Risiko- og sårbarhetsvurdering Risikovurdering av skytjenesten box.com Versjon: 0.3 Dato: 2013-31-08 Skrevet av: Rolf Sture Normann Utkast 0.3 Side 1 2013-31-08
Innholdsfortegnelse Innledning... 3 Bakgrunn... 3 Formål... 3 Avgrensninger... 4 Om skytjenesten box.com... 4 Prosjektgjennomføring... 4 Hovedkonklusjon og anbefaling... 5 Aksept tabell... 10 Kriterier... 11 Vedlegg... 14 Utkast 0.3 Side 2 2013-31-08
Innledning 13 i personopplysningsloven (POL) pålegger den behandlingsansvarlige og databehandleren å sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Dette pålegget gjelder alle, uavhengig av hva slags personopplysninger som behandles og uavhengig av hva slags hjelpemidler som benyttes. I forskrift til loven finnes bestemmelser om informasjonssikkerhet som gjelder for all behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, «der det for å hindre fare for tap av liv og helse, økonomisk tap eller tap av anseelse og personlig integritet, er nødvendig med sikkerhetstiltak». Vurdering av risiko er utgangspunktet for alt sikkerhetsarbeid sikkerhet er nettopp håndtering av risiko. I denne sammenhengen er formålet med risikovurderinger å identifisere hendelser som kan få betydning for sikring av personvernet, samt formulere hypoteser om konsekvensene av hendelsene og sannsynligheten for at de inntreffer. En viktig del av oppgaven er kartlegging av de aktiva som må sikres, og å kartlegge det miljø verdiene befinner seg i. Risikovurderingen skal i tillegg identifisere behovet for risikoreduserende tiltak ved å sammenligne avdekket risiko med akseptabelt risikonivå. For å understreke resultatene av vurderingen, er det også naturlig å gi anbefalinger om sikkerhetstiltak som kan være til hjelp i det videre arbeidet med informasjonssikkerheten. Risikovurderinger er altså et sentralt element i sikkerhetsarbeidet. I tillegg er risikovurderinger lovpålagt i mange sammenhenger, se for eksempel personopplysningsforkriften 2-4. Det skal dessuten gjøres vurderinger slik at sikkerhetstiltakene skal stå i forhold til den aktuelle risikoen. Det er ikke bare i personopplysningsloven man finner bestemmelser om risikovurdering; andre eksempler er sikkerhetsloven og helseregisterloven. Bakgrunn Den 30. april 2013 ble det gjennomført en Risiko- og sårbarhetsvurdering (ROS vurdering) v/ UNINETT begrenset til vurderinger av sårbarheter som kan være aktuelle i forbindelse med skytjenesten box.com. Formål Formålet med ROS vurderingen er å kartlegge hvilke trusler som eksisterer eller som kan utløses i forbindelse med skytjenesten box.com. Utkast 0.3 Side 3 2013-31-08
Avgrensninger Rapporten er avgrenset til situasjoner rundt bruken av skytjenesten box.com. Om skytjenesten box.com Tjenesten BOX.COM tilbyr en sikker samarbeidsplattform for deling av dokumenter enten dette er mediafiler, eller rene tekstdokumenter eller andre. Informasjon som lagres i BOX kan deles både internt og eksternt avhengig av hvem du som bruker inviterer inn i dokumentmappe eller dokument. Brukerne kan bruke nesten hva som helst av utstyr enten det er en iphone, ipad, Android, Windows mobile eller andre enheter med tilgang til en nettjener. Tjenesten BOX.COM kan integreres mot andre skytjenesteleverandører slik som Microsoft, Amazon eller Google. Tjenesten tilbyr en synkronisering av filer fra din enhet til BOX.COM. BOX.COM er amerikansk selskap som har undertegnet safe harbour avtalen. Hovedsenteret ligger i California. BOX.COM benytter tjenester fra blant andre Amazon som backup for sine kunders data. Prosjektgjennomføring ROS vurderingen er gjennomført i form av et arbeidsmøte den 30. april med følgende deltakere: Rolf Sture Normann (UNINETT) Øivind Høiem (UNINETT) Jan Meijer (UNINETT) Lars Strømmen (NTNU) Ole Langfeldt (NTNU) Espen Grøndal (UIO) Bente Aasgaard (UIO) Arbeidsmøtet ble ledet av Rolf Sture Normann fra UNINETT. Metodikken var lik den som sekretariat for informasjonssikkerhet for øvrig benytter under ROS vurderinger. Møtet ble i noe større grad basert på idemyldring og gule lapper, og noe mer fristilt i henhold til skjematikken. Dette var positivt i forhold til at dette var en enkelttjeneste, og Utkast 0.3 Side 4 2013-31-08
