Sikkerhet er en tungvindt ting

For noen år siden bestemte Datatilsynet at ansatte i skolen måtte ha sterk autentisering mot en god del av systemene sine:

Bruk sterk autentisering ved behov
De skolene og barnehagene vi har vært på kontroll hos, og som bruker informasjonssystem som inneholder opplysninger om mange barn, har vi pålagt at må etablere sterk autentisering for de ansatte ved innlogging dersom løsningen er tilgjengelig fra eksterne nett.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til for eksempel læringsplattform, skoleadministrative system eller annet pedagogisk verktøy på nett. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til systemet.

Begrunnelsen var, rimelig nok, at den enkelte ansatte hadde tilgang til så mye elevinformasjon at enkel autentisering med brukernavn og passord ikke var sikkert nok. Det sier seg selv når du tenker etter – hva får en elev tilgang til om denne lærer seg brukernavn og passord til en lærer? Spesielt i våre dager når brukernavn og passord stort sett er likt over alle plattformer (tenker på deg nå, FEIDE). Læringsplattformer (i form av både itslearning, Office365 og GSuite), skoleadministrative system, andre større tjenester som f.eks. Engage (tidligere Vokal) er enkelt tilgjengelig via FEIDE. Hvis enkel autentisering er eneste hinder kan elever få tilgang til svært mye informasjon de ikke skal ha tilgang til – og de kan endre ting de ikke skal kunne endre.

Løsningen er selvfølgelig å legge på sterk autentisering (2FA) i form av ekstra kode som må legges inn. Den vanligste løsningen er kode via SMS, men det finnes også kode-apper på mobil, mobil som autentiseringsnøkkel eller, det som nå kommer, kodenøkkel via USB. Det er enkelt å skru på 2FA i FEIDE for ansatte, som da sender en SMS til registrert mobiltelefonnummer. Denne er ikke akkurat billig for arbeidsgiver, siden denne må betale for hver SMS som sendes. Flere velger også ID-porten som løsning og da kan du logge på med f.eks. MinID (som er gratis for arbeidsgiver).

Jeg tipper at dette er et vondt kapittel for mange kommuner – og det er ikke uten utfordringer i Randabergskolen heller. De fleste kommuner jeg har vært i kontakt med har ikke aktivert noen form for sterk autentisering for ansatte overhode.

I Randabergskolen har vi tvunget 2FA for ansatte i GSuite for Education (elevene kan velge det selv). Vi bruker Googles egen 2FA-løsning. Brukerne kan da velge mellom reservekoder på papir, talemelding eller SMS til mobil, autentiserings-appen til Google, direkte forespørsel fra Google til mobiltelefonen eller, nå nylig, en sikkerhetsnøkkel via USB. De fleste bruker SMS til mobilen. Vi har satt systemet opp slik at ansatte må inn med 2FA hver 7. dag per enheter du logger deg på. Altså er en enhet godkjent med 2FA i 7 dager før du må inn med 2FA på nytt. I mellomtiden kan du logge deg på med bare brukernavn/passord.

Vi har også også 2FA med eget brukernavn og passord i Visma sin skyløsning for IOPer – Visma FLYT Sampro. Der får alle som skal logge seg på en SMS, eller en epost, med en kode etter de har lagt inn brukernavn og passord.

…og det var det. Ingen andre systemer bruker 2FA for ansatte, selv om det er noen som i alle høyeste grad burde ha det (og skal ha det). Det skoleadministrative systemet Visma FLYT Skole, Conexus Engage, Identum sin enkle skypålogging (for tilgang til eFEIDE) og PAS/PGS er de systemene som burde ha det.

Nå nylig bestemte vi at fra august 2018 skal det være 2FA på disse tjenestene i Randabergskolen. Vi har informert rektorene og Utdanningsforbundet om at det skjer, så det ikke skal komme som noen overraskelse på de ansatte. Det kan godt hende at noen synes det blir tungvindt, men skal ting være sikkert så blir det slikt.

Disse tjeneste kan ikke være så åpne som de er nå. At ingen elever har logget på Visma FLYT Skole med lærerbruker er bare et spørsmål om tid (og flaks). Du verden så mye elevene kunne sett og gjort som ansatt i Visma FLYT Skole. De kan se igjennom alle anmerkninger for alle elever, de kan endre karakterer (også standpunkt) og de kan se hva som ligger under elevdokumenter i arkivet. Ikke glemt at etter GDPR trer i kraft skal slike eventuelle brudd meldes direkte til Datatilsynet innen 72 timer, så dette er ikke noe skolen kan «ordne opp i» selv.

Å skru opp sikkerheten i form av 2FA løser en god del utfordringer, men det lager også noen nye. For å bruke FEIDE eller MinID til 2FA  ansatte bruke mobiltelefon. Og de må bruke den en god del oftere enn de gjør med 2FA i GSuite for tiden. Ikke det, ansatte i Randabergskolen er allerede godt vant med å bruke mobiltelefonen sin til 2FA pga at vi gjør dette i GSuite – så jeg tror det går rimelig greit for vår del.

Vi har også planer om å bruke GSuite for Edu til behandling av sensitiv informasjon. Det kan vi ikke gjøre før vi skrur opp sikkerheten noen hakk her også, så vi tenker å sette 2FA til 24 timer i stedet for 7 dager. I den forbindelse tester vi også ut sikkerhetsnøkler via USB. Dette er små USB-pinner som pares mot Google-kontoen din og når du blir bedt om 2FA setter du inn nøkkelen og den overfører en sikkerhetskode til maskinen som slipper deg inn. Dette skal løse behovet for å ha med mobiltelefonen…

Kan er det ikke så overraskende at jeg ikke er fornøyd med nøkkelen. Den er tungvindt å sette opp (for en ordinær bruker). Jeg synes også den er upraktisk å bruke. For det første må du ha en USB-A-port og det er ingen selvfølge lenger på bærbare maskiner med USB-C. Nøkkelen virker ikke via USB-huber, som kan være direkte stress når du da må lete etter USB-porten på desktop-maskinen din. Og – jeg synes ikke alltid den virker. Jeg må for ofte ta den ut og inn, eller trykke på knappen på den (alt etter hvilken type du har).

For å toppe det hele velger Google sikkerhetsnøkkelen som standard 2FA etter at du har registrert den og jeg må klikke på «Har du problemer?» for å få opp andre 2FA-alternativer. Det var ikke helt intuitivt. Jeg hadde ikke problemer – jeg ville bare velge en annen 2FA-metode. Nøkkelen er i praksis lett å glemme igjen i maskinen, eller å rote bort. I praksis synes jeg SMS, kodeapp eller mobilautentisering er utrolig mye enklere. Jeg har alltid mobilen i nærheten og jeg glemmer den sjelden igjen der jeg har vært. Dessuten virker ikke FEIDE eller andre tjenester med denne sikkerhetsnøkkelen enda, så ansatte må uansett ha med seg mobilen når se skal logge inn i via FEIDE 2FA.

Hvis læreren glemmer igjen sikkerhetsnøkkelen i klasserommet er det lett for eleven å lage sin egen(!) sikkerhetsnøkkel for lærerbrukeren. Og læreren kommer i praksis aldri til å oppdage at det er registrert en ekstra sikkerhetsnøkkel! Vet at dette er kanskje litt søkt, men du vil før eller seinere ha en slik elev i systemet.

Så den viktige regelen er enda – Ikke la andre vite hva passordet ditt er!

 

Olav, Datatilsynet kjem!

Harestad skole er en av de heldige vinnerne av Datatilsynet satsingsområde denne høsten – stedlig kontroll av skoler. Og nei, det er ikke ironi – vi synes faktisk det er spennende å få besøk av Datatilsynet og bli kikket litt i kortene.

Selvfølgelig er det også stress å få dem på besøk. De har en interessant list med dokumenter de vil ha inn før kontrollen – og det er ikke til å stikke under en stol at det var mange av disse dokumentene vi ikke hadde helt på plass!

Her er listen…

  • Styrende dokumenter for internkontroll, jf. personopplysningsloven §14 og forskriften kapittel 3 (herunder oversikt over behandlinger av personopplysninger, rettslig grunnlag for behandlingene, ansvarsplassering, identifiserte plikter, oversikt over etablerte rutiner, hvordan følges rutinene opp).
  • Styrende dokumenter for informasjonssikkerhet, jf. personopplysningsloven §13 og forskriften kapittel 2.
  • Risikovurdering av skoleadministrativt system (SAS) og læringsplattform (LMS).
  • Oversikt over informasjonssystemenes utforming
    1. Konfigurasjons- eller systemkart.
    2. Beskrivelse av skoleadministrativt system (SAS).
    3. Beskrivelse av læringsplattform (LMS).
    4. Oversikt over digitale læringsressurser som brukes av skolen (f.eks. Kikora, Salaby, Kartleggeren, etc.).
    5. Oversikt over andre nettressurser som brukes av skolen (f.eks. Dropbox, Google Drive, Facebook, bloggsteder, etc.).
    6. Beskrivelse av tilgangsstyring i løsningene nevnt i 2), 3), 4) og 5).
  • Beskrivelse av dataflyt mellom skoleadministrativt system, læringsplattform og evt. andre systemer.
  • Oversikt over hvor elevopplysninger blir utlevert (f.eks. SSB, UDIR, Fylkeskommunen, forskning, etc.).
  • Databehandleravtale med leverandør av læringsplattform, skoleadmnistrativt system og evt. andre systemer.

