Risikovurdering vedr. Google Apps Sammenfatning Side: 1 af 6
1. Introduktion IT Crew har faciliteret gennemførelse af en risikovurdering på en workshop med Odense Kommune d. 25. august 2010. Workshoppen omhandlede Odense Kommunes planlagte anvendelse af kontorpakken Google Apps indenfor skoleområdet, og formålet var at foretage en DS-484 risikovurdering med henblik på at afdække de forretniningsmæssige risici ved anvendelsen. De tilstedeværende personer på workshoppen var: Alan Peder Sørensen, Leder af Pædagogisk Mediecenter, Odense Kommune John Bonnerup Nielsen, IT-Sikkerhedsleder, Odense Kommune Søren Peter Nielsen, Chefarkitekt, IT- og Telestyrelsen Camilla Grynnerup Fisker, Fuldmægtig, IT- og Telestyrelsen Thomas Gundel, Konsulent, IT Crew 1.1 Antagelser og forudsætninger Som udgangspunkt for vurderingen blev der først identificeret seks centrale use cases, der kunne fungere som repræsentative eksempler på den tænkte anvendelse af Google Apps indenfor skoleområdet. Med henblik på at begrænse omfanget blev der fokuseret på brugeroprettelse og -nedlæggelse, login samt oprettelse og deling af dokumenter. Andre anvendelsesaspekter som eksempelvis kommunikation, brug af fælles kalendere og etablering af hjemmesider mv. blev ikke medtaget, idet disse områder ikke forventes at bidrage med væsentligt nyt til risikovurderingen. De seks use cases var flg. 1 : Use Case 1: Lærer oprettes i Google Apps Use Case 2: Lærer nedlægges i Google Apps Use Case 3: Lærer logger ind i Google Apps Use Case 4: Lærer opretter dokument Use Case 5: Lærer deler dokument med kollega Use Case 6: Lærer ser delt dokument Overalt hvor dokumenter behandles i use cases, har vurderingen taget udgangspunkt i, at der kan være tale om elevplaner, hvori der kan indgå personfølsomme data som f.eks. helbredsoplysninger, oplysninger om sociale problemer mv. Trivielle anvendelser, som ikke involverer personfølsomme data, er ikke behandlet. Vurderingen har taget sit udgangspunkt i den anvendelse, der påtænkes i første omgang, nemlig læreres brug af Google Apps til oprettelse og deling af dokumenter mellem kollegaer og elever på en skole. Hvis der senere udvides med andre faggrupper som f.eks. 1 Use casene er beskrevet i et separat dokument. Side: 2 af 6
skolepsykologer eller embedsmænd i forvaltningen, bør vurderingen udvides til at tage højde for dette. 1.2 Fremgangsmåde Risikovurdering blev gennemført i overensstemmelse med principperne for risikovurdering beskrevet i DS484 standarden; metoden følger ikke DS-484 slavisk men har mindre modifikationer som beskrevet nedenfor. For hver use case har workshopdeltagerne vurderet de forretningsmæssige konsekvenser for kommunen ved tab af fortrolighed, integritet og tilgængelighed på en skala med fem trin: Skala A B Betegnelse Graverende/ ødelæggende Meget alvorlig C Alvorlig D Mindre alvorlig E Ubetydelig Herefter har workshopdeltagerne identificeret mulige trusler / hændelser, der kan give anledning til tab af hhv. fortrolighed, integritet og tilgængelighed, samt vurderet deres sandsynlighed på en skala med tre trin: lav, middel eller høj sandsynlighed. Hovedfokus på identifikation af trusler er lagt for de use cases med høje konsekvenser. Ved vurderingen af sandsynligheden af trusler er der taget udgangspunkt i de kendte kontroller, procedurer og sikkerhedsmekanismer, der er implementeret i Google Apps samt i Kommunen. Den angivne sandsynlighed er altså en kombination af truslens sandsynlighed og relevante kontrollers styrke. Workshopdeltagerne har indgående kendskab til kommunens it-systemer og sikkerhedsprocedurer samt til integrationen med Google Apps. Derudover er vurderingerne baseret på en SAS70 revisionserklæring fra Google samt et teknisk white paper, der beskriver sikkerheden i løsningen. I forhold til DS484 er trusselsniveau et altså ikke vurderet (uden kontroller) men der er i stedet sprunget direkte til det samlede risikobillede, hvor vurdering af kontrollernes styrke er indregnet. Side: 3 af 6
