Begagnade kopiatorer – tickande säkerhetsbomber

Hårddiskar och flashminnen finns i en stor mängd apparater. I februari i år tog sig CBS News och Juntunen till en lagerlokal i New Jersey för att se hur svårt det är att köpa en begagnad kopiator fulladdad med kvarlämnade dokument. Det visade sig vara mycket enkelt.

Man valde ut fyra maskiner baserat på pris och antal utskrivna sidor. På mindre än två timmar var dessa packade och lastade på en lastbil till en total kostnad på mindre än 10 000 kronor. Innan maskinerna var uppackade och installerade hade man ingen aning om var kopiatorerna kom från eller vad de skulle hitta på dem.

Det tog ungefär 30 minuter att ta bort hårddiskarna. Därefter användes ett program för forensisk analys som fritt kan laddas ner på Internet för att köra en scanning och ladda ner tiotusentals dokument. Tidsåtgång: mindre än 12 timmar – med ett häpnadsväckande resultat.

Från en amerikansk polismyndighet fanns detaljerad information om hustrumisshandel och en lista med efterlysta sexbrottslingar. På en maskin från en annan polismyndighet hittade man en lista över utpekade personer i ett stort narkotikatillslag.

Det mest häpnadsväckande fyndet var dock innehållet i en maskin från ett försäkringsbolag där man fann 300 sidor personlig journalinformation. Dessa dokument innehöll allt från medicinering och resultat av blodprov till cancerdiagnoser. Samma dag som besöket på lagerlokalen gjordes skeppades två containrar med använda kopiatorer till okända köpare i Argentina och Singapore. Se reportaget på: http://www.youtube.com/watch?v=iC38D5am7go

Detta har varit ett känt och omdebatterat säkerhetsproblem åtminstone sedan början av 2000-talet, och det återkommer med jämna mellanrum. Jag fann artiklar i svensk press från 2003, 2005 och 2007 vid en snabb sökning. Vi ska inte bortse från att också svenska företag riskerar att exponera känslig information till andra företag.

När leasingperioden är över och maskinen säljs eller hyrs ut till ett annat företag följer den känsliga informationen med maskinen, om man inte vidtar särskilda åtgärder för att ta bort den. Dagens avancerade kopieringsmaskiner innehåller ofta en hårddisk, som lagrar bilder av de kopierade dokumenten som en del i kopieringsprocessen.

Man kan ju tycka att det är lite märkligt att leverantörerna inte informerar kunderna bättre om riskerna. Ansvaret borde ligga på uthyrningsföretaget att se till att hårddisken är raderad innan de säljer eller hyr ut kopiatorn till ett annat företag.

Utöver detta är skrivare och kopiatorer utsatta för andra risker, till exempel att portar i skrivaren eller kopiatorn står öppna, vilket öppnar upp för angrepp mot resten av nätverket. Orsaken till den låga säkerheten kan ofta vara att det är otydligt vem som har säkerhetsansvaret för skrivare och kopiatorer.

HP har identifierat sex stora säkerhetshot som varje företag bör vara medvetna om:
 

• Utskrifter – hemliga dokument som ligger i skrivarens utmatningsfack, där vem som helst kan se dem.
• Nätverkssniffning – otillåtet "sniffande" för att skriva ut data från nätverket kan ge vem som helst tillgång till en kopia av ett utskrivet dokument.
• Stöld – någon stjäl antingen skrivaren eller dess hårddisk för att komma åt viktig information som finns lagrad där.
• Inställningar – inställningarna på oskyddade produkter kan under vissa omständigheter ändras, så att maskinen slutar fungera eller tillgängliggör hemlig information.
• Avslöjande av information – multifunktionsskrivare (MFP), kopiatorer och digitala sändare kan användas för att skicka hemliga dokument via e-post eller fax, och på så sätt kringgå ordinarie säkerhetsmekanismer.
• Manipulering av dokument – dokument kan manipuleras eller kopieras efter utskrift.

Vet du vem som ansvarar för era skrivare och kopiatorer?

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon sitter som ledamot i styrelserna för ISOC-SE och för föreningen SNUS, Swedish Network Users' Society.

Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.