Pjuh… det ble 26 vedlegg i eposten til Datatilsynet. Kan de ha det så godt når de må lese dem :-)

Vi har bestemt oss for å være ærlige. Det koster oss lite å si hvor vi har gode rutiner og hvor vi ikke har det. Den siste uken har gått med på å skrive ned alle de rutinene vi faktisk har, men som vi aldri har skrevet ned før. Vi kommer til å feile totalt ift personoppysningloven (med forskrifter) med at vi ikke har hatt systemiske gjennomganger av disse dokumentene (som vi ikke har skrevet før nå ;-) – og hvor vi også skulle ha ført referat. Vi kan bare bli bedre – og dette er slett ikke dumt å bli bedre på.

I prosessen med å lage internkontrolldokumenter for de ulike systemene på Harestad skole har jeg oppdaget flere ting jeg nå tenker at jeg burde gjøre noe med eller vite mer om…

  • Skolesystemet med alle sine linuxservere, nettverket og ulike tjenester – her vet vi mye og vi er flinke å dokumentere hva vi gjør og holder på med. Men – vi kan alltid bli bedre og det er ting jeg for første gang har tenkt og skrevet i internkontrolldokumentet om skolesystemet. Burde vi bruke penger og få på plass ordentlig nødstrøm?
  • IOP-tjeneren – dette er vår egen løsning for å bli kvitt minnepinnene og sikre at det bare finnes en digital utgave av en IOP til en elev. Skal vi ha granulert tilgangskontroll slik at de ansatte bare har «need to know»-tilgang til enhver tid?
  • Visma FLYT skole – det skoleadministrative systemet, som er en skytjeneste. Plutselig begynte jeg å tenke på at jeg faktisk ikke vet noe som helst om hvordan Visma sikrer dataene. Jeg bare antar at de har gode redundansløsninger og sikkerhetskopier – og hvem har egentlig tilgang til elevinformasjonen vår hos Visma. Har hele Visma support tilgang til enhver tid? Ikke det at jeg tror vondt om det – det gjør jeg ikke – men jeg kan heller ikke si at jeg vet at Visma gjør dette på en ordentlig måte. Jeg bare regner med det.
  • Google Apps for Education – som på en eller annen måte alltid virker som en het potet, hvis neste setning inneholder ordet «Datatilsynet». Her har vi så god kontroll som vi kan ha – og jeg vet mer om hvordan Google gjør tingene sine enn hvordan Visma gjør det (eller for den saks skyld Conexus – hvor vi har VOKAL og PULS).
  • De fysiske elevmappene – skal en ikke skal kimse av. Hva havner i dem og hvor blir det av – og hvordan kom de dit? Og hva ville skjedd om hele elevarkivet brant opp – eller ble utsatt for store vannmengder? Og hvem har egentlig tilgang og hvordan kan du være sikker på det?

Jeg har allerede gjort endringer i deler av systemene våre etter å ha skrevet internkontroll dokumentene (har skrudd på en «Angre»-funksjon når du sender epost i Google Apps!). Jeg har også kommet på mange andre kilder til elevdata som jeg aldri har tenkt over at vi har! Det nytter ikke å si at dette ikke har vært nyttig – så ja, vi må gjøre dette årlig!

En ting jeg er lurer på er om det overhode finnes skoler som har så godt som perfekt orden på alt dette papir-/rutinearbeidet. En ting å ha noen generelle fraser om informasjonssikkerhet på kommunenivå – men hvordan er det på den enkelte skole? Det er kanskje det Datatilsynet vil finne ut…

Uansett – torsdag 17. oktober 2013 kl. 09:00 braker det løs!

Kommunen og skytjenesten

Jeg var for litt siden med på en nesten-diskusjon om hva en skytjeneste er og ikke er – eller rettere sagt, hvilke tjenester som er skytjenester og hvilke som ikke er. En nesten-diskusjon er når det er tydelig at vi ikke er enige, men anledningen gjør at vi ikke diskuterer det der og da. Da fortsetter jeg ofte diskusjonen for meg selv etterpå… og kanskje også på bloggen.

