1 Ht ch så rbårhetskåtålg f r medlemmår i Såmbi Innehållsförteckning 1. Syfte... 2 2. Ansvar... 2 3. Risk... 3 3.1. Skyddsvärde... 3 4. Skada... 3 4.1. Legala krav... 3 5. Ht... 4 5.1. Htaktörer... 5 5.2. Htlista... 6 5.2.1. Infrmatinssäkerhetsplicy... 6 5.2.2. Organisatin av infrmatinssäkerhetsarbetet... 6 5.2.3. Persnalsäkerhet... 7 5.2.4. Hantering av tillgångar... 7 5.2.5. Styrning av åtkmst... 9 5.2.6. Kryptering... 9 5.2.7. Fysisk ch miljörelaterad säkerhet... 9 5.2.8. Driftsäkerhet... 10 5.2.9. Kmmunikatinssäkerhet... 10 5.2.10. Anskaffning, utveckling ch underhåll av system... 10 5.2.11. Leverantörsrelatiner... 10 5.2.12. Hantering av infrmatinssäkerhetsincidenter... 11 5.2.13. Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet.. 11 5.2.14. Efterlevnad... 11 6. Sårbarhet... 11 6.1. Sårbarhetslista... 11 6.1.1. Infrmatinssäkerhetsplicy... 11 6.1.2. Organisatin av infrmatinssäkerhetsarbetet... 12 htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
2 6.1.3. Persnalsäkerhet... 12 6.1.4. Hantering av tillgångar... 12 6.1.5. Styrning av åtkmst... 13 6.1.6. Kryptering... 13 6.1.7. Fysisk ch miljörelaterad säkerhet... 13 6.1.8. Driftsäkerhet... 13 6.1.9. Kmmunikatinssäkerhet... 14 6.1.10. Anskaffning, utveckling ch underhåll av system... 14 6.1.11. Leverantörsrelatiner... 14 6.1.12. Hantering av infrmatinssäkerhetsincidenter... 15 6.1.13. Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet.. 15 6.1.14. Efterlevnad... 15 7. Appendix Riskanalysens arbetsuppgifter... 16 1. Syfte Detta dkument listar ett axplck ptentiella ht, ett antal sårbarheter samt ett urval legala krav sm kan vara aktuella för en medlem i Sambi (Samverkan för behörighet ch identitet inm hälsa, vård ch msrg) i dess rll sm E-legitimatinsutfärdare, Identitetsintygsutgivare, Attribututgivare ch/eller Tjänsteleverantör. Dkumentet kan även med fördel användas av Leverantör till Medlem. Dessa listr gör inget anspråk på att vara fullständiga eller att allt sm listas är relevant för varje medlem. Listan är mer tänkt att fungera sm en hjälp, inspiratin ch checklista för riskanalysen. Medlem bör ha mvärldsbevakning för att hålla sin riskanalys aktuell då vi lever i en ständigt föränderlig värld. 2. Ansvar Infrmatinssäkerhet är en tvärsektriell fråga sm berör alla ch det ställer ökade krav på samverkan mellan interna ch externa aktörer hs medlemmen. Kunskapsuppbyggnad, uppföljning ch utvärdering är centrala inslag i styrningen av denna typ av frågr vilket ställer ökade krav på ledningens förmåga att priritera mellan ch samrdna lika perspektiv. Det finns ett mfattande regelverk sm behandlar infrmatinssäkerhetsmrådet. Reglerna anger bland annat vilka krav sm ställs på aktörerna inm vård, hälsa ch msrg. Reglerna för medlemmen återfinns i tillitsramverket, i lagstiftning ch genm förrdningar m.m. Vissa myndigheter har ckså utfärdat föreskrifter ch allmänna råd. htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
3 Vad gäller att ta fram risk-, ht- ch sårbarhetsanalyser, samt vidta säkerhetsåtgärder för att kmma till rätta med brister är arbetet baserat på verksamhetsansvaret ch ansvarsprincipen. Verksamhetsansvaret innebär att varje enskild medlem är ansvarig för att den egna infrmatinssäkerheten är tillräcklig utifrån den dagliga verksamhet medlemmen bedriver. Ansvarsprincipen innebär att den medlem sm nrmalt ansvarar för en verksamhet har samma ansvar att infrmatinssäkerheten fungerar även under en krissituatin. Därför genm verksamhetsansvaret ch ansvarsprincipen har medlemmen en åtagande att aktivt samverka med andra medlemmar ch federatinsperatören för att kunna lösa sina uppgifter. 