Fysisk och logisk säkerhet på distansarbetsplatsen

Det är arbetsgivaren som ansvarar för och därmed kan ställa krav på den säkerheten på arbetsplatsen. Kraven bör vara principiellt likartade oavsett om arbetet utförs på huvudarbetsplatsen, på en stationär distansarbetsplats, i hemmet eller mobilt på en konferens eller på ett hotellrum, men måste givetvis anpassas till möjligheterna. Nedan skriver vi således inte ordet 'distans' annat än där det är nödvändigt för sammanhanget.

Risker

  • Bärbara datorer kan glömmas kvar på resa, i en föreläsningssal el.dyl.

  • Datorer kan stjälas.

  • De kan råka åka i golvet

  • Programvaran kanske inte uppdateras lika bra som hos ev. stationär dator på huvudarbetsplatsen.

  • Risken att trafiken sniffas kan vara större i 'fientlig' miljö.

  • Någon kan läsa över axeln på flyget eller på tåget.

Vi måste alltså:

  • förebygga att något händer med datorn/informationen

  • försöka begränsa skadan om något ändå skulle hända.

Förebyggande av skador

Se till att inte obehöriga har tillgång till datorn och arbetsplatsen. Obehöriga, exempelvis familjemedlemmar, ska inte ha tillgång till din dator.

  • En hemarbetsplats placeras i ett separat, låsbart, utrymme.

  • En laptop på ett hotellrum ska (om möjligt) förvaras inlåst i kassaskåp eller i resväskan, liksom känsligare information etc. Givetvis ska även annan känslig information förvaras inlåst på lämpligt sätt. Samma sak gäller 'rörliga' media som usb-minnen, cd-skivor etc.

  • Om arbetsplatsen lämnas, se till att låsa.

  • Om det finns risk för strömavbrott, använd en UPS för stationära datorer.

  • Notera all utrustnings tillverkningsnummer & macadress(er). Förvara detta på annan säker plats än distansarbetsplatsen

  • Säkerhetskopiera viktiga dokument samt förvara dessa på annan plats än distansarbetsplatsen.

Borttappad dator på resa

Vanliga ställen att glömma sin dator är taxi, tåg, flygplatser (säkerhetskontroller).

  • Förvara datorn i din ordinarie väska, inte i en separat dator-dito.

  • Ställ inte ifrån dig väskan, om nödvändigt ställ den exvis mellan benen så att du har kroppskontakt med den.

Stulen

Förvara inte datorn i någon läcker laptopväska! Ha den i normal väska/ryggsäck. Lås helst förvaringsfacket så slipper du ev obehagliga överraskningar.

  • Tänk på exponeringen: förvara exempelvis inte din laptop vid fönstret! Det är inte ovanligt att bärbara datorer stjäls på arbetsplatsen.

  • På hotell: Svenska hotellrum kan normalt anses ganska säkra, utomlands kan det dock vara annorlunda. Lås in/fast datorn! Hotellkassaskåp kan vara lätthackade. Det finns rörelselarm som ev kan användas.

  • I bilen: lägg i låst bagageutrymme, inte synligt i kupén.

  • På konferens: stölder sker ofta efter några dagar då deltagarna slappnat av och slutat ta med sig datorn då de fikar.

  • Om möjligt, lås fast datorn med en godkänd låsanordning, lås in den över natten eller då du är borta. Säkerhetskablar en ger måttlig säkerhet: risk för klipp, dyrkning eller avhakning i ytteränden. Se till att kabeln är minst 3mm så att den åtminstone inte är klippbar med handtång. Trots detta kan de avhålla från tillfällighetsbrott, speciellt om det finns mer lättstula datorer intill....

Sniffad

En bärbar dator utsätts för andra risker än en fast.

  • nätsniffad: kanske aggressivare miljö än på kontoret. Använd brandmur.

  • bluetooth (Se även avsnittet om bluetooth):

    • Håll programvaran uppdaterad. Både i dator och mobil.

    • Stäng av 'synlighet'.

    • Para inte ihop enheter i publika miljöer.

    • Stäng av bluetooth då det inte används (och spara dessutom ström).

  • wlan (se även avsnittet om wlan):

    • Det kan förekomma 'falska accesspunkter' som har som uppgift att stjäla lösenord till exvis homerun. Kolla certifikat då du loggar in på nätet! (I den mån det låter sig göras, klaga annars hos till ISP.)

    • Stäng av wlan då det inte används (och spara dessutom ström).

    • Använd wpa2 etc om möjligt, i andra hand wpa. Sätt ett långt, svårgissat lösenord.

    • Stäng av wlan då det inte används (och spara dessutom ström).

Överaxeltitt

Bortse inte från risken att någon kan glutta på din dator då du sitter på tåget.

Ouppdaterad

En dator som inte är på arbetsplatsen hela tiden kanske inte hålls lika uppdaterad m.a.p. OS och antivirus som din fasta dito. Var medveten om detta och uppdatera så snart möjlighet ges.

Trasig

Bärbara datorer är ofta stötkänsliga. Speciellt gäller detta hårddisk och skärm. Det är stora skillnader mellan olika fabrikat/modeller.

