Datasäkerhet på svenska företag

Tänkte skapa en tråd där vi kan dra anekdoter om företag vi jobbat på.
Anledningen är att jag vill visselblåsa om hur illa det faktiskt kan vara ställt på en del svenska företag.

Kan dra några exempel från där jag har jobbat. Kommer naturligtvis inte berätta om exakt var etc.
eftersom jag inte vill outa mig själv eller företagen.

Men låt oss säga att jag jobbade på ett svenskt företag för betaltjänster.
Och detta företag hade flera stora svenska företag som kunder. Vi hade då kundregister som innefattade en stor del av svenska befolkningen.

Jag kunde då som databasadministratör komma åt:
1. Alla email adresser
2. Alla gatuadresser
3. Namn mm.
4. Deras kreditupplysningar om sådan fanns, inklusive se deras inkomst, lån och vem de var gift med.
5. Personnummer

Detta är bara ett exempel. Vi processeade denhär datan lokalt på våra datorer när vi körde script och liknande. Det hela blev lite krångligare med GDPR men datan fanns fortfarande tillgänglig bara nu att det var fler steg att få tag på allt, i stället för som innan GDPR när presonnummer användes som nyckel.

Jag tror inte heller att man rensade någnonting egentligen, även om det fanns en plan på att anonymisera och arkivera data så lutade man sig mot bokföringslagen som då betyder att allt kan sparas i 7 år.

Ett annat jobb jag haft var på en svensk bank, och där var det något bättre att vi hade inte automatiskt tillgång till precis allt, och det fanns faktiskt skrivna regler om att man inte fick söka på sig själv eller något annan som inte behövders för jobbet. Men då råkade det va så att de ändå hade kopior av alla sina kunder i en testmiljö under en period. Så där kunde man ändå gå in och söka på allt, och det var ingen som kollade det. Där låg altså folks konton och personnummer mm okrypterade på en test server. Kändes sådär, och det försvann senare vilket var bra. Men vem vet vem som har tillgång till datan? Bolaget som driftade testmiljlön var inte ett svenskt företag.

Dela gärna med er av era egna erfarenheter.

Kan ju gott nog säga det fanns inget som hette datorsäkerhet. När man nu klagade att det är inte bra detta. Så blev man klassad som jobbig. Varför exakt ska vi behöva särskilda lösenord och en extra verifiering? Komplicerar ju bara vårt arbete. Men snälla ni är ett företag med koppling till staten som har att göra med saker som är extremt viktiga. Men icke ändå...

En sak man ganska nyligen fick kännedom om och man tänkte vad i helvete. Är att det finns ett system med inte särskild bra säkerhet där man kan se vart alla landets polispatruller befinner sig. De har GPS så de är spårade. Systemet trackar dom och koll på exakt vart de befinner sig. Väl bra sett till att de kommer få uppbackning på direkten om skit händer, mindre bra sett till att polisen ska ju vara en del av militären om landet blir anfallet.

Nu kommer ju det tråkiga juridiska in. Jag klipper in lite nedan.

"Att ta del av personuppgifter trots att man inte har rätt att göra det utgör ett olaga integritetsintrång enligt brottsbalken.

Detta brott innebär att någon sprider eller tillgängliggör uppgifter som rör någons privatliv på ett sätt som kränker dennes integritet, exempelvis genom att läsa eller använda uppgifter utan behörighet.

För att det ska klassas som brott krävs att:

Uppgifterna är av ett särskilt slag (t.ex. bilder på någon i utsatt situation eller hälsouppgifter).
Uppgifterna har spridits eller gjorts tillgängliga för fler än ett fåtal personer.
Målsäganden anmäler brottet till åklagare, eller att åtal anses vara av allmänt intresse.
Straffet kan vara böter eller fängelse i högst sex månader.