3. Risk Medlemmens dimensinering av ledningssystemet för infrmatinssäkerhet ska ske mt infrmatinssäkerhetsrisken via en riskanalys. Inm IT-säkerhet betraktas risken sm någt dåligt. Risken kan utryckas i frm av kmbinatin av ht ch sårbarhet (risk = ht x sårbarhet) där risken blir sannlikheten för att ett givet ht realiseras ch därmed uppkmmande skada. Denna skada kan vara mt hälsa eller liv men ckså annat sm exempelvis skada på persnliga integriteten, eknmisk, förtrende eller miljö. Fastställande av risken sker med hjälp av en riskanalys, den sm söker förslag till en enkel metd rekmmenderas att ta till sig MSB dkumentet Riskanalys 1 3.1. Skyddsvärde Skyddsvärde används för att filtrera risker. Medlemmen behöver vid riskanalysen ta hänsyn till skyddsvärdet eftersm av legala eller andra rsaker, exempelvis vid behv av tillgänglighet, är värt mer att skydda än annat. 4. Skada Skadan är knsekvensen av att en risk realiseras. Vård, hälsa ch msrg regleras av en mängd lika krav, interna sm externa (inklusive legala). Att förlra förmågan att uppfylla ställda krav, avsett m dessa är utryckta i text eller sm våra implicita förväntningar kan resultera i skada hs användarrganisatin eller tjänsteleverantörer men även tredjepart kan ta skada exempelvis patienten vars persnliga integritet blir kränkt. 4.1. Legala krav Arbetet inm vård, hälsa ch msrgssektrn regleras i viktiga delar av krav i lagstiftningen. Lagar ch föreskrifter kan innehålla krav sm behöver tas med i riskanalysen ch sm därmed kan påverka rganisatinens ledningssystem för infrmatinssäkerhet (LIS). Medlemmen uppmanas därför att försäkra sig m att ha en lista av lagar ch föreskrifter sm är relevanta, kmpletta ch aktuella för den egna verksamheten. Sm hjälp, inspiratin ch checklista vid riskanalysen har det sammanställts 1 MSB dkument för Riskanalys återfinns sm en del av metdstödet på webbplatsen http://www.infrmatinssäkerhet.se htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
4 ett extrakt av lagar sm är aktuella inm vård, hälsa ch msrgssektrn. Några av de viktigaste lagarna inm sektrn är (listan uppdaterades senast 2015-02-19): Persnuppgiftslag (1998:204) Patientlag (2014:821) Apteksdatalag (2009:367) Lag (2005:258) m läkemedelsförteckning Lag (1996:1156) m receptregister Patientsäkerhetslagen (2010:659) Förrdning (2006:196) m register över häls- ch sjukvårdspersnal Scialtjänstlagen (2001:453) Lag (2001:454) m behandling av persnuppgifter inm scialtjänsten Förrdning (2001:637) m behandling av persnuppgifter inm scialtjänsten Lagen (1993:387) m stöd ch service till vissa funktinshindrade Patientdatalagen (2008:355) Offentlighets- ch sekretesslag (2009:400) Smittskyddslagen (2004:168) Lagen (2008:286) m kvalitets- ch säkerhetsnrmer vid hantering av mänskliga vävnader ch celler Lagen (1993:584) m medicintekniska prdukter 5. Ht Att medlemmen ska eftersträva gd infrmatinssäkerhet handlar inte bara m att följa de regler sm finns för verksamhetens skull. I dagens samhälle är tillgång till tillförlitlig infrmatin, fta i realtid, en kritisk resurs. Ht är en möjlig, önskad händelse med negativa knsekvenser för verksamheten. En str del av den infrmatin sm skapas ch lagras i systemen är viktig ch samtidigt känslig. Åtkmst till system inm vård, hälsa ch msrg bygger på identiteter ch behörigheter kan fungera. Persnuppgifter innehåller integritetskänslig infrmatin, vilket därför mgärdas av särskild lagstiftning inm vård, hälsa ch msrg. Det handlar exempelvis m infrmatinen i beställningssystem, patientjurnaler, utredningar eller frskningsverksamhet. Andra exempel på känslig infrmatin rör exempelvis medicintekniska tjänster, persnalregister ch förhållanden sm rör läkemedel. Är infrmatinen förlrad, stulen, manipulerad eller spridd till behöriga kan det få htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
