Lärdomar av Region Skånes USB-minnes­misstag

I det senaste poddavsnittet pratade vi om IMY:s sanktionsavgift mot Region Skåne. IMY hade precis beslutat att regionen skulle betala en administrativ sanktionsavgift på grund av överträdelse mot dataskydds­förordningen. Sanktionsavgiften landade på 200 000 kronor.

Bakgrunden till sanktionsavgiften var att en medarbetare hos Region Skåne hade lagrat personuppgifter på ett USB-minne. USB-minnet hade försvunnit i samband med att medarbetaren glömde USB-minnet i fickan på kläder som skickades till ett tvätteri. Datan låg okrypterad på USB-minnet och USB-minnet återfanns aldrig.

Informations­säkerhets­problemet med USB-minnen

USB-minnen är problematiska ur ett informations­säkerhets­perspektiv. USB-minnen är bevisligen lätta att tappa bort. Data som har lagrats okrypterat på USB-minnen går dessutom att återskapa efter att den har raderats. Detta gäller även om USB-minnet har formaterats!

De enda sätten att omöjliggöra dataåterskapning av okrypterad data är att antingen slå sönder USB-minnet eller att skriva över USB-minnet med ett dataraderings­verktyg. Eftersom långt ifrån alla organisationer har tillräckliga rutiner för detta är det bäst att aldrig använda USB-minnen.

Om verksamheten inte klarar sig utan USB-minnen bör enbart krypterade sådana användas. Om en medarbetare tappar bort ett krypterat USB-minne är ingen skada skedd eftersom ingen obehörig har lösenordet som krävs för att låsa upp USB-minnet. Krypteringen löser också data­återskapnings­problematiken. Ingen obehörig kan återskapa data som har lagrats i krypterat skick, vilket gör att USB-minnet varken behöver förstöras eller skrivas över när det ska tas ur bruk.

Av IMY:s rapport att döma så hade Region Skåne rutiner kring användning av USB-minnen.

Regionens styrdokument föreskrev som tekniska skyddsåtgärder vid förvaring och transport av lagringsmedia att skyddet ska motsvara det skyddsvärde som informationen har utifrån den informations­klassificering som genomförts samt att lagringsmedia som innehåller skyddsvärd information ska skyddas mot obehörig åtkomst, missbruk eller förvanskning under transport. Vid obligatorisk utbildning av de anställda upplyser regionen om att [USB-minnen] ska undvikas men att anställda vid användning av [USB-minnen] för lagring av känslig eller värdefull information ska använda krypterade [USB-minnen].

Integritetsskyddsmyndighetens beslut IMY-2022-1290

I det här fallet följdes inte styrdokumentet. Det är en viktig påminnelse till alla organisationer om att styrdokument i sig är meningslösa. Styrdokumenten fyller enbart sin funktion när medarbetarna förstår dem och ges förutsättningarna att följa dem. Linn Sandmark, IMY:s tillförordnade enhetschef, förklarar situationen väl i IMY:s pressmeddelande.

Det är regionen i egenskap av personuppgifts­ansvarig som har det yttersta ansvaret för hur personuppgifterna hanteras i verksamheten. I det ansvaret ingår bland annat att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Det ska vara lätt att göra rätt för personalen.

Linn Sandmark, IMY (2023-04-26)

Olämpligt bruk av 7-zip

Av IMY:s rapport framgår det att Region Skåne, som en teknisk säkerhetsåtgärd, tillåter användning av komprimerings­appen 7-zip. Med 7-zip på datorn kan medarbetare inte bara komprimera filer utan också spara filer i krypterade zip-arkiv. Om medarbetarna lägger sina filer i krypterade zip-arkiv kan de därefter lägga arkiven på okrypterade USB-minnen utan att datan riskerar att läcka.

7-zip må vara fantastisk komprimerings­app, men krypterade zip-arkiv bör ändå ses som en nödlösning. Det är opraktiskt för medarbetarna att behöva packa ihop och packa upp krypterade zip-arkiv för att komma åt sina filer. Risken är därför att medarbetare missar eller struntar i att gå omvägen via 7-zip. Därutöver öppnar sådant krångel för misstag, till exempel att någon medarbetare packar upp ett krypterat zip-arkiv till det okrypterade USB-minnet i stället för till sin dator. (Om en medarbetare råkar göra det blir de berörda filerna återskapnings­bara.)

Det är därför mycket bättre att rekommendera de operativsystems­inbyggda lösningarna: Bitlocker i Windows och Filevault i Mac OS. Vid användning av Bitlocker eller Filevault krypteras automatiskt alla filer som läggs på USB-minnet, vilket gör det lätt för medarbetarna att göra rätt.

Nackdelen med Bitlocker och Filevault är att dessa lösningar inte fungerar mellan operativsystem. Windows kan inte låsa upp Filevault och Mac OS kan inte låsa upp Bitlocker. Vid flytt av filer mellan olika operativsystem behövs klassiska appen Veracrypt (uppföljaren till Truecrypt). Den krypterar hela USB-minnet och fungerar på alla datorer oavsett operativsystem (Windows, Mac OS eller Linux). Veracrypt är dock mindre användarvänligt än Bitlocker och Filevault.

Våra rekommendationer

Här följer utvalda rekommendationer med anledning av incidenten hos Region Skåne.

  • Undvik om möjligt användning av USB-minnen överlag.
  • Förse medarbetarna enbart med krypterade USB-minnen. Vid användning av traditionella USB-minnen bör sådana uteslutande lämnas ut tillsammans med guider för hur Bitlocker (Windows), Filevault (Mac OS) eller Veracrypt (alla operativsystem) används.
  • Säkerställ att organisationen har fungerande rutiner för hur använda USB-minnen ska återlämnas eller destrueras.
  • Utbilda medarbetarna löpande i riskerna som USB-minnen för med sig.

Tips! USB-minnen är också problematiska ur ett IT-säkerhetsperspektiv. Påminn därför medarbetarna om att aldrig ta emot USB-minnen eller andra USB-prylar (USB-hårddiskar, USB-fläktar med mera) som ges till dem. Detta gäller även reklamprylar. Skillnaden i risk gentemot de onödiga varningarna kring publika USB-laddare avhandlas i vår artikel Tveksam FBI-varning för publika laddportar.

Standard-rekommendationer

ISO 27002:2002 7.10 föreslår en riktlinje om att data som lagras på USB-minnen ska krypteras samt att datan ska raderas på ett säkert sätt före återanvändning av USB-minnet. Tyvärr antyder 7.10 att formatering skulle vara en tillräcklig åtgärd, vilket inte är fallet om datan har lagrats i okrypterat skick. Adekvata åtgärder framgår i 7.14.

CIS v8-kontrollerna är klara och tydliga gällande USB-minnen. Enligt 3.9 ska data som lagras på flyttbar media krypteras (gäller IG2 och IG3). 3.5 poängterar vikten av att data destrueras korrekt (gäller alla grupper).

NIST CSF 1.1 säger kort och gott att ”removable media is protected and its use restricted according to policy” (PR.PT-2) och att ”data is destroyed according to policy” (PR.IP-6). De relaterade kontrollerna i NIST SP 800-53 rev. 5 är MP-1 till MP-8.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar