VECKANS KRÖNIKA
Haveriet på 1177 - hur kunde det hända? – den svagaste länken i kedjan kan vara du!
Det har gått två veckor sedan ”Sveriges största integritetsskandal i mannaminne” briserade i medierna. Utredningen kommer att fortgå löpande under lång tid framöver, men vissa saker är tydliga redan idag. 2,7 miljoner känsliga ljudinspelningar har varit öppet tillgängliga över Internet. De har varit tillgängliga under en mycket lång tid och mycket tyder på att säkerhetsarbetet varit bristfälligt. Det är en stor risk för flera organisationer i ansvarskedjan att de kommer drabbas av stora sanktioner då lagar som GDPR och patientdatalagen överträtts.
Bakgrund
1177 är en gemensam tjänst för alla landsting och regioner i Sverige. Syftet är att göra det enklare för medborgarna att få tillgång till bra vård på ett enkelt sätt via webb och telefoni.
Respektive landsting/region väljer vilken leverantör som levererar telefonitjänsten. I detta fall har regionerna/landstingen i Stockholm, Sörmland och Värmland valt leverantören Medhelp. Medhelp har i sin tur valt leverantören Medicall för vissa samtal. Företaget Voice Integrated Nordic har lagrat samtalen på sina servrar. Det var en av Voice Integrated Nordic:s servrar som exponerades vidöppet på nätet.
Computer Sweden publicerade den 18 februari artikeln ”2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på internet”. Artikeln beskrev hur ljudinspelningarna enkelt hade varit tillgängliga från Internet utan något skydd.
Samma dag sa socialminister Lena Hallengren att ”Det är givetvis fullständigt oacceptabelt. Jag förutsätter att de berörda landstingen och regionerna agerar skyndsamt och resolut för att åtgärda de akuta problemen men också säkerställer att något liknande inte inträffar igen.”
Dagen efter skrev Datainspektionen ”Datainspektionen ser allvarligt på de uppgifter i massmedia som gör gällande att en stor mängd inspelade samtal till 1177 Vårdguiden har legat oskyddade på Internet. Myndigheten avser att granska det som uppges ha skett.”
Risker och möjligheter med outsourcning
De senaste åren har en stark trend varit att outsourca tjänster till andra leverantörer, dels för att det är kostnadsbesparande men även att man tror att någon annan gör det säkrare och bättre än jag själv. Ansvaret för informationen kan dock aldrig outsourcas, vilket står mycket tydligt i lagar och förordningar som till exempel GDPR och patientdatalagen. I detta fall är det exempelvis Stockholms läns landstings ansvar att granska att hela kedjan av Medhelp, Medicall och Voice Integrated Nordic skyddar känsliga personuppgifter. Ju längre kedja desto svårare blir det att skydda informationen.
Längst ned i kedjan av outsourcingpartners finns bolaget Voice Integrated Nordic, vilket förra året redovisade en omsättning på strax under 7 miljoner och uppgav att 3 anställda arbetar i bolaget.
Det finns inga ursäkter för att hantera säkerheten bristfälligt, men en mindre organisation har oftast begränsade resurser att lägga på säkerhetsarbete och tvingas ofta att prioritera annorlunda än en större organisation för att uppnå lönsamhet. Den snabba tekniska utvecklingen och Internet gör att det i dagsläget är möjligt att snabbt bygga upp gigantiska informationsmängder, utan att någon varnar dig för konsekvenserna om den informationen tappas bort.
Behovet av ett systematiskt arbete med IT och informationssäkerhet
Om man i sin organisation hanterar personuppgifter har man en skyldighet att upprätthålla tillräckliga tekniska och organisatoriska skyddsåtgärder. Hanterar man som i fallet med 1177 känsliga personuppgifter har man ytterligare krav på sig att vidta åtgärder för att stärka sin säkerhet och sina ansträngningar för att skydda de personuppgifter man ansvarar för. Detta ansvar kan man inte avtala bort eller på annat sätt undvika att göra, oberoende av organisationens storlek.
