten kan önska kommunikationsmöjlighet med externa kontakter. Om telepresence-hotell, vad kan de erbjuda säkerhetsmässigt? Videokonferenssystem består vanligtvis av en skärm och en kamera per videokonferensrum. Dokumentvisning från dator kan även förekomma. Den upplevelse av total närvaro som telepresence-systemet ger, fås inte i ett videokonferensmöte. Dessa system är väsentligt billigare jämfört med telepresence-system. Utrustningen kan även vara flyttbar. Med videokonferenssystem är riskerna desamma som för telepresencesystem. Ett videokonferenssystem kan vara mobilt med de risker det medför. I övrigt se Telepresence-system 6.3 Webbmöte via Internet / Intranät Dessa lösningar är klientbaserade, t.ex. arbetsdator används med ansluten eller inbyggd videokamera och mikrofon/högtalare. Kvalitén är vanligtvis lägre för både bild och ljud jämfört med ovanstående. Vissa tjänster innebär inte några tillkommande kostnader. Dessa system kan vara både företagsinterna och publika. Det företagsinterna (intranät) erbjuder oftast högre kvalité och fler funktioner. Dokumentvisning kan ske via delade arbetsytor. 120109 Webb-möte v1.0.doc 3 (5)
Tekniska risker: o Integrerad lösning på din dator, dvs risk för spridning av skadlig kod. o Leverantör, operatör och administratör kan avlyssna o Avtappning av information o Speciell hänsyn måste tas till hur nätverket med tillhörande brandvägg konfigureras. Administrativa risker: o Nätverksadministratören kan få mindre kontroll över användandet av webbmötessystemen. o Funktionella krav går före säkerhetskrav o Hur sköts användarstöden? o Det finns inga/få garantier för tillgänglighet till externa webbmötessystem. Det är mycket viktigt att beakta de risker som denna typ av tjänster innebär. IT-avdelningen fråntas möjligheter att få tillräcklig kontroll av datorsystemen. Tillgänglighet har det valda nätet tillräcklig kapacitet och kvalité? Användning gäller ofta inte bara internt, utan verksamheten kan önska kommunikationsmöjlighet med externa kontakter. 6.4 Telefonkonferens Telefonkonferens är en form av virtuellt möte som sker via telefon. Svårt att avgöra vilka som deltar i konferensen Händer att det blir sammanblandning av telefonsamtal och tappar därmed kontrollen över deltagare i konferens. Möjligheter att avgöra att rätt personer medverkar i konferensen Om lösenordsskyddade konferenser bör de ha en väl genomtänkt hantering och administration. Störningar är speciellt frekvent för mobildeltagare. Tillgänglighet kan vara sämre för deltagare via mobilsamtal 120109 Webb-möte v1.0.doc 4 (5)
Bra ljud är viktigt för funktion 7 Övrigt Frågor kan ställas till EBITS via e-post ebits_box@svenskenergi.se 120109 Webb-möte v1.0.doc 5 (5)