Visar inlägg med etikett IT-säkerhet. Visa alla inlägg
Visar inlägg med etikett IT-säkerhet. Visa alla inlägg

lördag 15 juli 2017

Nationell IT-säkerhet

De senaste veckorna har två olika IT-säkerhetsfrågor debatterats friskt, dels transportstyrelsens kriminella molnupphandling, dels det felaktiga VMA-larmet i Stockholm, med efterföljande misslyckanden i kriskommunikationen och överbelastade webbsidor. 


Vad är det som fallerar och vad kan vi göra för att säkerställa en godtagbar nationell IT-säkerhet? Några enkla observationer: 

  1. Säkra IT-lösningar kostar extra. Man måste vara villig att betala för att få god säkerhet. 
  2. Det finns inte någon ersättning för fysisk säkerhet. Det spelar ingen roll vilken IT-lösning du har om du inte har koll på var servrarna står, varifrån strömmen kommer och vem som har fysisk access till serverhallarna. 
  3. IT-säkerhet betraktas som ett abstrakt, obskyrt och närmast mystiskt specialområde, även inom IT-sfären. 
  4. Små misstag kan ställa till med stor skada

Om man är (eller styr över) en stor organisation, t ex staten Sverige, måste man förenkla IT-säkerhetsfrågor så att alla verksamhetschefer förstår och klarar av att säkerställa en godtagbar säkerhet. Man måste tillhandahålla enkla förhållningsregler och lättanvända verktyg för att minimera risken för misstag och säkerhetsskador. 

Ett grundläggande verktyg som staten borde tillhandahålla alla myndigheter och kommuner, till sjukhus, skolor och andra viktiga samhällsaktörer är ett Televerket 2.0, en statligt garanterad leverantör av säkra IT-lösningar. Relevanta samhällsaktörer kan då förväntas använda säkrade IT-lösningar, möjligen i olika grad beroende på typ av verksamhet. Lämpligen handlar det åtminstone om säker arkivering av data och driftsäker hemsida som tål högtrafik och har rimligt skydd mot IT-attacker. Förmodligen är det en bra idé att införa någon form av schablonkostnad för Televerket 2.0s tjänster för att ta bort möjligheten för blandade myndigheter och verk att gå i fällan att vilja spara bort säkerheten. 

"Det kommer ju att bli jättedyrt ju!" kommer många säga. Ja, precis så är det. Säkra IT-lösningar kostar extra. Och om det är någon som undrar så är det precis så IT-säkerhet löses på stora företag. Endast den centralt tillhandahållna IT-lösningen är accepteras. I mångt och mycket har outsourcingtrenden vänt. Centrala IT-funktioner ägs av företaget självt och servrarna står på mark som företaget äger (även om man hyr alla normala kontorslokaler...). 

Och varför det är korkat att hävda att det är bättre att myndigheter vänder sig till  en kommersiell molntjänstleverantör framgår med all önskvärd tydlighet av medierapporteringen om transportstyrelsens molnupphandlingshaveri. DN. Cornucopia

söndag 6 september 2015

Integritet, avlyssning, registrering och datalagring II


Datalagringsdirektivet (som alltså EU-domstolen avskaffat, men som fortfarande gäller i Sverige enligt svensk lag) handlar om att teleoperatörer skall vara skyldiga att lagra och ge myndigheter tillgång till trafikdata, dvs i princip fullständig information om vem som ringt vem varifrån när. EU-domstolen upphävde direktivet, som jag tolkar det med massiv kritik eftersom det bryter mot EU-rätten på många punkter, bland annat att eftersom det inte fanns några begränsningar för hur myndigheterna skall få tillgång till och användning av uppgifterna.

DN  hade en stor serie om datalagring och mobilspårning för tid sedan. Det är ju bra att journalister skriver om hur det digitala samhället fungerar, men det finns ett par saker som verkar vara värda att påpekas:

För det första: mobilnäten måste hela tiden veta precis var din telefon finns. Det är liksom lite så att det är just eftersom nätet vet vart telefonen är som det går att ringa till den.

För det andra: det är klart att telefoner spåras och avlyssnas. Vem lurade i dig att det som sker på internet är hemligt, anonymt och privat? Har ni aldrig sett en deckare, polis- eller spionfilm på TV?

För det tredje: om något du gör är hemligt på riktigt så måste du stänga av telefonen, helst lämna den hemma.





Lagring av data handlar om väldigt mycket mer än datalagringsdirektivet. Datalagring i bredare bemärkelse (lagring av data i sökbart format) är en förutsättning för att kunna bedriva meningsfull avlyssning och övervakning. Detta av det så enkla skälet att avlyssning genererar mycket stor mängder data som måste lagras, analyseras och bearbetas för att kunna vara meningsfullt och användbart för någon. Det finns ett antal lagar som begränsar datalagring, bland annat FRA-lagen från 2009 och Personuppgiftslagen (PUL) från 1998. Myndigheten Datainspektionen övervakar hur register och datalagring hanteras.


I föregående blogginlägg försökte jag skriva om en liberal, legalistisk ståndpunkt kring avlyssning och integritet. Låt avlyssning vara relativt fri, men begränsa hårt rätten att lagra och lämna ut information. Jag tror att man kan formulera en något så när teknikneutral avlyssnings- och integritetslagstiftning om man utgår just från datalagringsperspektivet. Och informera noga (till exempel via samhällskunskapsundervisningen i skolan och på jurist- och journalistutbildningar) om hur det fungerar!



söndag 5 juli 2015

Integritet, avlyssning, registrering och datalagring

Vad är en liberal åsikt om personlig integritet, avlyssning, registrering och datalagring? På vilken bas bör man bygga sin åsikt?

