Balans nr 5 1988

ADB-bulletin: Säkerhet vid datakommunikation

FARs Databehandlingskommitté har beslutat att inom ramen för Balans informera om aktuella frågor inom ADB-området. Dessutom kommer sammanfattande redovisning att lämnas angående kommitténs slutförda projekt.

I detta nummer tar vi upp en kort redogörelse för den senaste tidens förändringar inom Databehandlingskommittén, För- och nackdelar vid användning av datorstödda revisionstekniker, Disketten – en databärare som kräver omsorgsfull hantering, Krav på revisorns kunskaper i ADB och revision i datorbaserad miljö, Kommentarer till Televerkets skrift om säkerhet vid datakommunikation, Vad avses med datorstödd revision?

Över tele- och datanätet förmedlas idag viktig information, ofta i form av betalningstransaktioner m. m. Kraven på god framkomlighet och avbrottsfria telekommunikationer blir därför allt viktigare. För att visa vilka risker som finns och hur man kan eliminera en del av dem har Televerket gett ut en faktabok, ”Säkerhet vid datakommunikation”. Nedan presenteras kortfattat en beskrivning över skriftens innehåll.

Hot och risker

Datakommunikationen är en sårbar länk i företagets ADB-system. I den långa kedjan från avsändare till mottagare finns många riskställen. Obehörig påverkan, genom fysiska ingrepp, upptäcks som regel snabbt. Men avlyssning och manipulation av information är däremot mycket svår att upptäcka.

De vanligaste och mest omfattande störningarna i tele- och datanätet orsakas av vardagliga händelser som kabelavgrävningar och åska. Det allra vanligaste felet är att telekablar grävs av, vilket händer upp till 50 gånger per dag i vårt land.

Avsiktlig avlyssning eller avtappning kan ske på såväl telenätet som vid terminaler eller annan datorutrustning. I telenätet är de känsligaste punkterna kopplingsskåpen som är placerade i lokalnäten. Den som vill avlyssna information kan spela in signalerna med hjälp av mycket enkel teknisk utrustning.

Från bl. a. USA redovisas en mängd fall av obehöriga intrång i datasystem av s. k. hackers. Oftast tar sig förövaren in i datasystemen via uppringda förbindelser för att sedan avlyssna, förändra eller förstöra information. Förutsättningarna för att ta sig in i datasystemet är att komma över rätt telefonnummer och att forcera lösenord. Tillvägagångssätten är dock många och nya metoder kommer ständigt fram.

En allvarlig typ av angrepp är modifiering av data. Den ordinarie informationen kan ersättas med felaktig information som leder till att obehöriga åtgärder vidtas. Det främsta exemplet på den här typen av databrott är överföring av pengar till ett eget privat konto eller dylikt.

ADB-personalen är en betydelsefull faktor när det gäller frågan om säkerhet och sårbarhet vid datahantering och datakommunikation. Det är förstås mänskligt att fela men ibland kan felgreppen bli ödesdigra. Det är därför viktigt att man inom företag skapar en sådan kontrollmiljö att effekterna av misstag minimeras. Hög datorkoncentration i kombination med bristande kontrollmetoder, anonymitet och större datakunskap gör ADB-system och datakommunikation sårbara. Kunskap är naturligtvis en nödvändighet och har en skyddande verkan så länge den är i rätta händer. Samtidigt måste man komma ihåg att kunskap i dessa sammanhang ofta är en förutsättning för brott.

Datakommunikation över Televerkets tele- och datanät

Nedan följer en beskrivning över de former av datakommunikation som kan ske över Televerkets nät.

Datel är den tekniskt minst avancerade tjänsten för datakommunikation där det vanliga telefonnätet utnyttjas. För att sända och ta emot data behövs ett modem som översätter datasignalerna till analoga signaler och omvänt. Datel kan erhållas som fast respektive uppringbar förbindelse.

Datex är byggt enbart för datakommunikation och nätet är från början anpassat till de krav datatrafiken ställer på tillgänglighet och säkerhet.

Datapak är på samma sätt som Datex anpassat för datakommunikation. Skillnaden är att här kopplar man inte upp en förbindelse genom nätet för trafik enbart mellan en avsändare och en adressat. Datasamtalen delas i stället upp i ett antal s. k. datapaket, som förses med adress till mottagaren.

För de ovan beskrivna tjänsterna Datel, Datex och Datapak innehåller Televerkets skrift en kortfattad beskrivning över grundsäkerheten samt vilka åtgärder som användaren kan vidtaga för att öka säkerheten.

Se över företagets datakommunikation – tänkvärt för revisorn

Televerkets skrift innehåller en checklista med 20 tänkvärda frågor som berör företagets data- och kommunikationssäkerhet samt 13 råd om hur man med små medel kan öka säkerheten vid datakommunikation. Ett antal erfarenheter från genomförda sårbarhetsanalyser presenteras också.

För att öka säkerheten rekommenderar man bl. a. att en sårbarhetsanalys enligt SBA-metoden genomförs inom företaget samt vid behov genomgång av Televerkets Telesäkerhetsrådgivning.

Faktaboken ”Säkerhet vid datakommunikation” kan beställas kostnadsfritt från Televerkets trycksakslager, Fryksdalsbacken 8, 123 86 Farsta eller per telefon 08 - 713 71 44.