5 allvarliga följder. Dessutm tillkmmer att berenden ch kpplingar mellan lika tekniska system mellan medlemmarna är en sårbarhetsfaktr i sig genm att störningar kan få knsekvenser sm både är svåra att förutse ch hantera sm ökar ckså risken för att verksamheten inte kan bedrivas på ett tillfredsställande sätt m inte IT-verksamheten fungerar. 5.1. Htaktörer Det grundläggande prblemet avseende infrmatinssäkerhet är att det för en htaktör räcker med ett hål för att ta sig in medan medlemmen måste hantera samtliga möjliga svagheter. Dessutm kan medlemmen endast testa ch skydda sig mt de svagheter sm han känner till. Resurserna sm finns tillgängligt hs htaktören för att genmföra htet har str variatin avseende mfattning, kapacitet, knsekvens, tillfälle ch uttålighet. Detta medför att sannlikheten ch knsekvenserna för varje ht måste analyseras även där intentinen för htaktören kan vara svår att prediktera, exempelvis för hårdvarufel i en databasdisk sm hör till en mlntjänst. En kvalificerad aktör kan lägga resurser på att kartlägga en unik eller känd säkerhetsbrist samt utveckla egna innvativa verktyg för att explatera denna. Detta kan utmynna i ett instrument sm skulle kunna vara verksamt för intrång, ch därpå följande extraktin av infrmatin ur i princip samtliga nätverk sm tillämpar hård eller mjukvara sm bär på säkerhetsbristen. Vad sm gör till verklighet ett ht varierar från stater ch statsunderstödda aktörer, terrrister, rganiserad brttslighet till fel ch störningar sm inte rsakas av antagnister utan berr på mjuk- eller hårdvarufel, prcessbrister, bristande kvalitetskntrll, slarv, missbedömningar eller rena lycksfall. Dessutm finns det ht ch risker sm inte uppstår på grund av angrepp, utan snarare på grund av rganisatinens egna misstag ch bristfälliga riskhantering. 2 Exempel på htaktörer: Nuvarande ch tidigare anställda Patienter, nuvarande ch tidigare Hackers, enskilda ch rganisatiner Kriminella, enskilda ch rganisatiner Hårdvara Mjukvara Infrastruktur Myndigheter, frskare samt andra rganisatiner, interna sm externa Pressen ch andra nyfikna Knkurrenter Naturen ch miljön Men även där verksamheten styrs av tydliga regler så kan det uppstå en värdeknflikt i utförandet. Instruktinerna sm förväntas gynna hög infrmatinssäkerhet kan hamna knflikt med användarens 2 Infrmatinssäkerhet trender 2015 Myndigheten för samhällsskydd ch beredskap (MSB) Publ.nr: MSB779 - januari 2015 ISBN: 978-91-7383-509-1 htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
6 önskemål, exempelvis att lätt minnas sitt lösenrd. Där kan den sm utlöser en händelsekedja inte ens är medveten m sin aktörsrll, exempelvis genm att utnyttja återanvända lösenrd sänker eller helt undanröjer kntrllen sm ska ske vid inlggning. Därför räcker det inte bara med att analysera ett yttre eller inre ht utan även hur regler ch metder sm förväntas vara riskreducerande fungerar i praktiken i strt hs medlemmen ch hs den enskilda medarbetaren samt hs leverantören. Detta medför ckså att uppföljning ch förbättringar av ledningssystemets tillämpning har str betydelse för att minska på riskerna. 5.2. Htlista För att genmföra en riskanalys behövs en aktuell lista på relevanta ht. Nedanstående lista av ht speglar främst strukturen i standarden ISO27002, Infrmatinsteknik-Säkerhetstekniker-Riktlinjer för infrmatinssäkerhetsåtgärder. För att förenkla listan så har inte varje ht tagits upp överallt även m htet är applicerbar på flera eller alla rubrikerna. Detta medför behv av att bedöma htets mfattning, kapacitet, knsekvens, tillfälle ch uttålighet är någt sm bör utföras sm en naturlig del av riskanalysen. Listan bör kunna fungera sm en hjälp, inspiratin