Rapport Riskanalys Acano videokonferenssystem Umeå 2016-02-08 Analysledare Tommy Rampling, Umeå kommun
Innehållsförteckning 1 Bakgrund... 3 2 Deltagare... 3 3 Sammanfattning... 3 4 Metod och bedömningsmall... 4 4.1 Informationssäkerhetsklassning... 4 4.2 Hot... 4 4.3 Riskvärdering... 5 4.3.1 Sannolikhet (S) att händelsen skall inträffa... 5 4.3.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa... 5 4.3.3 Risknivå... 5 4.4 Beskrivning av hot och eventuella åtgärder... 6 4.5 ering... 9 4.5.1 Prioritering... 9 4.5.2 Ansvarig... 9 5 Handlingsplan... 9 Rapport Riskanalys Sida 2 av 9
1 Bakgrund Regionförbundet i Västerbotten driver ett pilotprojekt kring video- och distansmöten för länets kommuner samt Örnsköldsviks kommun. Projektets syfte är att utveckla och öka användandet av video- och distansmötestjänster samt skapa förutsättningar för att alla deltagande organisationer enkelt skall kunna testa att använda sig av möjligheten. I projektet kommer en mötestjänstplattform, Acano, att testas i samarbete med AC-Net och Mindspace Group. Administrationen kring den nya mötestjänsten har decentraliserats för att få en enkel och smidig hantering. I varje kommun finns det en utsedd superanvändare som svarar på övergripande frågor och hanterar användarkonton. För att undersöka vilka risker som eventuellt kan finnas med den här typen av teknik så har en riskanalys genomförts. Två möten, 19 januari och 8 februari, har genomförts med fokus på att fånga upp hot och sedan diskutera risken med dessa hot och ta fram åtgärder för att minimera dessa risker. 2 Deltagare Hans Agdahl, Umeå kommun Johan Forsgren, Umeå kommun Lennart Nilsson, kommunjurist, Umeå kommun Anna-Karin Burman, Skellefteå kommun Nils Larsson, Skellefteå kommun Christian Wåhlin, Mindspace Tommy Rampling, analysledare, Umeå Kommun Stefan Granberg, Umeå kommun Kaj Backman, Region Västerbotten Christer Widmark, Skellefteå kommun Isak Nyberg, Skellefteå kommun Anita Eriksson, Åsele Johnny Lundström, Region Västerbotten Vissa av deltagarna har endast deltagit vid ett möte eller del av möte. 3 Sammanfattning Under arbetets gång kom vi fram till att mycket av det vi diskuterat i termer hot när det gäller videokonferenssystemet Acano kan kopplas till vanlig telefoni. När det gäller risken för att bli avlyssnad så är den troligen mindre i samband med videokonferensutrustning än via telefon. Att spela in samtal är svårt att kontrollera i båda fallen. Därför kan det vara viktigt att klargöra att inspelning av ljud i vissa fall inte är lämpligt. Den som leder mötet har en viktig uppgift och det är att ha koll på vilka som är med, vilka som avviker och vilka som tillkommer under ett möte. Det är också viktigt att alla deltagare får information om vad som gäller kring inspelning av mötet och att man har en förståelse för att hantera informationen utifrån hur känslig den kan vara. I vissa fall kan det vara rätt att kräva lösenord(pinkod) för att koppla upp sig men det i normalfallet är det inte nödvändigt. En checklista som stöd till mötesansvarig där det framgår vad som är viktigt att förmedla till deltagarna i mötet behöver tas fram. Mindspace har i sitt dokument tagit fram ett antal punkter som skulle kunna finnas med i en sådan checklista. Det finns alltid risker när man finns uppkopplad och vissa av dessa risker måste man på olika sätt försöka begränsa för att minska risken att de inträffar eller om de skulle inträffa kunna hantera Rapport Riskanalys Sida 3 av 9
händelsen på ett sådant sätt att skadorna bli så små som möjligt. Efter de diskussioner vi nu haft så är min känsla att om deltagare i ett videkonferensmöte har grundläggande förståelse för de risker som finns så kommer videkonferenssystemet bli ett bra stöd. 4 Metod och bedömningsmall Analysen består normalt av fyra delar vilka är följande: 1. Informationsklassning 2. Hotinventering 3. Riskvärdering 4. ering Vi har inte gjort en fullständig informationsklassning utifrån de fyra olika perspektiven konfidentialitet, tillgänglighet, riktighet och spårbarhet utan koncentrerat oss på att fånga upp de hot som skulle kunna vara aktuella i samband med användande av videokonferensanläggning och diskuterat oss fram till vilka risker som det skulle kunna innebära. 