Redan 2005 visade PTS i sin mörkertalsundersökning att endast hälften av alla organisationer hade en dokumenterad rutin för hur säkerhetsincidenter ska hanteras (se https://certezza.net/svart-att-leva-upp-till-basnivan/). Nu 15 år senare undrar jag om det är så mycket bättre? Jag blev faktiskt förvånad att undersökningen från 2005 visade så bra siffror. Min uppfattning är att det kunde ha varit en undersökning från 2020.
Flera av senaste tidens incidenter har handlat om bristfällig sessionshantering. Framför allt hur sessionerna avslutas, eller inte avslutas. Exempelvis så har användare som loggade in på 1177 Vårdguiden under perioden 5-27 januari inte alltid loggats ut som tänkt, vilket har fått till följd att de som loggat in har under vissa omständigheter associerats med en tidigare session och därigenom fått åtkomst till en annan persons uppgifter. Allt annat än önskvärt. Inte minst mot bakgrund av den stora 1177-läckan (https://certezza.net/skams/ och https://certezza.net/i-kolvattnet-av-1177/) för ett år sedan när 2.7 miljoner känsliga personuppgifter tillgängliggjordes för obehöriga.
I dialog med vårt pentest-team konstaterar jag att just bristfällig sessionshantering är en av de vanligaste sårbarheterna och en sårbarhet som ofta leder till obehörig åtkomst. I värsta fall är det inte bara åtkomst till någon enstaka skyddsvärd uppgift, utan nyckeln till en större del av en organisations informationstillgångar. I de sammanhang där det är en helt platt infrastruktur utan någon som helst separering är effekterna av dessa sårbarheter helt förödande!
Det är inte rimligt att år 2020 bygga helt platta infrastrukturer där alla ägg ligger i samma korg, utan olika tillgångar med olika skyddsvärden ska rimligen separeras från varandra. I normalfallet kanske infrastrukturen består av fyra till fem zoner med olika skyddsvärden. I mer kritiska sammanhang är det kanske sju zoner där även galvaniska separationer är naturliga inslag.
Huvudprincipen med en zonmodell är att endast intilliggande zoner får kommunicera med varandra, inga hopp över zoner är tillåtna och informationstillgångarna sorteras in efter skyddsvärde och karaktäristik. Med det som grund så innebär inte vägen in via en sårbarhet åtkomst till alla tillgångar, utan skadan begränsas avsevärt.
En sårbarhet får helt enkelt inte ge så stora konsekvenser som det alltför ofta gör.
Det är inte bara de faktum att information läcker till obehöriga, utan hur de organisationer som hanterar skyddsvärda tillgångar agerar. Hanteringen av många olika skyddsvärda tillgångar omgärdas med regulatoriska krav som inte bara ställer krav hur tillgångarna ska skyddas, utan också hur organisationen ska agera i samband med en incident. Det är inte bara oförmågan att hantera och skydda informationstillgångar som blottas gång efter annan, utan också oförmågan att hantera incidenten trots att även det är reglerat.
Efterlevnaden av de regulatoriska kraven granskas uppenbarligen inte i tillräcklig omfattning och granskningen av förmågan av att hantera incidenter hamnar sällan eller aldrig i fokus.
Självklart kommer det att hända fler incidenter och resultatet av våra pentester talar sitt tydliga språk.
Förmågan att skydda och hantera skyddsvärda tillgångar behöver skärpas ordentligt och förmågan att hantera det som inte får hända är minst lika viktig. Att lära sig av egna och andras misstag är en oerhört viktig process som inte nog kan poängteras. Även det har påpekats tidigare (ex https://certezza.net/lar-av-egna-och-andras-brister/).
Saken upprepas, om och om igen, men trendbrottet låter vänta på sig.
Thomas Nilsson
