Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid Umeå 2016-10-18 Analysledare Tommy Rampling, Umeå kommun
Innehållsförteckning 1 Bakgrund... 3 2 Deltagare... 3 3 Sammanfattning... 3 4 Metod och bedömningsmall... 4 4.1 Identifiering av tillgångar... 4 4.2 Hot/händelser... 4 4.3 Informationsklassning... 5 4.4 Riskhantering... 6 4.4.1 Sannolikhet (S) att händelsen skall inträffa... 6 4.4.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa... 6 4.4.3 Risknivå... 7 4.5 Beskrivning av hot och eventuella åtgärder... 7 4.6 Åtgärdsplanering... 8 4.6.1 Prioritering... 8 4.6.2 Ansvarig... 8 5 Handlingsplan... 8 Rapport Informationssäkerhetklassning och riskanalys Sida 2 av 9
1 Bakgrund Umeå kommun kommer att implementera ett IT-stöd för att kunna hantera mobila enheter. Många organisationer står idag inför utmaningen att arbeta med mobilitet i främsta rummet. Med ökad mobilitet blir också risken större för olika typer av attacker och störningar. För att medarbetare ska kunna använda sig av mobila enheter så måste dessa också skyddas. Tanken med Mobileiron är att det ska kunna ge bättre kontroll och flexibilitet för användning av mobila enheter vilket också innebär en högre säkerhet för den information som kommer att hanteras. En informationsklassning och riskanalys har tidigare genomförts för själva verktyget MobileIron. Nästa steg är att låta Fritid vara pilot för att testa hur verktyget kommer att fungera i den verksamheten. Syftet med informationsklassningen och riskanalysen är dels att tydliggöra vilken information som Fritid använder i sina mobila enheter och dokumentera vilka risker som kan finnas. Detta för att ta fram förslag och åtgärder för att minska dessa risker. Vi använder oss av ett IT-stöd som SKL, Sveriges kommuner och landsting och MSB, Myndigheten för skydd och beredskap tagit fram. Det heter KLASSA och kan löpande användas i systemförvaltningsarbetet. Klassningen går i korthet ut på att klassificera hur känslig informationen är, hur viktigt den är, att den är korrekt och tillgänglig samt vilken spårbarhet som kan behövas. 2 Deltagare Matilda Johansson, projektledare, IT Göran Backlund, servicesamordnare, IT Per Hansson, arbetsledare, Fritid Tommy Rampling, analysledare 3 Sammanfattning Den riskanalys som genomförts visar på att de hot som identifierats inte innebär några större risker. Den mesta informationen som hanteras är av mindre känslig karaktär. Undantaget kan vara om positionering av mobila enheter kommer att användas. Vid den riskanalys som genomfördes av MobileIron framkom att det var viktigt att det finns tydliga regler och rutiner hur positioneringsfunktionaliteten ska användas. Om positionering ska används är det mycket viktigt att samtliga berörda får information om den och syftet med dess användning. Informationsklassningen klassificeras utifrån fyra olika perspektiv, konfidentialitet, riktighet, tillgänglighet samt spårbarhet. I samtliga fall så klassas information på nivå 1. Det innebär att skador som skulle kunna uppstå skulle vara ingen, försumbar eller måttlig. Trots att gruppen har kommit fram till att informationen inte är så känslig så finns det ett antal åtgärder som bör genomföras för att förbättra hanteringen om vissa saker skulle inträffa. Om en mobil enhet slutar fungera, blir stulen eller tappas bort så ska det finnas rutiner så att den störning som detta ger upphov till blir så kort som möjligt. Tekniska lösningen finns till för att öka säkerheten men det räcker inte. Den absoluta svagaste länken när det gäller säkerhet är den enskilde medarbetaren. Därför är det mycket viktigt att medarbetare får Rapport Informationssäkerhetklassning och riskanalys Sida 3 av 9