Utöver brottsbalken kan hanteringen också strida mot dataskyddsförordningen (GDPR), vilket kan leda till sanktionsavgifter för den ansvariga verksamheten eller skadestånd till den drabbade personen, men själva handlingen att "ta del" av uppgifterna är primärt reglerat i brottsbalken för enskilda individer.
"

Bara för att man kan ta del av uppgifter betyder inte att man får ta del av uppgifterna. Jobbar man med denna typ av arbete så ska man var väl medveten om detta. Jag säger inte att det är så i verkligheten.

Att man som databasadmin kan komma åt innehållet i databasen tycker inte jag är så konstigt. Jämför med att någon låskille på jobbet antagligen kan koppla bort delar av lås/larm.

Inget ställe jag själv jobbat på, men jag läste nyligen ett arbetsplatsreportage i tidningen (nej, inte papper). Vid en dator kunde man på en delvis dold papperslapp läsa "Nytt lösenord".

Jo jag vet om det. Men sedan är det så att när du går med på att använda en tjänst så går du också med på att t.ex. IT support måste kunna få ta del av de uppgifter som krävs för att utföra tjänsten. Och då kan det även handla om fall där man behöver göra det för att lösa problem, t.ex. rapporter som ej skickats ut. Då måste man köra ett script för att fixa det. Då laddar man ned all rapport data till sin egen krytperade hårddisk och fixar det. Det är så det fungerar i praktiken.

Men det är klart att de företag jag jobbat på borde kanske egentligen få böter för hur dåligt de sköter personuppgifter. Men ibland kommer det birljanta förslag som att "konsulter ska inte få ta del av personuppgifter", ja hur ska konsulter kunna jobba då? Det går ju inte.

Jo, men det går också att lagra känslig data kypterat. T.ex. kortnummer har jag för mig att kortbolagen kräver ska vara krypterade om man följer PCI standarden. Och då skickar de ut en kontrollant varje år som kollar att man roterat nycklarna mm. Så det är ju inte som att tekniken att kyptera data i databaser inte finns.

Rätta mig om jag har fel men borde inte känsliga uppgifter som email, lösenord m.m ha blivit hashat ?
Så även om du är databasansvarig så kan du ändå inte urskilja vissa uppgifter.

Man hashar inte email eftersom kryptografiska hash algoritmer är icke-reversibla. Dvs du kan inte "unhasha" något som är hashat. Och email behöver man ju för att kunna göra utskick. Däremot kan du räkna ut en hash av någon input och jämföra med den hash som finns i databasen. Och det är det man gör med ett lösenord.

Känsliga uppgifter kan och bör göras svåråtkomliga och/eller bevakade, men just nu orkar jag inte tänka på hur det görs på lämpligt sätt. Men så länge informationen, mer eller mindre obegriplig, finns i en databas torde den vara tillgänglig för administratören.

Datauttankning med hot om spridning främst baserat på direktkopplad remote desktop och dåliga lösenord som entry point. Lösensummor har betalats, iofs inte särskilt höga bara några tusen dollar.

Konton med stora mängder väldigt känslig (GDPR-hälsoklass och högre) data legat öppna mot Internet med direkt access och enbart lösenord, lösenorden i stil med den mest populära årstiden + årtal.
Användarnamnen slumpmässiga typ "vggks83sjkmx" i och för sig men kom igen. Det duger inte ändå.

En vän till mig berättade om vårdinrättning och hur det kan se ut där. Accesskort för läkare/ssk till journaldatorer sitter kvar i datorn under patientbesök där patienten själv lämnas i rummet under ärende till annan avdelning. I ett fall han också sett pinkod skriven på kortet.

Sen en väldigt typisk grej som man ser extremt ofta, system som lämnas för rost och röta och inte uppdateras alls på ett decennie eller mer. För några månader sen hjälpte jag till att lägga ner och konvertera en Windows Server 2003 baserad server med ganska känslig persondata. I och för sig var den inte direkt kopplad till Internet utan en rostig brandvägg fanns emellan ska sägas.