Aðgangsstýringar hjá lögreglunni

25.3.2010

Niðurstaða

úttektar á öryggi aðgangsstýringa í LÖKE

Á fundi sínum hinn 12. mars 2010 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2007/621, þ.e. um úttekt á öryggi aðgangsstýringa í Lögreglukerfi Ríkislögreglustjórans (LÖKE):

I.

Ferill málsins

1.

Almennt

Með bréfi, dags. 8. október 2007, boðaði Persónuvernd úttekt stofnunarinnar á öryggi aðgangsstýringa í LÖKE, en þar eru varðveittar upplýsingar sem skráðar eru vegna starfa lögreglu. Á fundi Persónuverndar með fulltrúum embættis Ríkislögreglustjórans hinn 4. desember s.á. var ákveðið að leita aðstoðar sérfræðings á sviði upplýsingaöryggis vegna framkvæmdar úttektarinnar, þ.e. Harðar H. Helgasonar. Persónuvernd fundaði með honum og embætti Ríkislögreglustjórans hinn 7. desember 2007 og kynnti embættið þar þau upplýsingakerfi með persónuupplýsingum sem það starfrækir. Með bréfi, dags. 28. febrúar 2008, var embættinu kynnt kostnaðaráætun sérfræðingsins. Ekki voru gerðar athugasemdir við áætlunina og í ljósi þess greindi Persónuvernd frá því, með bréfi, dags. 7. apríl s.á., að samið yrði við umræddan sérfræðing. Það var gert hinn 10. s.m.

Hinn 22. apríl 2008 fór sérfræðingurinn ásamt starfsmanni Persónuverndar í vettvangsheimsókn til embættis Ríkislögreglustjórans til að kanna hvernig aðgangsstýringum í LÖKE væri hagað. Þá héldu sérfræðingurinn og starfsmaður Persónuverndar fund í húsnæði SKÝRR hinn 27. ágúst 2008, en SKÝRR hannaði umrætt kerfi. Á fundinum var aflað frekari upplýsinga um virkni aðgangsstýringa.

Hinn 15. september 2009 skilaði sérfræðingurinn skýrslu um niðurstöður sínar. Embætti Ríkislögreglustjórans var veitt færi á athugasemdum við hana með bréfi, dags. 21. september 2009. Hjálögð var skýrslan á pappírsformi, en hinn 5. nóvember 2009 fékk starfsmaður embættisins hana afhenta á rafrænu formi. Með bréfi til embættisins, dags. 15. janúar 2010, ítrekaði Persónuvernd boð sitt um athugasemdir við skýrsluna. Ekki hefur borist svar og lítur Persónuvernd því svo á að embættið telji skýrsluna gefa rétta mynd af öryggi aðgangsstýringa í LÖKE.

2.

Skýrsla um framkvæmd úttektar

Í skýrslu framangreinds sérfræðings segir m.a.:

„Embættum er látið eftir að stýra aðgangi sjálf, þ.e. auka og minnka réttindi notenda að kerfinu með því að skrá viðkomandi starfsmenn í hópa sem eru með ríkari eða þrengri heimildir. Skráð er umsjónarembætti fyrir hvern hóp, t.d. Akranes fyrir hópinn „Akranes – Almennir lögregluþjónar". Embætti sjá einungis þá hópa sem þau eru umsjónarembætti fyrir. Af hálfu Ríkislögreglustjórans er við og við farið í gegnum þá notkun til að kanna hvort inni séu nöfn sem ekki eigi að vera í viðkomandi hópi.

Aðgangshópar hafa sem staðalgildi að ef ekki er um eigin mál að ræða þá sjá þeir hvorki:

– persónuupplýsingar um aðila undir sakhæfisaldri,

– gögn eldri mála en 5 ára, né

– mál sem eru hjá ríkissaksóknara.

Aðgangshópurinn „Starfsfólk í sektarinnheimtu" á Blönduósi sér m.a. mál og málseiningar og nafnaskrá fyrir allt landið, þar sem Blönduós sinnir nú sektarinnheimtu fyrir allt landið. Alla jafna sjá hópar hins vegar einungis mál hjá viðkomandi embætti.