information/utbildning om varför det är viktigt att hantera mobila enheter på ett säkert sätt. Med dagens mobiler och plattor får du oftast samma tillgång till information som om du använder en stationär dator. En annan åtgärd som också behöver ses över är hur mobila enheter hanteras när de avvecklas. För att rensa en mobil enhet på all information så behöver det genomföras på ett säkert sätt. Det räcker inte med att användaren själv tar bort informationen. Den finns ändå kvar och obehöriga kan därför ta del av informationen. Det som återstår att göra är att hantera de åtgärdsförslag som kommit fram i samband med denna informationsklassning och riskanalys. 4 Metod och bedömningsmall Analysen genomfördes i workshopform i följande steg: 1. Identifiering av tillgångar 2. Hot och sårbarheter 3. Informationsklassning 4. Riskhantering 4.1 Identifiering av tillgångar För att kunna genomföra en informationsklassning så behöver man kännedom om vilken information som hanteras i systemet. Exempel på information som hanteras: Felanmälan Mejl Fritidsappen SMS-koder Fingeravtryck Anläggningsinformation exempel: adresser Driftregister E-post authenticator Telefonlista Dokument (word, excel, powerpoint, pdf) Facebook Bilder och filmer Att göra-lista Historik SMS VPN BankID Bankappen Positionering - GPS 4.2 Hot/händelser Samtliga deltagare beskriver ett antal hot som har inträffat eller kan tänkas inträffa. Därefter görs en sammanställning av dessa då vissa kan vara likartade. Händelserna beskrivs kortfattat. Rapport Informationssäkerhetklassning och riskanalys Sida 4 av 9
Gruppen kommer fram till följande hot/händelser: 1. Vid byte av mobil enhet finns det risk att information finns kvar på mobil enhet, och informationen kan bli tillgänglig för personer som inte bör få tillgång till den 2. Obehörig har på något sätt kommit över en enhet med tillgång till dess innehåll 2.1. Tappat enheten 2.2. Enheten stulen 2.3. Sparade lösenord på enheten 2.4. Obehöriga får kännedom om pinkod på enheten 2.5. Mobilt internet 2.6. Glömmer AppleID / Google kod 2.7. Obehörig får tillgång till mobil och inloggningsuppgifter 2.8. Mobil går sönder 2.9. Roota 3. Möjliga funktioner kan inte användas 4.3 Informationsklassning Klassning av informationen görs utifrån följande områden: 1. Konfidentialitet - endast behöriga får ta del av informationen 2. Riktighet kunna lita på att informationen är korrekt och inte manipulerad eller förstörd 3. Tillgänglighet informationen kan nås när man behöver den 4. Spårbarhet går att följa hur och när informationen har hanterats och kommunicerats Redovisas i nedanstående matris med kommentarer. Konfidentialitet. Även om någon obehörig skulle komma över information som Fritid använder för att hantera sina uppgifter så skulle skadan vara försumbar eller måttligt. Det finns dock en viktig sak att ta mig sig från Rapport Informationssäkerhetklassning och riskanalys Sida 5 av 9
denna informationsklassning och det är hur personer som har en sekretessmarkering ska hanteras. Det är oklart om det idag går att se vem/vilka som bokat en specifik lokal/plats men om så är fallet skulle det kunna innebära en måttlig skada om någon vill komma åt någon annan person eller gruppering. Viktigt att tänka på är att inte ha mer uppgifter i en bokning än nödvändigt om någon obehörig skulle ta del av uppgifterna. Riktighet Om informationen inte skulle vara korrekt så skulle det kunna innebära att bokningar inte stämmer vilket i sin tur skulle leda till irritation för berörda. Det skulle också kunna innebära ekonomisk skada. Det handlar mer om bokningssystemet säkerhet och inte förhållandet till ett EMM-verktyg. Kraven för ett säkert bokningssystem måste ställas på det systemet. Samtidigt är det den enskilde medarbetaren som också måste ta ansvar för att informationen hanteras på ett säkert sätt. Tillgänglighet Det kan bli störningar om det inte går att nå exempelvis en app för att kunna hantera öppning av dörrar till en anläggning. För att minimera störningar så måste det finnas tydliga rutiner hur en sådan situation ska hanteras. Spårbarhet Det finns en mängd information i en mobil enhet som det är möjligt att få fram. Varje verksamhetssystem har sina egna loggar och dessa är framtagna utifrån de behov som finns för respektive system och hantering av den aktuella informationen i respektive system. 