170130 Se upp med push-notifikationer

 

SNS - Secure Notification Service

Ska man undvika smartphones helt? Nej, absolut inte, problemet ligger inte i telefonerna utan i de tjänster som tillhandahålls.

Läs mer här

Det är viktigt att alla som på olika sätt arbetar med trygghetslarm är medvetna om att trygghetslarmens funktion och säkerhet kan påverkas negativt av nya tekniska lösningar eller kritiska beroenden som bland annat finns utanför landets gränser. Vi pratar då om ex. geopolitiska perspektiv som kan påverka tillgängligheten i en server placerad i annat land.  

 

Enligt 3 kap. 3 § socialtjänstlagen (2001:453) och 6 § lagen (1993:387) om stöd och service till vissa funktionshindrade ska insatser enligt respektive lag vara av god kvalitet. Kvaliteten i verksamheten ska systematiskt och fortlöpande utvecklas och säkras.

 

I Regeringens nationella säkerhetsstrategi står att ”om kritisk infrastruktur och tillhörande informations- och kommunikationssystem skadas kan detta få allvarliga konsekvenser för hela samhällets funktionalitet”. Ytterligare ett perspektiv som kan läggas till, är regeringens mål för Sveriges säkerhet, där anges bland annat att värna befolkningens liv och hälsa som en utgångspunkt för krisberedskapsarbetet.

 

Mot bakgrund av ovanstående är det intressant att titta på hur robusta och säkra trygghetslarm är i en nationell och global kontext. IT-angrepp mot samhällsviktig verksamhet är idag ett påtagligt hot. Denna bild bekräftas av så väl Försvarets radioanstalt som Myndigheten för samhällsskydd och beredskap. Det säkerhetspolitiska läget har försämrats och Sverige ska återuppta totalförsvarsförplaneringen i och med den försvarspolitiska inriktningen 2016-2020. 

 

Varför är dessa perspektiv viktiga? De kan kanske tyckas vara på en för hög nivå för en enskild brukare eller biståndshandläggare. Så kan det säkerhet vara, men trygghetslarmstjänsten är samhällsviktig och dessa perspektiv måste beaktas för att åstadkomma en robust tjänst när nya tjänster tas i bruk eller utvecklas. 

 

Under en tid har utvecklingen varit att allt fler kritiska kommunikationssystem som exempelvis trygghetslarm flyttas till molntjänster för att på så sätt kunna nyttja Push notifikationer från exempelvis Google eller Apple. Push notifikationer har i grunden utvecklats för den kommersiella marknaden och har inte utvecklas för att stödja kritiska kommunikationssystem. Tjänsterna togs fram för chattapplikationer som bland annat används av Twitter och Facebook.

 

 

Push-tekniken är inte helt enkel att ta fram, och därför har de stora multinationella bolagen tagit fram molntjänster som gör det enkelt och billigt för utvecklare att distribuera dessa notifikationer.

De två största aktörerna av operativsystem för smarta enheter; Android (Google) och iOS (Apple), använder sig utav olika tekniker för att distribuera dessa notifikationer.

 

Google Cloud Messaging (GCM) är Googles tjänst för att skicka push notifikationer till sina egna plattformar Android och Chrome. 

 

Apple Push Notification Service (APNs) är en tjänst skapad av Apple för att skicka push notifikationer till iOS och Safari.

 

Större delen av de applikationer som marknadsförs som larm- eller krishanteringstjänster använder sig av dessa molntjänster. Genom att använda denna kommersiella typ av Push notifikationer som i sig har många fördelar, uppstår dock nya säkerhetsrisker vilket krävs medveten om och bedöma när det gäller informationssäkerhetsaspekter som tillgänglighet, riktighet, konfidentialiteten.

 

Servrarna för dessa push-tjänster är molnbaserade, vilket innebär att man inte riktigt vet var servern står. Tjänsteleverantören kan flytta tjänsten när som helst och lastbalanserare och felhanterare kan automatiskt när som helst fördela ut uppgiften till en annan serverhall någon annanstans.