deltakerne måtte se på problemstillinger som hadde betydning for både studenter, forelesere, forskere, ansatte og de organisasjoner de tilhører. Også UNINETT som selskap som sådan. Box.com antydet å kunne levere single-signout funksjonalitet per 31.7 men klarte det ikke. 31. august ble det foretatt en revisjon for å ta det risikomomentet med ROS vurderingen. Hovedkonklusjon og anbefaling Dette avsnittet presenterer hovedkonklusjonene fra ROS vurderingen. Datagrunnlaget finnes i det vedlagte regnearket. Følgende scenario ble vektet som uakseptable, eller med høy risikofaktor og som det må settes inn tiltak for å redusere risiko. Referanse 2, Risikoverdi 9 Brukere senker gradering av informasjon av bekvemmelighetshensyn for å kunne laste opp informasjon med behov for konfidensialitet (personsensitivt, bedriftskritisk el.l.) Muligheten for at brukere av tjenesten box.com kan komme til å laste opp informasjon som ikke burde være lagt ut til en skytjenesteleverandør som box.com for å lett kunne hente ned informasjonen fra andre steder, f.eks. hjemmekontor, reise eller lignende ble vurdert til å ha høy sannsynlighet (3) og dersom den skulle inntreffe vil konsekvensen eller skadevirkningen i værste fall kunne være alvorlig (3) Bevistgjøre og ansvarliggjøre brukerne. Informere og repetere at brukerne gjør ansvarlige valg i forbindelse med bruken av box gjennom å informere på startssiden ved pålogging. Det bør også lages en kort veileder/kjøreregler for bruken av box.com Avtalen mellom UNINETT og institusjon bør inneholde forventninger om at institusjonen bevistgjør og ansvarliggjøre brukerne. Vurdere bruken av BoxCryptor i noen tilfeller Utkast 0.3 Side 5 2013-31-08
Referanse 32, Risikoverdi 9 Tilgang til brukers box-konto på en delt enhet, på grunn av manglende funksjonalitet. Manglende Single Sign out medfører fare for kompromittering av egen konto at dersom en bruker logger seg på en delt enhet (PC, nettbrett el.l.). Et eksempel på denne problemstillingen er at en foreleser logger seg på klasseromsmaskinen, og henter ut noen filer fra Box kontoen sin. Deretter logger vedkommende seg ut av box kontoen. Neste foreleser eller annen bruker som logger seg på denne maskinen vil finne forrige foreleseren pålogget. Dermed kan denne brukeren fritt kopiere, sende til andre, endre eller slette innholdet til foreleseren som var pålogget. Dette er et scenario som er vurdert som alvorlig med høy sannsynlighet. Tiltak bør etableres. Hver enkelt institusjon må vurdere dette punktet og ta stilling til om man er villig til å akseptere denne risikoen eller ikke. Implementere Single Sign Out Private/Inkognito Browsing Bevistgjøre brukerne slik at de ikke benytter delte maskiner for å logge seg på boxkontoen sin Igangsette prosess for å få bedre internasjonalt fokus på Single Sign Out som obligatorisk funksjonalitet slik at box.com implementerer Single Sign Out raskt. Referanse 11, Risikoverdi 8 Uønsket sammenstilling av data som følge av koblinger mot andre applikasjoner eller skytjenesteleverandører (Big data) Selv om skytjenesten box.com sin policy er å ikke utlevere informasjon til andre parter kan dette være hendelse. Integrering av ulike skytjenesteleverandører som google, microsoft, amazon eller andre med skytjenesten box.com kan forekomme som følge av at brukeren selv gjør dette mulig. Dette er en situasjon som kan komme til å utlevere mye mere informasjon enn hvert informasjonselement hver for seg. Vurdere tekniske tiltak i Box som begrenser mulighetene for sammenstilling av data. Overvåke dataflyt fra Box til andre tjenester for å monitorere om dette er et problem. Bevistgjøring og opplæring av brukerne vil også her være sentralt Referanse 1, Risikoverdi 6 Amerikanske myndigheters rett til innsyn i data Skytjenesten box.com har underskrevet Safe harbour act. Selv om dette er tilfellet vil amerikanske myndigheter ved mistanke om terror eller andre situasjoner forbeholde seg retten til å kreve innsyn. Dette kan i værste fall medføre store problemer for brukere som har lastet opp informasjon som av amerikanske myndigheter kan tolkes som kriminelle selv om brukeren kunne hatt helt andre intensjoner. For eksempel forskning på terrornettverk etc. Utkast 0.3 Side 6 2013-31-08
Benytte BoxCryptor eller andre krypteringsprogramvare Informere brukeren om amerikanske myndigheters innsynsrett i henhold til Patriot Act og konsekvenser dette kan ha Referanse 6, Risikoverdi 6 Tekniske sikkerhetshull eller sårbarheter i skytjenesten box.com Skytjenesten box.com kan inneholde tekniske sårbarheter som kan utnyttes. Dette er selvsagt ikke spesifikt for box.com. Sårbarheter kan utnyttes av uvedkommende og informasjon med behov for beskyttelse kan bli utlevert, uautorisert endret eller slettet. Avtale som sikrer UNINETT innsyn i Box sine egne sikkerhetsrevisjoner (databehandleravtale) Etablere klare varslingsrutiner mellom UNINETT og Box dersom sikkerhetshull skulle avdekkes Generell egen monitorering og årvåkenhet Referanse 10, Risikoverdi 6 Opplasting av feil data, eller opplasting av riktig data til feil mappe med andre brukertilganger Skytjenesten box.com har i tillegg til at en kan laste opp filer og mapper også en synkroniseringstjeneste. En bruker kan komme i skade for å laste opp feil dokument, eller legge et dokument med behov for beskyttelse i en mappe med videre brukertilganger. Lage veiledningsmateriell, ex «10 enkle regler for bruk av box» Skape holdninger gjennom informasjon «Du bryr deg vel om dataene dine?» Informere på påloggingsside til Box Institusjonen bør vurdere å benytte LMS og/eller forelesere til å informere Referanse 12, Risikoverdi 6 Applikasjoner og tilhørende plugins/apper i box.com blir benyttet på en slik måte at brukeren mister oversikt over dataflyt og tilganger. Bevisst og ubevisst kopiering av data. Skytjenesten box.com tilbyr en del funksjonalitet gjennom såkalte apper. Brukere som installerer disse og tilhørende i andre tjenester kan medføre at brukeren bevisst eller ubevisst kopierer data som har behov for konfidensialitet. UNINETT må skaffe seg mer detaljert oversikt over plugins Se ellers tiltak i Referanse 11. Referanse 13, Risikoverdi 6 Utkast 0.3 Side 7 2013-31-08
Uautorisert tilgang som følge av feil gruppetilhørighet, medlemmer av en gruppe som ikke skulle vært det med tilhørende tilganger. Skytjenesten box.com gir deg som bruker mulighet til å etablere grupper og melde andre inn i ulike grupper for deling av informasjon. Dette gir en mulighet for at en bruker har medlemmer som ikke skulle vært det av ulike årsaker. Det kan være at en har glemt å fjerne noen fra en gruppe, eller legger til feil person i en gruppe. Dette kan medføre at informasjon med behov for beskyttelse blir utlevert. Se tiltak under referanse 10. Etablere standard grupper som brukerne kan benytte for å begrense brukerfeil Referanse 16, Risikoverdi 6 Hacking/innbrudd i systemer med tilhørende datatyveri eller annen uautorisert tilgang. Skytjenesten box.com eller en av brukerne kan få innbrudd i sine systemer med tilhørende datatyveri, uautorisert endring eller sletting av informasjon. Se tiltak referanse 10 UNINETT bør støtte institusjonene med å utarbeide en kriseplan ved større hendelser med Box Referanse 5, Risikoverdi 4 Opplasting av uønsket eller støtende og eller ulovlig informasjon til en brukers konto som følge av gitt tilgang. Brukere som tidligere har delt informasjon med hverandre kan komme til å laste opp informasjon som er trakkaserende eller støtende. Det kan også være ulovlig informasjon slik som barneporno, terrorinformasjon som kan føre til pågripelser eller tap av omdømme el.l. Informere om hvem som eksplisitt skal varsles ved slike hendelser Benytt CERT/abuse som støttespiller på dette Forbeholde seg retten til å stenge brukere ute ved alvorlige hendelser. Dette må være en del av brukeravtalen Oppfordre til å rapportere uønsket oppførsel Hver enkelt institusjon må definere prosesser for hvordan slike saker skal behandles Andre forhold En bør også se på andre forhold slik som leverandørens mulighet til å endre vilkår, oppkjøp og konkurs eller andre forhold som endrer forutsetningene for leveransen. Det bør også spesifiseres hvor lenge man kan hente ut sine data ved for eksempel endringer i organisasjonen box.com. Utkast 0.3 Side 8 2013-31-08
Se for øvrig komplett oversikt over uønskede hendelser. Hver enkelt institusjon må selv gjøre en vurdering av risikofaktor og eventuelt adressere andre hendelser. Denne risikovurderingen er gjort av en arbeidsgruppe. Institusjonene selv kan ha andre meninger om sannsynlighet og konsekvens enn denne, og eventuelt andre hendelser som ikke er adressert her. Utkast 0.3 Side 9 2013-31-08
Aksept tabell Tallene i de enkelte rubrikkene i tabellen referer til risikoelementene i det vedlagte regnearket. Utkast 0.3 Side 10 2013-31-08
Kriterier Sannsynlighet Prosjektgruppen vedtok å benytte følgende skala for sannsynlighet S=1; Lav sannsynlighet S=2; Moderat sannsynlighet S=3; Høy sannsynlighet S=4; Svært høy sannsynlighet Frekvens Hendelser som kan inntreffe 1 gang pr 5 år eller sjeldnere For brann: hvert 50. år eller sjeldnere. Hendelser som kan inntreffe 1 gang pr 2 år eller sjeldnere For brann: hvert 10. år eller sjeldnere Hendelser som kan inntreffe flere ganger pr. år For brann: årlig eller sjeldnere Hendelser som kan inntreffe flere ganger pr. halvår. For brann: flere ganger pr. år. Letthet Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene kan kun omgås/brytes av egne medarbeidere med gode ressurser, og god/fullstendig kjennskap til tiltakene. Utenforstående kan ikke omgå/bryte tiltakene. Sikkerhetstiltak er etablert i forhold til sikkerhetsbehovet og fungerer etter hensikten. Tiltakene kan likevel omgås/brytes av egne medarbeidere med små til normale ressurser, som i tillegg har normal kjennskap til tiltakene. Utenforstående trenger gode ressurser, og god/fullstendig kjennskap til tiltakene for å omgå/bryte disse. Sikkerhetstiltak er ikke fullt etablert, eller fungerer ikke etter hensikten. Egne medarbeidere trenger kun små til normale ressurser for å omgå/bryte tiltakene, og det er ikke nødvendig med forutgående kjennskap til tiltakene. Utenforstående trenger små til normale ressurser, samt normal kjennskap til tiltakene, for eksempel hvilke rutiner som gjelder eller hvordan sikkerhetsteknologi er implementert. Sikkerhetstiltak er ikke etablert, eller kan omgås/brytes av egne medarbeidere og utenforstående med små til normale ressurser. Det er ikke nødvendig med forutgående kjennskap til tiltakene Motivering Sikkerhetsbrudd kan kun skje ved at egne medarbeidere opptrer med overlegg og har spesiell kompetanse eller kunnskap. Utenforstående må ha spisskompetanse og et samarbeid med personer i virksomheten Sikkerhetsbrudd kan skje ved at egne medarbeidere opptrer med forsett og har en viss kompetanse. Utenforstående må opptre med overlegg og noe kunnskap om interne forhold (med hensikt og plan, eksempelvis ved at flere tiltak brytes i riktig rekkefølge) for å omgå/bryte sikkerhetstiltakene Sikkerhetsbrudd kan skje ved uaktsomhet av egne medarbeidere. Utenforstående må ha noe kompetanse, og forsettelig (bevisst eller aktivt) gå inn for å bryte sikkerhetstiltakene. Sikkerhetsbrudd kan skje ved uaktsomhet (ubevisst eller uten forsett) av egne medarbeidere eller utenforstående. Det er ikke nødvendig med spesielle kunnskaper om interne forhold. De forskjellige nivåene er oppsummert i følgende sannsynlighetsmatrise: Konsekvens Prosjektgruppen vedtok å benytte følgende skala for konsekvens: K=1; Ubetydelig K=2; Moderat K=3; Alvorlig Utkast 0.3 Side 11 2013-31-08
