Fysisk datasäkerhet

EXAMENSARBETE

Fysisk datasäkerhet

MARKUS TIBURZI MAGNUS PETTERSSON

Samhällsvetenskapliga och ekonomiska utbildningar

SYSTEMVETENSKAPLIGA PROGRAMMET • C-NIVÅ

Institutionen för Industriell ekonomi och samhällsvetenskap Avdelningen för Systemvetenskap • Data och systemvetenskap

Sammanfattning

Vi har valt att i denna uppsats studera hur tre större organisationer i Sverige fy- siskt skyddar sin datorhall. Med fysiskt skydd menar vi hur organisationer skyd- dar sina datorhallar mot diverse faror såsom brand, stöld och spänningsfall med mera. Denna uppsats har genomförts med hjälp av fallstudier som sedan jämförts med den teoretiska bas som finns inom ämnet.

Vår undersökning visar att det finns stora brister inom den fysiska datasäkerheten.

Det är framförallt brandskyddet som brister även om många andra problemområ-

den finns. Bristerna tycks till största del bero på otillräckligt tilldelade ekonomis-

ka medel, investeringsprioriteringar samt långa beslutsvägar inom organisationer-

na.

Abstract

Physical information security is of major concern to all organisations that rely on computer based systems. Strong security in this area is of great importance. In this paper we will make an analysis of three large organisations located in Sweden.

We will study their methods of defence against different physical threats regard- ing computer carried information. Physical threats against information include fires, theft, loss of power, flooding and so on. Our research has been conducted utilizing case studies of these organisations.

Our research indicates that there are several areas within the physical information

security concept that lacks in knowledge and understanding, as well as suitable

countermeasures against the before mentioned threats. Lack of adequate funding

is one of the primary reasons an organization might have to neglect investments to

enhance there physical information security.

FÖRORD

Denna uppsats är resultatet av ett 10-poängs examensarbete som utarbetats vid institutionen för Industriell ekonomi och samhällsvetenskap, avdelningen Data- och systemvetenskap vid Luleå tekniska universitet.

Vi vill tacka de kontaktpersoner vi haft hos de organisationer vi genomfört våra fallstudier på för den tid de gett oss och för det intresse de visat för vår undersök- ning.

Vi vill även passa på att tacka vår handledare Stig Nilsson för det stöd och de ovärderliga råd han försett oss med. Vi vill även tacka alla de lärare på Luleå tek- niska universitet som under våra studieår vart oss behjälpliga med sin kunskap och erfarenhet.

Luleå 2004-06-22

Magnus Pettersson Markus Tiburzi

INNEHÅLLSFÖRTECKNING

1 INLEDNING ...- 1 -

1.1 B

AKGRUND

... - 1 -

1.2 F

ORSKNINGSFRÅGA

... - 2 -

1.3 S

YFTE

... - 2 -

1.4 A

VGRÄNSNINGAR

... - 2 -

1.5 M

ÅLGRUPP

... - 2 -

2 TEORI...- 3 -

2.1 H

OT OCH RISKER

... - 3 -

2.2 Å

TKOMST OCH BERÖRIGHETSKONTROLL

... - 4 -

2.3 L

ARMANORDNINGAR OCH INBROTTSSKYDD

... - 5 -

2.4 D

ESIGN AV DATORHALL

... - 6 -

2.5 K

LIMAT

... - 6 -

2.5.1 Temperaturkontroll...- 6 -

2.5.2 Luftfuktighetskontroll...- 7 -

2.5.3 Luftkvalitet ...- 7 -

2.6 N

ÄTVERK

... - 7 -

2.6.1 Avlyssning ...- 8 -

2.6.2 Kabeldragning ...- 8 -

2.7 B

RANDSKYDD

... - 8 -

2.7.1 Branddetektorer ...- 9 -

2.7.2 Brandsläckning ...- 9 -

2.8 S

ÄKERHETSKOPIERING AV DATA

... - 10 -

2.9 A

VBROTTS

-

OCH STÖRNINGSFRI KRAFTFÖRSÖRJNING

... - 11 -

3 METOD ...- 12 -

3.1 L

ITTERATURSÖKNING

... - 12 -

3.2 V

AL AV METOD

... - 12 -

3.2.1 Kvantitativ och kvalitativ metod ...- 12 -

3.2.2 Positivism och Hermeneutik ...- 13 -

3.2.3 Deduktiv och induktiv ansats ...- 13 -

3.3 U

RVAL

... - 13 -

3.4 U

TFORMNING AV FRÅGEGUIDE

... - 14 -

3.5 G

ENOMFÖRANDE

... - 14 -

3.5.1 Organisation A...- 15 -

3.5.2 Organisation B...- 15 -

3.5.3 Organisation C ...- 15 -

3.6 R

ELIABILITET OCH VALIDITET

... - 15 -

3.7 A

NALYSMETOD

... - 16 -

4 EMPIRI...- 17 -

4.1 O

RGANISATION

A... - 17 -

4.1.1 Hot och risker ...- 17 -

4.1.2 Åtkomst och behörighetskontroll ...- 17 -

4.1.3 Larmanordningar och inbrottsskydd ...- 17 -

4.1.4 Design av datorhall ...- 17 -

4.1.5 Klimat...- 18 -

4.1.6 Nätverk...- 18 -

4.1.7 Brandskydd ...- 18 -

4.1.8 Säkerhetskopiering av data...- 18 -

4.1.9 Avbrotts- och störningsfri kraftförsörjning...- 19 -

4.1.10 Bestämmande och förbättringar ...- 19 -

4.2 O

RGANISATION

B... - 19 -

4.2.1 Hot och risker ...- 19 -

4.2.2 Åtkomst och behörighetskontroll ...- 19 -

4.2.3 Larmanordningar och inbrottsskydd ...- 20 -

4.2.4 Design av datorhall ...- 20 -

4.2.5 Klimat...- 20 -

4.2.6 Nätverk...- 20 -

4.2.7 Brandskydd ...- 20 -

4.2.8 Säkerhetskopiering av data...- 20 -

4.2.9 Avbrotts- och störningsfri kraftförsörjning...- 21 -

4.2.10 Bestämmande och förbättringar ...- 21 -

4.3 O

RGANISATION

C... - 21 -

4.3.1 Hot och risker ...- 21 -

4.3.2 Åtkomst och behörighetskontroll ...- 22 -

4.3.3 Larmanordningar och inbrottsskydd ...- 22 -

4.3.4 Design av datorhall ...- 22 -

4.3.5 Klimat...- 22 -

4.3.6 Nätverk...- 22 -

4.3.7 Brandskydd ...- 22 -

4.3.8 Säkerhetskopiering av data...- 23 -

4.3.9 Avbrotts- och störningsfri kraftförsörjning...- 23 -

4.3.10 Bestämmande och förbättringar ...- 23 -

5 ANALYS ...- 24 -

5.1 H

OT OCH RISKER

... - 24 -

5.2 Å

TKOMST OCH BEHÖRIGHETSKONTROLL

... - 25 -

5.3 L

ARMANORDNINGAR OCH INBROTTSSKYDD

... - 26 -

5.4 D

ESIGN AV DATORHALL

... - 27 -

5.5 K

LIMAT

... - 28 -

5.6 N

ÄTVERK

... - 29 -

5.7 B

RANDSKYDD

... - 30 -

5.8 S

ÄKERHETSKOPIERING AV DATA

... - 31 -

5.9 A

VBROTTS

-

OCH STÖRNINGSFRI KRAFTFÖRSÖRJNING

... - 32 -

5.10 B

ESTÄMMANDE OCH FÖRBÄTTRINGAR

... - 33 -

6 SLUTSATS/DISKUSSION ...- 35 -

6.1 S

LUTSATS

... - 35 -

6.2 D

ISKUSSION

... - 36 -

6.3 F

RAMTIDA FORSKNING

... - 37 -

Referenser...- 38 -

BILAGOR

Bilaga A - Frågeguide

1 INLEDNING

I vårt första kapitel ges en bakgrundbeskrivning till problemställningen. Vi redo- visar dessutom vår forskningsfråga och vårt syfte med uppsatsen. Till sist redogör vi för de avgränsningar vi gjort samt målgruppen för uppsatsen.

1.1 Bakgrund

Vi har valt att närmare studera ämnet fysisk datasäkerhet. Den fysiska datasäker- heten ingår som en delmängd i begreppet IT-säkerhet och handlar om att fysiskt skydda sin utrustning och information.

IT-säkerhet blir ett allt viktigare begrepp för organisationer. Tiderna förändras och numera lagras de flesta verksamhetskritiska dokument i datorsystem som förvän- tas skydda mot obehörig åtkomst. Allt fler anställda är beroende av att servarna fungerar och kan inte utföra sitt arbete om datordriften ligger nere (SIG Security, 1998).

