Sådan beskytter du dig mod datamisbrug á la Nets

Er det nemt at lække kritiske data fra dine databaser, eller er kontrolsystemerne gode nok? Få gode råd til at beskytte følsomme oplysninger og undgå din egen Nets-skandale.

Afsløringerne af systematisk overvågning af kendte og kongelige via en medarbejder hos IBM, der havde adgang alle transaktionsdata hos Nets, har fået sat nyt fokus på datasikkerhed.

Sikkerheden og databeskyttelsen af de mange fyldige databaser med oplysninger om Danmarks befolkning har måske ikke været så god, som mange gik og troede – når for eksempel kundeservicemedarbejdere hos Nets kunne slå betalingsdata om alle mulige op, blot ud fra navn. Men er din egen organisation beskyttet godt nok? Version2 har spurgt to eksperter, der til dagligt rådgiver om bedre databeskyttelse.

Læs også: Nets bekræfter tegn på misbrug: Nu skal sikkerheden strammes op

Læs også: Nets kendte til insider-læk siden januar 2013

Første trin er helt klassisk, nemlig at få et overblik over alle data, man gemmer rundt omkring, og dele dem ind efter følsomhed. Dernæst skal man afgøre, hvem der overhovedet må få adgang til følsomme og super-følsomme oplysninger.

»Det gør det muligt at tildele adgangsrettigheder og beføjelser på et tilstrækkeligt sikkerhedsniveau. Men hvis man ikke har stærke procedurer til at vedligeholde de adgangsrettigheder, så er der risiko for, at medarbejdere får adgang, de ikke skulle have, til meget fortrolig information. Det klassiske eksempel er en elev, som bliver sendt på rundtur til mange forskellige afdelinger, og som ikke får slettet sine beføjelser løbende,« siger Jørgen Sørensen, partner og leder af cyber security-afdelingen i Deloitte, til Version2.

Bruger man dette need-to-know-princip, kan man begrænse mest muligt, hvem i firmaet som får adgang til det mest fortrolige. Men er det nødvendigt, at mange får adgang, for eksempel i en kundeservice, kan man også begrænse værdien af de data, der er adgang til.

»I stedet for, at der står fuldt navn og adresse sammen med de personlige oplysninger, kan man udelade noget af det, så der for eksempel kun står kundenummer eller cpr-nummer, men ikke navn. Så kan man ikke umiddelbart identificere en kendt eller andre interessante personer,« siger Brian Christiansen, leder af Risk Assurance-rådgivning hos PwC, til Version2.

Hold de betroede medarbejdere i ørene med log-kontrol

Måske er det nødvendigt at give nogle særligt betroede medarbejdere adgang til hele pakken, og så må man i udgangspunktet stole på deres loyalitet. Men der er også mange muligheder for at holde dem i ørene, så de ikke falder for fristelsen til at lure på og lække de fortrolige data.

»Der er masser af muligheder. Du kan have en 100 procents logning af, hvad folk har været inde at røre ved og se på. Det gør man for eksempel med tradere i banken, som får alle deres telefonsamtaler båndet. Og så kan man holde øje med, om der er noget mistænkeligt,« siger Brian Christiansen.

Man kan for eksempel holde øje med ansatte, der har alt for mange opslag, eller som søger på data, der ligger uden for den normale arbejdsopgave. I en kundeservice kunne det for eksempel ske ved at sammenholde de opkald, der kommer ind, med medarbejdernes opslag i kundedatabaserne.

Har man lavet regler, så for eksempel betalinger på over 10.000 kroner skal godkendes af andre, kan man bruge logning og firmaets bogføring til at holde øje med alle pengetransaktioner, som ligger lige under grænsen, eller hvis det er samme beløb flere gange i træk, der bliver sendt afsted.

»På den måde virker logning præventivt, når man har noget efterfølgende stikprøvekontrol. Og det virker ekstremt godt, hvis det er uforudsigeligt. Så kunne man én måned kigge efter bankkonti, der ikke passer med leverandørkartoteket. Næste måned ser man, hvem der har tanket benzin, men kører i en firmabil på diesel. Og næste måned er det alle leverancer, der ikke er leveret på firmaadressen,« siger Brian Christiansen.

Danmark er bagud i data loss prevention

I forhold til at forhindre følsomme oplysninger i at slippe ud af firmaet, er der også tekniske hjælpemidler, man kan tage i brug. De går under begrebet data loss prevention detection, som ikke er så udbredt i Danmark endnu.

»Skal man være best in class, bliver man nødt til at have skrappere kontrol, som forhindrer at man for eksempel ved en fejl sender fortrolige data ud af huset i en e-mail, eller kan downloade dem på en USB-stik. Der findes i dag løsninger, som søger efter bestemte nøgleord eller CPR-numre. Her er Danmark ikke på niveau med andre lande – mig bekendt er der ikke nogen virksomheder i Danmark, der har etableret et egentligt data loss prevention-system. I England er det almindeligt hos virksomheder med kritiske data,« siger Jørgen Sørensen.

Det store problem med ekstra sikkerhedssystemer og procedurer – for eksempel at der skal to personer til at godkende adgang til særlige følsomme data – er om det påvirker arbejdsgangen og medarbejdernes arbejdsglæde negativt. Disse ulemper skal man veje op mod risikoen for, at der sker alvorlige læk af data.

»Man skal huske, når man taler om øget sikkerhed omkring for eksempel forretningskritiske data, at det normalt har en effekt på eksisterende forretningsgange og brugervenlighed. Og mange har haft svært ved at retfærdiggøre de ekstraomkostninger der er ved øget sikkerhed. Kunsten er at finde den rette balance,« siger Jørgen Sørensen.

For mange regler dræber ansvarsfølelsen

Samme pointe har Brian Christiansen, som peger på, at man nogle steder i udlandet er blevet nødt til at gå den anden vej og fjerne noget kontrol.

»I USA kommer der typisk flere regler og mere kontrol, hver gang noget er gået galt. Men så bliver man aldrig færdig, og så dræber man initiativ og ansvarsfølelse. Mange steder er det blevet for administrativt tungt at gennemføre det daglige arbejde, så man må sige, at det ikke er vejen frem med mere kontrol. Så må man kigge på virksomhedens kultur, så medarbejderne intuitivt gør det rigtige,« siger Brian Christiansen.

Det handler om at få datasikkerhed med i de mål, som medarbejderne evalueres på, og om ikke at sætte for eksempel urealistiske salgsmål.

»Bliver man belønnet godt for et nyt salg, og kulturen er, at man bare vil have det hjem, selvom man så ser igennem fingrene med regler og compliance, så breder den kultur sig. Ingen forretning må være så vigtig, at man går på kompromis med spillereglerne, og den kultur skal man have sikret, især hos medarbejdere, som håndterer store ordrer, der har stor betydning for virksomheden,« siger han.

Det skal også være muligt at gå videre med oplysninger om kolleger eller chefer, der bryder reglerne, for eksempel gennem en whistleblower-ordning. Og allerbedst er det, hvis man har en intern revisionsafdeling, der refererer direkte til bestyrelsen og kan bringe problemer på banen, uden om direktionen, lyder vurderingen.

Generelt har danske virksomheder dog et udmærket sikkerhedsniveau, mener Jørgen Sørensen, men der har i mange år ikke været så stort fokus på eller effekt af misbrug af personfølsomme oplysninger. Det hænger også sammen med, at sanktionerne er begrænsede, med 25.000 kroner i bøde som den mest alvorlige straf.

»Nu kan vi i dag se på diskussionen, at det ikke kun handler om en bøde, men også om mistet tillid og mistede kunder. Så måske er det nemmere nu at komme igennem med de nødvendige sikkerhedstiltag,« siger han.

Læs blogindlæg: Det egentlige problem med NETS' manglende datasikkerhed.

Læs blogindlæg: Nets er utroværdige

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (26)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Torben Mogensen Blogger

Hvis følsomt data er krypteret, så kan en IT-operatør ikke se og videregive oplysninger, selv om hun har læseadgang til alle filer på serverne. Krypteringsnøglerne skal følgelig ikke ligge i filer på serverne, men gives til processer ved deres opstart -- det er meget vanskeligere for en operatør at læse værdien af en variabel i en kørende proces, end at læse en fil.