Många läsare av detta nyhetsbrev är organisationer inom SME-sektorn. Det är en sektor med en stor spännvidd vad gäller IT-mognad och även vilken typ av information som hanteras. Med dagens tekniska utveckling finns det inte en naturlig korrelation mellan storleken på en organisation och den mängd data man hanterar. Det man kan konstatera är att storleken på en organisation inte på något sätt behöver vara kopplat till det ansvar som man tar på sig när det gäller den information som man hanterar. Det är en stor utmaning att ha den totala överblicken över vart all information befinner sig och hur den är skyddad.
Om man som organisation vill bevisa att man arbetar strukturerat med sin information kan man certifiera bolaget enligt standarden ISO 27000. Standarden är utvecklad och publicerad av Internationella standardiseringsorganisationen (ISO) och Internationella elektrotekniska kommissionen (IEC) för att tillhandahålla ett globalt erkänt ramverk för bästa praxis avseende informationssäkerhetshantering. ISO 27001:2013 innehåller totalt sju säkerhetsområden som måste uppfyllas om företaget vill följa standarden. ISO 27001:2013 (bilaga A) innehåller 14 punkter om säkerhetskontroller, vilka tillsammans omfattar 35 säkerhetskategorier och 114 säkerhetskontroller.
En ökande trend är att leverantörer vill ställa krav på underleverantörers arbete med informationssäkerhet, till exempel i upphandlingar. ISO 27000 kan då vara ett sätt att ställa krav på nivå som organisationen skall uppnå.
Effekterna av ett skadat förtroende
I en värld där vi blir allt mer digitaliserade är organisationens varumärke och förtroendekapital allt viktigare. Om din organisation drabbas av en allvarlig incident som drabbar dina kunder kan i många fall varumärket lida skador som kan vara svåra eller omöjliga att reparera. Vårdguiden kommer under lång tid få hantera effekterna av denna incident.
Hur skall man då göra?
Är du en organisation som hanterar känslig information eller gör detta för dina kunder räkning? I så fall bör du fundera på konsekvensen för er om informationen hamnar i fel händer. Resultatet är ofta att åtgärder krävs för att hantera riskerna som identifierats.
• Identifiera vilken information som du har i din organisation. Dela upp den i känslighetsnivåer. Detta kallas informationsklassning
• Gör löpande riskanalyser för att identifiera hela kedjan över vart din information hanteras och var det kan gå fel
• Ge informationen ett lämpligt skydd, oavsett om den lagras analogt eller digitalt
• Granska att de avtal ni har med kunder och leverantörer att de inte ger er onödiga risker
• Om ni vill visa att ni arbetar med informationssäkerhet systematiskt, sätt upp en målsättning att certifiera er organisation mot ISO 27001
Var startar jag?
Använd DokuMeras mallar Risk- och konsekvensanalys informationssäkerhet, Checklista IT-säkerhet enligt dataskyddsförordningen, Checklista personuppgifter och behandling eller Checklista - ISO 27000 - Ledningssystem för informationssäkerhet för att komma igång att identifiera risker med era informationstillgångar.
Anlita DokuMeras experter på informationssäkerhet, IT-Säkerhetsbolaget, om du behöver hjälp med att komma igång mer ert riskarbete, kvalitetssäkra din organisation eller om ni har behov av annan hjälp inom IT-, informationssäkerhet, NIS-Direktivet eller GDPR.
Delta vid ett gratis webinar/informationstillfälle för att veta mer om bakgrunden till 1177-haveriet och hur du skall agera för att undvika att liknande incidenter kan drabba dig! Anmäl dig till IT-Säkerhetsbolagets föreläsning den 27:e mars genom att klicka på denna länk.
VECKANS NYHET
1177-skandalen och GDPR – har du skyddat företagets information?
Den uppmärksammade 1177-skandalen har undgått få. Miljontals filer med känslig information har funnits allmänt tillgängliga på Internet. Detta reser många frågor, bland annat om integritetsskydd och IT-säkerhet. Hur långt har du kommit i ditt informationssäkerhetsarbete?
VECKANS FRÅGA
Hur gör man en hotbildsanalys?
Begreppet ”hotbild” syftar på summan av alla hot som ett företag utsätts eller kan utsättas för. Det huvudsakliga syftet med en hotbildsanalys är att identifiera eventuella hot och utifrån denna vidta åtgärder för att minimera, förebygga, hindra eller utreda redan befintliga säkerhetshot mot den bedrivna verksamheten.