ch checklista vid insamling av underlag till riskanalysen. Här följer en lista av ht: 5.2.1. Infrmatinssäkerhetsplicy Avbrtt eller fel hs affärsprcesser Avsaknad av eller felaktig riskanalys Ej utförd eller felaktig infrmatinssäkerhetsanalys 5.2.2. Organisatin av infrmatinssäkerhetsarbetet Avsaknad av infrmatinsägare Avsaknad av kunskap m prcesser, prcessteg ch rutiner Avsaknad av prcessteg ch rutiner för att göra tillräcklig hantering i samband med prjektavslut, avslutad anställning eller avslutat uppdrag Avsaknad av prcessteg ch rutiner för att göra tillräckligt kravarbete i samband med prjektering, inköp eller utveckling Avsaknad av rutin för hur datrskärmar, tangentbrd ch infrmatinsbärare placeras i utrymmen med yttre insyn Avsaknad av systemägare Avsaknad av, fullständiga eller felaktiga styrdkument Delade ansvarsförhållanden Ej utdelat ansvar Felaktig kunskapsnivå Felaktiga behörighetstilldelningar Företagsbrttslighet Gruppkntn sm saknar ansvarig ägare Infrmatinsägare sm inte känner till sitt ansvar Kmpetensutarmning Nyckelpersnberenden Oklara ansvarsförhållanden htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
7 Otillräcklig kmpetensförsörjning Permanent eller temprär frånvar eller undersktt av persnal Prcesser, prcessteg ch rutiner är ej dkumenterade, har fullständig eller felaktig dkumentatin Resursbrist Styrdkument sm saknar förankring Systemägare sm inte känner till sitt ansvar 5.2.3. Persnalsäkerhet Ansvar för anställdas aktiviteter Bedrägeri Cyberstalking Diskriminering Fysiskt överfall för att kmma åt eller skada infrmatin Försäkringsbedrägeri Hämnd mt arbetsplats Manipulering Mänskliga fel Pandemier ch sjukdm Passiv-aggressivt beteende Rättssak mt arbetsgivare Skandaler Tjänstefel Vandalism Vårdslöshet 5.2.4. Hantering av tillgångar Angrepp med hjälp av eller via sciala applikatiner Angrepp med hjälp av eller via sciala metder Användarfel Att kmprmettera knfidentiell infrmatin Avsaknad av eller felaktig infrmatinsklassning Avsaknad av eller felaktig rutin för infrmatinsklassning Avsaknad av eller felaktig systemklassning Avsaknad av eller felaktiga rutiner för destruktin av infrmatin ch infrmatinsbärare Avsaknad av eller felaktiga rutiner för gallring av infrmatin Avsaknad av eller felaktiga rutiner för systemklassning Bakdörr / fallucka Bedrägeri Brtt mt lagstiftningen Dirty tricks DNS attack Dålig publicitet htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
8 Expnera affärshemligheter Expnera strategi ch nya prdukter Förskingring Förfalskning av register Försäljning av stulen infrmatinen Illegal infiltrering Immaterialrätt stöld Industrispinage Infrmatinsläckage Infrmatin utpressning Insider röjer skyddsvärd infrmatin till behörig IP spfing Hemsida förvanskning Man-in-the-middle-attack Mutr Missbruk av infrmatinssystem Nätverks sniffning Oavsiktlig förändring av data i ett infrmatinssystem Oavsiktligt röjande av skyddsvärd infrmatin Obehörig användning av upphvsrättsskyddat material Obehörig åtkmst till infrmatinssystemet Obehöriga ändringar av pster Obehörig fysisk tillgänglighet till infrmatin Patentintrång Phishing Prisövervakning Spam Spinprgram System manipulering System penetrering Skadr rsakade av tredje part Smutskastning Scial ingenjörsknst Spineri Stöld Söker upp knfidentiella infrmatin för egen eller andras vinning TCP / IP-kapning Tillgrepp av frskningsresultat Tjuvlyssning Trjan Upphvsrättsintrång Utläggning ch hantering av skyddsvärd infrmatin på prjektplatser htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