K=4; Katastrofal Nivåene er oppsummert i følgende konsekvensmatrise: Ubetydelig (1) Moderat (2) Alvorlig (3) Katastrofal (4) Konfidensialitet Integritet Ingen uautorisert innsyn i ikke sensitive personopplysninger der konfidensialitet er nødvendig. Journal/ nedtegnelser er tilnærmet komplett Uautorisert innsyn i ikke sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. I forhold til enkeltpersoner Noen mangler i Journal/ nedtegnelser Mulighet for endring av personopplysninger Registeret har tapt integritet for enkeltperson. Uautorisert innsyn i enkelte sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. En eller få kan få innsyn Hele/deler registeret avdekket på fakultets- /avdelingsnivå Viktig informasjon mangler i journal/ nedtegnelser Mulighet for endring av enkelte sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Fullt uautorisert innsyn i alle sensitive personopplysninger eller personopplysninger der konfidensialitet er nødvendig. Brudd på lov. Mange kan få innsyn der konfidensialitet er nødvendig. Hele registeret avdekket på institusjonsnivå Kritisk informasjon mangler i journal/ nedtegnelser og brudd på lov. Mulighet for omfattende uautorisert endring av alle sensitive personopplysninger eller personopplysninger der integritet er nødvendig. Tilgjengjeli ghet Systembrudd er uvesentlig. Utfall 1 dag (studentregistrering /eksamen 1-2 timer) Systembrudd kan føre til skade dersom reservesystem ikke fins. Utfall opptil 5 dager. (studentregistrering /eksamen = 2 t). System settes ut av drift opptil 14 dager (studentregistrering /eksamen = 5 t) System settes ut av drift mer enn 4 uker (studentregistrering /eksamen = 1 dag) Hensikten med å fastsette risiko er å få en oversikt over virksomhetens trusselbilde og bruke dette som grunnlag for å redusere de risikoer man ikke kan akseptere. Personopplysningsforskriften 2-4 slår fast at «Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger». En forutsetning for å kunne vurdere graden av risiko er at det finnes etablerte kriterier å vurdere opp mot. Det må fastsettes grenser for hva som er akseptabel risiko innenfor områder som helse, omdømme, økonomi, etterlevelse av lover og forskrifter, etc., og retningslinjer for å anslå når en risiko øker Utkast 0.3 Side 12 2013-31-08
ut over dette nivået. Ansvaret for å fastlegge akseptabelt risikonivå for organisasjonen må legges der ansvaret for en eventuell hendelse ligger, altså er dette en ledelsesbeslutning. Selv om behandlingsansvarlig i virksomheten skal fastlegge kriterier for akseptabel risiko, vil også ytre forhold og regulatoriske krav kunne legge føringer for dette. For eksempel sier personopplysningsforskriften at «Datatilsynet kan gi pålegg om sikring av personopplysninger, herunder fastlegge kriterier for akseptabel risiko forbundet med behandling av personopplysninger». I tillegg kan Datatilsynet gjennom pålegg fastlegge kriterier for akseptabelt risikonivå for virksomheter som har besluttet et for lavt nivå, eller for virksomheter som ikke har fastlagt akseptabelt risikonivå. Akseptabel risiko Etter at man har funnet risikonivået for en hendels, skal man vurdere om risikoen er akseptabel eller ikke. For å kunne gjøre dette må man ha definert hva som er et akseptabelt risikonivå. Der hvor man ikke kan benytte lovkrav eller virksomhetskrav for å avgjøre om risikoen er akseptabel, kan arbeidsgruppen se på det resulterende risikonivået (se risikomatrisen). Dersom risikoen er høy bør den trolig ikke aksepteres, da konsekvensene trolig kan medføre vesentlige økonomiske (og andre) problemer for virksomheten. Dersom risikoen havner i det midtre området må veie kostnaden opp mot nytten av å redusere den aktuelle risikoen. Dersom kostnadene overstiger den antatte nytten (i kroner) av å redusere risikoen, er det lite hensiktsmessig å gjøre noe (risikoen aksepteres). Motsatt, dersom nytten av å redusere risikoen antas å være høyere enn kostnadene, bør risikoen reduseres (risikoen er uakseptabel). Prosjektgruppen satte 4 som akseptabelt nivå der driveren er sannsynlighet, og 3 der driveren er konsekvens. Utkast 0.3 Side 13 2013-31-08
Vedlegg Selve ROS vurderingen finnes i vedlagte regneark: ROS_vurdering box_com 30_04_13-revisjon31_08_13.xlsx Utkast 0.3 Side 14 2013-31-08