4.1 Informationssäkerhetsklassning Vilken typ av information kommer naturligtvis att variera mellan känslig information och helt öppen information. Enligt leverantören Mindspace så är det endast förnamn, efternamn och e-postadress som kommer att lagras hos Mindspace. Det är också möjligt att spela in videomöten och den informationen lagras i servrar som Mindspace hanterar och dessa servrar finns i Sverige. 4.2 Hot Vid första möten dokumenterade vi de hot och händelser som kunde vara aktuella vid användandet av videokonferenssystemet. Gruppen kommer fram till följande hot/händelser: 1. Kameran registrerar något känsligt i bakgrunden 2. Ser inte om Mute-knappen är på 3. Någon har två mötesessioner igång samtidigt (överhörning) Går det?? 4. Utger sig för att vara någon annan person 5. Lågt säkerhetsmedvetande 6. Konversation börjar utan samtycke. Tar uppgifter utan samtycke. Frångår rutiner skapar nya rutiner 7. Obehörig är med på mötet eller någon har ringt in till ett cospace och avlyssnar kommande möten 8. Olovlig inspelning av mötet (informationen) 9. Ingen kontroll över motpartens utrustning 10. Leverantören sparar mötet 11. Osäker hantering av lösenord. 12. Någon hackar sig in i systemet eller klienten 13. Dålig rutin för användaradministration. Är det rätt person som har tillgång? Avslut av konto. 14. Någon har ringt in till ett cospace och avlyssnar kommande möten 15. Glömt sätta lösenord vid känsligt möte och någon obehörig kommer in på mötet 16. Enkelheten kan göra att man blir omedveten om vad som visas i bakgrunden se nr1 17. Logg som visar vem som varit med på mötet 18. Ökad administration om det behövs samtycke/medgivande 19. Oavsiktlig hantering Rapport Riskanalys Sida 4 av 9
4.3 Riskvärdering Riskvärdering innebär ett uppskattat värde på den risk som man har identifierat. Riskvärdet får man fram genom att uppskatta sannolikheten att händelsen skall inträffa samt nivån på den konsekvens som detta skulle innebära. Produkten av dessa värden är uppskattad risknivå. Analysen har använts sig av de rekommendationer som MSB (Myndigheten för samhällsskydd och beredskap) har gett ut. Vad de olika nivåerna för konsekvenserna innebär varierar mellan olika verksamheter. Det viktiga är att få en inbördes rangordning mellan de olika hoten. Dessa värden är ingen faktisk sanning men den diskussion som leder fram till vilket värde som sätts är viktig och ger en förståelse för vilka hot som kan finnas mot verksamheten. När samtliga hot är analyserade är det viktigt att se över om den inbördes riskvärderingen verkar rimlig. 4.3.1 Sannolikhet (S) att händelsen skall inträffa 1 = En gång på100 år 2 = En gång på 10 år 3 = Årligen 4 = Mer än 1 gång per år 4.3.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa 1 = Försumbar 2 = Måttlig 3 = Betydande 4 = Allvarlig 4.3.3 Risknivå Risknivån räknas fram genom att multiplicera värdet för sannolikhet med värdet för konsekvens. Rapport Riskanalys Sida 5 av 9
4.4 Beskrivning av hot och eventuella åtgärder Hot 1 Kameran registerar något känsligt i bakgrunden. Enkelheten kan göra att man blir omedveten om vad som visas i bakgrunden (Hot 16) Gruppen kom fram till att det är sannolikt att det kan inträffa men konsekvensen är naturligtvis beroende på hur känsligt det är som kommer att visas i bakgrunden. Ett bra stöd vid användande av en videokonferensanläggning skulle vara en checklista som tar upp olika saker vad man bör tänka på. Hot 2 Ser inte att Mute-knappen är på. Har inte uppfattat att ljudet går ut till övriga på mötet Kan mycket väl hända och konsekvenserna kan variera utifrån vilken typ av information som lämnas. Viktigt att alla deltagare har kunskap om hur konferenssystemet fungerar så att man kan försäkra sig om när ljudet är bortkopplat. Hot 3 Någon har två mötesessioner igång samtidigt (överhörning) Går det?? Enligt leverantören så har det inträffat men ska nu vara åtgärdat. Vi tar ändå med det som ett hot men klassar den som en liten risk (låg sannolikhet och måttlig konsekvens) Att som användare och ordförande av mötet vara observant om det kan vara flera sessioner på gång. Hot 4 Utger sig för att