Att ge anställda begränsad tillgång till data, bara så mycket att de kan sköta sitt jobb, är en gammal gyllene regel inom it-säkerheten. De flesta företag och organisationer följer denna regel noggrant, se bara inom vården där tillgång till patientjournaler är begränsad till dem som har kontakt med patientens ärende.
Inom tech-industrin, speciellt bland företag som lever på innovationer kring data, dataanalys och AI, kan mycket väl det omvända gälla. Att begränsa tillgången till data för dem som ska utveckla och leverera data-innovationerna vore att sätta hämsko på innovationen. Men det medför också enorma risker för dataläckage, speciellt inom stora företag där det inte går att hålla koll på vad alla anställda gör.
Här om veckan åtalade det amerikanska justitiedepartementet två före detta anställda på Twitter som anklagas för att ha lämnat ut data om 6000 Twitter-användare till den saudiarabiska regimen. Åtalet visar på ett uppenbart fall där anställda haft tillgång till känslig information som överhuvudtaget inte har med deras respektive roller att göra.
Kan ha pressats av den saudiska regimen
De bägge åtalade har saudiarabisk bakgrund, även om den ene är amerikansk medborgare, och det är inte osannolikt att de kan ha pressats av den saudiska regimen till att leverera data om Twitteranställda som på något sätt intresserar regimen.
Den ene av de två männen arbetade med mediepartner och den andre som ingenjör med inriktning på Twittertjänstens stabilitet. Dessa roller har knappast någon komponent som gör att de skulle haft tillgång till de data de stal och vidarebefordrade till Saudiarabien.
Ändå hade bägge tillgång till proprietär och konfidentiell information om Twitters användare, inklusive e-postadresser, födelsedagar, telefonnummer och ip-adresser.
Åtalet mot de bägge före detta Twitteranställda har fått väckarklockorna att ringa bland it-säkerhetsexperter som är rädda för att detta fall bara är ett exempel på en slapp mentalitet kring användardata inom teknikindustrin.
Mike Chapple är it-chef och undervisar i dataanalys vid Notre Dame-universitetet i Paris, och undrar för det första varför de bägge twitter-anställda hade tillgång till användardata.
– Varför hade de anställda, som inte hade någonting att göra med användarinteraktioner, tillgång till de system som innehåller sådan information där de sedan kunde gå in och dra ut denna information? Alla som har jobbat med it-säkerhet ett tag vet att det finns en princip som heter minsta nödvändiga tillgång som vi jobbat efter i decennier. Principen säger att anställda ska bara ha tillgång till de data de behöver i sitt arbete. säger Mike Chapple.
Hade kunna göra det svårare för främmande makter
– I detta fall hade vi två anställda, den ena inom medierelationer och den andra en systemingenjör, som inte kan ha haft någon tänkbar anledning till att ha tillgång till de data de hade. Om Twitter hade haft fastare styrning av hur många och vilka anställda som haft tillgång till informationen hade det varit mycket svårare för främmande makter att rikta in sig på anställda med tillgång till dessa data.
För det andra menar Chapple att det kan inte komma som en överraskning att denna typ av incident händer just inom ett teknikbolag eftersom det enklaste för dem är att ge stora mängder anställda tillgång till så mycket data som möjligt så att de inte stöter på hinder när de försöker få jobbet gjort.
Principen om minsta tillgång är väl etablerad och definierad inom ett antal ramverk inom it-säkerhet som går bak långt i tiden. Bland andra NIST har tagit fram ett ramverk 2014 som uppdateras kontinuerligt.
Men det finns minst ett ytterligare fall som visar att problemet med slapp accesskontroll inom tech-industrin kan vara utbredd. 2014 uppdagades det att alldeles för många anställda på Uber hade tillgång till användardata från mjukvaran ”God View” vilket medförde att de i realtid kunde se positionen för passagerare i Ubers fordon, inklusive högprofilerade personer och kändisar, och till och med de anställdas partner. Uber blev 2017 tvungna att gå med på en uppgörelse med amerikanska myndigheten FTC (Federal Trade Commission) på grund av deras mjuka policy kring datatillgång. Under 20 års tid kommer nu Uber att få utstå särskild insyn från FTC.
Hoten från insiders är skadliga, de är svåra att upptäcka och de utgör ett slags svek.
– Det var inte innan medierna rullade upp historien som folk kom att reagera negativt och Uber stängde av den slappa data tillgången, säger Mike Chapple.
Skulle ha gjort rätt från början
– De flesta organisationer som råkat ut för allvarliga läckor, som kostat dem stora summor pengar, håller nog med om att det hade kostat dem betydligt mindre att implementera vettiga regler för datatillgång från början.
Det är samtidigt inte enkelt att sätta fungerande regler för datatillgång; det man i praktiken gör är att lägga in hinder för att människor ska kunna utföra sina arbeten på ett enkelt sätt. Det kräver eftertanke och noggrann planering eftersom om reglerna blir för hårda kommer anställda få svårt att utföra sina arbeten på ett effektivt sätt, eller i värsta fall inte alls.
Mike Chapple tycker att det enklaste är att börja med de mest känsliga typerna av data.
– Tänk ur angriparens perspektiv. Om en utomstående är ute efter maximalt ekonomiskt värde eller skada, om de vill komma åt den mest känsliga informationen, eller helt enkelt är spioner, börja med de system som vore mest attraktiva för dessa utomstående säger MIke Chapple.
Läs också:
Twitteranställda åtalas för spionage åt Saudiarabien
Han ser till att hackare tjänar miljoner – ”billigaste sättet att hitta buggar”
