Intel Security

Insecure in Security – ”Nej du får inte mitt lösenord – 6 steg att säkra din IT-miljö”

Blogginlägg   •   Jun 17, 2014 16:25 CEST

Insecure in Security publiceras varannan vecka och återger och analyserar säkerhetsincidenter som ägt rum. Författaren av bloggen är James Tucker som är säkerhetsexpert inom området nätverkssäkerhet och arbetar på McAfee, en del av Intel Security, i Sverige.

Veckans sammandrag handlar om hur man säkrar en BYOD-miljö

Nej du får inte mitt lösenord – 6 steg att säkra din IT-miljö
För några dagar sedan gick jag till en reperationsbutik för att byta batteriet i min MacBook. Efter att jag beskrivit problemet så bad expediten mig om lite grundläggande information som adress och e-post. Medan hon knappade in mina uppgifter i systemet så frågade hon plötsligt en fråga jag var helt oförbered på – vad är ditt lösenord? Först kunde jag inte riktigt förstå vad hon precis frågat och jag stirrade stumt ett tag innan hon förklarade att deras tekniker behöver lösenordet utifall de skulle behöva tillgång till min dator vid reparationen. Jag förklarade tydligt att det inte kommer att hända och hon godtog det och gick iväg för att lämna min dator till en tekniker. Medan vi väntade hade vi tid att prata och jag frågade henne om den där policyn och hur vanligt det var att deras kunder villigt gav bort sina lösenord. Det visade sig att jag var den första kund hon haft som inte villigt gett bort lösenordet till sin privata dator.


Det fick mig att fundera på just lösenord – inte nödvändigtvis komplexiteten och längden på lösenord. Jag är mer intresserad av att utforska hur vi idag kan minska riskerna som medförs när man förlitar sig på externa konsulter för IT-reparationer och support.

Allteftersom Bring your own device (eller som det ofta kallas i mina kretsar ’Bring your own disaster’) forsätter att växa i popularitet så blir ofta IT-säkerheten lidande. Ett genomsnittligt mindre svenskt företag har inte möjlighet att anställa en IT-kille och vissa enheter kräver auktoriserad service (Tack för det Apple!). I mitt fall så var det bara ett byte av batteriet och en tekniker har ingen anledning att få tillgång till min dator, men det finns självklart mer komplexa reparationer som gör att teknikern måste ha tillgång för att installera drivrutiner och liknande.

Idag gäller säkerheten inte bara datorer utan även tablets och smartphones som innehåller extrema mängder av data så som privat- och företagsmail, bilder, sociala medier, filer lagrade på Dropbox osv. Det är inte helt otänkbart att de vid reperation av en trasig display frågar om upplåsningskoden till enheten.

Vi suddar idag allt mer ut skillnaderna mellan arbete och fritid, vem som äger vilken enhet och få arbetar idag traditionsenligt mellannio och fem. Jag kan tänka mig att många har deltagit i ett konferenssamtal som börjar klockan tio på kvällen så att det amerikanska teamet kan delta. Även om dessa linjer suddas ut så får inte det samma hända för IT-säkerheten. Här är uppdraget detsamma – att skydda användare och deras data. Allt fler användare blir mer säkerhetsmedvetna och jag tror att en stor del av uppvaknandet handlar om just BYOD. Nu är det inte företagsdata som kan finnas oskyddat utan även känslig och personlig data om individen.

Så hur kan du få dina anställda att skydda såväl företagsdata som deras personliga? Här är mina tips på hur man kan uppnå detta snabbt och enkelt:

6 steg för att säkra din data

  1. Kategorisera dina tillgångar
    Första steget handlar om att kategorisera dina tillgångar för att få en tydlig bild av IT-landskapet. Jag rekommenderar att man delar upp de i ”konsumtion”, ”kreation” och ”lagring”. Laptops och stationära PC är platser där du vanligtvis skapar innehåll och de bör kategoriseras som ”kreation” och bör ha högsta möjliga säkerhet. Det här gäller även privata enheter som anställda tar med till arbetsplatsen – om de vill vara med och leka så får de helt enkelt följa reglerna. Dessa enheter bör även säkerhetskopieras ofta. Sen har vi konsumtionsenheter – det här är enheter du använder för att konsumera innehåll – så som smartphones och tablets. De kan klassificeras som utbytbara men bör ha grundläggande säkerhet installerat. Slutligen så har vi lagringsenheter – vanligtvis NAS-servrar, backup och andra typer av filservrar. Av naturliga skäl så lämnar de här aldrig kontoret och om någon tekniker behöver tillgång så sitter du med och övervakar deras aktivitet.
  2. Ge inte ditt lösenord till någon – någonsin!
    Jag borde inte behöva ta med den här punkten och du som läser det här förstår garanterat farorna med att dela lösenord, men för att vara på den säkra sidan: Om du inte har en laglig skyldighet, eller att de hotar dig med fysiskt våld så bör du ALDRIG ge bort ditt lösenord.

  3. Vid reparation av en konsumtionsenhet – nollställ den.
    Ta bort all data och återställ enheten till fabriksstandard innan den lämnas in för reparation. En tumregel för IT-säkerhet är att om den som utför attacken har fysisk tillgång till målet så kan den vara utsatt för risk. Beroende på hur känslig data ditt företag hanterar och hur er policy ser ut så kan man överväga att nollställa samtliga enheter som behöver lämnas in för reparation. En annan lösning är att ha tillgång till hårddiskar med ett operativsystem installerat på som kan installeras i de datorer som ska lämnas in på reparation.  Om ingen data finns så kan inga problem uppstå.
  4. Skapa ett reparationskonto
    Vid reparationsärenden kan ett konto sättas upp i förväg som just är till för teknikern. Det här är dock inget som i förväg bör skapas på samtliga enheter i ett företag utan det bör skapas strax innan reparationen och bör efter utförd reparation tas bort från enheten. Det här kanske kan låta som en självklarhet men använd inte samma lösenord och användarnamn på fler än en enhet i din verksamhet - konsekvenserna av att ha en mängd inlogg med samma lösenord är inte vackra.
  5. Kryptering är din vän – ni borde hänga mer
    För BYOD-användare bör en krypterad container skapas där känslig företagsdata kan lagras. De flesta operativsystem erbjuder någon form av krypteringsprogram – eller så kan du välja en tredjepartsleverantör som McAfee File and Folder Encryption. Det säkerställer att data förblir skyddad och separerad från reparationskontot.
  6. Virtualisera!
    Mitt personliga favoritsätt att säkra en BYOD-miljö är att skapa en virtuell bild av min företagsenhet och driva det virtuellt. Den virtuella maskinen kan sedan hanteras som en säker container för information. På min Mac så kör jag Windows virtuellt för att säkra all kunddata, företagsmail och annan känslig information. Det ger mig även möjligheten att inte använda Outlook för Mac – som inte kan beskrivas på annat sätt än att det är en katastrof.

Att kombinera kryptering, virtualisering och erbjuda reparationskonton bör vara ett stort steg för att minimera risker när enheter lämnas ut från företagets kontroll. Om du följer mina rekommendationer så kommer ditt nätverk att ha en mer robust säkerhetsinfrastruktur och det ger även ett generellt skydd för både privat och företagsdata.

Jag vill även ge några råd till de som arbetar med service och underhåll av enheter. Ni bör onekligen se över era rutiner och policys och inte rutinmässigt fråga om lösenord. Jag förstår att lockelsen finns att rutinmässigt samla in all tänkbar data som kan behövas men att lagra dessa uppgifter tillsammans med min e-post, adress, namn, telefonnummer och annan data känns inte som en optimal lösning. Gör om – gör rätt!

Jag uppmanar er att se över policys på företaget, se hur och var information lagras. Klassificera enheter och försäkra dig om att du har lämplig säkerhet för enhetens användningsområde. Att göra det här två gånger om året är nyckeln för att säkerställa att du gör vad du kan för att minska riskerna – vilket är själva poängen med säkerhet.