Kanske genom att börja med en klassisk liberal positiv åsikt. Fri information och fritt utbyte av idéer är grundläggande för demokratin och en förutsättning för mänskliga rättigheter, ekonomisk tillväxt och ett gott samhälle i allmänhet. Det är en del av den motor som driver utvecklingen framåt. Och med den moderna digitala utvecklingen växer möjligheten till fritt informationsutbyte snabbare än någonsin.

Till det har vi risker; övervakning, avlyssning och kontroll, att staten och stora företag lägger sig i ditt och mitt privatliv. Individer riskerar även utsättas för digitala brott. För att säkerställa alla individers frihet och rätt till information måste andra individers, statens och organisationers rätt och möjlighet att missbruka dessa friheter begränsas. Hur balanserar men detta?

Ett sätt är att utgå från en legalistiskt ståndpunkt, dvs att all avlyssning och datalagring skall styras av lagen.

I Sverige är avlyssning ett tvångsmedel som kan tas till i en förundersökning vid misstanke om brott, efter tillstånd från en domstol.

Förutom rättsväsendets avlyssning i pågående brottsutredningar har vi statens signalspaning för att trygga rikets säkerhet, dvs FRA. Även denna signalspaning kräver tillstånd från en domstol, men i god svensk ordning, en specialdomstol; Försvarsunderrättelsedomstolen.

Lagen används inte bara för att begränsa och kontrollera avlyssning, utan även för att säkerställa myndigheternas tillgång till avlyssning och information. I nästan alla länder är det t ex förbjudet att sälja och installera telefoni- och kommunikationssystem utan stöd för avlyssning. Polis, säkerhetstjänst och underrättelsetjänst i såväl Sverige, USA som Syrien har ordnat lagkrav (i Sverige via post-och telestyrelsen) som innebär att teleoperatörerna är skyldiga att installera avlyssningsfunktioner i sina nät. Det är alltså olagligt att inte tillhandahålla avlyssning och datalagring, om man är en tele- eller internetoperatör eller tillverkare av telefonsystem. Det finns även en del regler kring hur man får och inte får sälja importera och exportera vissa typer av kryptering osv.

Förutom lag och domstolskontroll är det lämpligt om statens (dvs regeringens och myndigheternas) avlyssning övervakas av riksdagen, via någon slags parlamentarisk konstruktion. I Sverige har vi Siun, statens inspektion för försvarsunderrättelseverksamhet. Detta verkar vara en ganska svag och begränsad liten myndighet som mest verkar finnas till för att det skall se ut som att man har koll på FRA. Detta kanske snarare skall vara en uppgift för konstitutionsutskottet, eller något annan liknande, tyngre institution. Riksdagens talman, kanske.

Stark parlamentarisk kontroll av statens avlyssning är en rimlig liberal ståndpunkt. Inget får vara så hemligt att inte talmannen, talmanskansliet och till exemplet konstitutionsutskottet inte skall få granska det.

I detta inlägg har jag mestadels använt ordet avlyssning, i mångt och mycket eftersom ordet avlyssning har en negativ värdeladdning, och det passar i sammanhanget. Men det är en förenkling. Det centrala är nämligen inte vem som avlyssnar vad utan vilken information som får sparas, lagras och göras tillgänglig för olika aktörer via till exempel register och sökbara databaser. Fokus för en bra politik kring integritet, avlyssning, register och datalagring bör vara på datalagring och registrering. Detta återkommer jag till i ett nytt inlägg inom kort. Och lika orimligt som att ge Sverigedemokraterna monopol på kritik av Sveriges invandringspolitik är det att ge piratpartiet monopol på kritik av Sveriges digitala nätpolitik. 

lördag 20 juni 2015

Molntjänster och offentlig datasäkerhet


"Microsoft kommer att allokera speciella servrar för Sverige" säger Stefan Gustafsson på Ehälsomyndigheten i en artikel i Ny Teknik om lagring av patientdata, sjukjournaler och sånt.

En bekant har berättat om en granskning av offentliga IT-funktioner han gjort i ett litet östland på randen av Europa. IT-säkerheten bestod av ett kompani vaktsoldater som skyddade serverhallarna. Det kan mycket väl vara rätt prioriterat, fysisk säkerhet ligger ju liksom alltid där i botten av den Maslowska säkerhetspyramiden. Och det är ganska svårt att leverera IT-tjänster om man förlorar den fysiska kontrollen över servrar, routrar och nät tjänsten levereras över.

Staten, eller i alla fall det offentliga, borde hålla sig med en moderniserad version av televerket, en myndighet som har till uppgift att säkerställa basala IT-system (säkra nät, telefonitjänster, säker lagring och molntjänster) för departement, myndigheter, kommuner och andra offentliga eller samhällsviktiga aktörer.

Naturligtvis kommer detta att kosta pengar, troligtvis även vara dyrt. Förmodligen kommer det att se mycket dyrare ut än att upphandla tjänster dynamiskt, vid behov från olika IT-tjänsteleverantörer. Men mycket av det man betalar extra för är just säkerheten, vetskapen att man får det man beställt. För det är bara om man äger lagringsmedian själv, och har den i sin fysiska besittning som man kan veta att man har sitt data själv, när man behöver det. Och det krävs nästan att man dragit kablarna själv för att man skall kunna veta att de är redundant dragna.