Risk för informationsläckage via program

Har ni koll på er organisations informationtionsflöden? En del programvaror, tex. rättstavningsverktyg eller anti-virus-program, kan dela information med tillverkaren och beroende på i vilket land företaget befinner sig, kan detta utgöra en mer eller mindre stor risk för informationsläckage.

I arbetet med att säkra organisationens it-miljö är “vitlistning” ett sätt att bekämpa virus, skadlig programvara, begränsa vad användarna kan installera och ladda ner på sina klienter. Nu vill CERT-SE även uppmärksamma ett växande problem gällande vilken data olika leverantörer av programvaror samlar in, lagrar och vart rent geografiskt denna information kan ta vägen. I bästa fall finns information om detta beskrivet i integritetspolicyn. Däremot kan det finnas program som delar all information användaren hanterar då de använder programmet med leverantören samt skickar aktuell data till ett land. Ibland kan denna typ av informationsdelning ske via tilläggsprogram i vitlistade program. Det är vanligt att användarna tillåts installera dessa själva eftersom det kan vara verktyg som gör arbetet i programmet mer praktiskt och anpassat efter användarens behov.

Ett fiktivt exempel från verkligheten på en medelstor offentlig organisation

Harald på HR kommer förbi it-supporten för organisationen han jobbar för. Han efterfrågar en programvara som ska underlätta hans arbete när han vid rekrytering hanterar många kandidaters ansökningshandlingar och han har via branschkollegor på en nätverksträff fått tips om ett bra program. Just nu är han mitt i en omfattande rekryteringsprocess som har startats i samband med en pågående omorganisation så han har lite bråttom och stort behov av it-stöd som kan underlätta och effektivisera hans arbete.

It-supporten kollar upp programmet samt leverantören, och i enlighet med organisationens policy görs bedömningen att programvaran kan tillåtas även om den i dagsläget inte är en sk. “vitlistad” programvara, en snabb installation på Haralds klient ordnas. It-teknikern gör även en notering om att rapportera detta på nästa enhetsmöte och diskutera om programvaran bör erbjudas till hela HR-avdelningen. Det visar sig dock ett par veckor senare när organisationens it-säkerhetskoordinator har läst in sig på programvaran och integritetspolicyn att leverantören samlar in och lagrar hela dokumentinnehåll samt att denna information skickas på ett okänt sätt till ett land utanför EU/EES [1]. Efter kännedom om detta fattades beslut om att omedelbart avinstallera programvaran från alla klienter eftersom det bedömdes vara risk för ett okontrollerat informationsläckage och att organisationen inte skulle ha kontroll över den ibland känsliga information som HR-enheten hanterar.

Kan det gå till så här i er organisation?

MSB har tagit fram vägledningen ”Upphandla informationssäkert” [2] som i avsnitt 6 specifikt berör vad en behöver tänka på vid upphandling av it-system, verktyg och program samt utveckling av it-system.

Rekommendationer

Undvik informationsläckage via programvaror genom att:

• Undersöka noggrant, närgranska integritetspolicyn från programleverantören för att ta reda på vad användarna uttryckligen godkänner: vilken informations-/dataöverföring som företaget gör, vilken information samlas in, hur den lagras, hur skickas den och vart den tar vägen.
• Vitlista och styr vilka program (även tilläggsprogram) som är godkända att installera på organisationens klienter

Källor

[1] https://www.datainspektionen.se/lagar--regler/dataskyddsforordningen/tredjelandsoverforing/
[2] https://www.msb.se/sv/publikationer/upphandla-informationssakert--en-vagledning/