Inom IT-säkerhet pratar man vanligtvis om tre olika begrepp. Dessa är sekretess, integritet och tillgänglighet. För att hålla hög IT-säkerhet bör sålunda information och resurser hållas otillgängliga för obehöriga, otillåten modifiering av informa- tion och resurser förhindras samt hålla information och resurser tillgänglig för behöriga. (SIG Security, 1998)

För att uppnå god IT-säkerhet krävs att organisationer håller hög säkerhet på alla nivåer. Säkerhet brukar delas upp i tre begrepp (SIG Security, 1998).

• Logisk säkerhet

• Organisatorisk säkerhet

• Fysisk säkerhet

Den logiska säkerheten handlar lite förenklat om säkerhet på applikationsnivå, det vill säga sådant som har med program, operativsystem osv. att göra. Den organi- satoriska säkerheten rör hur systemet administreras och hur drift och underhåll sker. Till sist kommer den fysiska säkerheten. Den handlar om att skydda datorsy- stem mot fysiska angrepp såsom stöld, brand, obehörig åtkomst osv.

Enligt Hutt, Bosworth och Hoyt (1995) bidrar hög fysisk säkerhet till förbättrad

produktivitet, kostnadseffektivare verksamhet samt en bättre arbetsro. Dålig fysisk

säkerhet kan alltså innebära att organisationer drabbas av onödiga driftstopp och

på så vis inte presterar vid sin fulla kapacitet. Faktum är dock att det är en kom-

plex uppgift att hålla hög fysisk datasäkerhet och organisationernas datorhallar är

speciellt känsliga. Datorhallen är kärnan i organisationernas hela datorsystem och

är kritisk för datordriften. Enligt Dataföreningen (1997) kan en katastrof i dator-

hallen innebära att åratal av arbete går förlorat. För många organisationer kan

driftstopp av datorsystemet även leda till minskad produktion och inkomst. Detta

medför att en organisation med verksamhetskritisk datordrift måste se till att

skydda sina datorhallar så att dyrbar utrustning och lagrad data säkerställs. Trots

den uppenbara faran med låg säkerhet prioriteras inte alltid den fysiska datasäker-

heten av ledningen eftersom fysik datasäkerhet inte ger något egentligt mervärde.

Hutt et al (1995) menar på just detta och säger att ett av de största säkerhetshoten är att ledningen är ovillig att satsa på säkerhet. Mitrović (2003) påstår att det ty- värr är allt för vanligt att upprustning sker först efter att en incident redan inträf- fat. I en europeisk undersökning publicerad i Computer Sweden uppger 20 pro- cent av organisationerna att de drabbats av svåra katastrofer i IT-miljön där orsa- kerna varit översvämning, brand, strömavbrott eller jordbävningar (Åsblom, 2002). Det verkar således finnas brister i det fysiska dataskyddet, vilket leder oss till vår forskningsfråga.

1.2 Forskningsfråga

Vilka brister finns det i organisationers fysiska dataskydd och vad beror dessa brister på?

1.3 Syfte

Syftet med denna uppsats är öka förståelsen för vikten av ett fullgott fysisk data- skydd.

1.4 Avgränsningar

Vi har valt att avgränsa oss till fysiskt dataskydd av verksamhetens centrala dator- driftsrum och dessa driftsrums nätverkskopplingar mot övrig verksamhet. Denna avgränsning gör vi därför att vi anser att det är mest relevant att undersöka säker- heten vid den centrala datordriften, då denna plats inhyser den dyrbaraste utrust- ningen och hanterar större delen av organisationens datalagring.

Studien är även begränsad till organisationer med egna datorhallar och egen IT- avdelning. Att vi gör denna avgränsning beror på att vi vill ha tillräckligt stora organisationer som är i behov av ett bra fysiskt skydd.

1.5 Målgrupp

Denna uppsats riktar sig mot dem som vill få en introduktion i ämnet fysisk dator-

säkerhet, samt till organisationers ledning för att dessa skall förstå nyttan med ett

gott fysiskt dataskydd.

2 TEORI

I teoriavsnittet kommer vi att presentera den teori som ligger till grund för vårt arbete. Teorin är hämtad ur den litteratur vi valt att använda oss av.

2.1 Hot och risker

Det är viktigt att skilja på hot och risk. Hot är en oönskad händelse med negativa påföljder, medan risk är sannolikheten för att hotet skall inträffa (Statskontoret, 1998). I fallet med fysisk datasäkerhet innebär en oönskad händelse oftast att till- gängligheten till datordriften minskas eller i värsta fall helt upphör (Mitrović, 2003). Alla organisationer bör ha identifierat vilka hot som kan finnas mot IT- verksamheten, detta för att kunna skydda sig mot dessa hot (Ibid.). Vidare bör man vara medveten om att hot kan variera med händelser och med tiden. Är orga- nisationen offentlig måste man dessutom förstå att detta är av extra betydelse då de skall fungera även i kriser och under krig (Statskontoret, 1998).

Enligt Statskontoret (1998) kan hot mot den fysiska datasäkerheten delas upp i externa och interna hot och utöver detta kan även en uppdelning på avsiktliga och oavsiktliga hot göras. Interna hot kan exempelvis vara en avsaknad av IT-policy, bristande kompetens, stöld osv. Andra exempel på interna hot som dessutom är oavsiktliga kan vara brand och vattenskador. Allt som oftast beror dock de oav- siktliga interna hoten på bristande utbildning eller okunskap. De avsiktliga interna hoten anses som de farligaste hoten. Personer inom organisationen har stor kun- skap om skydd och rutiner vilket gör att de enklare kan komma åt vad de vill ha.

Dessutom är dem svårare att förhindra och upptäcka eftersom dem redan har stor tillgång till systemet. Ett vanligt motiv för att göra ett så kallat insiderbrott är missnöje med arbetsgivaren eller chansen att komma över pengar och dyrbar ut- rustning. Det kan till och med vara så att konkurrenter eller främmande makter använder sig av en insider, just därför att dem redan har stor kännedom och rörel- sefrihet.

Externa hot är också något som de flesta organisationer brottas med. Ofta är ut- rustningen eller informationen som organisationen besitter värdefull och måste skyddas. Vanliga externa hot är stöld och sabotage, men även risken för naturka- tastrofer måste räknas med. (Statskontoret, 1998)

Riskanalys är en viktig del när man pratar om hot och risker. Med riskanalys av- ses enligt svenska standardiseringsorganet ”Informationstekniska Standardise- ringar” (ITS 6) en systematisk metod för att i beslutsprocessen fastställa risk för system eller funktion (Dataföreningen, 1997). En riskanalys sker genom att identi- fiera olika hot och uppskatta sannolikheten för dess inträffande samt att göra en riskvärdering, dvs. göra en värdering av eventuell skadekostnad. Motiven till att göra en riskanalys kan sammanfattas som följer (ibid.):

• Medvetandegöra verksamheten om de problem och brister som finns i den dagliga verksamheten.

• Att erhålla en systematisk kartläggning av oönskade händelser som kan

ge upphov till negativa konsekvenser.

• Erhålla ett beslutsunderlag när man ska fastställa säkerhetsnivån för ett system eller en funktion.

• Göra det möjligt att verksamhetsanpassa olika säkerhetslösningar.

• Man vill erhålla ett underlag för att skapa checklistor och standardisera- de säkerhetslösningar.

2.2 Åtkomst och berörighetskontroll

Nuförtiden agerar tjuvar fräckare än tidigare. Det händer att de helt kallt promene- rar in i en lokal och plockar på sig något värdefullt för att sedan snabbt försvinna.

Ju större organisation, desto svårare är det att identifiera utomstående personer.

(Dataföreningen, 2000)

Vid kontakt med många större organisationer tas besökaren ofta emot av en recep- tionist eller personal med liknande arbetsuppgifter. Denna person kan ofta vara den första kontakten med den specifika organisationen och är vanligtvis den som antingen kontaktar den person man ämnar besöka eller ger beskrivning till hur denne kan hittas. Allt beroende på organisationen i fråga kan besökarens identitet antecknas manuellt eller via någon form av datoriserat besökssystem. Somliga organisationer har ingen sådan loggning över huvud taget medan vissa organisa- tioner med mycket hög säkerhetsnivå även har kameraövervakning i receptionen.

Alla företag har olika policys vad gäller besökare och hur dessa ska bemötas.

Predrag Mitrović beskriver i sin bok IT-säkerhet (2003) hur han bemöts av olika organisationer han besökt. En del organisationer lät honom vänta i lobbyn under tiden den person han skulle besöka kontaktades. Andra organisationer lät honom ströva runt och på eget bevåg försöka hitta till kontaktpersonen.

