Många företag har ett otillräckligt dataskydd. Felaktig eller ofullständig information i de data som lagras i systemen kan leda till felaktiga beslut. Företagen kan skadas.
En viktig del av dataskyddet är behörighetskontrollerna.
Anders Edin och Per Wardhammar, Öhrlings Revisionsbyrå i Stockholm, beskriver i denna artikel hur ett bra behörighetssystem bör vara uppbyggt. De konstaterar att i många fall orsakas brister i behörighetskontrollerna av dåliga regelsystem och manuella uppföljningsrutiner.
Ett företags information lagras och bearbetas i allt väsentligt i olika datasystem. Kontinuerlig tillgång till denna information och till företagets bearbetningsresurser är ofta av vital betydelse för företaget och dess verksamhet. Information och bearbetningsresurser måste därför skyddas eftersom störningar i ADB-verksamheten, förlust eller förvanskning av data samt avslöjande av konfidentiella data kan påverka företagets effektivitet samt leda till förlust eller annan skada.
ADB-säkerhet är sammantaget de skyddsåtgärder som vidtas för att skydda väsentlig information och bearbetningsresurser mot störningar samt data mot förluster, felaktigheter eller avslöjanden. För god ADB-säkerhet krävs direkt engagemang från företagsledningens sida. I företagsledningens ansvar ingår dels att utforma en säkerhetspolitik, fördela ansvar och befogenheter och tilldela resurser, dels att kontrollera att denna politik omsätts i konkreta planer och fungerande rutiner. Utan företagsledningens aktiva medverkan är det mindre sannolikt att en god säkerhetsnivå uppnås.
ADB-säkerhet kan indelas i fyra delområden (se figur 1).
Figur 1. ADB-säkerhetens fyra delområden
Delområde | Avser |
|---|---|
* Kapitalskydd | – skydd av fysiska resurser |
– fysisk säkerhet | |
* Funktionsskydd | – driftsäkerhet |
– reservrutiner | |
– katastrofberedskap | |
* Dataskydd | – skydd mot förlust |
– förvanskning och | |
– avslöjande av data | |
* Datakvalitetsskydd | – data är riktiga, fullständiga och godkända |
– data är ändamålsenliga och aktuella. |
Denna artikel begränsas till delområdet dataskydd – speciellt behörighetskontroller – men de åtgärder som diskuteras och som kan komma att vidtagas har effekter även inom delområdena funktionsskydd och datakvalitetsskydd.
Därför behövs ett dataskydd
De data som lagras i systemen används som underlag för åtgärder och beslut på alla nivåer inom företaget. I vissa fall skapas data och transaktioner av systemet självt, bland annat baserat på den information som redan finns i registren. Felaktig eller ofullständig information medför risk för felaktiga beslut och åtgärder, vilket kan leda till förlust eller annan skada för företaget. De rutiner och åtgärder som syftar till att säkerställa fullständiga och riktiga data innefattas i begreppet intern kontroll. Ett effektivt dataskydd förbättrar avsevärt den interna kontrollen och krävs också för att förhindra att känslig eller konfidentiell information kommer i orätta händer.
God intern kontroll och gott dataskydd krävs direkt och indirekt av lagar och förordningar, bl a datalagen och bokföringslagen.
Den tekniska och administrativa utvecklingen har medfört att riskerna och därmed skyddskraven ständigt ökar. Bland faktorer av betydelse kan nämnas:
* En allt större del av ett företags information lagras fysiskt i olika databaser. Informationen blir i ökad utsträckning en gemensam resurs för många funktioner inom företaget. Felaktigheter sprids därigenom snabbt inom företaget.
* Antalet personer som arbetar direkt mot datorn och vars arbete är beroende av omedelbar tillgång till information ökar. Detta förhållande gäller både inom ADB-avdelningen och inom övriga avdelningar.
* Införandet av Information Center och användarnära databehandling ökar riskexponeringen. Dels kommer antalet personer som har tillgång till data att öka, dels kommer dessa personer – som ofta är oerfarna på området – att vara mindre medvetna om vilka risker som finns och hur de kan undvikas. Riskerna för såväl oavsiktliga som avsiktliga fel ökar härigenom.
