Säkerheten inom enheter/myndigheter m.m, fysisk återkomst

Jag har under senaste månaderna lyssnat på bland annat 'Darknet Diaries' podcast på YouTube och funderat mer på säkerhet. Det fick mig tänka tillbaka några år när jag jobbade på ett slags call-center i utlandet som hade rejäl säkerhet på hela byggnaden. Där passeringskort användes överallt och för logga in på datorn användes Yubikey samt fick man inte ta med sig telefon, papper och penna in i datorsalen där vi jobbade.
Efter alla tankar på det köpte jag som privatperson en av de senaste yubikeys även, som kanske overkill men ändå användarbart enligt mig då.

Senaste månaden har jag även besökt bland annat barnmorska på vårdcentralen och något jag reagerat på är när barnmorskan lämnar sitt rum några minuter så låser dom inte datorn, utan har öppet allting fast kunder (jag och gravida frun) är i rummet. Något slags zero-day exploit på USB sticka eller liknande hade väl kunnat leda till full återkomst till allting dom har på datorn och återkomst till.

Det fick mig fundera hur säkerheten generellt är på ställen där kunder vistas i samma rum.
Jag besöker inte så ofta andra ställen, eller jag vill minnas vid besök hos t.ex polisen för få sitt pass så har man ju oavsett inte direkt fysisk tillgång till deras datorer då de sitter på andra sidan disken med plexiglas emellan.

Men märker ni av andra ställen, företag eller någon slags myndighet som har dålig säkerhet gällande fysisk återkomst till datorer de använder eller liknande?

Och är detta någon risk?

Själv jobbar jag på ett kontor och sysslar med dokument, vi använder inte direkt fysiska säkerhetsnycklar eller ombedds låsa datorn - men samtidigt har vi inga kunder direkt. Visst, städerskor är de enda som kommer in och skulle kunna vid tillfälle ta över ens dator.

Till att börja med har jag reagerat på att man kan se spywaret Windows installerat på alla maskiner på myndigheter och liknande. Redan där läcker förmodligen mängder med data främmande makt.

Sedan är väl typ alla operativsystem rätt så naiva när det kommer till att acceptera nya tangentbord, utan att först be om en inloggning. Så som du säger kan vem som helst smyga in en liten USB-sladd, som själv börjar knappa som ett tangentbord, och som då börjar med att trycka på Windows-knappen, öppnar Notepad och skriver in ett spionskript, och sedan öppnar en terminal och kör det nya skriptet. På bara typ tre sekunder.


En Yubikey? Vad gör du om den går sönder?

Vad jag vet så lär man väl inte ut datasäkerhet på sjuksköterskeprogrammet, eller något annat program bortsett från IT-relaterade program?

Okunskapen när det gäller datasäkerhet är stor hos "vanligt folk" trots att det här är något som man ändå förväntas ha lite vett i.


Ja, men fysisk åtkomst kommer också med ett problem.

Kommer IT-avdelningen fram till att fysisk åtkomst är orsaken till ett dataintrång så kommer de kolla övervakningskameror, besökslistor, allt. Utan ett mirakel är du ganska körd alltså, om inte syftet med uppdraget var att offra dig själv från första början.

Sen beror det också på vad det är för system. Många system är kompartmentaliserade, så även om du får tillgång till en fysisk åtkomstpunkt är det inte säkert att den räcker för att du ska ha möjlighet att kunna extrahera allt än kanske bara en begränsad del.

Går utmärkt att härda och deploya både Windows och Linux i en air gapped miljö.

White listning av USB artiklar är en grundläggande funktion(dock relativt enkel att spoofa) men i ditt exempel meningslöst. Finns ingen IT organisation med lite stolthet som låter enskilda användare exekvera okänd kod på sina enheter.

Visst, det finns möjlighet de kan klura ut vem som gjort något i deras datorer/nätverk. Om de har loggarna kvar då, minns en historia i darknet diaries där de rensade all servers (var på en skola) innan personen lämnade allt, så även loggar togs bort. Enda anledningen de var fångad var pga inloggning via molntjänst (av Microsoft eller om det var Google) som skolan använde.

Det jag tänkte var även oavsett om man inte lägger in skadlig kod t.ex RAT för senare åtkomst, ransomware eller annat, så behöver man kolla upp specifik person i deras databas är det helt öppet där och då även om det hade varit risk för upptäckt om personal är tillbaka snabbt även.

Men visst vid mer eftertanke om myndigheter specifikt, de flesta arbetar i öppen miljö med en disk emellan.
Men de som bär risk är om man är ensam i ett rum med personal och de använder dator, precis som på vårdcentralen t.ex, och de har säkerligen åtkomst till känslig information.

Annat jag tänker på är poliser som är ute, där jag sett audits både i Sverige och andra länder där poliser blir nojiga när någon kollar in i polisbilen.
Varför har inte de någon säkerhet att stänga skärmen eller någon fysik nyckel/kort som när den inte är i datorn så låses datorn och skärm t.ex.

Tillägg: angående kameror så, verkar de inte vara så vanligt inte i det exemplet hos vårdcentralen tycker jag inte sett någon säkerhetskamera, och sedan är tanken hur säker är dem även och vart sparas det, lokalt eller (som jag mest antar) på något företag inom säkerhet, som då isåfall möjligtvis säker(?)

Har två stycken,, plus sparat ner återställningskod för min lösenordshanterare om yubikey nr2 även försvinner. Har endast två hem nycklar och ena är ju i hemmet så mer troligt jag skulle bli utlåst från hemmet, som aldrig skett än heller.

Ja, det är en risk både i och med de nya europeiska lagarna om dataskydd sedan 2018, vilket kan innebära stora penningböter för företag vid läckor, och även gällande firmors rykte om information skulle läcka om kunder osv. Kan även vara en direkt risk för kunderna själva. Inte så kul om medicinjournaler, drogrehabiliteringsscheman, dokument från ett rättscase eller diverse intellektuell egendom läcker ut i dumpar på internet.

Har själv arbetat på uppdragsbasis på diverse ställen som hanterar känslig information där det rör sig kunder i samma lokaler och kan säga att den svagaste länken i allmänhet är ren slapphet från ledning/managers och/eller totalt ointresse att lägga ett öre på att förbättra situationen, för datasäkerhet säljer inte förrän det smäller, det är bara en kostnad.

Jaså, ni har diskar utan kryptering med flera terabyte data om personer som står helt öppet i konferensrummet? -Totalt ointresse i att göra något åt saken.

Laptops krypteras och säkras upp. Spelar ingen roll för då hamnar en post-it på datorn med lösenordet.
Tjänster för smartcards eller Yubikey-liknande lösningar installeras. Spelar ingen roll för då blir smartcardet kvar i datorn, med PIN-koden skriven rakt på med röd spritpenna.
Vikarien eller ersättaren eller ersättarens ersättare vid sjukdom måste ju kunna arbeta...

Man går ifrån datorn och lämnar den olåst - detta är standard typ överallt.

Min bild av små till medelstora företag i privata sektorn är alltså ganska dålig, även om undantag finns.

Ja senast jag var inne på en provtagning så satt jag i ett rum med en dator med min journal öppen och SITHS-kort monterat ensam i 2 timmar, så säkerhet kan nog bli bättre på en del ställen.

Varit med om detta också blev lämnad ensam i ett rum då läkaren skulle leta efter överläkaren om något, tog åtminstonde 15 minuter med journaler och röntgenplåtar helt öppet.