Alla organisationer bör ha någon form av passerkontroll för att säkerställa att de incidenter som ”aldrig inträffar” just gör precis det, aldrig inträffar. Mitrović un- derstryker detta genom att jämföra en organisation med ett privat hem. Hur många skulle låta en dammsugarförsäljare eller liknande nasare ströva fritt i sitt eget hus utan uppsyn eller kontroll? De flesta känner sig nog aningens obekväma vid tan- ken på att ha helt främmande människor i sitt hem utan tillsyn. Denna obekvämhet baseras enligt Mitrović på tanken att de flesta inte vill bli av med sina värdesaker.

Detta är något som låter helt rimligt men Mitrović förvånas över att denna menta- litet försvinner så fort man lämnar sitt hem och kommer till arbetsplatsen. Givet- vis är det en ganska rejäl generalisering men beskriver likväl den mentalitet som trots allt råder i organisationsvärlden.

Mitrović talar sig varm för ökad passerkontroll hos organisationer. Organisatio-

nerna bör enligt honom ha de enskilda delarna åtskilda via kodlås eller liknande

anordning för att hindra obehöriga att ta sig runt obehindrat. Endast behörig per-

sonal skall ha tillgång till känsliga lokaler. Detta säkerhetssystem skulle med för-

del kunna knytas till organisationernas egna interna behörighetstilldelning och på

så sätt ligga till grund för enkel loggning. Systemet i kombination med inskriv-

ning för alla besökare skulle underlätta enormt vid en eventuell incident. Använd-

ning av ett sådant system skulle inte bara kunna användas för att spåra och identi-

fiera eventuella externa intressenter, utan även för att friskriva den egna persona-

len från tjänstefel eller dylikt.

Man brukar tala om tre olika sätt att identifiera och autenticera en behörig använ- dare. Detta gäller främst inloggning i olika datorsystem, men kan även appliceras på fysisk passerkontroll. De tre olika metoderna för att autenticera någon är enligt Statskontoret (1998):

• Någonting man VET: Detta innebär oftast att man använder sig av ett lösenord eller PIN-kod. Koden i kombination med ett användarnamn är ett vanligt sätt att kontrollera inloggning i ett datorsystem. För fysisk passerkontroll är det vanligast med en PIN-kod bestående av siffror.

• Någonting man HAR: I fallet med fysisk passerkontroll innebär detta oftast användning av en nyckel eller någon typ av passerkort. Digitalt kodade passerkort är oftast av normal ”kreditkortsstorlek” och kodas magnetiskt. Vid dörren sitter sedan en kortläsare som läser av kortet.

Dessa kortläsare kan i sin tur vara kopplade till en central styrdator som i sin tur kontrollerar om du har tillgång till just denna passage och sedan skriver in ditt besök i en loggfil. Med passagekort ökar dessutom möj- ligheterna att bara tillåta access vid speciella eller begränsade tidpunkter osv. En annan fördel med passerkort är att de är enkla att byta ut eller bannlysa ifall att kortet går sönder eller blir stulet. Använder man nyck- lar och en nyckel försvinner så måste man kanske byta hela låset. (Hutt et al, 1995)

• Någonting man ÄR: Detta anses som det säkraste sättet att identifiera och autenticera en person (Statskontoret, 1998). Teknikerna är många, till exempel fingeravtryck och röstigenkänning. De flesta biometriska teknikerna har sina för- och nackdelar (Anderson, 2001).

För att få en så bra passerkontroll som möjligt kan man med fördel kombinera dessa metoder med varandra. Parallell användning av metoderna leder till starkare identifiering och autenticering. (Statskontoret, 1998)

2.3 Larmanordningar och inbrottsskydd

En arbetsplats ska givetvis vara trevlig och ha en viss mån av ”ombonad” för att

det ska kännas trevligt att utföra sitt dagliga arbete. Detta gäller både den praktis-

ka och estetiska aspekten. Installation av galler och larm eller rent av kamera-

övervakning är inget som direkt inverkar positivt på den trivselnivå som trots allt

bör råda inom organisationen. Många av de anordningar som sätts upp för att för-

hindra inbrott eller annan åverkan är av direkt avskräckande typ. En våldsverkare

eller annan tvivelaktig person ska kunna se att det krävs mer än det kostar för att

åstadkomma den åverkan eller annan olycklig effekt som planerats. Mitrović

(2003) betonar att ett vanligt inbrott ofta orsakar ordentlig åverkan och vandalism

på annat än det tilltänkta stöldgodset. Detta orsakar både direkta och indirekta

kostnader. Både förövarens tänkta byte samt andra inventarier måste då ersättas

med nytt material. Mitrović anser vidare att det är av vikt att ta i beaktning vart

själva lokalen för verksamheten är belägen. Om lokalen i fråga ligger avskilt anser

författaren att det kan vara en god idé att investera i säkerhetsdörrar, gallersystem

och larmanordning, allt för att försvåra för eventuella förövare att få åtkomst till

lokalerna och i förlängningen datorutrustning etc. Alla fönster och dörrar i mark-

plan bör förses med larm som en minimiåtgärd. Detta gäller även takfönster och dylikt som kan vara åtkomliga via exempelvis angränsande tak. Lokalerna bör invändigt vara utrustade med rörelsedetektorer för att förhindra och försvåra in- brott. Enligt Hutt et al. (1995) skall datorhallen inte utmärkas med skyltar som talar om vad som döljer sig bakom dörrarna. Detta för att försvåra för eventuella inbrottstjuvar eller sabotörer.

2.4 Design av datorhall

Alla organisationer som har någon form av datorbaserad eller datorstödd verk- samhet bör se till att servrar, bandstationer och annan vital utrustning placeras avskilt från allmänna genomfartsleder inom organisationens väggar. Mitrović (2003) anser att det optimala är ett eget rum inrett, eller helst designat från början, som datorhall. Golvet bör vara av antistatisk typ med all kabeldragning i kabel- rännor under golvet för att minimera dammansamling, ett så kallat datorgolv. Då stora investeringar ofta görs i hårdvara kan det vara på sin plats att avsätta en del medel för att antingen bygga om ett befintligt rum till datorhall eller designa en ny hall från grunden upp. Det senare alternativet är dock vanligtvis det dyrare (Hutt et al, 1995).

För övrigt så finns det i de allra flesta fall absolut inget behov av rinnande vatten i en datorhall vilket gör att all sådan rördragning om möjligt bör undvikas eller monteras bort. Vidare så bör någon form av skydd mot översvämning finnas t.ex.

golvbrunnar med tillhörande sluttande golv, för att snabbt kunna ta hand om even- tuellt vätskeläckage från vattenburna värmeradiatorer etc. Brandskydd i form av rök/gas/värmedetektorer bör också installeras. Dessa detektorer bör kompletteras med någon form av automatiskt släckningssystem. Antingen sprinklersystem eller gassläckning. (Hutt et al, 1995)

2.5 Klimat

All elektronisk utrustning måste köras i en klimatkontrollerad atmosfär för att undvika de nedbrytande effekter som temperatur- och fuktvariation orsakar. Dessa nedbrytande effekter varierar beroende på hur stora temperatur- och fuktvariatio- ner som utrustningen utsätts för. Effekterna kan variera från enkla glappkontakter till ren kondensering av vatten, vilket orsakar kortslutning och korrosion. (Hutt et al, 1995)

Kylsystemet bör ha sina vattenledningar dragna utanför datorhallen för att på så sätt undvika att vatten tränger in i datorhallen och orsakar översvämning. Re- kommenderat är att man har två separata kylsystem. Om det första kylsystemet havererar eller behöver service kan det andra kylsystemet automatiskt ta vid.

(Mitrović, 2003)

2.5.1 Temperaturkontroll

Enligt Hutt et al. (1995) måste all högpresterande elektronisk utrustning operera i

en klimatkontrollerad miljö. Detta för att livslängden på utrustningen inte skall

påverkas negativt. Man måste även tänka på att komponenterna i elektronisk ut-

rustning kan bli mycket varma och därför bör man hålla fläktar och filter damm-

fria för att kunna säkerställa att överhettning inte sker. Samtidigt skall man se till att hålla en jämn temperatur i rummet. Komponenterna mår inte bra av att växla i temperatur eftersom de expanderas i värme och kontraheras i kyla. Detta kan leda till att komponenternas elektroniska karaktär ändras och det kan i sin tur resultera i komponentfel. Bästa arbetstemperatur för datorutrustning ligger därför på ca 22 grader Celsius. Om temperaturen blir för hög bör datorutrustningen stängas ner automatiskt. (Hutt et al, 1995)

2.5.2 Luftfuktighetskontroll

Luftfuktighetskontroll är av kritisk karaktär. Under vintern då luften är torr är ris- ken extra stor att statisk elektricitet kan uppstå. En gnista från en mänsklig kropp kan nå flera tusen volt och förstöra känsliga komponenter. På samma sätt kan en allt för hög luftfuktighet orsaka problem. 50 procents relativ luftfuktighet är vad som skall eftersträvas. Vid 80 procents relativ luftfuktighet startar en process som kallas ”silver migration” och som liknar den process som sker vid anodisering (den vanligaste ytbehandlingen av aluminium, vilket är en galvanisk omvandling av ytskiktet varvid detta övergår till aluminiumoxid). Det som händer är att sil- verpartiklar från kontaktytor sakta överförs till kopparbanor på t.ex. ett moderkort.

