Skandalen med 2.7 miljoner inspelade telefonsamtal är en uppslagsbok i hur du inte ska hantera information i allmänhet och sekretessbelagd information i synnerhet. Utifrån sett så är det uppenbart att det finns en rad säkerhetsproblem som måste åtgärdas.
De aktuella filerna låg på en så kallad NAS, en nätverksansluten hårddisk vilket i sig inte är något problem om den hanteras rätt. I det här fallet ser det ut som att enheten bara kopplats in och tilldelats ett IP-nummer. När det visade sig att allt fungerade, samtal spelades in och lagrades så har inget mer gjorts. Ingen har reflekterat över att filerna låg ute på Internet, helt oskyddade. Funktion har fått gå före alla säkerhet.
Utifrån mina egna erfarenheter så undrar jag om det överhuvudtaget har existerat några säkerhetsregler och om så är fallet – har ansvarig personal fått den utbildning de borde ha?
Regler
Det ska finnas strikta regler för hur servrar och lagringsmedia får anslutas till ett system som spelar in vårdsökandes telefonsamtal och det finns egentligen ingen anledning att lagring av telefonsamtal för internt bruk ska ligga tillgängliga ut på nätet. Rimligen borde denna NAS ha anslutit till det interna, skyddade lokala nätet, inte placerats med ett publikt IP-nummer ute på Internet. Hade det gjorts så hade det faktum att NAS-enheten saknade inloggning och lösenord varit ett internt säkerhetsproblem, allvarligt naturligtvis men inte på långa vägar lika allvarligt och kritiskt som att dela känslig information med hela Internet. Skulle det nu vara så att filerna ska vara tillgängliga utifrån så måste de lagras på en mycket väl skyddad server där inloggningar, access och trafik ska vara skyddad. I det h’är fallet så handlar det om en helt vanlig Apache.-server med ownCloud, en molnlösning installerad.
Nu är det naturligtvis lätt att sitta och peka fingera, i efterhand, och berätta vad som borde ha gjorts men här borde det ha funnits ett regelverk, en checklista och en förutbestämd strikt process för hur saker får anslutas och vad de får lagra.
Tillsyn
I detta regelverk ska det också finnas tillsyn och det bör göras penetrationstester, regelbundet. Det är tester av säkerheten där du helt enkelt provar att ta dig in med olika metoder. Tillsyn säger sig självt vad det handlar om – en kontroll att systemet uppfyller de krav som ställs.
Enligt Computer Swedens rapportering så har det funnits filer ända sedan 2013 på enheten men jag tror inte att den legat exponerad ute på Internet i flera år. I så fall borde någon ha hittat den och i så fall så skulle skandalen varit ännu större. Då hade alla filer sannolikt legat som ett nedladdningsbart arkiv på närmaste torrent-sajt.
Det finns uppgifter om att alla filer ska ha laddats ned men jag har inte hittat några tecken på att det verkligen ska vara så. I forumet på nätet hävdas att alla filer laddats ned, site-rip, men en snabb sökning på nätet ger inga träffar som tyder på att filerna skulle ha laddats ned. Nu har ett par personer trots det kommit åt filerna – den som tipsat Computer Sweden och journalisten som skrivit artikeln. Den senare, journalisten, måste ju av förklaring nödvändighet kontrollera att filerna innehåller det som påstås. Utöver det så finns det i skrivande stund inga tecken som tyder på att andra kommit över filerna. Det är inte detsamma som att ingen obehörig har laddat ned alla eller några av filerna.
Phone calls to the MEDICALL help service were stored as WAV audio files on an unsecured server. Picture via @b9AcE. pic.twitter.com/KlkPmvORft
— @mikko (@mikko) February 18, 2019
Enligt Voice Integrate Nordic AB, företaget som levererat utrustningen och på vars servrar informationen lagrats säger att de inte hittat några tecken i sina loggfiler på att filer laddats ned.
Lager
Det som är synnerligen anmärkningsvärt är att det informationslagringen ser ut att helt sakna den lager-filosofi som kännetecknar god säkerhet. Det startar med inloggning med namn/lösenord där kravet på ett längt och krångligt lösenord är ett grundkrav. Nästa lager kan bestå av två-faktor inloggning som följs av ett lager av kryptering och så vidare. Säkerhet är som en lök, lager på lager på lager.
Här har oskyddade filer lagts på en helt vanlig webbserver, tilldelats ett IP-nummer. Detta trots att det råder strikt sekretess runt innehållet i filerna.
Det är en uppslagsbok i hur du inte ska göra och hur du inte ska hantera sekretessbelagd information.