9 Utlämnande av infrmatin Utpressning VPN tunnel kapning Virus Wrms Återspelningsattacker 5.2.5. Styrning av åtkmst Avsaknad av eller felaktig rutin för besökshantering Avsaknad av eller felaktig rutin för plicy/rutin Rent skrivbrd ch tm skärm Avsaknad av eller felaktig rutin för skärmlåsning eller lösenrdslåst skärmsläckare Avsaknad av eller felaktiga rutiner för att ta brt icke aktiva användare Dld eller falsk användaridentitet Felaktig behörighetsadministratin För höga behörigheter hs användare För höga behörigheter hs persnal i helpdesk För höga behörigheter hs persnal sm arbetar med testning För höga behörigheter hs persnal sm jbbar med utveckling Hanteringen av gruppkntn saknar eller har felaktiga rutiner Lösenrdsattack Utlämnande av lösenrd utan kntrll av mttagare 5.2.6. Kryptering Avlyssning Avsaknad av eller felaktiga rutiner för hantering av kryptnycklar ch kryptteknik Knäcka kryptering Återspelning 5.2.7. Fysisk ch miljörelaterad säkerhet Avsaknad av eller felaktig rutin för brandsyn Avsaknad av eller felaktiga rutiner för hantering av säkerhet ch skydd Blixt Bmb attack Bmbht Brand Farligt material relaterade händelser Förreningar, exempelvis luftburna Skred Sleruptin Strmar Terrristattacker Vandalism Översvämning htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
10 5.2.8. Driftsäkerhet Attacker på fysisk infrastruktur Avsaknad av eller felaktiga rutiner för att underhålla skydd mt skadlig kd Avsaknad av eller felaktiga rutiner för hantering av larm ch akuta händelser Destruktin av jurnaler Felaktiga rutiner för kntrll av spårdata ch lggar Förlust av el Förlust av stödtjänster Fel på utrustning Missbruk av releaseverktyg Obehörig användning av prgramvara Obehörig installatin av prgramvara Prgram fel Strejk i den egna rganisatinen eller hs leverantör Sabtage Sabtageprgram Skadlig kd Skadr till följd av penetratinstester Strejk, arbetstagares eller lckut, arbetsgivares åtgärder 5.2.9. Kmmunikatinssäkerhet Fel i kmmunikatinslänkar Fysisk störning av kmmunikatiner Tillgång till nätet av behöriga 5.2.10. Anskaffning, utveckling ch underhåll av system Avsaknad av eller felaktiga rutiner för att utrangera gammal utrustning Avsaknad av eller tillräcklig testning ch kvalitetskntrll Avsaknad av eller tillräcklig uppföljning ch/eller kntrll Avsaknad av prcessteg eller rutiner för att genmföra nödvändig hantering i samband med utrangering av datamedia, system eller infrastrukturutrustning Avsaknad av rutiner för dkumentatin av systemknfiguratin Fel i underhåll 5.2.11. Leverantörsrelatiner Avsaknad av eller felaktiga avtalsvillkr på leverantör i samband med utkntraktering Avsaknad av eller fullständigt styrande kntrakt ch avtal Avsaknad av kravställning på leverantör i samband med utkntraktering Avsaknad av säkerhetsbilagr till kntrakt ch avtal Avsaknad av uppföljning av existerande styrande kntrakt ch avtal Brtt mt avtalsförhållanden Ej utförd eller felaktigt utförd säkerhetsskyddad upphandling Felaktig kravställning på leverantör i samband med utkntraktering htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
11 5.2.12. Hantering av infrmatinssäkerhetsincidenter Avsaknad av eller felaktiga rutiner för hantering av säkerhetsrelaterade IT-incidenter Avsaknad av eller felaktiga rutiner för hantering av säkerhetsrelaterade IT-incidenter Avsaknad av eller felaktiga rutiner för uppföljning av säkerhetsrelaterade IT-incidenter Falsifierade IT-incident rapprter 5.2.13. Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet Avsaknad av eller felaktig krishantering Avsaknad av kntinuitetsplanering Ej efterlevnad av kntinuitetsplaner Ej övad kntinuitetsplanering Felaktig eller ej uppdaterad kntinuitetsplanering 5.2.14. Efterlevnad Avsaknad av rutiner för kntrll av spårdata ch lggar Ingen uppföljning eller utvärdering av effekt, kvalitet eller knsekvens hs prcesser, prcessteg eller rutiner 6. Sårbarhet Sårbarhet inm infrmatinssäkerhet är svaghet gällande en tillgång eller grupp av tillgångar, vilken kan utnyttjas av ett eller flera ht sm därmed expnerar rganisatinen för en risk. Därför är sårbarhet den sammanvägda bilden av vår förmåga att skydda system, infrastruktur, verksamhet eller infrmatin utifrån säkerhetsmedvetande, tillgängliga resurser ch expneringen i tid ch rum. 6.1. Sårbarhetslista Genm att förstå sårbarheten så öppnas möjlighet att hantera risken. Nedanstående lista av sårbarheter speglar främst strukturen i standarden ISO27002, Infrmatinsteknik- Säkerhetstekniker-Riktlinjer för infrmatinssäkerhetsåtgärder. Dessa presenterade sårbarheter gör inget anspråk på att vara en kmplett lista eller att samtliga sårbarheter är relevanta för medlemmens verksamhet, resurser eller infrmatin. Listan bör fungera sm en hjälp, inspiratin ch checklista vid insamling av underlag till riskanalysen. Här följer en lista av sårbarheter: 6.1.1. Infrmatinssäkerhetsplicy Affärsprcess förändring saknar eller brister i infrmatinssäkerhetsanalys Affärsprcess har brister Brist på intern dkumentatin Brist på riskanalys Bristande tillgång till styrande regler ch instruktiner samt kntrllregler Otillräcklig förändringsledning Otillräckligt säkerhetsmedvetande htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
12 Otillräckliga affärsregler Otillräckliga affärsstyrning Prcesser sm inte tar hänsyn till mänskliga faktrer 6.1.2. Organisatin av infrmatinssäkerhetsarbetet Avsaknad av eller felaktig skräppsthantering Anslutning av persnliga enheter till företagsnätverket Brist på infrmatinssäkerhetsmedvetande Brist på rutiner för att scanna in infrmatin Brist på rent skrivbrd ch tydlig tm skärm plicy Diskutera infrmatin på ffentliga platser E-psta dkument med infrmatin För mycket behörighet i en persn Förlra säkerhetsdsr, mbiltelefner (läsplatta, laptp) med säkerhetsappar eller autentiseringskrt såsm ID-krt Installera tillåten prgramvara eller appar Interaktin med kunden Lagrar infrmatin på mbila enheter sm mbiltelefner, läsplattr, laptp, etc Låta behöriga få tillgång till arbetsplatsen Otillräcklig åtskillnad mellan lika funktiner Skicka ch dkument Skriva ner lösenrd ch känslig infrmatin Scial interaktin Ta brt eller inaktivera säkerhetsverktyg Tillgång till infrmatin utanför kntret (papper, mbiltelefner, bärbara datrer) 6.1.3. Persnalsäkerhet Brist på eller för låg påföljd när man inte följer infrmatinssäkerhetsplicy ch regler Brister i rekryteringsprcessen Omtiverade anställda Otillräcklig utbildning av medarbetare Otillräcklig övervakning av anställda Saknar psitiv mtivering för att följa infrmatinssäkerhetsplicy ch regler Tidigare anställda sm arbetar för knkurrenter Tidigare anställda behåller företagets infrmatin Tidigare anställda diskuterar rganisatinens angelägenheter Utför inte säkerhetsprövning 6.1.4. Hantering av tillgångar Bristande hantering för avveckling av infrmatin Bristande hantering kapacitet Bristande kntrll över infrmatin sm går in ch ut Enkelt att kpiera Okntrllerad kpiering av infrmatin Okntrllerad nedladdning från Internet Otillräcklig klassificering av infrmatin htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