Detta skapar en form av galvanisering som förstör konnektiviteten mellan kon- taktytorna. Vid dessa höga luftfuktigheter kan även högkvalitativa guldkompo- nenter börja tappa guldpartikar. (Hutt et al, 1995)

2.5.3 Luftkvalitet

I datorrum är renad luft åtråvärd, men nuförtiden inte ett krav eftersom hårddiskar och andra känsliga komponenter är väl förslutna. Eftersom datorer och annan elektronisk utrustning inte behöver fräsch syresatt luft på samma sätt som männi- skor kan man spara in på detta och istället satsa på en rejäl processkylning. Med processkylning menas återcirkulerad men nerkyld luft. Man bör dock se till att luftfilter finns installerat och att rummet dammsugs och dammtorkas med jämna mellanrum för att undvika att damm ansamlas och ställer till med skador. (Hutt et al, 1995)

2.6 Nätverk

För närvarande används tre olika typer av medier för överföring av data i ett nät- verk. Antingen sker överföringen över en kopparkabel, en optisk kabel eller tråd- löst. (SIG Security, 1999)

I dagsläget är det vanligt att överföra data via kopparkablar, ofta av typen Twisted

Pair (TP). Dessa kablar kan vara av skärmad eller oskärmad karaktär. En skärmad

kabel kostar nästan dubbelt så mycket som en oskärmad kabel men i gengäld får

man ett bättre skydd mot störningar och avlyssning (Statskontoret, 1998). Optiska

kablar används allt oftare. De är dyrare än kopparkablar men har den stora förde-

len att de kan hantera större datamängder och dessutom leder inte optiska kablar

ström, vilket minskar risken för överspänningar. Trådlös dataöverföring har den

givna fördelen att man kan spara in på kablar och helt slippa problemet med ka-

beldragning. Överföringshastigheten är i regel sämre än vad den hade vart med en

kabel. (SIG Security, 1999)

2.6.1 Avlyssning

Ingen av de tre typerna av överföring (koppar, fiber eller trådlöst) är totalt skyd- dad mot avlyssning. En kopparkabel kan avlyssnas både aktivt och passivt. För aktiv avlyssning kan man placera en avlyssningsutrustning direkt på kabeln och detta utan att förbindelsen bryts (SIG Security, 1999). Dessutom kan man passivt avlyssna en sådan kabel. Detta är möjligt genom att alla strömförande ledare stålar ut informationen i form av radiovågor. Fenomenet som kallas RÖS står för ”röjan- de signaler”. Att avlyssna med hjälp av RÖS är rätt komplicerat och kräver olika typer av invecklad utrustning (Statskontoret, 1998). De strålande signalerna fång- as upp med hjälp av en antenn och en mottagare. Enklast är faktiskt att avlyssna videosignaler från exempelvis en bildskärm, varför man måste vara extra noga om man ofta visar hemlig information på skärmen. För att skydda sig mot RÖS finns det IT-tekniska och byggnadstekniska åtgärder man kan vidta (ibid.). Ett enkelt sätt är att använda sig av optiska kablar, som inte alls sänder ut röjande signaler.

En optisk kabel är dock inte omöjlig att avlyssna. Man kan skala av en optisk ka- bel och sedan böja den, vilket resulterar i att en del av ljuset strålar ut och sedan kan man med hjälp av standardutrustning fånga upp ljusstrålningen. (SIG Securi- ty, 1999)

Till sist har vi radiosignalerna och eftersom de färdas genom luften är de lättast att passivt fånga upp. Detta innebär att man kan befinna sig på ett säkert avstånd från den man lyssnar av. Det finns en rad olika tekniker för att försvåra avlyssning.

Exempel på detta är kryptering och frekvenshopp. Kryptering innebär helt enkelt att den data som överförs krypteras för att förhindra avlyssning. Frekvenshopp innebär att den frekvens som data överförs via hela tiden ändras. Detta kräver spe- ciell och relativt dyrbar utrustning men ger ett väldigt gott avlyssningsskydd. (SIG Security, 1999)

2.6.2 Kabeldragning

Nuförtiden är många system distribuerade, vilket innebär att personal jobbar gent- emot en central server. Detta kräver ett fungerande nätverk för att personalen skall kunna utföra sitt jobb. Data- och prestandaförluster är i detta fall en allvarlig sä- kerhetsfråga. På grund av detta är det extra viktigt att skydda sina kablar (Hutt et al, 1995). Kablar bör vara dragna så att de skyddas mot avsiktlig och oavsiktlig åverkan, men samtidigt skall de vara lätta att komma åt vid service (Statskontoret, 1998). Kopplingspunkter är mycket sårbara för fysisk skadegörelse så väl som avlyssning och det innebär att de måste skyddas på ett bra sätt. Om en kabel för- störs kan det vara svårt att lokalisera skadan och skulle det hända att en större mängd kablar förstörs kan det resultera i en katastrof (Hutt et al, 1995).

2.7 Brandskydd

Ett ledande företag inom den svenska fysiska datasäkerheten är Coromatic Data-

säkerhet. Enligt företrädare för Coromatic är inbrott och brand i datorhallarna av

naturen konkreta hot mot informationen, men det finns ett annat större hot som

organisationerna ofta inte tänker på i sin planering - den indirekta branden. Den

kan resultera i exempelvis för höga temperaturer och rökgaser som kommer in i

datorhallen från ett intilliggande rum eller garage. De kritiska värdena för datorer

och datamedia ligger på betydligt lägre temperaturer än de för papper. Den indi-

rekta branden är också den svåraste att kontrollera. De kritiska värdena för papper är 175 grader, medan motsvarande siffror för datorer och datamedia är 70 respek- tive 55 grader. Datorhallen bör uppfylla brandklass A60, vilket innebär att väggar och dörrar skall motstå brand under 60 minuter. (Statskontoret, 1998)

Det första man bör göra för att skydda sig mot brand är att plocka bort allt bränn- bart material som finns i datorhallen (Hutt et al, 1995). Således får inte trä, skräp och annat lättantändligt finnas i lokalen. Man bör även se till att inte ha skrivare i sina datorhallar, eftersom pappersdamm lätt kan fatta eld i dem (Statskontoret, 1998). Förvaring av viktigt datamaterial måste dessutom förvaras i särskilda da- tamediaskåp, eftersom vanliga säkerhetsskåp inte klarar av att skydda medierna från brand och rök (ibid.). Om en brand upptäcks bör det finnas ett system som automatiskt och på ett kontrollerat sätt stänger ner systemen (Hutt et al, 1995).

2.7.1 Branddetektorer

Att snabbt upptäcka en brand är mycket viktigt och därför är valet och placeringen av branddetektorer en viktig del i det förebyggande arbetet. Att dessutom testa detektorerna skall vara en självklarhet. (Dataföreningen, 1997)

Det finns tre olika typer av branddetektorer. Dessa är värmedetektorer, flamdetek- torer och rökdetektorer. Värmedetektorer kan i sin tur arbeta på två sätt. Antingen ger de larm vid en förutbestämd temperatur eller så ges larm om temperaturen stiger ett visst gradtal på en viss tid, oavsett tidigare temperatur. Båda dessa typer av detektor har sina för- och nackdelar. Den senare detektorn ger snabbare larm, men kan ha svårt att upptäcka bränder med ett långsamt händelseförlopp. Det går dock utmärkt att kombinera de båda detektorerna. (Hutt et al, 1995)

Den andra huvudtypen av branddetektor är flamdetektorn. Även dessa kan arbeta på två olika sätt. Den första typen känner av flimmer och pulseringen som en flamma ger upphov till medan den andra typen känner av den infraröda strålning- en från flamman. Dessa detektorer är mycket dyra och används bara för att skydda värdefull utrustning. Fördelen är att de är mycket snabba. Den sistnämnda detek- torn kan upptäcka en brand på mindre än 5 millisekunder. (Hutt et al, 1995)

Sista branddetektorvarianten är en så kallad rökdetektor. Rökdetektorer ger ofta snabba utslag. Det är också vanligt att dessa installeras i ventilationssystem. Även rökdetektorn finns i två olika varianter. Dessa två kallas för fotoelektriska och radioaktiva rökdetektorer. (Hutt et al, 1995)