Jeg holdt en knapp på at så godt som alle tjenester på nettet som behandler data/informasjon for andre er skytjenester. Den andre (tror jeg) holdt en knapp på at det bare er tjenester som f.eks. Gmail, Google Apps, Office 365, Hotmail osv. som kvalifiserer som skytjenester – og da med en begrunnelse i at en ikke vet nøyaktig hvor data blir lagret (sky = diffust). Neste steg ble selvfølgelig å sjekke hva som er hva, selv om jeg nok mente at min forståelse var rett :-)

En rask sjekk på Wikipedia og UninettABC/Senter for IKT i utdanningen bekreftet det jeg trodde – en skytjeneste («cloud computing») er…

…the use of computing resources (hardware and software) that are delivered as a service over a network (typically the Internet). The name comes from the use of a cloud-shaped symbol as an abstraction for the complex infrastructure it contains in system diagrams. Cloud computing entrusts remote services with a user’s data, software and computation.

Den vanligste skytjenesten for de fleste er SaaS (Software as a Service / programmer som en tjeneste). I Randaberg kommune har vi en helt haug med SaaS-er: Google Apps for Education, Kvalitetslosen, Visma FLYT skole, Visma HRM, Fronter, itslearning, Arena, KorArtig, eFEIDE (og FEIDE), PULS/VOKAL og siden kommunen offisielt deler ut iPad til alle som er involvert i det politiske arbeidet i kommunen kan vi vel føye til iTunes/iCloud også ;-)

Jeg er usikker om PAS-systemet til Udir og FEIDE passer inn under skytjeneste-definisjonen. Det er vi/skolene som legger inn informasjonen, men det er jo et pålegg fra Udir/Staten og det er de som eier tjenesten (og på den måten dataene). Det skal sies at vi har underskrevet en databehandleravtale med FEIDE/Uninett, men aldri med PAS/Udir.

Men, PAS og FEIDE til side, hvis du nå leser Datatilsynets artikkel «Åpner for bruk av nettskytjenester» og ser på denne delen:

Ved bruk av nettskytjenester må noen forutsetninger være på plass:

  1. Det må gjennomføres grundige risiko- og sårbarhetsanalyser i forkant. Virksomheten må spørre seg selv om hva som kan gå galt, og hvilke følger det i så fall kan få.
  2. Selskapene må ha en tilfredsstillende databehandleravtale som er i tråd med norsk regelverk. Det er kommunen som har ansvar for at lovens krav følges.
  3. Bruken av nettskytjenester må jevnlig revideres. Det vil si at en tredjepart gjennomfører en sikkerhetsrevisjon på vegne av kommunen og sikrer at databehandleravtalen følges.
  4. Databehandleravtalen må være det som gjelder og leverandørens generelle personvernerklæring må ikke gå utover denne.

…kan en få et inntrykk av at nettskytjenester bare handler om Google eller Microsoft o.l., men det er det ikke. Google, Microsoft og Amazon har hatt noen tilleggsutfordringer knyttet til hvor data plasseres og gjensidigheten i kontraktsforholdene, men dette er ikke lengre noen stor utfordring (jfr. Narvik-saken). Så – en skytjeneste er en skytjeneste, og de samme regler gjelder selvfølgelig for Visma, itslearning og Conexus (og FEIDE) som for Google og Microsoft. Rettere sagt, de samme lovene gjelder for alle kommuner og (private og offentlige) foretak i Norge, uavhengig av hvem som leverer skytjenesten.

Jeg er litt usikker på hvordan en forholder seg til punkt 3. Jeg er temmelig sikker på at jeg (på vegne av kommunen) ville ha like store utfordringer med å gjennomføre en sikkerhetsrevisjon hos Visma som hos Google (jfr. personopplysningsforskriften §2), som jo er grunnen til at Datatilsynet i punkt 3 krever en tredjepart (og som Google gjør). Dette er nokså diffust beskrevet i norske kontrakter:

Databehandler skal gjennomføre sikkerhetsrevisjoner jevnlig for systemløsningen som omfattes av denne avtalen.

Revisjonen kan bl.a. omfatte kontroll av at rutiner etterleves, teknisk sikkerhetsløsning, fysisk sikring og avvikshåndtering.

Resultatet av sikkerhetsrevisjonen skal på forespørsel utleveres databehandlingsansvarlig.

Det er jo innlysende at jeg har akkurat samme utfordring med å kontrollere at Google i praksis forholder seg til norsk lov, som Visma gjør det – selv om Visma er norsk og jeg har samme gode tillit til dem som jeg har til Google.

Ikke det, jeg er glad for at Datatilsynet finnes og passer på. Vi skal ikke godta avtaler hvor informasjon ikke er sikker, men det er noe som sier meg at norske databehandlere i praksis slipper litt lettere unna med en «standard»-kontrakt enn det de store utenlandsaktørene gjør.

Vi får opprette en egen sikkerhetsrevisjonsavdeling i kommunen som skal passe på alle de etterhvert mange skytjenestene vi benytter oss av :-)