13 6.1.5. Styrning av åtkmst Användarrättigheter inte regelbundet granskade Brist på förfarandet för att ta brt åtkmsträttigheter vid uppsägning Brist på system för identifiering ch autentisering Brist på validering av behandlad infrmatin Fildelning överrider behörighetskntrllen Kmplicerade användargränssnitt Lösenrd tillåts utan granskning av deras frceringsstyrka eller återanvändning Medlemskap i sciala nätverk öppnar upp för infrmatinsinsamling Okntrllerad användning av infrmatinssystem Otillräcklig kntrll av fysisk åtkmst Otillräcklig lösenrdshantering Snabba tekniska förändringar Specialsystem sm man vet för lite m Tekniska hinder för att åstadkmma önskad styrning Webbläsare 6.1.6. Kryptering Brist på plicy för användning av kryptgrafi Otillräckligt skydd för kryptgrafiska nycklar 6.1.7. Fysisk ch miljörelaterad säkerhet Kntr ch datacenter anläggningar vars placering är så att de kan ta skada av naturkatastrfer Opålitliga strömkällr Otillräcklig fysiskt skydd Otillräckligt kablage säkerhet utanför Sveriges gränser Platsen sårbar för översvämningar Platsen är lkaliserad i mråde med hög brttslighet Platser sm är plitiskt instabila Platser under statlig spineri, exempelvis där kmmunikatin, systemdelar eller tjänsten utförs Samlar kritisk eller all infrmatin i samma gegrafiska plats Utrustning känslighet för fukt ch förreningar Utrustning känslighet för temperatur 6.1.8. Driftsäkerhet Brist på backup Brist på redundans Bristande underhåll Fel i systemdriften Felaktig knfiguratin av hårdvara Hårdvara känslighet för damm, värme ch fukt Hårdvara med knstruktinsfel Knfiguratinsfel ch missade säkerhetsmeddelanden htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
14 Missat säkerhetsuppdateringar Otillräcklig eller regelbunden backup Otillräcklig IT-kapacitet Utgången eller inte underhållen hårdvara Utrustning känsligheten för förändringar i spänning 6.1.9. Kmmunikatinssäkerhet Alltför stra privilegier Använder Wifi-nät Använder Bluetth kpplade tangentbrd Brist på skydd för mbil utrustning Oskyddad nätverkskmmunikatin Osäkra nätverksarkitektur Outnyttjade användar-ids Onödiga jbb ch skript sm utför uppgifter på infrmatin eller knfiguratin Oskyddade ffentliga nätverksanslutningar Otillräcklig nätverkshantering Vidareförmedlar rganisatinens nätverk via egen ruter exempelvis i mbila enheter sm mbiltelefner, läsplattr, laptp, etc Öppna fysiska anslutningar, IP-adresser ch prtar 6.1.10. Anskaffning, utveckling ch underhåll av system Avyttring av lagringsmedia utan att radera infrmatin Brist på verifieringskedja Kunderna har tillgång till säkra mråden Kundens tillgång till infrmatin (exempelvis via kundprtal) Odkumenterad prgramvara Otillräcklig ersättning av äldre utrustning Otillräcklig förändringsledning Otillräcklig segregering av perativa- ch testanläggningar Otillräcklig testning Oskyddad användarinmatning Otillräcklig testning av prgramvara Prgramvarubuggar ch knstruktinsfel Prgramvara sm inte tar hänsyn till mänskliga faktrer Prgramvarans kmplexitet Prgramvara sm en tjänst (överlåtit kntrllen av infrmatin) Prgramleverantörer sm går i knkurs eller byter ägare 6.1.11. Leverantörsrelatiner Avsaknad av eller bristfällig supprt på levererad prgramvara ch tjänster Delar knfidentiell infrmatin med partners ch leverantörer Dålig val av testdata Försörjningsavbrtt på infrmatin htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
15 Levererad prgramvara är buggig Ofullständig specifikatin för prgramvaruutveckling Otillräcklig övervakning av leverantörer Partners ch leverantörer saknar eller brister i infrmatinssäkerhet Störningar av telekmtjänster Störningar av allmännyttiga tjänster såsm el, gas, vatten 6.1.12. Hantering av infrmatinssäkerhetsincidenter Otillräcklig incident ch prblemhantering 6.1.13. Infrmatinssäkerhetsaspekter avseende hantering av verksamhetens kntinuitet Brist i kntinuitetsplanering 6.1.14. Efterlevnad Brist på regelbundna revisiner Brist på eller dålig tillämpning av internrevisin Övertr på säkerhetsgranskningar htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
