Dataintrång i Umeå kommun (igen)

Västerbottens Kuriren, vilka låser in sina artiklar bakom “plus”-symbolen så jag varken kan eller vill länka dem, publicerade idag en nyhet om dataintrång i Umeå kommun. Det gäller en “gymnasieelev, som för mindre än ett år sedan dömdes för två fall av dataintrång, är återigen misstänkt för samma slags brott”. En brottsrubricering som snarare borde vändas mot målsägande Umeå kommun för oansvarigt hanterade av känsliga uppgifter.

I och med publiceringen av denna information, eftersom jag misstänker att det inte framgår särskilt tydligt annars, tycker jag vi ska vara oerhört tydliga med var ansvaret ligger för den typ av dataintrång det gäller. Datorsäkerhet är ett snårigt träsk där man hela tiden måste hålla sig uppdaterad med fräsch information om nya hot. Denna uppgift ligger hos administratörer i ett nätverk. Se till att användarna inte kör program med sårbarheter, se till att obehöriga inte tar sig in utan korrekta uppgifter – och se till att dessa uppgifter (typ lösenord) byts ut med jämna mellanrum.

Användare kan inte förväntas ha en särskilt god säkerhetskunskap. I många lägen måste man till och med kunna räkna med att användarna själva lämnar ut lösenord och andra uppgifter till personer de tror sig kunna lita på. Det är sällan ett stort problem eftersom det sker i begränsad skala. Förtroendenätverk av den typen tenderar att fungera och att folk på samma kontor kan logga in som varandra under en tidsperiod är inga större bekymmer.

Större bekymmer är när man som nätverksadministratör, såsom Umeå kommun, exempelvis producerar en automatiserad metod att distribuera (eller inhämta?) lösenord. Det går förstås att göra säkert, men det krävs en hel del strategiskt tänkande för att inte läcka uppgifter. Själva överföringen måste vara säker, själva genereringen bör vara säker den med. Lösenord ska inte vara för korta, man ska kunna komma ihåg dem och de ska variera mellan individer.

Att som nätverksadministratör skapa en – inom organisationen (elevnätet) – publik utdelning med samtliga användares hemliga lösenord lagrade i klartext är inte att ta sitt ansvar. En nätverksadministratör, särskilt med de dyra certifieringsutbildningar som många tekniker brukar ha diplom från, ska aldrig någonsin tillåta lösenord att lagras i klartext i första början.

Om så önskas, Umeå kommun eller vilka som eventuellt läser detta, ställer Umeå Hackerspace säkerligen upp på att granska era säkerhetsrutiner, automationsscript och rutiner.

Leave a Reply

Your email address will not be published. Required fields are marked *