Informationssäkerhet
091021 Multifunkmaskiner v1.1.doc 1 (7)
Hur hanteras och förebyggs hoten mot infor- mationssäkerheten i multifunktionsmaskiner
Syfte
Syftet med detta dokument är att synliggöra säkerhetsproblematiken med multifunktionsmaskiner och dela med oss av våra erfarenheter. Med multi- funktionsutrustning avses kontorsutrustning som klarar två eller fler in- formations- och pappershanteringsfunktioner såsom utskrift, kopiering, fax, skanning, lagring och e-post.
Inledning
Multifunktionella skrivare har i många företag ersatt ett antal specialisera- de apparater såsom faxar, skannrar, kopiatorer och skrivare. Integratio- nen av flera apparater har förutom de uppenbara fördelarna fört med sig ett antal informationssäkerhetsrelaterade aspekter och risker som måste beaktas. Annars kan i värsta fall apparaten kompromettera det interna datanätet och bidra till ett okontrollerat flöde av (känslig) information.
Risk föreligger att känslig information kommer obehöriga till del t ex vid reparationer och maskinbyten.
Säkerhetsrisker
Följande informationssäkerhetsrisker måste beaktas för denna typ av ma- skiner oavsett maskinens storlek och användningssätt:
Mellanlagring av känslig information på apparatens interna hårddisk eller i internminne
Oavsett om man kopierar, skannar, faxar eller skriver ut dokument lagras all information på maskinens interna hårddisk. Denna hårddisk är som regel på flera GB (gigabyte).
Lagring av information på apparatens interna hårddisk
Information som lagras på apparatens interna hårddisk blir kvar efter det att man utfört begärd aktivitet vilket innebär att stora mängder in- formation ligger lagrad i maskinen. OBS! Detta gäller även känslig information!
Den lagrade informationen blir åtkomlig i samband med service av appa- raten
Servicetekniker ansluter som regel en bärbar dator till apparaten i samband med service och kan då kopiera ner all information som finns på hårddisken. Har känslig information för företaget eller dess kunder hanterats i apparaten måste detta beaktas. Vid utbyte, försäljning eller
091021 Multifunkmaskiner v1.1.doc 2 (7) skrotning av apparaten kan den information som finns lagrad komma i
orätta händer
Anslutning till det interna datanätet och eventuellt till Internet
Det är inte helt ovanligt att man i samband med upphandlingar skriver avtal med möjlighet till fjärrdiagnostik vilket innebär att apparaten är åtkomlig från aktuellt serviceföretag över Internet och därmed även den lagrade informationen.
Apparatens anslutning till det interna datanätet gör den åtkomlig för ett större antal anställda än just de personer som den är avsedd att betjäna.
Skicka inskannad och lagrad känslig information med e-post utanför före- taget
Inskannad och lagrad information kan sändas till fel mottagare inom eller utom företaget. Från multifunktionsskrivare skickad e-post har ofta en anonym avsändare (t ex multimaskin@företaget.se), och detta kan på ett effektivt sätt användas för att nästan utan risk läcka känslig information.
Övervakning/loggning
Brist på övervakning och loggning av vad som händer med denna typ av apparater gör det svårt att ha kontroll på informationssäkerheten.
Spårbarhet
Då flera funktioner på maskinen (som att kopiera, skanna och skicka e-post) kan utföras anonymt, blir det omöjligt att i efterhand kontrolle- ra vad som hänt och vem som gjort vad.
Fysisk åtkomst till apparaten (och manipulation) då den står i allmänna utrymmen
Risk för att obehöriga tar del av information som skrivs ut eller erhålls från inkommande fax motsvarande under den tid som förflyter från ut- skrift tills dokumenten hämtas. Här föreligger även risk för extern åt- komst.
Säkerhetsmässiga krav och önskemål rörande multi- funktionsmaskiner
Nedan beskrivs krav och önskemål vid användande av multifunktions- maskiner eller kombinationsmaskiner. Dessa krav kan med fördel använ- das (delvis, i sin helhet eller i kombination med andra krav) som ett un- derlag för en upphandling av multifunktionsmaskiner. Kraven kan också användas som en checklista för en existerande installation av multifunk- tionsmaskiner. De exempel som ges i dokumentet är avsedda att exempli- fiera vad som menas med kravet och är ej uttömmande eller kompletta uppräkningar av samtliga kombinationer, möjligheter eller val.