Áður en hægt er að skrá mann inn í aðgangshóp í kerfinu„" verður Ríkislögreglustjóranum að hafa borist undirrituð þagnaryfirlýsing og útfyllt og undirritað eyðublað frá viðkomandi þar sem staðfest er m.a. að hann hafi lesið reglur um notkun kerfisins og geri sér grein fyrir ábyrgð sinni.

Um 80–90% notenda kerfisins eru með myndir af sér tengdar við skráninguna."

Í sinni athugun hafði framangreindur sérfræðingur til hliðsjónar öryggisstaðalinn ISO/IEC 27001:2005 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsingaöryggis – Kröfur, en þar er m.a. að finna leiðbeiningar um aðgangsstýringu og skyldar öryggisráðstafanir. Sérfræðingurinn skoðaði hvaða öryggisráðstafanir féllu saman við þær leiðbeiningar og hvaða öryggisráðstafanir væru ekki viðhafðar sem leiðbeint væri um.

Samkvæmt skýrslu sérfræðingsins hefur eftirlit með aðgangi að LÖKE einkum verið í höndum þeirra einstöku lögregluembætta sem hafa aðgang að því. Innra eftirlit hafi verið komið á hjá Lögreglustjóra höfuðborgarsvæðisins árið 2007 og telur embætti Ríkislögreglustjórans það hafa tekist vel. Allar uppflettingar í LÖKE séu skráðar og allir notendur upplýstir munnlega um að innskráningar og útskráningar séu skráðar. Settar hafi verið sérstakar reglur um LÖKE þar sem mælt sé fyrir um þetta. Starfsmönnum beri að undirrita yfirlýsingu um að þeir hafi kynnt sér reglurnar. Á klukkutíma fresti færist skráning á uppflettingum í atburðaskrár og neiti LÖKE að vinna áfram ef sú skráning takist ekki.

Fram kemur að ekki hafa verið settar reglur sem mæla fyrir um hver aðgangur einstakra notenda skuli vera. Aðgangsorði þurfi að breyta á 90 daga fresti. Það sé sex til tólf stafir, minnst fjórir bókstafir og tveir tölustafir. Ekki sé notað sama lykilorð nema í fjórða hvert skipti og gildistími lykilorða sé innan við 30 daga. Fjöldi endurtekninga við innslátt megi ekki fara fram úr 25 skiptum, en fyrirhugað sé að fækka þeim. Árangurslausar innskráningartilraunir séu ekki skráðar nema notandanafn sé þekkt. Notendur megi ekki láta öðrum í té lykilorð sitt. Vikulega séu aðgangsréttindi notenda rýnd af handahófi. Aðgangsorðaskrá sé þá dulkóðuð.

Bannað sé að fara frá tölvu án þess að skrá sig fyrst út úr LÖKE. Eftir 30 mínútur útskráist viðkomandi sjálfkrafa. Sjö notendur hafi fjaraðgang (VPN) að fyrirspurnalagi LÖKE, þ.e. þrír hjá Ríkislögreglustjóraembættinu, tveir hjá Lögreglu höfuðborgarsvæðisins, einn hjá EUROPOL og einn hjá SKÝRR. Þar er um að ræða smið kerfisins.

Samkvæmt skýrslu sérfræðingsins koma fram kröfur til öryggis aðgangsstýringa í LÖKE í eftirfarandi skjölum:

„Reglur vegna verktaka" frá 1999, sem og „Breyting á reglum um verktaka" frá sama ári, sem hafa að geyma ákvæði um vinnu einstaklinga og fyrirtækja við upplýsingakerfi lögreglu, ásamt eyðublaði fyrir upplýsingar um umsækjendur um aðgang að lögreglukerfum og yfirlýsingu um þagnarskyldu.

„Umburðarbréf um takmarkanir á netaðgangi" frá 2001 sem greinir m.a. frá takmörkunum á aðgengi að vefsíðum á Netinu af vélum, sem keyra kerfi lögreglunnar, og skráningu á netnotkun þessara véla.

„Öryggisreglur og boðorð notenda á víðneti dómsmálaráðuneytisins" frá 2001 sem hefur að geyma ýmis fyrirmæli sem notendum tölvukerfa lögreglu er ætlað að fara eftir, s.s. um trúnað, gerð lykilorða, skiptingu húsnæðis í öryggissvæði, spilliforrit, gagnaeyðingu, fjarvinnu, kröfur til verktaka og öryggisafritun.