Den samlede risiko for anvendelsen er sluttelig fastlagt ved at kombinere den vurderede konsekvens med sandsynligheden for de trusler / hændelser, der kan udløse konsekvensen. Risikoen er fastlagt på en tre-trins skala som angivet i nedenstående skema 2 : Sandsynlighed af trussel Lav Middel Høj E Lav risiko Lav risiko Lav risiko Konsekvens D Lav risiko Lav risiko Lav risiko C Lav risiko Middel risiko Middel risiko B Middel risiko Middel risiko Høj risiko A Middel risiko Høj risiko Høj risiko 2 Skemaet er taget fra IT- og Telestyrelsens interne metode for risikovurdering af ITsystemer, der er let modificeret i forhold til DS-484. Side: 4 af 6
2. Resultater Workshopdeltagernes vurdering af konsekvenser, trusler og sandsynligheder er sammenfattet i nedenstående tabel, hvor den samlede risiko fremgår for hver use case indenfor de tre områder: fortrolighed, integritet og tilgængelighed: Use Case Fortrolighed Integritet Tilgængelighed 1: Lærer oprettes i Google Apps Lav Lav Lav 2: Lærer nedlægges i Google Apps Lav Lav Lav 3: Lærer logger ind i Google Apps Lav Lav Lav 4+6: Lærer opretter eller ser delt dokument Middel Lav Lav 5: Lærer deler dokument med kollega Lav Middel Lav Der er altså samlet vurderet en Middel risiko for tab af fortrolighed ved oprettelse af dokumenter samt Middel risiko for tab af integritet med deling af dokumenter, mens alle øvrige områder er vurderet til at have Lav risiko. 2.1 Bemærkninger og observationer En generel kommentar fra workshopdeltagerne var, at kontorpakker som Google Apps i udgangspunktet er støtteredskaber på skoleområdet, og at skolens primære opgaver (dvs. undervisning) ikke er direkte afhængige af disse. Dette har generelt givet udslag i, at konsekvenser ved tab af tilgængelighed er vurderet lave. Det skal dog samtidig bemærkes, at en øget digitalisering af skoleområdet i fremtiden kan ændre denne vurdering, hvis undervisningen i større grad bliver direkte afhængig af IT-løsninger. Generelt vurderede workshopdeltagerne konsekvenserne ved tab af fortrolighed højest (niveau B: Meget Alvorlig ), da offentlighedens tillid til skoleområdet her kan lide stor skade, hvis personfølsomme data kompromitteres, samtidig med at der kan ske brud på lovgivning herunder persondatalov og sikkerhedsbekendtgørelse. De økonomiske konsekvenser vurderes generelt som meget lave grundet skoleområdets finansieringsform. 2.2 Vigtigste trusler På workshoppen identificerede deltagerne flg. trusler som de vigtigste altså dem, der ovenfor har givet udslag i middel risiko: 1. Den af lærerne anvendte PC er kompromitteret af malware som f.eks. virus eller trojanske heste. 2. Lærerne følger ikke instrukser og sender / opbevarer dokumenter med følsomme data via usikre kanaler. 3. Lærer deler dokument med en forkert person (evt. hele internettet) ved en fejl. Side: 5 af 6
Det skal her bemærkes, at det for alle tre områder er muligt at sætte ind med stærkere kontroller for at nedbringe sandsynligheden af truslerne: 1. Skolernes PC er er i dag automatisk opdaterede med antivirus, patches til operativsystemer etc. men løsningen kan i princippet tilgås frit via internettet inkl. via lærernes egne PC er eller PC er på Internet caféer, biblioteker osv. Dette forhold kan evt. forbedres ved at udarbejde en instruks til lærere om ikke at anvende offentlige PC er, at holde egne PC er opdaterede, eller ved evt. at udlevere arbejdscomputere til lærerne, som vedligeholdes centralt. 2. I forhold til overholdelse af instrukser, kan man evt. indsætte med kurser og generel awareness for at skærpe lærernes forståelse for disse. 3. Fejl ved deling kan til en vis grad mindskes ved uddannelse i Google Apps, herunder hvilke funktioner man skal være særligt varsom med at benytte, dels kan løsningen konfigureres til at give advarsler til brugerne, hvis man deler med e-mail adresser udenfor Odense Kommune s domæne. Side: 6 af 6