vara en annan person Exempelvis att någon konsult från något företag Gruppen anser att sannolikheten att det skulle inträffa skulle vara sällan eller mycket sällan. Om det däremot skulle inträffa så skulle konsekvenserna kunna bli betydande. Den som leder mötet (Ordföranden) ska ha koll på vilka deltagare det är som ska delta och vilka som tillkommer och avviker från ett möte. Hot 5 Lågt säkerhetsmedvetande Hotet är mycket generellt men vi tar ändå med det som ett hot. Risknivån för detta har många beroenden. Gruppen kom fram till att risken är ganska hög dvs hög sannolikhet att personal har lågt säkerhetsmedvetande och att konsekvenserna skulle kunna bli betydande Åtgärden för att minska denna risk är utbildning/ information till berörda. Det räcker inte med en koncentrarad utbildningsinsats utan utbildning/information måste vara återkommande. Därför är det viktigt att ta fram en rutin hur detta skulle kunna genomföras. Ju känsliga information som kommer att hanteras desto viktigare är det att berörda blir medvetna om vilka risker som finns vid användande av Rapport Riskanalys Sida 6 av 9
videokonferenssystem Hot 7 Obehörig är med på mötet eller någon har ringt in till ett cospace och avlyssnar kommande möten. Inkluderar hot nummer 14. Under diskussionen kom vi fram till att det borde vara större risk för att detta skulle hända i samband med ett vanligt telefonsamtal och det är inget vi i dagsläget inte reagerar över. Det finns alltid en risk men gruppen kommer fram till att den bör vara relativt låg. Mötesledaren (Ordföranden) för mötet har en viktig uppgift att löpande kontrollera vilka som är med på mötet, vilka som avviker och vilka som tillkommer. De flesta mötestjänster har symboler för antal deltagare och/eller särskild symbol för deltagare med endast ljud som underlättar att ha koll på vilka som deltar. Hot 8 Olovlig inspelning av mötet (informationen) Det kommer alltid att finnas en risk att någon som deltar i videokonferensen spelar in själva samtalen som förs. Det kommer att vara svårt att upptäcka. Det kan enkelt göras med hjälp av exempelvis en mobil. Så sannolikheten att det görs anser vi vara stor. Även om det skulle ske så behöver det inte betyda att risknivån för själva hotet blir så hög om informationen endast används för eget bruk. Risknivån blir en helt annat om den inspelade informationen är av känslig natur och obehöriga kommer över den. För att detta hot ska hanteras så blev konsekvensen för detta hot betydande. Vi inkluderar hot nummer 9 i detta hot. En punkt i en checklista vid användande av videokonferenssystem skulle kunna vara en fråga om det är lämpligt att spela in ett videokonferenssystem d.v.s. själva informationen. Det är något som man bör ta ställning till i början av mötet. Hot 10 Leverantören sparar mötet (spelas in) Gruppen tror inte att det kommer att vara aktuellt vid så många tillfällen. Skulle det vara aktuellt så är det ett beslut som samtliga deltagare ska vara medvetna om och det ska finns ett tydligt syfte med detta. Det som åsyftas i detta hot är att leverantören utan medgivande från de som håller mötet spelar in mötet eller att information från ett inspelat möte hamnar hos obehöriga. Gruppen kommer fram till att sannolikheten är låg at detta skulle inträffa men om det skulle göra det så är det mycket allvarligt och kan få allvarligare konsekvenser. En fråga som gruppen diskuterade var om ett inspelat videokonferensmöte skulle kunna betraktas som allmän handling och skulle kunna lämnas ut till media. Vi kom fram till att det troligen inte är på det viset men frågan bör kontrolleras med juridiken. Tydliggöra i avtal med leverantören hur inspelade möten hanteras. Viktigt också att leverantören kan beskriva hur dessa inspelade möten lagras för att förhindra att obehöriga kan ta del av dessa möten. Kontrollera om material från ett inspelat videokonferensmöte kan betraktas som allmän handling. En fråga kom upp om personuppgiftsbiträdesavtal och frågan skickades vidare till Datainspektionen och svaret var att om vi sparar material hos leverantören(acano) och det materialet omfattar personuppgifter(medverkande personer är identifierbara) så ska vi ha ett personuppgiftsbiträdesavtal med leverantören. Rapport Riskanalys Sida 7 av 9