091021 Multifunkmaskiner v1.1.doc 3 (7) Kraven är dels riktade mot
• Leverantör och avtalspartner (återförsäljare, underhålls- och servi- cepartners och motsvarande)
• Intern driftsorganisation
Definitioner
Med utrustning i nedanstående text menas multifunktionsapparater (kom- binationsutrustning) som används i kombination med andra funktioner el- ler för ett eller fåtal av de funktioner som utrustningen möjliggör (t.ex att en kombinationsmaskin enbart används som nätverksskrivare)
De olika kraven och önskemålen är angivna med vilken kategori av krav de skall uppfylla. De olika kategorierna som använts i dokumentet är:
• Autenticiering - Identifikation och kontroll av att användare har rätt att nyttja tjänster i utrustningen.
• Auktorisation - Behörighetskontroll av att en användare har rätt att nyttja en viss tjänst eller funktion.
• Konfidentialitet - Insynsskydd och sekretess av information under behandling, under transport eller lagring.
• Spårbarhet - Att utrustningen har stöd för olika typer av loggar och underlag så att man kan följa händelser som inträffat i syste- met/utrustningen.
• Grundläggande systemsäkerhet
• Nätverkssäkerhet - Att inte utrustningen medför risker på nätver- ket, att inte de externa kopplingar och anslutningsmetoder som ut- rustningen innehar medför ökad risk för obehörig åtkomst till nät- verket eller till själva utrustningen.
• Tillgänglighet - Att utrustning och tjänster finns tillgängliga när behov uppstår.
• Datakvalitet/Riktighet - Att dataintegritet upprätthålls, att data är beständigt.
• Fysisk säkerhet - Stöld, brand och liknande.
• Informationsförlust - Att inte utrustningen kan användas för att läcka information under drift eller i samband med utrangering.
• Informationssäkerhet - Allmänt skydd och säkerhet i samband med informationshantering
Avtalsmässiga och juridiska krav och riktlinjer
Krav A.1: Företagets avtal med leverantör skall vara så utformat att företaget förfogar (äger eller har rätt att köpa loss) över utrustningen eller dess komponenter så att exempelvis hårddiskar får avlägsnas för radering eller destruktion vid behov. [Juridik]
091021 Multifunkmaskiner v1.1.doc 4 (7) Krav A.2: Säkerhetskrav på leverantören bör vid vite vara inskrivet i
avtal med leverantören. [Juridik]
Krav A.3: Krav på installatörer (exempelvis mellan leverantör och in- stallatör, eller mellan köpare (företaget) och serviceinstans såsom IT- support) skall vid vite vara inskrivet i avtal med installatörer. [Juridik]
Krav A.4: I avtalet skall företaget ha kontroll över leverantörens och serviceleverantörens möjlighet till fjärrdiagnostik och fjärrservice samt utrustningens larmutsändning. Innebörden av denna avtalsskrivelse skall vara att företaget förbehåller sig rätten att som standard inte till- låta fjärråtkomst för diagnostik och service samt förbehåller sig rätten att inte tillåta utrustningen att leverera status-, larm eller diagnostik till leverantören. [Nätverkssäkerhet]
Krav A.5: Säkerhetskraven skall inte omförhandlas eller strykas ur upphandlingsunderlag eller avtal utan godkännande från företagets sä- kerhetsfunktion. [Juridik]
Tekniska krav och riktlinjer
Krav T.1: Leverantören skall kunna garantera att externanslutning (faxmodem, modem, nätverksanslutning, USB-portar, Skärm- och tangentbordsportar, flyttbara medier såsom Compact Flash eller disketter, och andra liknande externa portar) går att avaktivera.
