6.2 Säker arbetsplats - på resa, på distans och på kontoret
Numera arbetar allt fler på ungefär likvärt sätt på huvudarbetsplatsen/kontoret, på distans, på resa med bärbar dator och via mobiltelefon. Därför är det inte meningsfullt att hantera dessa separat mer än när så är påkallat. Vi inleder med några basala användarregler:
Logga alltid ut (respektive stäng av) när du lämnar din dator obevakad. Ditt konto är ditt ansvar.
Sprid inte ut ditt lösenord genom att skriva upp det på lappar, under musmattor eller på skärmkanten.
Låna inte ut ditt konto.
Lämna ALDRIG ut ditt lösenord eller dina kontouppgifter till andra. Banker frågar aldrig. Systemavdelningar frågar aldrig. Det är ALLTID en bluff när någon frågar.
Se till att dina data är säkerhetskopierade. Hårddisken på din bärbara dator är ingen säkerhetskopia.
Klicka inte på allt skräp som dyker upp. Klicka inte på länkar och bilder som du inte vet vad de kommer ifrån. Klicka inte OK utan att läsa vad du OK:ar till. Du kan råka installera virus eller annat otyg på din dator.
Spara inte kontonummer på din dator.
Var inte oförskämd, elak eller dum i mail eller chat på nätet, det kan straffa sig.
Det är arbetsgivaren som ansvarar för och därmed kan ställa krav på den säkerheten på arbetsplatsen. Kraven bör vara principiellt likartade oavsett var/hur arbetet utförs, men måste givetvis anpassas till möjligheterna. Skyddsåtgärderna får givetvis anpassas till hotbilden.
Förutom ovanstående måste man komma ihåg att det finns en arbetsrättslig/skattemässig indelning med avseende på var huvuddelen av arbetstiden tillbringas.
Risker
Bärbara datorer/telefoner kan glömmas kvar på resa, i en föreläsningssal el.dyl.
Datorer kan stjälas.
De kan råka åka i golvet
Programvaran kanske inte hålls vederbörligen uppdaterad.
Trafiken kan sniffas. Risken kan vara större i 'fientlig' miljö.
Någon kan läsa över axeln på kontoret, flyget eller på tåget.
Vi måste alltså:
förebygga att något händer med datorn/informationen
försöka begränsa skadan om något ändå skulle hända.
Världen är full av risker, man kan inte undvika samtliga utan måste göra en avvägning utgående från vilka värden som ska skyddas och vilken hotbild som finns.
Förebyggande av skador
Se till att inte obehöriga har tillgång till datorn och arbetsplatsen. Obehöriga, exempelvis städpersonal, nattvakter och familjemedlemmar ska inte ha tillgång till din dator.
En hemarbetsplats placeras i ett separat, låsbart, utrymme.
En laptop på ett hotellrum ska (om möjligt) förvaras inlåst i kassaskåp eller i resväskan, liksom känsligare information etc. Givetvis ska även annan känslig information förvaras inlåst på lämpligt sätt. Samma sak gäller 'rörliga' media som usb-minnen, cd-skivor etc.
Om arbetsplatsen lämnas, se till att låsa.
Om det finns risk för strömavbrott, använd avbrottsfri kraft för stationära datorer.
Notera all utrustnings tillverkningsnummer & macadress(er). Förvara detta på säker plats.
Säkerhetskopiera viktiga dokument samt förvara dessa på annan plats än på arbetsplatsen/vid datorn.
Borttappad dator på resa
Vanliga ställen att glömma sin dator är taxi, tåg, flygplatser (säkerhetskontroller).
Förvara datorn i din ordinarie väska, inte i en separat dator-dito.
Ställ inte ifrån dig väskan, om nödvändigt ställ den exvis mellan benen så att du har kroppskontakt med den.
Stulen
Förvara inte din laptop i någon läcker laptopväska! Ha den i normal väska/ryggsäck. Lås helst förvaringsfacket så slipper du ev obehagliga överraskningar.
Tänk på exponeringen: förvara exempelvis inte din laptop vid fönstret! Det är inte ovanligt att bärbara datorer stjäls på arbetsplatsen.
På hotell: Svenska hotellrum kan normalt anses ganska säkra, utomlands kan det dock vara annorlunda. Lås in/fast datorn! Hotellkassaskåp kan vara lätthackade. Det finns rörelselarm som ev kan användas.
I bilen: lägg i låst bagageutrymme, inte synligt i kupén.