2.7.2 Brandsläckning

I början av datorhistorien designades datorhallarna med tanke på att människor

skulle vistas i dem under lång tid, det vill säga hela arbetsdagar. Problem uppstod

dock vid eventuell brand då dåtidens brandsläckningssystem överröste rummet

med koldioxid. Visserligen släckte detta de flesta bränder men samtidigt kvävdes

människorna som befann sig i rummet. Nästa steg i brandsläckningsproceduren

var installation av släcksystem baserat på gasen Halon 1301. Denna gas är den till

dags dato mest effektiva gasen för brandsläckningsändamål. Halon har dock en

väldigt stor nackdel. Den är kraftigt ozonnedbrytande. Halon 1301 är globalt för-

bjudet sedan 1994 och nuförtiden används en gas som kallas FM-200 för brand- släckning. Denna gas är visserligen dyr men är också mycket effektivt syre- sänkande. Vill man ha ett billigare alternativ kan man använda vanliga vatten- sprinklers, men dessa har av självklara skäl en rad nackdelar. Användning av sprinklers leder till vattenskador och om strömmen inte bryts innan systemet akti- veras skadar vattnet datorutrustningen, då vatten leder ström. Man bör även se till att sprinklersystemen aktiveras individuellt för att på så sätt begränsa skadorna som vattnet kan orsaka. I lokalen skall det även finnas en avstängningsanordning för sprinklersystemet. (Hutt et al, 1995)

Det bör också finnas stora handhålla brandsläckare och andningsskydd i lokalen eller i dess absoluta närhet. Brandsläckarna skall vara av gastyp och då kolsyra eller i bästa fall FM-200. Andra typer av brandsläckare är svåra att sanera och kan inte skydda mot elektriska bränder. All personal skall genomgå träning och varje anställd skall veta vad denne skall göra om en brand uppstår. Brandövningar skall vara en självklarhet. (Hutt et al, 1995)

2.8 Säkerhetskopiering av data

Alla organisationer och privatpersoner som arbetat med datorer en längre tid vet hur viktigt det är att göra backup av sina viktiga data. Det är få händelser som är mer upprörande än att tappa viktig information som kanske lagrats och bearbetats under en längre tid. För att eliminera denna risk gäller det att göra backup av des- sa data. De allra flesta organisationer har någon form av lösning för säkerhetsko- piering. Det stora problemet är ofta att det medium som lagrar denna säkerhetsko- pia inte skyddas nog väl. Antingen lagras mediet i samma lokal som systemet som tagits backup på eller så slarvas det med skyddet av den fysiska säkerhetskopian.

(Rubin, 2001)

Aviel D. Rubin skriver i sin bok White-Hat security arsenal (2001) att den största risken för en riktad attack inte kommer från hackers eller liknande utan från risken att själva den fysiska säkerhetskopian försvinner. Med ”försvinner” menar Rubin att någon obehörig person får tag i den fysiska kopian. Som exempel ges att någon mutar det bud som transporterar kopian från organisationen till det ställe den fy- siskt skall lagras. Denna form av attack kräver inte tillgång till en mindre arsenal av hackers, det kan räcka med ett par tusen kronor eller i bästa fall ett sexpack öl, allt beroende på budets moral. Rubin anser vidare att säkerheten vid hantering av säkerhetskopior är en av de saker organisationerna slarvar mest med. Enorma summor kan spenderas på att säkerställa den fysiska säkerheten i datorhallen sam- tidigt som säkerhetskopiorna hanteras på ett mycket vårdslöst sätt. Slarvigt hand- havande av kopiorna kan nullifiera organisationens dataintegritet och medföra att en fungerande säkerhetskopia inte finns tillgänglig när incidenten som aldrig in- träffar väl inträffar. En partiell lösning på detta problem kunde vara att kryptera säkerhetskopian på ett adekvat sätt. Detta ser vid första anblick ut som ett bra för- slag men en specifik problematik uppstår. Vad händer om datanycklarna till sä- kerhetskopian försvinner vid ett totalt systemhaveri? Organisationen har vid en sådan händelse en krypterad säkerhetskopia som inte ens de själva kan dekryptera.

Denna risk måste kalkyleras och vägas mot fördelarna med att ha en krypterad

säkerhetskopia. Har kopian nog stark kryptering är den värdelös för den person

som eventuellt lyckas muta ovan nämnda bud. Problembilden kompliceras ytterli-

gare då det första problemet fortfarande kvarstår i det fall den krypterade säker- hetskopian förkommer och en aktuell backup av organisationens vitala informa- tion saknas.

Säkerhetskopiering via nätverk är ytterligare en lösning. Denna form av backup kan ske antingen via backup till en annan avdelning, som är fysiskt åtskild inom den egna organisationen, eller via något av de företag som erbjuder säkerhetsko- piering via Internet. Dessa företag tar en viss avgift per år för att låta användaren lagra en viss mängd information på sina servrar. Gemensamt i båda dessa fall är att de data som säkerhetskopieras skall komprimeras och krypteras före den över- förs till sin lagringsplats. Endast behörig personal skall ha tillgång till säkerhets- kopian. Det spelar ingen roll hur väl krypterad och säkert överförd en organisa- tions säkerhetskopia är om en obehörig och okunnig person har tillgång till den dator som lagrar kopian. Några få klick med musen och säkerhetskopian kan vara raderad eller förstörd och huvudsyftet med säkerhetskopiering är tillintetgjord.

(Rubin, 2001)

2.9 Avbrotts- och störningsfri kraftförsörjning

Det saknas en bra statistik över hur ofta el-störningar inträffar och påverkar dato- rer i en verksamhet. En bedömning är att längre strömavbrott (längre än 30 sekun- der) inträffar högst en gång per år, medan kortare avbrott inträffar ca: 10 gånger per år. (Dataföreningen, 1997)

Uninterruptible Power Supply (UPS) är något som varje organisation med någon form av datorbaserad verksamhet bör begagna sig av. Denna utrustning filtrerar nätspänningen och innehåller även en batteribank av varierande storlek. Med hjälp av dessa batterier kan utrustningen försörja ansluten datorutrustning med ström under en viss given tid (allt beroende på batteriernas storlek). Mitrović (2003) anser att det är en ytterst billig försäkring för bibehållen dataintegritet i det fall ett strömavbrott inträffar. Författaren tar även upp ett reellt exempel på vikten av att använda sig av UPS. Under den sista fasen av bokens färdigställande inträffade ett tvådagars strömavbrott i norra Stockholm. Strömavbrottet lamslog större delen av Kista och de flesta IT-baserade företag som huserar där. Strömavbrottets omfatt- ning berodde på att reservkablarna till strömförsörjningen låg i samma kabeltun- nel som huvudkablarna.

Korrekt installerad UPS på en organisation som berörs av ett totalt strömavbrott

krävs enligt författaren för att på ett bra sätt avsluta pågående processer och spara

vital data. Mindre UPS-system klarar av att försörja systemet med ström i allt från

någon enstaka minut upp till 30 minuter. Denna UPS kan kompletteras med

dieselaggregat för att säkerställa drift under längre tid. Dessa generella rekom-

mendationer stöds av Statskontoret som i sin bok Handbok i IT-säkerhet (1998)

menar på att alla datorutrustningar bör ha någon form av skydd mot störningar i

elförsörjningen även om organisationen i fråga inte har behov av en komplett re-

servkraft. Statskontoret hävdar vidare att många av de störningar i IT-system som

finns orsakas av brister i strömförsörjningen. Dessa störningar kan vara allt från

överbelastningar av elnätet till strömspikar eller fluktuationer i nätfrekvens.

3 METOD

I detta kapitel redovisas den metod som använts för att utifrån befintlig teori kun- na besvara vår forskningsfråga via empiri och analys.

3.1 Litteratursökning

För att få en bra grund att stå på började vi vårt arbete med att göra litteraturstudi- er inom området fysisk datasäkerhet. Litteratursökningen skedde på universitets- biblioteket vid Luleå tekniska universitet. Det visade sig att det enklaste sättet att hitta bra litteratur om fysisk datasäkerhet var att genomsöka alla böcker som gick att finna under ämnesområdet ”Datasäkerhet”. Detta på grund av att det inte finns böcker som enbart handlar om fysisk datasäkerhet. I universitetets sökmotor var det mycket svårt att avgöra vad böckerna egentligen handlar om.

Vi anser att vi fann bra litteratur genom denna litteratursökning. De antalet böcker vi hittade i biblioteket var tillräckligt för att kunna få en bra teoretisk grund att stå på. Vi hade gärna tagit del av forskningsartiklar inom ämnet, men det visade sig svårt att finna sådana.

3.2 Val av metod

Denna uppsats empiriska studie består av en fallstudie. Enligt Bell (1995) är styr- kan med en fallstudie att det ger forskaren en möjlighet att koncentrera sig på en speciell händelse eller företeelse och där försöka få fram faktorer som har inver- kan på företeelsen i fråga.