* Den ökande mängden datakommunikation, såväl internt som externt, medför att det skapas flera ingångar till systemet, vilket i sin tur kan innebära flera potentiella användare, såväl behöriga som obehöriga.
Lagar och förordningar kräver skydd för främst ekonomiska data och persondata. Den information som förmodligen är allra känsligast för företaget är emellertid data inom teknisk-vetenskaplig databehandling. Kontentan av det ovan sagda är att dataskydd behövs inom alla områden, oavsett om data direkt påverkar den ekonomiska redovisningen eller ej.
Så kan dataskydd byggas upp
Förlust av data
Det viktigaste skyddet mot förlust av data är regelbunden säkerhetskopiering av registren. De transaktioner som uppdaterar registren mellan kopieringstillfällena måste sparas, gärna i maskinläsbar form, så att återstart underlättas. Säkerhetskopiorna måste självfallet vara skyddade. Vidare krävs rutiner och instruktioner för återstart för att undvika att fel uppstår vid återstarttillfället.
Förvanskning eller avslöjande av data
Skador uppstår främst på grund av obehörig åtkomst av data. Detta kan ske dels genom obehörig användning av reguljära program, dels genom användning av obehöriga program. Problemet är störst i terminalorienterade system, där terminaloperatören själv startar programmen. Bland känsliga program kan nämnas registervårdsfunktioner, med vilka uppgifter som priser, löner med mera kan förändras.
Ett behörighetskontrollsystem är dock inte den enda åtgärd som kan tillgripas för att minska risken att data förvanskas. System och rutiner som fyller krav på god intern kontroll bör ge möjlighet att upptäcka de flesta fall där data förvanskats. I denna artikel har vi dock inte för avsikt att ytterligare penetrera krav på lämplig kontrollstruktur i olika tillämpningssystem.
Ett annat problemområde är risken för att data avslöjas i samband med överföring mellan noder i ett kommunikationsnät. Ett behörighetskontrollsystem ger inget skydd mot att data avslöjas vid överföringen. Den teknik som kan minska denna risk är framför allt kryptering. Vid överföring av särskilt känslig information bör övervägas att överföra informationen på annat sätt än via nätverket. Vi har dock inte för avsikt att utveckla våra tankar, i denna fråga i denna artikel.
Dataskydd i praktiken – vad möter revisorn?
Det är tyvärr alltför vanligt att företagen har ett otillräckligt dataskydd. Flera har sent omsider insett nödvändigheten av att skydda sig mot förlust av data genom att ta säkerhetskopior av väsentliga register. Däremot förvaras ofta kopiorna otillfredsställande. Det gäller att se till att de inte förstörs samtidigt med ordinarie register vid t ex en brand eller en översvämning. Kopia och original bör därför inte förvaras på samma ställe.
Det skydd som finns mot obehörig åtkomst av data är dock ofta otillräckligt. Nedan redovisas några typexempel på brister som vi noterat vid granskning av behörighetskontroller:
* I flera system finns ”standard”-lösenord inlagda vid leveransen. Dessa måste ändras snarast, vilket dock inte alltid görs.
* Påloggade terminaler lämnas ofta obevakade. Funktioner som automatiskt loggar av en oanvänd terminal (timeout) saknas ofta.
* Flera företag har inte klarlagt vilket behörighetsskydd som krävs. Vilken information är känslig och vilka resurser behöver skyddas?
* Parametervärden har definierats felaktigt, vilket medför att behörighetssystemet inte fungerar för samtliga transaktionstyper.
* Behörighetskoder ändras inte regelbundet. Vidare förekommer det att behörighetskoder noterats och tejpats på terminal eller att flera användare tilldelats en och samma behörighetskod. Detta medför att de ofta blir kända för flera än operatören.
* Behörighetskoder och inloggningskoder är inte aktuella. Det förekommer att koder inte tas bort när personer slutar sin anställning eller ändras när de byter befattning.
* I flera system kan man styra hur stort utrymme som maskinloggen tilldelas. I majoriteten av fall används minsta möjliga utrymme, vilket medför att praktiska underlag för uppföljning av att behörighetsreglerna efterlevs saknas.
* Det är relativt vanligt att man inte gör någon uppföljning av att behörighetsreglerna efterlevs.