På et eller andet tidspunkt skal data konverteres til klartekst, men hvis dette data bliver overskrevet, så snart det er behandlet og lagt tilbage i krypteret form, så er det svært at følge med.

Nogle folk, for eksempel servicemedarbejdere, skal kunne se data om enkelte personer, for at kunne rådgive disse. Kunden skal på en eller anden måde legitimisere sig overfor servicemedarbejderen (ellers kan hvem som helst udgive sig for en kendt ved et telefonopkald), og denne legitimisering skal kontrolleres af systemet, inden servicemedarbejderen får adgang til kundens data.

Så ender vi endnu engang ved spørgsmålet om legitimisering. Et fast kodeord, kundenummer eller (gys) CPR-nummer dur ikke: Så vil en servicemedarbejder efter en enkelt samtale med en kunde i al fremtid se dennes oplysninger. Så der skal bruges skiftende nøgler, f.eks. fra en elektronisk nøglegenerator, og adgangen skal time ud efter kort tid (f.eks. når telefonen lægges på).

Det er ikke alle IT-services, der behøver at være omfattet af så stringente sikkerhedsprocedurer, men hvis det involverer følsomt data såsom betalingstransaktioner, helbredsoplysinger m.v, så bør der være streng kontrol.

Alt dette koster selvfølgelig, så hvis der stilles strenge krav til en service, må man forvente, at den koster lidt mere. Omvendt kan man i kraft af den højere betaling også have kontraktuelle klausuler, der kræver erstatning fra firmaet ved sikkerhedsbrud. Dermed sikres, at firmaet ikke sparer sikkerheden væk.

  • 7
  • 3
#2 Deleted User

Jeg oplevede at jeg var ved at blive sikkerhedsgodkendt til et login til person registre i 2011 med et loginnavn som mindede meget om min daværende chefs initialer, det meldte jeg til politiet på stationen på halmtorvet, de fik mit nummer, men politiet vendte aldrig tilbage, jeg sagde nej tak til unix konsulentopgaven af sikkerhedsmæssige årsager fordi jeg skønnede at der var risiko for misbrug af mit godkendte login, men jeg nåede at få adgangskort som åbnede op for at jeg kunne færdes frit i virksomheden, dvs jeg kunne gå rundt og se hvad der lå på skriveborde osv hvis jeg ville. Det ville være betrykkende som borger at myndighederne tager anmeldelserne alvorlige og undersøger sagen, firmaet som jeg anmeldte blev senere anklaget for at have misbrugt flere medarbejderes sikkerhedsgodkendelser, det var amerikansk ejet. Jeg går ind for at alt hvad der omhandler følsomme persondata skal håndteres af staten og ikke private firmaer, det er for risikabelt at de passer samfundskritiske opgaver

  • 5
  • 0
#5 Jarle Knudsen

På et eller andet tidspunkt skal data konverteres til klartekst, men hvis dette data bliver overskrevet, så snart det er behandlet og lagt tilbage i krypteret form, så er det svært at følge med.

Reglerne (MasterCard, Visa, ISO) er helt klare på det punkt: kortdata må ALDRIG ligge i ukrypteret form.

Men som PHK skriver, det er svært at have en (batch) operator uden tilgang til ukrypteret data.

  • 1
  • 0
#6 Deleted User

Det vigtigste udover at sikre data rent teknisk, det er at have de rette folk, jeg mener at man bør sikkerhedsgodkende både dem der udfører arbejdet på evt. servere, men også de mellemledere som der er. I mit tilfælde var det ikke sikkert at jeg kunne godkendes på grund af min opvækst i et belastet miljø, men det vidste virksomheden ikke og det var mit klare indtryk at hvis der gik for lang tid med sikkerhedsgodkendelsen så ville man alligevel give mig adgang og så satse på at den gik igennem, jeg blev spurgt flere gange om jeg havde kriminel fortid og kunne godkendes, det havde jeg ikke og på daværence tidspunkt syntes jeg ikke de skulle vide alt om mig, det måtte PET afgøre om jeg kunne godkendes. Jeg har iøvrigt sidst i 90'erne været systemadministrator med en alder på ca 22 år for en lille dansk offentlig kreditforening og havde adgang til masser af kritiske data uden sikkerhedsgodkendelse, deres balance var på flere milliader, penge i en størrelsesorden som var samfundskritisk og det var en kreditforening for staten, deres sikkerhed var ikke i top, jeg ændrede en del til det bedre i den korte tid jeg var der inden jeg søgte nye udfordringer....de var storforbrugere af dyre eksterne konsulenter.