„Reglur um má málaskrá lögreglu" og „Reglur um aðgang að landskerfum lögreglu og almennt um notkun þeirra" frá 2002 sem mæla fyrir um umgengni um upplýsingar sem lögregla skráir, en reglunum fylgja tvenns konar þagnarskylduyfirlýsingar, þ.e. annars vegar yfirlýsing um þagnarskyldu og hins vegar yfirlýsing um að starfsmaður hafi kynnt sér síðarnefndu reglurnar.

„Kröfulýsing LÖKE" frá 2002 sem inniheldur kröfurgreiningu sem lögð var til grundvallar útboði á LÖKE haustið það ár. Þar eru markmið LÖKE greind og mælt fyrir um skipulag þess og almennar og sértækar kröfur sem til þess eru gerðar. Fjallað er um aðgangsstjórnun í skjalinu, m.a. þá kröfu að unnt eigi að vera að stýra öllum aðgangi að því nákvæmlega, allt niður á hópa og einstaka starfsmenn, auk þess sem fram koma sértækar kröfur í því sambandi varðandi m.a. eftirlýsingar á bifreiðum og einstaklingum. Unnt eigi að vera að takmarka aðgang að tilteknum gögnum eftir m.a. embættum, deildum innan embætta, eðli brota eða verkefna, ferli gagna eða einstökum flokkum þeirra.

„Handbók LÖKE" sem hefur að geyma fyrirmæli um hverning staðið skuli að skráningu í LÖKE. Fram kemur í skjalinu að því er ekki ætlað að vera tæmandi um allar mögulegar skráningar eða útlista alla þætti nákvæmlega. Minnst er á atriði í skjalinu sem varða aðgangsstýringu, en ekki er að finna sérstaka umfjöllun í handbókinni þar að lútandi.

Um niðurstöður sínar segir sérfræðingurinn í skýrslunni:

„Við öryggisathugun þessa var meðal annars stuðst við lista af atriðum sem lúta að aðgangsstýringu upplýsingakerfa og unninn var úr öryggisstjórnunarstaðlinum ÍST ISO/IEC 27001:2005 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsingaöryggis – Kröfur. Í ljós kom að meirihluta þeirra atriða sem skoðuð voru var mætt að hluta eða að fullu með innleiddum öryggisráðstöfunum. Þar sem hvorki framangreindum staðli, né öðrum öryggisstjórnunarstaðli, var fylgt við hönnun, smíði eða innleiðingu kerfisins gefur afrakstur þessa einungis ákveðnar vísbendingar um ástand öryggismála sem lúta að aðgangsstjórnun í LÖKE kerfi Ríkislögreglustjórans en standa ekki sem sjálfstæður mælikvarði á hvort öryggi kerfisins sé ábótavant á þessu sviði. Þó er rétt að benda á að ekki myndi spilla fyrir ef framkvæmd upplýsingaöryggismála yrði færð í skráð skipulag samkvæmt viðurkenndu umsjónarkerfi eða öryggisstjórnunarstaðli. Að auki er rétt að taka fram að öryggisathuganir veita í eðli sínu einungis upplýsingar um stöðu öryggismála á tilteknum tímapunkti. Viðbúið er að á þeim tíma sem líður frá því að öryggisathugun er framkvæmd og þar til niðurstöður hennar eru birtar séu jafnan gerðar ýmiss konar úrbætur og breytingar á kerfinu og einstökum þáttum þess.

Til viðbótar framangreindri skoðun sem gerð var á kerfinu í ljósi forskriftar öryggisstjórnunarstaðalsins voru í öryggisathuguninni rýnd framlögð skjöl um kerfið, þar á meðal bæði kröfulýsing sú sem kerfið var byggt á og notendahandbók kerfisins. Þá var kerfið skoðað í notkun í vettvangsheimsókn til Ríkislögreglustjórans, auk þess sem aflað var upplýsinga frá stjórnendum kerfisins hjá embættinu og frá smiði kerfisins hjá hugbúnaðarfyrirtækinu Skýrr.