* Behörighetskontroll saknas ofta för administrativa system som bearbetas på mikrodator. För denna typ av system finns dock möjlighet till visst skydd i det fall data och program förvaras inlåsta när de inte utnyttjas.
Den slutsats som kan dras på basis av ovanstående exempel är att skyddet mot obehörig åtkomst ofta är bristfälligt.
Behörighetskontroller
För att skapa ett fullgott skydd mot obehörig åtkomst krävs:
* Klara och precisa regler som styr tillgången till data
* Administration som dels håller regelsystemet aktuellt, dels kontrollerar att det efterlevs och
* Verktyg som sätter administrationen i stånd att utöva sin kontroll.
Regler
Regelsystemet skall reglera vem som får läsa och/eller uppdatera informationen i registren. För att åstadkomma detta krävs följande:
* För varje register (ibland del av register) krävs regler för vem som får komma åt data samt vilken typ av åtkomst (läsa, uppdatera, ta bort, skapa, ändra namn). För att underlätta för administrationen och göra skyddet likformigt är det lämpligt att informationen klassificeras med avseende på känslighet.
* Data i registren läses och förändras med hjälp av program. I många program finns inbyggda kontrollfunktioner som inte får sättas ur spel. Andra program är känsliga eftersom de kan användas för att ändra data, ofta utan att lämna spår. Med vissa program kan man kringgå alla normala kontrollrutiner. Behörigheten att använda, läsa och ändra i program måste regleras.
* Det måste avgöras vem som är behörig att använda systemet. Användarnas tillgång till information bör baseras på behovet av information i arbetet. Tillgången kan eventuellt inskränkas till vissa terminaler och/eller vissa program. Reglerna bör också omfatta i vilken form information får framställas (bildskärm, papper, diskett).
* Ansvaret för data och andra resurser måste vara klart definierat. Vem är ansvarig för att data är fullständiga och riktiga? Vem avgör hur känsliga de är? Vem tilldelar behörighet till data och resurser?
Skyddet mot obehörig åtkomst måste omfatta alla program och register, såväl de som är direkt tillgängliga för systemet som de som lagras off-line. Bandarkiv och säkerhetsarkiv kräver också skydd.
Administration
Administrationens uppgift är att hålla regelsystemet aktuellt och att kontrollera att det efterlevs. Häri ingår bland annat:
* Känslighetsklassning av information
* Beslut om tilldelning av behörighet till program, data och andra systemresurser
* Uppdatering av säkerhetsdatabaser
* Uppföljning av försök till obehörig åtkomst och av ”onormala” åtkomstmönster
* Övervakning av användningen av särskilt känsliga program och data
* Övervakning av vissa användare (särskilt de som tilldelats behörighet till speciellt känsliga resurser)
* Utbildning och stöd åt användare
För att detta skall fungera krävs medverkan både av linjeansvariga och av en eller flera säkerhetsansvariga/administratörer.
Ett behörighetssystems funktion är i hög grad beroende av disciplinen hos användarna. För att skapa disciplin och kunskaper om syftet med ett behörighetssystem krävs utbildning av berörda användare. Därigenom kan man undvika elementära misstag som gör systemet ineffektivt (t ex att lösenord noteras på terminalen, att känsliga utdata lämnas obevakade eller kastas i papperskorgen).
Om installation av ett behörighetssystem skall komma att ge fullgott skydd krävs en mängd åtgärder. Icke minst inom området ”marknadsföring” av behov och användning av behörighetsskydd inom företaget.
Som en allmän regel i allt säkerhetsarbete gäller att ingen bör ensam vara ansvarig för känsliga funktioner.
Verktyg
En möjlighet att begränsa tillgången till data är att använda fysiska lås på terminaler och lokaler där dessa finns. Man kan också ordna så att vissa system bara kan köras från vissa terminaler och omvänt att terminaler är låsta till vissa system. Dessa metoder medger emellertid endast en relativt grov behörighetsindelning. För en mer differentierad och funktionell kontroll krävs ett behörighetssystem.
En förutsättning för att ett behörighetssystem skall vara en effektiv kontroll över tillgången till data är att basprogramvaran, framför allt operativsystemet, medger detta. Vidare får inte utnyttjandet av andra systemprogramvaror såsom terminalövervakningssystem, databashanterare, programmeringshjälpmedel m m ge möjligheter att kringgå operativsystemets sätt att sköta denna kontroll.