3.2.1 Kvantitativ och kvalitativ metod

I en fallstudie används främst två undersökningsmetoder för att samla in de data man behöver för att kunna besvara sin forskningsfråga. Antingen använder man sig av en kvalitativ eller kvantitativ metod. Vi har valt att utföra en kvalitativ stu- die. Vår frågeställning lyder: ”Vilka brister finns det i organisationers fysiska dataskydd och vad beror dessa brister på?” Har man en frågeställning som gäller hur, eller hur många, är det vanligt att man använder sig av en kvantitativ under- sökningsmetod. Om frågeställningen gäller att förstå eller hitta mönster är en kva- litativ studie bättre (Trost, 1997). Med utgångspunkt från detta faktum och vår frågeställning tyckte vi därför att en kvalitativ undersökning skulle passa oss bäst.

Vi bestämde oss för att utföra kvalitativa intervjuer, men även att komplettera

dessa med en rundvandring i datorhallarna för att skapa oss en egen bild av den

beskrivna situationen. I efterhand kände vi oss mycket tillfreds med valet av kva-

litativ metod. Det gav oss möjligheten att ställa följdfrågor och be om utförligare

svar i de fall vi ansåg att det behövdes. Alternativet hade varit att skicka ut enkä-

ter. Visserligen hade vi fått ett mer statistiskt resultat, men det hade varit en in-

vecklad process att skapa bra enkäter och det hade varit svårt att finna tillräckligt

många organisationer som velat svara på dessa. Djupet i svaren hade förmodligen

ej heller blivit densamma.

3.2.2 Positivism och Hermeneutik

Inom forskningsmetoden pratar man vanligtvis om två huvudtraditioner, dessa två vetenskapliga förhållningssätt är Positivism och Hermeneutik (Patel & Davidson, 1994).

De viktigaste tankarna inom positivism är att det finns en sann verklighet som man kan få kunskap om genom iakttagelser. Ett påstående betraktas som veten- skapligt om det uttrycker något om verkligheten. Exempel på ett vetenskapligt påstående kan vara att: ”Vatten fryser vid 0 grader.” (Patel & Tebelius, 1987).

Forskarens person, politiska, religiösa och känslomässiga läggning får inte heller påverka forskningsresultatet. Forskningsresultatet skall bli detsamma om forska- ren byts ut och studien genomförs på nytt (Patel & Davidson, 1994).

Hermeneutiken beskrivs som positivismens motsats. I hermeneutisk forskning understryker man vikten av att se till helheten. Tolkningar är till skillnad från po- sitivismen en stor del av hermeneutiken. Forskningen ses här som subjektiv och forskaren använder medvetet sina värderingar i forskningsprocessen.

Vi har i vår uppsats valt att följa den hermeneutiska forskningsinriktningen då vi anser att forskning inom samhällsvetenskapliga ämnen alltid består i tolkningar av något slag och att vi ej heller är ute efter en absolut sanning.

3.2.3 Deduktiv och induktiv ansats

Det brukar talas om två stora vägar för forskning; den bevisande vägen, deduktion och den upptäckande vägen, induktion. Deduktion innebär att man med utgångs- punkt från teorin drar slutsatser utifrån enskilda företeelser. Induktion känneteck- nas istället av att forskaren utgår från empirin och kopplar sedan teori till detta.

(Patel & Tebelius 1987).

I vår uppsats har vi valt den deduktiva vägen. Vi utgår från vår teori och drar slut- satser utifrån vår empiriska studie. Vi gör detta val eftersom vi är intresserade av att studera hur teorin stämmer mot verkligheten.

3.3 Urval

Det första kravet på de undersökta organisationerna var att de skulle ha egna da- torhallar med serverutrustning. Det andra kravet var att organisationen skulle ha en egen avdelning för IT-drift. Att vi gjorde denna begränsning berodde på att vi ville undersöka organisationer som har en klar plan för hur datordriften skall skö- tas. Med dessa krav i åtanke tog vi kontakt med tre större organisationer som vi visste hade en omfattande datordrift. Enligt Trost (1997) är urvalsstorleken vid kvalitativa intervjuer beroende av tidsaspekten och med tanke på vår tilldelade tid valde vi att studera tre organisationer, vilket vi bedömde var det antalet som vi maximalt skulle hinna med. Vi besökte de tre organisationerna personligen och de var alla intresserade av att delta i vår studie.

För att besvara vår forskningsfråga behövde vi prata med den person som hade

ansvaret för den operativa driften av datorsystemet. För att sedan förstå varför den

fysiska datasäkerheten ser ut som den gör idag var vår målsättning att dessutom

prata med ytterligare en person inom organisationen med en högre befattning.

Detta gjorde vi för att få ytterligare en bild av situationen. Vi framförde detta öns- kemål till organisationerna och blev tilldelade kontaktpersoner.

Vi anser att vårt urval av respondenter var lyckat och de kontaktpersoner vi tillde- lades var kunniga och kunde svara på våra frågor. Vi känner oss även tillfreds med de antal organisationer vi valde att studera. Med tre respondenter kunde vi urskilja mönster och dra slutsatser.

3.4 Utformning av frågeguide

Ju mer standardiserad intervju desto lättare är det att ordna och kvantifiera resulta- ten (Bell 1995). Med detta i bakhuvudet bestämde vi oss för att försöka skapa en strukturerad frågeguide med ordnade nyckelord. Vi bedömde att det var enklast eftersom vi då kunde vara säkra på att allt som vi ville ta reda på verkligen besva- rades. Själva utformandet av frågeguiden skedde utifrån vår teoretiska referens- ram. Första frågeområdet handlar om hot och risker. Detta finns med eftersom vi anser oss behöva förstå vilka hot organisationerna ställs inför. Detta för att kunna dra slutsatser om dess skydd är tillräckligt i förhållande till hotbilden. Sist i fråge- guiden gjorde vi ett tillägg som inte är kopplad till teoribakgrunden. Detta tillägg valde vi att kalla ”bestämmande och förbättringar”. Vi valde att använda oss av detta tillägg för att få en förståelse för varför situationen ser ut som den gör i dags- läget och vad organisationerna önskar förbättra.

Vår frågeguide fungerade bra. Det var en stor fördel att använda sig av en struktu- rerad frågeguide då detta innebar en enklare sammanställning. Om vi använt oss av öppna frågor hade det medfört att vi fått svårt att jämföra organisationerna mot varandra och därför anser vi att vi gjorde ett bra val.

3.5 Genomförande

Första steget i genomförandet av intervjuerna var att läsa boken ”Kvalitativa in- tervjuer” författad av Jan Trost (1997). Detta för att försäkra oss om att intervju- erna skulle ske på ett korrekt och bra sätt. Gemensamt för alla organisationer var att vi i förväg skickade ut material där vi bland annat talade om vad målet med studien var samt att intervjuerna skulle ske i april månad 2004. Vi bestämde oss även för att föra anteckningar vid intervjuerna istället för att använda oss av röst- inspelning. Trost (1997) menar att använde av röstinspelning vid intervjuer är en smaksak och har en uppsättning för- och nackdelar. En av de största nackdelarna är tiden som måste läggas ner på att skriva ut intervjuerna. Enligt Bell (1995) kan bandinspelningar vara bra om man vill citera delar av intervjun eller gå tillbaka och kontrollera om ens anteckningar stämmer, men att det knappast finns något annat syfte. Vår egen bedömning vara att vi skulle jobba effektivare genom att enbart anteckna vid intervjutillfällena. Vi var båda två närvarande vid alla inter- vjutillfällen och anteckning skedde simultant av oss båda. Dessa anteckningar sammanställdes sedan direkt efter intervjutillfällena.

Det visade sig fungera bra med att anteckna vid intervjutillfällena. Möjligtvis hade

en inspelning kunnat tillföra någon extra detalj, men vi känner oss nöjda med vårt

val. Det var även klokt att läsa boken ”kvalitativa intervjuer”. Den gav oss insikt i hur man på ett bra sätt bör genomföra intervjuer.

3.5.1 Organisation A

Vid vårt första besök på organisationen blev vi hänvisade till IT-avdelningens driftansvarige, varpå vi bokade tid för intervju. Intervjun skedde på kontoret under ungefär två timmar och följdes av en rundvandring i organisationens ena dator- hall. Vid denna organisation visade sig IT-avdelningens driftansvarige vara kvali- ficerad att svara på frågor som egentligen var tänkt att svaras på från högre in- stans. Då organisationen styrs från sitt moderbolag i utlandet bestämde vi oss för att intervjua endast en person.

3.5.2 Organisation B

Vid denna organisation var vi tvungna att begränsa oss till en avdelning eftersom organisationen är för stor för att som helhet undersökas. Vi tog kontakt med en specifik IT-avdelningschef inom organisationen som hade ansvar för avdelningens datordrift. Intervjun skedde på kontoret under ca två timmars tid och avrundades med en rundvandring i datorhallen. Den andra intervjun rörande denna organisa- tion ägde rum med IT-chefen för organisationen. Intervjun skedde via telefon och varade i ca. 20 minuter.

