Säker apphantering ökar informationssäkerheten för Exportkreditnämnden
Genom Promobilitys appgranskningstjänst kan Exportkreditnämnden vara säkra på att information på myndigheters mobiltelefoner inte hamnar i orätta händer
Exportkreditnämnden (EKN) är en svensk myndighet med uppdrag att främja svensk export. Det gör de genom att försäkra företagens risk att inte få betalt vid exportaffärer. Varje år garanterar EKN exportaffärer till cirka 120 länder.
EKN:s uppdrag innebär att medarbetarna reser över hela världen. Därför vill myndigheten kunna nyttja en, för deras verksamhet, viktig tjänst för att kunna boka resor i tjänsten via en app i medarbetarnas mobiltelefoner. EKN:s policy är att alltid säkerhetsgranska alla applikationer som ska användas i EKN:s IT miljö och vände sig till Promobility för att göra en säkerhetsanalys av appen.
<br>
Promobility tillhandahåller en appgranskningstjänst som har till uppgift att granska appar som kunder önskar använda och säkerställa att de inte samlar in otillbörlig och onödig information samt möter de krav som kunden har på en app som skall användas i verksamheten. EKN använder sig av Promobilitys appgranskningstjänst och således kom den aktuella resebokningsappen in till Promobility för granskning.
Promobilitys analys av appen visade problem av den graden att EKN inte kunde låta sina medarbetare använda appen på det sätt som det var tänkt. Till exempel samlade appen in information från användarnas kalender, adressböcker, deras position samt spelade in ljud. Viss funktionalitet är logiskt att det finns i en resebokningsapp, t.ex. kalendertillgång och position. Däremot så kan man kraftigt ifrågasätta varför appen skall ha tillgång till användarnas adressbok eller kunna spela in ljud.
Sammanfattningsvis så visade granskningen att det var alltför mycket information som samlades in i relation till vad själva tjänsten/appen krävde. Dessutom fanns flertalet s.k. reklambibliotek i appen som skickar vidare all information om användaren till flera tredjepartsleverantörer vars affärsidé är att samla in information och kartlägga användare för att i sin tur sälja vidare informationen till andra företag. Just ”reklamperspektivet” var i EKN:s fall inte det man såg som mest utmanande utan snarare det faktum att man inte hade kontroll på och vetskap om vilken data om medarbetarna som samlades in och hur denna hanterades.
”Informationen var i det här fallet känslig ur det perspektiv att tredjepart skulle fått information om EKN:s medarbetares förehavanden, bland annat vilka resor de gör och vart, arbetsuppgifter samt eventuell information om pågående affärer vilket potentiellt skulle kunna påverka myndighetetens följsamhet avseende både affärs- och utrikessekretess enligt OSL (offentlighets- och sekretesslagen)”, kommenterar Erik Källgren, Arkitekt och IT- och informationssäkerhetskonsult på Promobility.
Efter att Promobility lyft utmaningarna med appen tog EKN kontakt med leverantören av appen och en dialog inleddes där Promobility deltog och presenterades de problem som hittats vid appgranskningen. Leverantörens utvecklare var helt ovetandes om de flesta av bristerna och menade på att man använt en apputvecklingsverktyg för att skapa appen som i sin tur hade ”bakat in” diverse reklambibliotek m.m.
Leverantören tog EKN:s och Promobilitys information på största allvar då det är en seriös leverantör som helt enkelt bara inte har koll på apputveckling och vilka konsekvenser det kan få. Och med EKN:s och Promobilitys hjälp så levererades en ny version av appen efter tre veckor där alla utmaningar man lyft fram var hanterade.
EKN har nu en app för att boka resor i tjänsten där de har full koll på vilken information som ges ut och vart den tar vägen och kan känna sig trygga i att ingen information om deras medarbetare eller pågående affärer hamnar i orätta händer.
”Vi är glada över vårt samarbete med EKN och är stolta över att ha kunnat bidra till att EKN:s medarbetare inte ovetandes lämnar ifrån sig information till tredje part”, avslutar Christer Jansson, VD på Promobility.