Förutom ett väl kontrollerat operativsystem krävs verktyg att reglera tillgången till – ”låsa in” – känsliga resurser. Men eftersom dels alla lås kan brytas eller dyrkas upp, dels tilldelad behörighet kan missbrukas, behöver man även möjligheter att övervaka hur känsliga resurser används.
Bland verktyg som står till buds i olika miljöer kan nämnas:
* Särskilda behörighetssystem (RACF, ACF-2, Top Secret m fl).
* Behörighetskontroller inbyggda i basprogramvaran. Operativsystem och kommunikationssystem har ofta någon form av inbyggd behörighetskontrollmöjlighet.
* Behörighetskontroller inbyggda i respektive tillämpningssystem.
* Loggar där väsentlig information registreras, t ex försök till obehörig åtkomst, användning av särskilt känsliga resurser m m, samt program och rutiner för att ta fram meningsfulla rapporter från dessa loggar för uppföljning. De parametrar som styr loggningen samt logginformationen måste vara väl skyddade.
* Möjlighet att systemmässigt kontrollera användningen av särskilt farliga program. Användning kan kräva ingripande av systemoperatör från systemkonsol.
Krav på verktyget
Vilka krav måste då ett fullgott verktyg uppfylla? SSI SIG-SEC har publicerat en skrift som redovisar ”Krav på Generella Behörighetssystem” (KGB-rapporten). Kraven på ett behörighetssystem kan sammanfattas så att:
* alla driftformer skall omfattas (batch, online, time sharing med flera)
* all kontroll skall ske på individnivå, det vill säga varje person skall ha sin unika identitet i systemet
* tillgången skall regleras till alla resurser (utrustning, kommandon, program, data, linjer med mera)
* lösenord skall lagras krypterade
* systemet skall kunna rapportera avvikande eller anmärkningsvärda händelser.
Dessutom skall systemet vara användarvänligt och lättadministrerat. I annat fall riskerar man att det inte används effektivt.
I dagsläget tvingas vi konstatera att det i många fall inte finns några bra behörighetskontrollsystem att tillgå. Många system saknar också adekvata loggar där relevant information registreras. Företagen blir då hänvisade till att bygga in behörighetskontroller i terminalhanteringssystem och/eller i tillämpningssystem. Detta är givetvis bättre än att inte ha några kontroller alls, men man måste vara medveten om att register och program då saknar skydd mot åtkomst med program utanför respektive tillämpning, t ex operativsystemets hjälpprogram.
Revision av behörighetskontroller
Revisorn kan ha olika syften med sin granskning av behörighetskontrollerna.
Ett dåligt dataskydd kan förorsaka företaget förluster. Företagsledningen har här en skyldighet att inte utsätta företaget för onödigt stora risker. En granskning av behörighetskontrollerna kan alltså ingå i förvaltningsrevisionen.
Om revisorn avser att förlita sig på kontrollerna över utveckling och drift av ADB-systemen i sin räkenskapsrevision, är i regel behörighetskontrollerna av central betydelse. Goda behörighetskontroller är en förutsättning för en effektiv kontroll av att programmerade kontroller inte sätts ur spel och registerinnehåll inte förvanskas.
Revisorn kan också som särskilt uppdrag granska behörighetskontrollerna.
Granskningens ambitionsnivå styrs av syftet. Från förvaltningsrevisionell synpunkt räcker det oftast med en betydligt mer översiktlig granskning än om revisorn avser att förlita sig på kontrollerna för sin revision av räkenskaperna. I det senare fallet är emellertid behörighetskontrollerna bara en del av kontrollerna över systemutveckling, program- och registersäkerhet samt datordrift. Alla dessa kontroller måste vara goda för att det skall vara meningsfullt att göra en ingående granskning av behörighetskontrollerna. I praktiken är det dock ovanligt att revisorn kan förlita sig på kontrollerna över utveckling och drift. Revisorn har alltså sällan anledning att göra en djupdykning i behörighetskontrollerna som ett led i revisionen. Däremot har fler och fler företag fått upp ögonen för de risker ett bristande dataskydd medför och begär ofta hjälp av sin revisor för en bedömning av skyddet.