  • 0
  • 0
#7 Deleted User

Så tal med ældre system administratorer og konsulenter som har været lidt omkring, de kan sikkert fortælle masser af gode historier som politiet og finanstilsynet kan kigge på og sikre ikke sker mere. Jeg vil derfor opfordre myndighederne til at tage kontakt til en del af den type IT-medarbejdere og så give dem anonymitet så skal der nok komme en del frem i lyset....dem på lidt over 40 år og opefter som har 15 års erfaring eller mere vil være et godt udgangspunkt, det er sikkert ikke mere end et par hundrede her i DK af den slags.

  • 3
  • 0
#8 Deleted User

En ting som altid har undret mig, det er statens storforbrug af eksterne konsulenter, jeg kan forstå man bruger nogle små som man har brugt i mange år og har opbygget et tillidsforhold til, men at man ukritisk stoler på at store firmaer som CSC, Tieto, IBM, Miracle osv. selv har styr på at finde de rigtige folk, det er dumt og naivt. Det meste sikkerhed bør varetages internt i organisationen og så kan man have tilsyn engang imellem, men det er vigtigere at man har ansat nogle som man kender baggrunden fuldstændig for, så arbejder man med persondata så må man finde sig i at blive screenet lidt om fortid osv., det bør så være lovligt at undersøge medarbejderens privatliv lidt inden man lader ham/hende varetage kritiske persondata....det bør dog kun være ved persondata af følsom karakter at man som virksomhed eller organisation må screene folk på den måde, men igen er jeg bekymret hver gang private firmaer varetager følsomme persondata, det er en samfundsopgave som bør varetages af staten som vi bør kunne stole på....private registre over personers økonomi, helbred, politisk orientering, religion bør ikke være tilladt som udgangspunkt.

  • 0
  • 0
#9 Jacob Pind

er da ren placebo med den snak om sikkerhedsgodkende , er kun noget som fortågede national romantiker tror på at de kan stoppe de slemme røde med. Eneste som er relervant er at i videsmuligtgrad begrænse mængten af data som bliver samled og antallet af folk som kan havde adgang til det.

  • 3
  • 0
#10 Jacob Pind

er da ren placebo med den snak om sikkerhedsgodkende , er kun noget som fortågede national romantiker tror på at de kan stoppe de slemme røde med. Eneste som er relervant er at i videsmuligtgrad begrænse mængten af data som bliver samled og antallet af folk som kan havde adgang til det.

  • 0
  • 0
#11 Deleted User

Jeg mener man kan komme langt med sikkerhedsgodkendelse og PET kan se nogle ting som vi andre ikke kan, så at de vurderer en person bør være en god indikator, men ellers som udgangspunkt så lad da være med at lade nye folk få adgang til følsomme data om personer, vent med at give dem adgang til de har været ansat i mere end 5 år, så har man også lidt erfaring med vedkommende og kan vurdere selv om man vil lade medarbejderen få det ansvar og så skal der oven i det være et krav at han/hende er sikkerhedsgodkendt.

  • 0
  • 0
#12 Deleted User

på kort sigt er det nemt for en ny IT-medarbejder med lidt social engineering at opnå høj troværdighed, men på langt sigt er det meget svært medmindre man er meget speciel og god skuespiller....det er min oplevelse at man tit blindt har stolet på mig og det er jo fedt nok og jeg syntes det er rigtigt fordi jeg selv ved hvad jeg står for, men det er egentlig super naivt og farligt....jeg har haft adgang til cpr numre, patient journaler, kreditkortoplysninger og måske mere, det er ikke noget jeg har gået så meget op i, det er mere selve opgaven jeg syntes er spændende....men ja det har jeg kunnet misbruge...sikkerheden har jeg ofte selv stået for og nogle gange er man lidt doven, eller har været ;-)

  • 0
  • 0
#13 Deleted User

Jeg er iøvrigt som så mange på min alder selvært inden for faget, dvs. min viden om sikkerhed er noget jeg selv har gravet frem, det kan være fint, men måske det ikke er det helt rigtige til alle opgaver, jeg syntes jo selv jeg har styr på det og jeg tror da også at hvis jeg får til opgave at gennemgå en virksomheds sikkerhed som har med personfølsomme data at gøre så vil jeg kunne finde mange både menneskelige og systemmæssige sikkerhedsbrister. Jeg skal ikke kunne vurdere om det er godt eller skidt at vi lader en masse selvlærte varetage persondata, men det er sådan det ser ud idag. Minimum kunne være at lade dem tage en eksamen i IT sikkerhed og så kun ansætte dem der har bestået....en opgave for ITU måske at lave sådan en kort uddannelse for gamle og nye IT folk....aftenskole ville være fint....håber nogle af mine kommentarer kan bruges til noget af dem som idag har ansvaret for vores persondata og dem som skal kontrollere om sikkerheden er iorden...hav en hyggelig dag ;-)

  • 0
  • 0
#14 Kim Jensen

Nu har jeg i flere år (10+) arbejdet i Tyskland, både hos en større bank samt for et firma der laver sikkerhedsløsninger til bl.a. det tyske skattevæsen.

Standard regler for arbejde med personfølsomme data: - Enhver adgang til personfølsomme data skal dokumenteres og godkendes - Godkendelse sker fra en ledende medarbejder - Ingen papirer må ligge frit fremme på dit skrivebord, uanset hvad - Alle papirer på dit skrivebord skal låses væk inden du går hjem - Papirer til udsmidning skal markuleres og smides i en dertil indrettet boks - Når du ikke er ved din arbejdsplads, så skal computeren låses - Alle data på din computer skal ligge på en krypteret partition - Queries der køres op mod databasen skal forhånds godkendes - Udførsel af queries sker af betroet personale - Alle queries bliver logget

Derudover er der årlige audits, hvor kildeteksterne til alt hvad der leveres bliver undersøgt. Desuden er det sådan at kun forhåndsgodkendte moduler til bl.a. Java må anvendes.

Brud på reglerne indebærer en øjeblikkelig eskorteret udvisning, hvor alle personlige ting skal samles ind af sikkerheds personalet.

@Torben Mogensen; Kryptering er et værktøj. Anvendt forkert, kan det faktisk gøre større skade end gavn, da det vil lulle de fleste ind i en sikkerhedssøvn. Hvis dine processer ikke virker uden kryptering, er garantien for at de virker med, meget ringe.

Så, kort sagt - ønsker Nets eller CSC at få foden indenfor på det Tyske marked, så skal de stramme gevaldigt op på deres arbejdsgange og procedurer.

/Kim

  • 7
  • 0
#16 Sune Marcher
  • 0
  • 1
#17 Per Gøtterup

Reglerne (MasterCard, Visa, ISO) er helt klare på det punkt: kortdata må ALDRIG ligge i ukrypteret form.

Men som PHK skriver, det er svært at have en (batch) operator uden tilgang til ukrypteret data.

Korrekt, men det kan gøres. Jeg har set det implementeret på følgende måde:

Batchen, f.eks. månedens automatiske betalinger fra en abonnementerne hos en given kunde, indeholder de krypterede data, og når der så skal kommunikeres med de forskellige acquirers så sker det via den samme proces som modtager de ukrypterede data og krypterer dem, men nu dekrypteres data i stedet og leveres her videre via SSL-forbindelser til de forskellige acquirers. Denne proces kræver f.eks. to nøgler for at starte op og få adgang til den egentlige krypteringsnøgle, eller en hardware crypto-løsning kan benyttes, f.eks. nCipher som kræver et antal smartcards og tilhørende passphrases for at konstruere/frigive krypteringsnøglen.