På konferens: stölder sker ofta efter några dagar då deltagarna slappnat av och slutat ta med sig datorn då de fikar.
Om möjligt, lås fast datorn med en godkänd låsanordning, lås in den över natten eller då du är borta. Säkerhetskablar ger en måttlig säkerhet: risk för klipp, dyrkning eller avhakning i ytteränden. Se till att kabeln är minst 3mm så att den åtminstone inte är klippbar med handtång. Trots svagheterna kan säkerhetskablar avhålla från tillfällighetsbrott, speciellt om det finns mer lättstulna datorer intill....
Stationära datorer och annan utrustning kan placeras i låsbara chassin om förhållandena så kräver. Även om det inte hindrar en tjuv med gott om tid så sker många stölder på dagtid framför ögonen på inte ont anande medarbetare
Sniffad
Trafiken från dator/mobil kan sniffas och känslig information uppfattas. Speciellt stor kan risken vara på trådlösa nät.
Använd krypterade protokoll för kommunikation:
Se till att mailklienten kräver krypterad förbindelse till mailserver, se nedan.
Använd https:, ej http: där så möjligt.
Använd krypterad förbindelse, typ SSH, VPN:etc.
Bluetooth (Se även avsnittet om bluetooth):
Håll programvaran uppdaterad. Både i dator och mobil.
Stäng av 'synlighet'.
Para inte ihop enheter i publika miljöer.
Stäng av bluetooth då det inte används (och spara dessutom ström).
Wlan (se även avsnittet om wlan):
Det kan förekomma 'falska accesspunkter' som har som uppgift att stjäla lösenord till exvis homerun och/eller avlyssna trafik. Kolla certifikat då du loggar in på nätet! (I den mån det låter sig göras, klaga annars hos till ISP.)
Stäng av wlan då det inte används (och spara dessutom ström).
Använd wpa2 etc om möjligt, i andra hand wpa. Sätt ett långt, svårgissat lösenord.
Trafik till/från skrivare/scanners etc är ofta inte krypterad och risk finns således att den kan uppfattas av obehöriga. Känslig info bör ev gå via lokalt ansluten skrivare/scanner. Fax är också ett osäkert överföringssätt.
Överaxeltitt
Bortse inte från risken att någon bakom dig kan glutta på din dator på kontoret, då du sitter på tåget el.dyl. Det finns skyddsfilm som begränsar risken för obehörig insyn att sätta framför skärmen.
Ouppdaterad
Datorer som inte används så ofta, liksom datorer som inte alltid befinner sig på den ordinarie arbetsplatsen kanske inte hålls uppdaterade m.a.p. OS och antivirus enligt gängse rutiner. Var medveten om detta och uppdatera så snart möjlighet ges.
Tänk speciellt på detta då datorer slås på efter längre uppehåll, exempelvis semester.
Även mobiler (inklusive appar) måste hållas uppdaterade!
Förutom OS måste även installerade applikationer hållas uppdaterade.
Trasig
Bärbara datorer är ofta stötkänsliga. Speciellt gäller detta hårddisk och skärm. Det är stora skillnader mellan olika fabrikat/modeller.
Brandskydd
Se till att adekvat brandutrustning finns vid arbetsplatsen
Legala krav, policy, avtal
Har man känslig information på datorn så kan man ev vara bunden av sekretessavtal eller regler som ställer krav på hur datorn ska vara säkrad.
Vid köp av dator
Krav på hårdvara vid inköp av bärbara datorer:
'strömbrytare' (fysisk eller i bios) för usb,firewire, wlan etc.
ATA security (möjlighet till hårddisklösenord).
Lösenordsskydd i bios för boot samt bios-konfig.
Datorn ska konfigureras säkert. Läs mer här.
Stöldmärk datorn! Dels kan detta öka chansen att få igen den om den kommer på avvägar, dels kan det ev minska risken för stöld.
Krypterad kommunikation etc.
VPN
VPN kan vara ett praktiskt sätt att låta en dator på resa få tillgång till hemmanätverket. Det finns i ett antal varianter:
PPTP
IPSEC
OpenVPN
Det förstnämnda bör inte användas p.g.a. dålig säkerhet. Man bör tänka på att om en dator på ett fjärran nät ansluts till hemmanätet blir ävenså det fjärran nätet, med okända säkerhetsproblem, anslutet.
KrypteradEpost
En dator bör skicka/ta emot epost via en krypterad förbindelse till ordinarie mailserver, d.v.s. IMAP/SMTP som stödjer STARTTLS (eller IMAPS/SMTPS). Därmed kan man använda exvis SMTP AUTH för att verifiera avsändaren. Hur man gör praktiskt beror på epostklienten.