3.5.3 Organisation C

Hos den sista organisationen genomförde vi två intervjuer. Organisationen var intresserad av att ställa upp med två personer till första intervjun. Dessa arbetade dels med den operativa driften av datorverksamheten och dels med säkerhetsfrå- gor. Vi tyckte att detta kunde vara en bra idé då kunskapsnivån höjs. Enligt Trost (1997) bör man inte intervjua fler än en person åt gången, eftersom personerna bland annat kan påverka varandra. Eftersom vi i vår undersökning till största del är ute efter ren fakta och inte synpunkter bestämde vi oss för att låta intervjun ske med två personer. Även vid detta tillfälle tog intervjuerna cirka två timmar att genomföra och följdes av en rundvandring i datorhallen. I anslutning till detta gjordes även en intervju med organisationens IT-chef.

3.6 Reliabilitet och validitet

Med reliabilitet menas traditionellt sett att mätningen är stabil och att den ej har utsatts för slumpinflytelser, att alla intervjuare skall fråga på samma sätt, situatio- nen skall vara likadan för alla etc. Mätningarna skall även ge samma resultat vid förnyad mätning (Trost, 1997). Validitet är ett mer komplicerat begrepp. Det är ett mått på om en fråga mäter eller beskriver det man vill mäta eller beskriva (Bell, 1995).

Trost (1997) menar vidare att reliabilitet och validitet har sin grund i den kvantita-

tiva metodologin och i samband med kvalitativa studier blir dessa begrepp något

annorlunda. Vidare anses att trovärdigheten utgör ett av de största problemen

inom kvalitativa studier. Man måste kunna visa att data är insamlad på ett seriöst sätt och som dessutom är relevant utifrån problemställningen.

Vi anser att vår studie är väl dokumenterad och att reliabiliteten är hög eftersom vi tror att resultatet skulle bli snarlikt om intervjuerna skulle utföras på nytt av annan forskare. Vi anser även att validiteten är hög i vår studie eftersom våra frågeställ- ningar har kunnat mäta det vi syftat till att mäta. Dessa slutsatser baserar vi på det faktum att vi använt oss av en strukturerad frågeguide alltgenom intervjuerna.

3.7 Analysmetod

Analysen av en fallstudie är en av de minst utvecklade och svåraste aspekterna när det gäller utförandet av en fallstudie (Yin 2003). Två av de vanligaste metoderna vid kvalitativa studier är cross-case analys och within-case analys. För att kunna analysera information från en studie som omfattar flera fallstudieobjekt är det, enligt Yin (2003), viktigt att börja med att analysera informationen genom att göra jämförelser med den teoretiska referensramen. Den första analystypen, within- case, används för att reducera mängden data i det insamlade empiriska materialet.

Detta sker genom en jämförelse med den teoretiska referensramen och gör det möjligt att dra slutsatser efter analysen. Den andra analystypen är cross-case ana- lys. I denna analys görs jämförelser mellan olika separata fallstudier. Vi har an- vänt oss av en kombination av dessa två analyssätt.

Valet av analysmetod föll naturligt och vi tyckte att metoderna fungerade väl.

Cross-case metoden var mycket användbar för att på ett bra sätt kunna jämföra

organisationerna mot varandra.

4 EMPIRI

I detta kapitel redovisar vi resultatet från vår fallstudie av de tre organisationer- na. Resultaten presenteras i samma ordning som i teorikapitlet för enkel korsrefe- rering.

4.1 Organisation A

Denna organisation var den första vi gjorde fallstudie på och vill med tanke på säkerhetsaspekten förbli anonym. Vi valde att titta på den ena av organisationens datorhallar.

4.1.1 Hot och risker

Det finns ingen större hotbild för stöld av data från konkurrerande organisationer.

Bland det viktigaste att skydda är dock organisationens information rörande kvali- tetsdata och personlig information. Övriga hot kommer från sabotage, stöld, brand och kritisk utrustning som går sönder samt den mänskliga faktorn. Organisationen anser att det är värre att tappa (drabbas av haveri) utrustning än att tappa lagrad data. Riskanalys görs varje år men inga matematiska riskberäkningar sker, ej hel- ler utförs simulerade attacker.

4.1.2 Åtkomst och behörighetskontroll

Endast behörig personal har åtkomst till datorhallarna. Denna behöriga personal innefattar viss ventilationsteknisk personal, viss städpersonal, vaktpersonal samt givetvis personalen som sköter själva driften. Ingen åtkomst till alla lokaler, in- klusive datorhallarna, ges per automatik till höga chefer i organisationen. Åt- komstkontroll sker via kort. Utanför arbetstid krävs även PIN-kod. Nyckel till dörrarna finns men endast räddningstjänsten och ett par personer inom organisa- tionen har tillgång till denna. All passering till datorhallarna loggas.

4.1.3 Larmanordningar och inbrottsskydd

Datorhallen har larm i fönster och väggar. Vibrationsdetektorer och rörelsedetek- torer finns installerade. Videoövervakning sker av närliggande lokaler, dock inte inne i datorhallen. Ingen uppenbart röjande märkning av lokalen finns. Dörrarna är försedda med kodlås men har ingen större säkerhetsklass. All passering loggas.

Datorhallen ligger ej inom inhägnat område och således saknas yttre fysisk barri- är. Lokalen, som är placerad på andra våningen, är försedd med vanliga fönster rustade med larmdetektorer. Vakter patrullerar området och lokalerna.

4.1.4 Design av datorhall

En av datorhallarna är designad från grunden för att vara just en datorhall. Den

äldre hallen är konverterad till sitt nuvarande syfte. Den nybyggda lokalen har

antistatiska golvytor och datorgolv. Vatten är inte indraget och lokalen är utrustad

med fuktsensorer i golv samt har golvbrunnar och även sluttande golv.

4.1.5 Klimat

Temperaturen i datorhallarna ligger på mellan 21 och 22 grader Celsius. Vid 27 grader Celsius stängs systemen rakt av. Ingen kontrollerad avstängning sker. Vid en eventuell ventilationsstörning når temperaturen 27 grader inom 20 minuter.

Om så sker öppnas ytterfönster och säkerhetspersonal tillkallas för att agera ”le- vande tjuvlarm”. Mobila kylanläggningar tas i bruk. Det fasta kylsystemet har vatten som kylmedium. Luftfuktigheten hålls konstant på 40 % och dammfilter finns med största sannolikhet installerat. Ventilationen är friskluftsbaserad.

4.1.6 Nätverk

Kablarna är till allra största del oskärmade. När det gäller skärmad TP-kabel anses denna skapa mer problem (jordningsproblem) än vad skärmningen löser. Organi- sationen oroar sig inte för RÖS och datorhallarna är inte avskärmade. Kablarna är dragna i standardiserade kabelstegar, antingen under golv eller över tak. Kablarna är ej synliga men inte allt för svåra att hitta. Enligt organisationen är fysisk säker- het i nätverksmiljön av högsta prioritet. Åsikten är att om inte systemen kan kommunicera med varandra hjälper det inte hur väl själva serverparken fungerar.

Planer finns på att införa bättre redundans i kabeldragningen.

4.1.7 Brandskydd

Larm finns under golv och tak. Samlingslarm går till flera ställen, bland annat räddningstjänsten. Branddetektorer finns och består av två olika typer, vanliga passiva detektorer samt flamdetektorer av EWS-typ (Early Warning System).

Branddörrar och brandspjäll finns och funktionstest sker på varje enskilt detektor- system. Själva byggnaden är uppdelad i brandceller och brandövningar genomförs med personalen en gång per år. Brandtest utförs två gånger per år. I dagsläget finns ingen automatisk släckning installerad men handsläckare av CO

²

-typ finns utplacerade i datorhallen. Ett nytt brandbekämpningssystem med vattendimma och syresänkande gas är under planering och datorhallarna skall utrustas med det- ta nya system. Ingen nödbelysning finns tillgänglig i datorhallarna. Brännbart ma- terial är ej tillåtet i datorhallarna men detta efterlevs inte riktigt till 100 %.

4.1.8 Säkerhetskopiering av data

Säkerhetskopiering av ”allt” sker helt automatiskt men manuell möjlighet till backup finns. Backup sker varje natt och backup görs med dag-, vecko- och må- nadsintervall. Säkerhetskopiering sker i samma lokal som resterande serverpark.

Organisationen håller sex veckors historik på säkerhetskopior och varje dygn görs

säkerhetskopior på ca. 1 TB. Kurir transporterar varje dag den fysiska säkerhets-

kopian från datorhallen till den externa lagringslokalen vart kopian lagras i data-

skåp. I dagsläget finns inget Storage Area Network (SAN) men en sådan ligger på

planeringsbordet. I dagsläget sker säkerhetskopiering endast till tape. Organisatio-

nens huvudsyfte med säkerhetskopiering är att skydda sig mot fel och inkonse-

kvens i data.