[Grundläggande systemsäkerhet]
Krav T.2: Leverantören skall kunna garantera att trådlös anslutning (IR, Bluetooth, 802.11 eller liknande) går att avaktivera [Grundläggan- de systemsäkerhet]
Krav T.3: Installatören skall för samtliga eller enstaka anslutningar stänga av externa anslutningar (faxmodem, modem, nätverksanslut- ning, USB-portar, Skärm- och tangent- bortsportar, flyttbara medier såsom Compact Flash eller disketter, och andra liknande externa por- tar) för vissa installationsscenarios och för användning av utrustningen där känslig information skall hanteras. [Grundläggande systemsäker- het]
Krav T.4: Installatören skall stänga av trådlösa anslutningar (IR, Bluetooth, 802.11 eller liknande) för vissa installationsscenarios och för användning av utrustningen där känslig information skall hanteras.
[Grundläggande systemsäkerhet]
Krav T.5: Administrativ åtkomst via utrustningens konsol (fysiska an- vändargränssnitt i form av knappar och display) skall kunna stängas av eller skyddas med lösenord, PIN-kod eller motsvarande. [Grundläg- gande systemsäkerhet]
Krav T.6: Utrustningen bör ha PIN-kodsskydd av själva utskriften av ett utskriftsjobb, mottaget fax eller liknande. När utrustningen är delad och/eller används i en öppen kontorsmiljö (exempelvis skrivarrum) kan enskilda eller samtliga utskrifter förses med PIN-kod för att fullfölja ut- skriften. [Autenticiering]
091021 Multifunkmaskiner v1.1.doc 5 (7) Krav T.7: Utrustningen bör ha möjlighet att lagrad data temporärt el-
ler långsiktigt (formulär, fonter, etc) skyddas av kryptering. [Konfiden- tialitet]
Krav T.8: Oönskad eller oanvända funktioner (exempelvis inbyggda nättjänster såsom webbservrar, nätverksprotokoll såsom Novell IPX/AppleTalk/SNMP/telnet/ leverantörsspecifika protokoll, logg- stati- stiksammanställningar, sändarmodul för e-post, etc) skall gå att avak- tivera via administrativa gränssnitt (konsol, nätverksmässig åtkomst eller liknande) [Grundläggande systemsäkerhet]
Krav T.9: Det skall gå att begränsa vem eller vilka som får utföra fjärrövervakning av utrustningen. [Autentisering]
Krav T.10: Utrustningen bör behålla mottagen information, såsom ex- empelvis utskriftsjobb eller mottagna fax, i händelse av strömavbrott eller driftstörning (exempelvis papperstrassel vid utskrift). [Tillgänglig- het]
Krav T.11: Utrustningen bör klara att göra utskrifter på arkivbestän- digt pappersmaterial som uppfyller arkiveringskrav, exempelvis SS-ISO 11798. [Datakvalitet / Riktighet]
Krav T.12: Utrustningen bör ha logg- och användarsammanställningar på vem som utfört en viss operation, exempelvis en utskrift. [Spårbar- het]
Krav T.13: Det skall finnas modeller att beställa som inte har inbyggd hårddisk. [Informationsförlust]
Krav och riktlinjer för drift, service och underhåll
Krav vid serviceKrav S.1: Utrustningen skall ha PIN-kod, lösenordsskydd eller motsva- rande för att åtkomst till administrativa åtgärder (t ex ändra inställ- ningar eller konfiguration, få ut statistik eller loggar, etc). [Autentise- ring]
Krav S.2: Fabriks- eller standardlösenord på utrustningen skall ej an- vändas för administrativa åtgärder eller när service utförs. [Autentise- ring].