Känsliga data bör dessutom krypteras så att bara mottagaren kan läsa brevet. Använd exvis PGP/GPG eller S/MIME.
Det kan vara en fördel att ladda ned eposten till din epostklient och inte lämna den på servern där den, skulle ditt epostlösenord komma på avvägar eller det blir intrång i servern, kan läsas av andra.
Uppkoppling mot servrar etc
Använd om möjligt 2faktorpåloggning för uppkoppling mot servrar.
Kryptering av av information på datorn
En basal utgångspunkt är att vad du inte har på datorn går inte att stjäla. Om du exempelvis reser utomlands så finns risken att tullen kan kräva att du lämnar ifrån dig lösenordet till krypterade filer och om du inte gör det (eller ens kan), så kan du få problem. Tänk också på att det inte bara är i dina filer på skrivbordet som hemligheter kan finnas utan även exempelvis i loggar från mailclient och webbläsare. Tänk också på att även om du rensar en fil så finns ofta informationen kvar och kan tas fram av den intresserade.
Om du bedömer såväl hotbilden som informationsvärdet som ringa så kan det räcka att hårddisken är låst med ATA-lösenord (se nedan), annars är det lämpligt att kryptera informationen på hårddisken, notera dock vad som sagts ovan om tull mm vid resor.
Några möjliga alternativ för diskkryptering, baserat på OS:
Bitlocker, ingår i Windows Vista och Windows7 Enterprise ed.
LUKS / DM-crypt, ingår i moderna linux-kärnor.
FileVault, MacOS.
Det finns även ett otal fristående produkter som exempelvis
PGP Disk, fungerar under Windows och MacOS
TrueCrypt, Windows, Linux, MacOS
Tänk på att diskkrypteringen blir av ringa värde om page/swapfiler är läsbara. Kontrollera att ditt alternativ stödjer detta, vilket de ovan gör (om konfigurerat rätt).
Tänk även på att stänga av datorn när du lämnar den, är den i viloläge kan det ev gå att extrahera lösenord och andra data via exvis firewirekontakten.
Lösenordet måste vara av mycket god kvalitet, en angripare som har din hårddisk har ju all tid i världen att knäcka lösenord. Om du krypterar hårddisken etc - se till att inte glömma lösenordet. Om det är din tjänstedator, se till att lösenordet kan göras tillgängligt för din arbetsgivare, skulle problem uppstå.
Radering av filer
När du raderar en fil på din dator försvinner den oftast inte utan kan plockas fram igen av den som vet hur. Känsliga filer bör raderas mer permanent. Eventuellt kan du konfigurera ditt operativsystem så, annars kan du använda särskild programvara för detta.
Backup
Det säger sig självt att man ska ta regelbundna backupper. Det kan vara speciellt viktigt att komma ihåg detta för bärbara datorer direkt innan man far iväg på en resa. Men, på resan kanske du inte är betjänt av den centrala backuppen ifall du får problem med din laptop. Det kan vara till fördel att ha med exvis din presentation och ev andra viktiga filer på ett USB-minne som reserv.
Har du känsliga data - se till att ha krypterad baskupp, både å server och under överföring. Se ovan om lösenordshantering.
Brandmur
Din dator bör vara försedd med en brandmur som stoppar uppkopplingar utifrån. En sådan ingår i moderna operativsystem och bör vara tillräckligt stramt konfigurerad.
Webbläsare
Dessa kan som levererat vara osäkert konfigurerade. Exekvering av aktiv kod bör begränsas. Det finns tilläggsprodukter för detta, exempelvis No-Script för Firefox.
Phone-home-produkter
Det finns ett antal produkter på marknaden som gör att datorn på något sätt meddelar sig exvis när den startas. Dessa kan vara en del av OS, av BIOS eller implementerade i hårdvara.
Produkterna är dock inte 'idiotsäkra', de måste ju ta kontakt för att meddela sig. Inget nät, inget meddelande. Det finns också en risk att datorn kan komma att uppfattas som hackad liksom en 'privacy'-fråga: Även den 'legale' användaren blir givetvis spårad. Produkter som är en del av OS försvinner givetvis vid en ominstallation.
Antivirusprogram för mobiltelefoner kan innehålla stöd för att man, skulle mobilen förkomma, exvis via ett sms kan få den att rapportera sin position, respektive omformatera sig själv, .