En fullständig granskning av behörighetskontroller innefattar kartläggning, bedömning och verifiering av:
regelsystemet,
administrationen och uppföljningen och
användningen av verktyget.
Vid granskningen bör bl a följande typfrågor vara intressanta. Vi vill dock poängtera att detta inte utgör en fullständig checklista utan endast en exemplifiering av de frågor vi behandlar vid granskning av behörighetskontroller:
Regelsystemet:
– Har all information klassats med avseende på känslighet?
– Omfattar regelsystemet alla system, även operativsystem och annan systemprogramvara?
– Omfattar det även data som lagras off-line, t ex magnetband och säkerhetskopior?
– Får produktionsregister endast läsas och uppdateras via godkända produktionsprogram?
– Krävs godkännande för uppdatering av produktionsbibliotek?
– Är systemerare/programmerare förbjudna att uppdatera produktionsprogram och produktionsregister?
– Finns regler för vem som får tilldela behörighet? Är reglerna lämpliga?
Administration:
– Uppdateras säkerhetsregister endast på grundval av godkända underlag?
– Är säkerhetsregistren skyddade?
– Rapporteras och kontrolleras löpande:
upprepade försök till obehörig åtkomst?
all användning av känsliga resurser, t ex edit/patch/zapprogram, fixprogram m m?
de användares verksamhet, vilka har särskilt kraftfull behörighet?
– Har varje användare sin egen unika identitet och lösenord?
– Byts lösenord regelbundet?
– Hålls de hemliga?
Verktyget
– Har man kontroller som täcker alla driftformer?
– Skyddar verktyget automatiskt alla resurser eller måste skyddet anges explicit för varje resurs?
– Går det att reglera vilken typ av behörighet användaren kan tilldelas (läs, skriv etc)?
– Loggas inaktiva terminaler av automatiskt?
– Lagras lösenord i krypterad form?
– Finns det gränser för hur många försök till obehörig åtkomst och ogiltiga lösenord som tillåts?
– Vem sätter lösenord? Tvingar systemet till regelbundna byten?
– Är de parametrar som styr loggningen lämpligt satta, d v s loggas alla relevanta händelser?
– Finns tillräckligt utrymme för loggen? Sparas den automatiskt när utrymmet är fyllt?
– Är loggfilerna skyddade mot förlust och förvanskning?
– Finns lämpliga rapporteringsfunktioner från maskinloggen?
För en ingående granskning av behörighetskontrollsystemet krävs mycket goda kunskaper om det använda behörighetssystemet och dess samverkan med operativsystemet. Man måste förstå systemets möjligheter och svagheter samt veta vilka styrparametrar som är väsentliga för bedömningen av kontrollerna. Vidare behöver revisorn känna till vilka program (systemprogram och tillämpningsprogram) som är särskilt känsliga så att han kan avgöra om användningen av dessa resurser övervakas och kontrolleras tillräckligt noga. Även om revisorn inte har tillräckliga tekniska kunskaper för att uppfylla alla dessa krav, kan han ändå i många fall göra en insats. Det visar sig nämligen i många fall att brister i behörighetskontrollerna framför allt orsakas av bristfälliga regelsystem och manuella uppföljningsrutiner. Inom dessa områden bör revisorn kunna göra betydelsefulla iakttagelser även om han inte känner till detaljerna i de tekniska verktygen.
Det är dock mycket viktigt att revisorn klargör att hans iakttagelser och bedömningar har begränsad räckvidd i det fall han inte besitter tillräcklig teknisk kunskap för att göra en fullständig granskning.
Slutsats
Goda behörighetskontroller är ett nödvändigt men inte tillräckligt villkor för ett gott dataskydd. Dataskydd är en fråga för såväl företag som dess revisor. För att kunna granska dataskyddets styrka krävs ingående kunskaper om ADB, behörighetskontrollsystemets funktion samt god kännedom om företagets system och vad som däri är känslig information. Enbart det faktum att ett företag har ett behörighetssystem får inte likställas med att företaget har ett gott dataskydd.
Anders Edin och Per Wardhammar, Öhrlings Revisionsbyrå i Stockholm