Krav S.3: Det bör finnas enkla verktyg eller metoder för att ändra lö- senord för en mängd utrustningar eller samtliga utrustningar. [Autenti- sering]
Krav S.4: Vid service av viss typ av utrustning, främst sådan som har använts för stora mängder information (som därmed inte går att klas- sificera) eller känslig information skall hårddisk eller annan lagrings- media tas ut innan utrustningen lämnar företagets lokaler. [Informa- tionssäkerhet]
Krav S.5: Det skall gå att uppdatera programvaran (styrprogramvara, bios, operativ-system eller liknande) i utrustningen i händelse av att
091021 Multifunkmaskiner v1.1.doc 6 (7) säkerhetsproblem hittas i utrustningen. [Grundläggande systemsäker-
het]
Krav vid installation
Krav I.1: Viss utrustning som används för hantering (ut-
skrift/inskanning/faxning/ kopiering eller liknande) av känslig, före- tagshemlig eller kvalificerat företagshemlig information skall
1. Vara helt fristående 2. Anslutas direkt till datorn
3. Hållas i stängda och kontrollerade utrymmen [Informationssäkerhet]
Krav I.2: Utrustningen bör vara försedd med anordningar så att det med hjälp av tilläggsutrustning går att låsa fast utrustningen. Detta gäller särskilt för utrustning som skall installeras i publika utrymmen såsom foajéer och liknande. [Fysisk säkerhet]
Krav vid drift
Krav D.1: Delade utrymmen som används för utskrift, kopiering och liknande informationsbehandling av känslig eller hemlig information skall vara utrustade med papperstugg. [Informationssäkerhet]
Krav vid utrangering, skrotning eller liknande
Krav U.1: Datamedia som använts i utrustningen (exempelvis hård- disk, Compact Flashminnen, etc.) skall raderas eller destrueras på ett av företagets godkända metoder. [Informationssäkerhet]
Övriga krav och riktlinjer
Krav Ö.1: Utrustningen skall säkerställas mot överhettning och brand [Fysiskt skydd]
Krav Ö.2: Levererad dokumentation skall beskriva de olika säkerhets- funktioner som utrustningen tillhandahåller. [Informationssäker- het/tillgänglighet]
Övrigt
Frågor kan ställas till EBITS via e-post ebits_box@svenskenergi.se
091021 Multifunkmaskiner v1.1.doc 7 (7)
Ordförklaringar
Bluetooth En industrispecifikation för radiobaserad kommuni- kation med begränsad räckvidd (1m, 10m eller 100m) som dock kan fångas upp på betydligt större avstånd. Bluetooth används för informationsutbyte mellan t.ex. mobiltelefoner, bärbara datorer, skri- vare, digitala kameror osv.
IEEE 802.11i En utökning av IEEE 802.11-standarden som speci- ficerar säkerhetsmekanismer för trådlösa nät.
IDS Intrusion Detection System - Ett system för att upptäcka olika typer av oönskade aktiviteter i da- torsystem (datornät och datorer). Dessa aktiviteter inkluderar bl.a. överbelastningsattacker, intrångs- försök och virusangrepp.
IPSec IPSec är en samling protokoll för att säkra IP-
protokollet m.h.a. autenticering och/eller kryptering av datapaket. IPSec kan användas för att upprätta och skydda ett VPN (Virtual Private Network).
VPN Virtual Private Network - Ett samlingsnamn för ett antal tekniker och protokoll som använder publika nät för att skapa privata datornät. På detta sätt kan lokala datornät (LAN) kopplas ihop och externa an- vändare kan ges åtkomst till företags interna nät.
IR Olika tekniker för att på korta avstånd trådlöst kommunicera m.h.a. infrarött ljus.
PoE Power over Ethernet - Ett samlingsnamn för olika tekniker att tillsammans med data skicka elektrisk energi till apparater (t.ex. trådlösa accesspunkter, IP-telefoner och webbkameror) i en tvinnad parka- bel i ett Ethernet.
"Rogue" accesspunkt En accesspunkt i ett WLAN som satts upp utan ad- ministratörens tillåtelse och som kan t.ex. använ- das av en angripare för att avlyssna trafik på WLAN:et.
SSID Service Set Identifier - Ett namn som delas av de utrustningar som vill kommunicera med varandra i ett trådlöst nät (enligt IEEE 802.11-standarden).
WLAN Wireless Local Area Network - Ett samlingsnamn för olika typer av trådlösa nät. Den vanligaste typen är de nät som bygger på IEEE 802.11-standarden och används bl.a. för att koppla ihop datorer med tråd- lösa accesspunkter både i hem och på företag.