4.1.9 Avbrotts- och störningsfri kraftförsörjning

Vid eventuellt strömbortfall händer inget speciellt de första 20 minuterna då en UPS förser datorhallen med ström. Inga dieselgeneratorer finns för långvarig ge- nerell strömförsörjning. Batteribyte på UPS sker inom angivet serviceintervall och UPS funktionstestas regelbundet. Dedikerad UPS finns för drift av nätverksutrust- ning. Denna UPS har en drifttid på 10-15 timmar. Data- och elförsörjningskablar ligger för närvarande i samma kabeltunnel men på olika kabelstegar. Ombyggna- tion av detta är planerat. Kraftförsörjningsanordningar funktionstestas ofta och anses som ytterst viktiga för verksamheten.

4.1.10 Bestämmande och förbättringar

Beslut om förbättringar tas lokalt med hänsyn till synpunkter av personal på av- delningen. Ekonomiska medel för detta tas sedan ur budget om investeringarna inte är allt för kostsamma. Vid större investeringar måste ärendet förankras högre upp i beslutshierarkin och medel budgeteras till detta. Pengar är som i de flesta organisationer den slutligen bestämmande faktorn om ett investeringsbeslut skall tas eller inte. Äldre teknik som fyller kraven på funktionalitet kan ej pensioneras hur som haver bara för att det på marknaden finns tillgängligt nya lösningar som bygger på modernare teknik. Vid varje enskilt investeringstillfälle väljs den bästa teknologi som är tillgänglig förutsatt att utrustningen faller inom de ekonomiskt tilldelade ramarna. Kompetens anses inte var något problem inom detta område, eftersom den lätt kan köpas in. Önskade förbättringar för närvarande är en bättre avbrottsplanering samt nya rutiner för kontroll av korrekt återinläsning av säker- hetskopior. Önskemål om att genomföra standardisering av serverpark finns ock- så, allt för att förbättra utgångsläget vid en eventuell katastrof. Dessa tre önskemål kostar dock en relativt ansenlig summa pengar. Beslut finns i dagsläget taget om att dessa förbättringar skall genomföras men pengar finns ännu inte avsatt för själva införandet. Inga egentliga hinder utöver ekonomiska finns för att genomfö- ra de önskade förbättringarna.

4.2 Organisation B

Denna organisation är den andra i raden av fallstudier och liksom organisation A vill de förbli anonyma.

4.2.1 Hot och risker

Största hotet enligt organisationen är stöld och brand. Ett antal stölder inträffar varje år då diverse utrustning försvinner. Stölderna äger dock rum utanför dator- hallen. Vandalisering är i dagsläget inget problem alls. Den mänskliga faktorn utgör som alltid ett visst ”hot”. Ansvarsfördelning finns och definierar vem som gör vad vid en eventuell incident. Någon formell analys av hot är ej gjord. Ej hel- ler någon riskanalys över möjliga hot och dess avvärjande.

4.2.2 Åtkomst och behörighetskontroll

Det finns två sätt att komma in i lokalen. Antingen används en nyckel som är ut-

delad till behörig personal eller så anges en lång kod. Risk finns att koden cirkule-

rar bland obehöriga. Ingen loggning sker av in- och utpassering. Två dörrar finns in till lokalen. Den ena är av stål medan den andra är en vanlig dörr av trä. Låsen är av ordinär typ.

4.2.3 Larmanordningar och inbrottsskydd

Datorhallen är över huvud taget inte larmad på något sätt och har enligt ansvarig personal ytterst dåligt inbrottsskydd. Access till lokalen medges på ett enkelt sätt då skyltning utanför visar vad som döljer sig bakom dörrarna. Lokalen är fönster- lös då den ligger i källarplanet. Inga rörelsedetektorer eller annan sensorutrustning finns installerad i denna datorhall som innehåller serverutrustning för miljontals kronor.

4.2.4 Design av datorhall

Datorhallen är en konverterad lokal och därmed ej designad som datorhall från början. Inget datorgolv finns och all kabeldragning sker i taket.

4.2.5 Klimat

Temperaturen inne i datorhallen ligger mellan 18-20 grader Celsius. Vid 25 grader går ett larm ut via e-post till personalen på driften och till hyresvärden. Vid 30 grader slås all ström av utan att systemet tas ner på ett kontrollerat sätt. Två Luft- kylningsanläggningar är placerade i lokalen och körs parallellt. Uppgradering av kylsystemet är planerat pga. tidigare värmeproblem, speciellt under sommaren.

Ingen uppgift om luftfuktighet kunde ges, men den är kontrollerad. Dammfilter finns installerat, men fungerar enligt utsago inte till 100 %.

4.2.6 Nätverk

Kopparkablar och fiberkablar används. En stor del av kopplarkablarna är skärma- de, eftersom man vill skydda sig mot externa störningar. Då datorhallen inte har ett äkta datorgolv är kablarna dragna i taket inne i lokalen. Utanför datorhallen är kablarna dragna på ett mycket synligt, tydligt och sårbart sätt.

4.2.7 Brandskydd

Organisationen har enligt egen utsago dåligt brandskydd i sin datorhall. Rökdetek- torer finns i tak, men ingen funktionskontroll sker på dessa. Branddörrar och brandspjäll finns monterade. Släckningsutrustning saknas helt i hallen, men brandpost finns utanför lokalen. Det finns ingen brandplan upprättad och ej heller någon nödbelysning. Brandlarmet är knutet till räddningstjänsten och utöver detta ljuder en siren. Delar av lokalen används även som förråd och det finns rätt myck- et brännbart material inne i lokalen.

4.2.8 Säkerhetskopiering av data

Säkerhetskopiering till tape görs både manuellt och efter automatiskt schema.

Säkerhetskopian sitter i streamern i en vecka innan den flyttas över till annan lo-

kal i samma hus. Kopiorna transporteras manuellt och lagras under ett år i ett brandsäkert kassaskåp. Test av återskapning av kopior görs och skrivna rutiner finns för hur detta skall göras. En total återställning av all data tar upp till 36 tim- mar pga. långsamt lagringsmedia. Planer finns för övergång till diskbaserad sä- kerhetskopiering. Denna lösning kommer att fungera som buffertlagring mellan servrar och den långsiktiga lagringen på tape.

4.2.9 Avbrotts- och störningsfri kraftförsörjning

Elcentralen för kraftförsörjningen är placerad i datorhallen. UPS förser serverpar- ken med ström under 20 minuter efter ett strömavbrott. De viktigaste servrarna stängs ner kontrollerat. De använda UPS-systemen hanterar alla tänkbara stör- ningar i strömförsörjningen. Dessa UPS testas kontinuerligt och batteribyte sker vid behov. Inga dieselgeneratorer används över huvud taget. Separat UPS finns kopplad till huvudrouter och vitala switchar. Denna UPS är dock ej till för att sä- kerställa förlängd uptime utan endast för att medge en ”ren” strömförsörjning. I dagsläget är elsystemet under för hög belastning, detta skall dock åtgärdas under sommaren.

4.2.10 Bestämmande och förbättringar

IT-avdelningen ger förslag på förbättringar/utökningar till ett IT-råd som i sin tur tar beslut. Detta sker på avdelningsnivå. Avdelningen är själv med och utformar sin egen del av budgeten. Ett problem är att det inte finns någon informationssä- kerhetsansvarig i verksamheten. Den logiska säkerheten samt inköp av utrustning prioriteras högre än den fysiska säkerheten. Bestämmande över den fysiska säker- heten ligger till stor del på en högre maktnivå och det är svårt att få medel för att öka den fysiska säkerheten. Förbättringar gällande ökat inbrotts- och brandskydd ligger högt på önskelistan men i slutändan bestämmer chefen för hela verksamhe- ten vad som skall åtgärdas och inte. Att förbättringar inte genomförs beror på både ekonomiska och politiska faktorer. En annan problematik att organisationen har för många datorhallar av varierande kvalitet. Att upprusta alla kostar mycket, var- på man vill minska antalet datorhallar och gå mot en mer central lösning.

4.3 Organisation C

Denna organisation är den sista i trilogin av fallstudier vi gjort och likt de två andra organisationerna vill även denna förbli anonym.

4.3.1 Hot och risker

Inga reella hot föreligger. Det som skulle kunna tänkas inträffa är avsiktlig vanda-

lism eller en ”osannolik” brand. De interna hoten ses som minimala. Rutiner och

funktionsansvariga finns för de flesta processer. Riskanalyser och tekniska rappor-

ter från de olika underavdelningarna tas i beaktande när det gäller säkerhetstän-

kandet. Inga stölder har än så länge förekommit. Organisationen anser sig ha en

bra ansvarsfördelning när det gäller hot och risker. Alla investeringar utvärderas i

efterhand ur säkerhetssynpunkt. Inget intresse torde finnas för att stjäla data från

organisationen.