Brandskydd

Se till att adekvat brandutrustning finns vid arbetsplatsen

Legala krav, policy, avtal

Har man känslig information på datorn så kan man ev vara bunden av sekretessavtal eller regler som ställer krav på hur datorn ska vara säkrad.

Skadeförebyggande åtgärder (om datorn väl försvinner)

Skyddsåtgärderna får givetvis anpassas till hotbilden:

  • hårdvarutjuv

  • datatjuv

  • resursstark datatjuv

Basala åtgärder

Krav på hårdvara vid inköp av bärbara datorer:

  • 'strömbrytare' (fysisk eller i bios) för usb,firewire, wlan etc.

  • ATA security (möjlighet till hårddisklösenord).

  • Lösenordsskydd i bios för boot samt bios-konfig.

Konfigurering:

  • Stäng (i bios) av annat än hårddisk-boot så att man inte helt enkelt kan starta datorn från diskett/cd/usb

  • Använd lösenord för operativsystemet

  • Använd skärmsläckare med lösenord (el.dyl) som låser skärmen om du skulle lämna datorn på tillfälligt.

  • Sätt lösenord i bios.

    • Dock inte helt idiotsäkert: cmos-reset kan nollställa pw. Vissa bios har (i alla fall haft) 'bakdörrslösen', d.v.s. standardlösenord för tillverkaren.

  • Sätt hårddisklösenord:

(s)ATA specifikationen definierar två 32-teckens lösenord, 'user' och 'master' samt två säkerhetsmoder: 'high' och 'maximum'.

  • High: antingen user- eller master-pw kan nyttjas för att låsa upp disken.

  • Maximum: user-pw krävs för att låsa upp disken. Master-pw kan bara nyttjas för att radera den (security erase).

Dock: detta är inte alls vattentätt mot en resursstark angripare, som exvis kan nolla lösenordet på hårddisken. Parantes: ATA security finns numera även på diskar för stationära datorer. Detta kan leda till en säkerhetsrisk: Vissa bios går ej 'security freeze lock' innan de lämnar över kontrollen till operativsystemet vilket gör att en angripare kan kryptera hårddisken och sedan exvis kräva en lösensumma för att öppna.

  • Kolla att bios gör 'security freeze lock'!

  • Använd krypterade filsystem för att skydda mot en resursstarkare angripare. De flesta OS har möjligheter till detta. Läs om detta i avsnittet disk- och filkryptering.

  • Dock: Exvis swapfiler är en risk då de kan innehålla läsbar text. En annan sak att tänka på är att

krypteringsnyckeln p.n.s lagras i minnet så länge man har fil/filsystem öppet, om man då 'suspenderar' maskinen så finns risk att kryptonyckeln hamnar på disken och eventuellt kan återvinnas av en angripare. Stäng av/avmontera kryptofiler/system innan du gör suspend! # stäng alltid av datorn då du inte har uppsikt över den

  • Stöldmärk datorn! Dels kan detta öka chansen att få igen den om den kommer på avvägar, dels kan det ev minska risken för stöld.

Krypterad kommunikation etc.

Ehuru allenast icke en distansarbetsfråga kan det vara på sin plats att ta upp

VPN

VPN kan vara ett praktiskt sätt att låta en dator på resa få tillgång till hemmanätverket. Det finns i ett antal varianter:

  • PPTP

  • IPSEC

  • OpenVPN

Det förstnämnda bör inte användas p.g.a. dålig säkerhet. Man bör tänka på att om en dator på ett fjärran nät ansluts till hemmanätet blir ävenså det fjärran nätet, med okända säkerhetsproblem, anslutet.

Se VPN-avsnittet

KrypteradEpost

En dator bör skicka/ta emot epost via en krypterad förbindelse till ordinarie mailserver, d.v.s. IMAPS / SMTPS. Därmed kan man använda exvis SMTP AUTH för att verifiera avsändaren. Hur man går praktiskt beror på epostklienten.

Känsliga data bör dessutom krypteras så att bara mottagaren kan läsa brevet. Använd exvis PGP/GPG eller S/MIME.

Uppkoppling mot servrar etc

I USA kräver myndigheterna 2-faktorspåloggning för att ansluta från laptops, det kan finnas skäl att ha en liknande policy. Exvis skulle smartkort kunna användas.

Backup

Det säger sig självt att det kan vara lämpligt att ta backupp på den bärbara datorn direkt innan man far iväg på en resa. Men, på resan kanske du inte är betjänt av den centrala backuppen ifall du får problem med din laptop. Det kan vara till fördel att ha med exvis din presentation och ev andra viktiga filer på ett USB-minne som reserv.

Phone-home-produkter

Det finns ett antal produkter på marknaden som gör att datorn på något sätt meddelar sig exvis när den startas. Dessa kan vara en del av OS, av BIOS eller implementerade i hårdvara.

Produkterna är dock inte 'idiotsäkra', de måste ju ta kontakt för att meddela sig. Inget nät, inget meddelande. Det finns också en risk att datorn kan komma att uppfattas som hackad liksom en 'privacy'-fråga: Ãven den 'legale' användaren blir givetvis spårad. Produkter som är en del av OS försvinner givetvis vid en ominstallation.

Läs mera

IT-säkerhetshandboken | Utskriftsvänlig sida | Kontakt