4.4 Riskhantering Riskvärdering innebär ett uppskattat värde på den risk som man har identifierat. Riskvärdet får man fram genom att uppskatta sannolikheten att händelsen skall inträffa samt nivån på den konsekvens som detta skulle innebära. Produkten av dessa värden är uppskattad risknivå. Analysen har använts sig av de rekommendationer som MSB (Myndigheten för samhällsskydd och beredskap) har gett ut. Vad de olika nivåerna för konsekvenserna innebär varierar mellan olika verksamheter. Det viktiga är att få en inbördes rangordning mellan de olika hoten. Dessa värden är ingen faktisk sanning men den diskussion som leder fram till vilket värde som sätts är viktig och ger en förståelse för vilka hot som kan finnas mot verksamheten. När samtliga hot är analyserade är det viktigt att se över om den inbördes riskvärderingen verkar rimlig. 4.4.1 Sannolikhet (S) att händelsen skall inträffa 1 = En gång på100 år 2 = En gång på 10 år 3 = Årligen 4 = Mer än 1 gång per år 4.4.2 Konsekvens (K) för verksamheten om händelsen skulle inträffa 1 = Försumbar 2 = Måttlig Rapport Informationssäkerhetklassning och riskanalys Sida 6 av 9
3 = Betydande 4 = Allvarlig 4.4.3 Risknivå Risknivån räknas fram genom att multiplicera värdet för sannolikhet med värdet för konsekvens. 4.5 Beskrivning av hot och eventuella åtgärder Hot 1 HOT Vid byte av mobil enhet finns det risk att information inte lagras på ett säkert sätt ÅTGÄRDSPLAN Rutin vid byte av mobil Utbildning/information till användare Användning av EMM-verktyg minimerar den mänskliga faktorn - Web@work - Docks@work Bättre kontroll på att mobila enheter raderas Konfigurera MobileIron Bättre kontroll hos förvaltningarna vilka mobila enheter som finns Hot 2 HOT Obehörig har på något sätt kommit över en enhet med tillgång till dess innehåll ÅTGÄRDSPLAN Backup-plan ex. om en IPAD går sönder Tydlig rutin om mobil tappas bort eller blir stulen. - Gäller både verksamheten och ansvariga för MobileIron Upprätta rutin om bl.a. uppdateringar av enheter Tydliggöra det egna ansvaret Företagsbubbla EMM för att underlätta radering vid behov Rapport Informationssäkerhetklassning och riskanalys Sida 7 av 9
Hot 3 HOT Möjliga mobila funktioner kan inte användas ÅTGÄRDSPLAN Backupplan måste finnas för att användare ska veta vad som gäller om denna situation inträffar 4.6 Åtgärdsplanering Åtgärdsplanering innebär att gruppen föreslår skadeförebyggande och skadebegränsande åtgärder. Innan man tar fram förslagsåtgärder så bör man ställa följande frågor för respektive hot: - Det nuvarande skyddet bedöms vara tillräckligt Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt men verksamheten accepterar de kvarvarande riskerna Ja/Nej - Det nuvarande skyddet bedöms inte vara tillräckligt och det behövs ytterligare åtgärder Ja/Nej Steg 1: Beskriv vilka ytterligare åtgärder som bör genomföras och vad som behöver prioriteras. Steg 2: Uppskatta kostnaden för åtgärden. Detta skall ställas i relation till den verksamhetsnytta som åtgärden kommer att ge. Att genomföra åtgärder innebär utgifter och därför är det viktigt att tydligöra nyttan med att genomföra åtgärden. 4.6.1 Prioritering Till samtliga åtgärder finns också en rekommendation om genomförande ur ett tidsperspektiv angiven. Förslag på när åtgärden bör vara genomförd: 1 = Åtgärden bör genomföras omgående 2 = Åtgärden bör genomföras inom 6 månader 3 = Åtgärden bör genomföras inom 12 månader 4.6.2 Ansvarig Namn på den som är ansvarig för att den framtagna åtgärdsplanen hanteras. 5 Handlingsplan I handlingsplanen ges förslag på vilka åtgärder som bör genomföras samt en prioritering av dessa. Prioritet Åtgärd Tid Ansv. Klart En backup-plan ska finnas så att det är tydligt vilka åtgärder som ska Fritid vidtas om mobila funktioner inte går att använda Rutin som tydliggör vilka åtgärder som behöver vidtas om en mobil Fritid enhet går sönder Rutin som tydliggör vilka åtgärder som behöver vidtas om en mobil Fritid/IT enhet blir stulen eller tappas bort Tydliggöra det egna ansvaret hos respektive medarbetare när det Fritid/IT gäller hantering av mobila enheter utbildning/information Upprätta policy om bl.a. uppdateringar av enheter IT Företagsbubbla EMM för att underlätta radering vid behov IT Rapport Informationssäkerhetklassning och riskanalys Sida 8 av 9
Kontrollera att mobila enheter raderas på ett säkert sätt Fritid/IT Rapport Informationssäkerhetklassning och riskanalys Sida 9 av 9