Operatøren behøver aldrig at se de dekrypterede data for at dette kan køre, og det er trivielt at placere checkdata i databasen som skal kunne dekrypteres til en kendt værdi som verifikation af at krypteringsnøglen er aktiv og korrekt.

De eneste som faktisk behøver at kunne arbejde med ukrypterede data er supporten men de har ikke adgang til systemerne og dermed er de logs af deres handlinger sikre.

Det største problem er faktisk debug-logning. Når nye features introduceres så aktiverer udviklere ofte en form for logning så problemer hurtigt kan indkredses og løses. Men man logger typisk inddata, og det kan altså inkludere følsomme data, og så kan systemadministratorerne pludselig se de følsomme data.

Det er også systemadministratoren som typisk har ansvaret for at disse informationer fjernes fra logfilerne (en proces som typisk kaldes PCI cleaning) og her kan man inden cleaning med simpel scripting udtrække f.eks. en tabel over både de krypterede og ukrypterede informationer, og dermed let komme fra et personnavn til det krypterede kortnummer, og dermed helt trivielt slå transaktioner op, og det kan gøres med simple kommandolinje-databaseopslag. Disse opslag logges typisk lokalt men systemadministratoren har adgang til både logfilerne og konfigurationen af database-værktøjet så det er trivielt at slette alle spor hvis man bare er en smule kompetent.

  • 2
  • 0
#18 Per Gøtterup
  • 0
  • 0
#19 Deleted User

Miracle er ikke en af de store, men grunden til at jeg sammenligner det er at Miracle ofte bliver brugt til databaseopgaver af både stat og som underleverandør til dels CSC hvor Miracle feksm under konflikten hjalp med driften til blandt andet politiets systemer... Fik jeg sagt for meget her? Er dog sikker på at Miracle gør alt hvad de kan for at alle konsulenter er gode nok til man kan betro dem følsomme opgaver, men måske der er også kan strammer lidt op hos jer... Sikkerhed kan altid forbedres uanset hvor god den er.

  • 0
  • 0
#21 Deleted User
  • 3
  • 0
#22 Deleted User

Kunne være en nørd som går så meget op i sit fag og sætter en ære i at det han laver er iorden og som er åben overfor når der åbnes for sikkerhedsrisiko. Et IT system vil altid have brister og sikkerhed er en svær ting, der mere sikkerhed des mindre tilgængeligt og besværligt er systemet. Skulle jeg hyre en ekstern så ville en som PHK være den type jeg ville bruge, det er ikke penge der er største prioritet for ham og der findes flere af den slags, nogle er selvstændige andre er allerede ansatte i staten og de er dygtige nok, men de bor nok kontrollere hinanden ind imellem.

  • 0
  • 0
#25 Tom Paamand

For rigtig mange år siden hang jeg ud med en del nørder. De studerede datalogi, og var enormt dygtige til at networke. Hvis en af dem havde lavet en god kodestump, havde alle stumpen. Nogle år senere sad de spredt rundt i betroede jobs, og var meget tæt på at blive en offentlig skandale. Som naive nørder havde de fortsat den åbne tilgang til data - så hvis en havde oplysninger, som ville gøre den andens job nemmere, delte de fortsat glade med hinanden. Men pludselig var der en chef, der undrede sig over konkurrenternes store viden om ret interne ting. Først da måtte de glade nørder forsøge at lære, at gavmild hjælpsomhed kan have utilsigtede konsekvenser.

  • 1
  • 0
#26 Jarle Knudsen

Peter skrev: Ja den største risiko er ikke manglende kryptering, ukrypteret data kan være sikre end de krypterede....det kommer an på hvordan de tilgå og af hvem.

Det er ikke tilgang til fortrolige data der er problematisk, det at medarbejderen kunne sende de følsome oplysninger UD med et script, direkte fra produktionsmiljø.

Produktion med kortdata må ikke have Internet access.

Det mærkelige er at ingen ved en audit reagerede på dette. Reglerne er jo ret strikse når det kommer til omgang med kortdata.

Tyder på at de audits og auditors ikke var grundige nok.

  • 1
  • 0
Log ind eller Opret konto for at kommentere