16 7. Appendix Riskanalysens arbetsuppgifter Fastställande av risken sker med hjälp av en riskanalys. Detta appendix visar ett förslag till hur detta görs med den metd sm rekmmenderas i MSB dkumentet Riskanalys 3, kapitel 3, Riskanalysens arbetsuppgifter. Övriga avsnitt i dkumentet avseende förberedelser ch sammanställning hänvisas direkt till källan. Välj ch beskriv analysbjektet Bestäm dig för vad sm ska analyseras, exempelvis attributkälla ch intygsutgivare. Flera analysbjekt Har du flera bjekt att analysera så beskriv bjektet ch dess avgränsningar. Ta ett bjekt i taget, exempelvis: attributhantering för tillfälligt anställda. Identifiera ht ch sårbarheter Htlistan är lång, välj ut vilka ht är relevanta för bjektet sm ska analyseras. När du ser listan så känner du kanske igen några ht sm redan har inträffat ch några sm kan inträffa. För detta analysbjekt så upplevs nedanstående ht under rubriken Styrning av åtkmst sm relevanta: Felaktig behörighetsadministratin För höga behörigheter hs användare Om någn av vanstående ht inträffar, ställ frågan vilken skada sm kan rsakas m htet realiseras, exempelvis gör en tydlig beskrivning att med för höga behörighet så kan en medarbetare få tillgång till att ändra infrmatin sm är förbjudet enligt lagstiftningen. Sårbarhetslistan hanteras på mtsvarande sätt ger förslag på sårbarheter i analysbjektet, vad det är sm kan ge en öppning i analysbjektet, exempelvis så kan följande vara relevanta: Användarrättigheter inte regelbundet granskade Brist på förfarandet för att ta brt åtkmsträttigheter vid uppsägning Beskriv vad det finns för sårbarheter i analysbjektet sm är relevant, exempelvis: användarrättigheter för tillfälligt anställda sm återkmmer på nytt till arbetsplatsen återfår de behörigheter sm persnen hade förut. 3 MSB dkument för Riskanalys återfinns sm en del av metdstödet på webbplatsen http://www.infrmatinssäkerhet.se htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
17 Att tänka på i gruppdiskussinen Dkumentera htet ch sårbarheten, gå vidare i att söka fler ht ch sårbarheter i analysbjektet, lämna lösningstänket till senare, gör bilden tydlig så att deltagarna förstår sammanhanget. Sammanställ ch gruppera ht Ta brt dubbletter ch förbättra beskrivningarna. Få till en kmplett lista av ht ch sårbarheter sm kan grupperas ihp, vissa kan överlappa varandra, en ht kan angripa flera sårbarheter eller lika kmbinatiner av ht ch sårbarheter. Bedöm risken knsekvens ch sannlikhet Knsekvensen av att ett ht realiseras är en beskrivning av skadan. Skadan kan bli verklig på många lika sätt, exempelvis så kan en persn få fel rll i systemet men sm i all välvilja skriver in en upplysning sm av andra uppfattas sm diagns resultera senare i en allvarlig skada hs en patient. Förslag på att gradera knsekvensen: försumbar skada måttlig skada betydande skada allvarlig skada När säkerhetsåtgärden är stark så kanske htet inträffar mycket sällan men är sårbarheten str hs analysbjektet så ökar sannlikheten att htet kan penetrera sårbarheten. Förslag på att gradera sannlikheten att htet kan penetrera sårbarheten: mycket sällan en gång på 100 år sällan en gång på 10 år regelbundet - årligen fta mer än en gång per år htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx
18 Inplacering av hten i en matris Skapa en matris ch placera in identifierade ht ch sårbarheter utifrån deras knsekvens (den skada de kan tillsammans åstadkmma) ch sannlikhet, se figuren nedan: Figur 1 Matris med inlagd ht ch sårbarhet Det kan behövas flera matriser för att täcka ett analysbjekt ch ha lika matriser för varje analysbjekt. Ta fram åtgärdsförslag priritera Matrisen visar var det finns högst risk. Skyddsvärdet kan variera ch behöver tas med vid arbetat att priritera ch i vilken rdning att ta fram åtgärdsförslag. htkatalg 2015-03-02_v1.dcxHtkatalg 2015-03-02_v1.dcx