Niðurstaða öryggisathugunar þessarar, á því hvernig öryggi aðgangsstýringa inni í Lögreglukerfi Ríkislögreglustjórans er háttað, er samkvæmt framansögðu sú að ekkert hafi komið í ljós við skoðunina sem gefi tilefni til að gera athugasemdir við hvernig aðgangsstýringum í þessu hugbúnaðarkerfi er háttað."

II.

Niðurstaða Persónuverndar

1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.

Almennt um reglur um upplýsingaöryggi

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, settum með stoð í þeim ákvæðum. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000.

Í 11. gr. laga nr. 77/2000 er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. 11. gr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr. 11. gr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. 11. gr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. 11. gr.

Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr. 11. gr., sbr. nánar 1. mgr. 3. gr. reglna nr. 299/2001. Í öryggisstefnu er að finna almenna lýsingu á helstu kröfum og áherslum varðandi upplýsingaöryggi; í áhættumati eru greindar þær ógnir sem steðja að vinnslu persónuupplýsinga; og í skráningu öryggisráðstafana eru slíkar ráðstafanir skjalfestar á grundvelli þeirra forsendna sem fram koma í áhættumati.

Samkvæmt 12.gr. laga nr. 77/2000 skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. laga nr. 77/2000 skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 11. gr. Með vinnsluaðila er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 4. tölul. 2. gr. laganna. Af því sem fram hefur komið við úttekt verður ráðið að engir vinnsluaðilar komi að þeirri vinnslu sem úttektin lýtur að.

3.

Niðurstaða um öryggi

Eins og fyrr greinir lýtur úttekt Persónuverndar að öryggi aðgangsstýringa í Lögreglukerfi Ríkislögreglustjórans (LÖKE). Ekki verður séð, af því sem fram hefur komið við framkvæmd úttektar, að ástæða sé til að gera athugasemdir við tilhögun þeirra í ljósi framangreindra reglna um upplýsingaöryggi þegar eftirfarandi fjögur atriði eru undanskilin:

Fækka verður þeim skiptum sem unnt er að gera tilraunir til að skrá sig inn í kerfið þannig að árangurslausar innskráningartilraunir geti í mesta lagi orðið tíu talsins í stað 25 eins og verið hefur. Fram hefur komið að embætti Ríkislögreglustjórans hyggst ráða bót á þessu.

Ganga verður úr skugga um að samið hafi verið við SKÝRR á þann veg að samrýmist kröfum 13. gr. laga nr. 77/2000, en þar sem einn starfsmaður SKÝRR getur vegna vinnu sinnar séð persónugreinanleg gögn í LÖKE telst SKÝRR vera vinnsluaðili sem semja verður við samkvæmt ákvæðum þeirrar greinar, sbr. 2. kafla hér að framan.

Skýra verður hvernig innra eftirliti með aðgangi að LÖKE er háttað þannig að ljóst verði að öll þau lögregluembætti, sem hafa aðgang að kerfinu, viðhafi slíkt eftirlit á þann veg að kröfum 12. gr. laga nr. 77/2000 sé fullnægt.

Ekki liggur fyrir að öryggi aðgangsstýringa hafi verið skjalfest með þeim hætti að til staðar séu öryggisstefna, áhættumat og skráning öryggisráðstafana í samræmi við 5. mgr. 11. gr. laga nr. 77/2000 og 1. mgr. 3. gr. reglna nr. 299/2001. Fyrir liggur þó að með ýmsum hætti hefur verið skrásett hvernig upplýsingaöryggis er gætt. Fara verður yfir þá skrásetningu og kanna hvort hana verði að endurbæta í ljósi krafna þessara ákvæða.

4.

Samandregin niðurstaða

Að þeim atriðum undanskildum, sem talin eru upp í 3. kafla hér að framan, telur Persónuvernd ekki ástæðu til að gera athugasemdir við öryggi aðgangsstýringa í Lögreglukerfi Ríkislögreglustjórans í ljósi laga nr. 77/2000. Eigi síðar en 1. nóvember nk. skal Ríkislögreglustjóraembættið skýra Persónuvernd frá því hvernig brugðist hefur verið við ábendingum stofnunarinnar um þau atriði.