Hot 11 Osäker hantering av lösenord Det är inte något krav att använda lösenord men möjligheten finns. Även här jämförde vi användandet av videokonferens med användande av vanlig telefoni. Gruppen kom fram till att risknivån för detta hot är väldigt låg. Samtidigt finns det en möjlighet att använda lösenord för att minska risken ytterligare för att obehöriga ska kunna ta del av ett videokonferensmöte. Fastställ tydliga regler för när lösenord ska används och hur dessa ska vara utformade. Hot 12 Någon hackar sig in i systemet eller klienten Sannolikheten att någon skulle vilja hacka systemet känns relativt låg men risken finns alltid. Gruppen har sagt att konsekvenserna av en sådan händelse skulle vara måttliga. Om händelsen skulle komma till medias kännedom tror jag att konsekvenserna skulle bli allvarliga. Då skulle videokonferenssystemet säkerhet kraftigt ifrågasättas och det skulle troligen innebära ett misstroende bland allmänheten att delta i videokonferensmöten. Systemet stöder kryptering och det är det som ska användas. Viktigt att tänka på att ifall parter ansluter utan kryptering så är det en ökad risk för mötet, även om det bara är trafik till/från den parten som kan komprometteras. Det är därför viktigt att det finns med i en kommande checklista/rutinbeskrivning. Omfattar även hot nummer 15. Hot 13 Dålig rutin för användaradministration. Är det rätt person som har tillgång? Avslut av konto. Vi har bedömt att detta händer ofta men att konsekvenserna är försumbara. Hot 17 Logg som visar vem som varit med på mötet Ingen riskbedömning har gjorts på detta hot. Anledningen är att om man ansluter via länk så kommer det endast stå att en Guest är ansluten. Om det är ett rum så vet man inte vilka personer som finns med. Det är endast om man loggar in som det går att få fram vilken användare det är. Hot 18 Ökad administration om de behövs samtycke/medgivande Ingen riskbedömning har gjorts på detta hot. Gruppen konstaterar att det inte kommer att bli någon skillnad. Innan man kommer fram att använda videokonferenssystemet så har man troligen redan klargjort detta med Rapport Riskanalys Sida 8 av 9
samtycke/medgivande i ett tidigare skede. Fundera vidare på hur samtycke/medgivande ska hanteras OM det skulle vara så att detta är den första kontakten som tas med en person och det är ett ärende där känslig information kommer att hanteras 4.5 ering ering innebär att gruppen föreslår skadeförebyggande och skadebegränsande åtgärder. Innan man tar fram förslagsåtgärder så bör man ställa följande frågor för respektive hot: - Det nuvarande skyddet bedöms vara tillräckligt Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt men verksamheten accepterar de kvarvarande riskerna Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt och det behövs ytterligare åtgärder Ja/Nej Steg 1: Beskriv vilka ytterligare åtgärder som bör genomföras och vad som behöver prioriteras. Steg 2: Uppskatta kostnaden för åtgärden. Detta skall ställas i relation till den verksamhetsnytta som åtgärden kommer att ge. Att genomföra åtgärder innebär utgifter och därför är det viktigt att tydligöra nyttan med att genomföra åtgärden. 4.5.1 Prioritering Till samtliga åtgärder finns också en rekommendation om genomförande ur ett tidsperspektiv angiven. Förslag på när åtgärden bör vara genomförd: 1 = Åtgärden bör genomföras omgående 2 = Åtgärden bör genomföras inom 6 månader 3 = Åtgärden bör genomföras inom 12 månader 4.5.2 Ansvarig Namn på den som är ansvarig för att den framtagna åtgärdsplanen hanteras. 5 Handlingsplan I handlingsplanen ges förslag på vilka åtgärder som bör genomföras samt en prioritering av dessa. Prioritet Åtgärd Tid Ansv. Klart Skapa en checklista för den som ska leda ett möte. Vad behöver man tänka på Grundläggande utbildning hur systemet fungerar och vilka risker som man måste vara medvetna om Fastställ tydliga regler för när lösenord ska används och hur dessa ska vara utformade. Fastställ vad som ska gälla angående kryptering av kommunikationen Tydliggöra i avtal med leverantören hur inspelade möten hanteras hos leverantören Rapport Riskanalys Sida 9 av 9