IT-skandalen på Transportstyrelsen har det skrivits spaltkilometer om. Vilka som fått information och när, vilka som inte fått det och vem som är ansvarig för vad. Resultatet av skandalen med olaglig hantering av hemligt (säkerhetsklassat) material är en sparkad generaldirektör som dessutom dömts till böter och två ministrar som fått avgå.
Det som kan ha kommit ut och kan ha hamnat i främmande makts händer är uppgifter om ett stort antal svenska medborgare som har skyddade personuppgifter. Däribland annat kvinnor som hotats till livet och därför har hemlig identitet. Journalister som utsatts för dödshot. Ministrar, partiledare, en del kriminalpoliser och personer som arbetar inom, eller är knutna till Militära underrättelse- och säkerhetstjänsten (MUST). Och därmed ett antal svenska agenter. Dessutom register över en del militära fordon.
Ingen vet om nåt läckt ut men det kan ha skett och därför måste sannolikt MUST, Säpo och polisen agera som om materialet faktiskt läckt ut. Med tanke på detta är det anmärkningsvärt att den person som brutit mot lagen, den tidigare generaldirektören Maria Ågren, bara fått bötesstraff och inte fängelse.
Intressant?
Läs även andra bloggares åsikter om Militära underrättelse- och säkerhetstjänsten, Gneraldirektör, Maria Ågren, Böter, Fängelse, IT-skandal, Transportstyrelsen, Brott, MUST, Säpo, Polisen, Rättsväsen, Ekonomi, Privatisering, Samhälle, Politik
”Ingen vet om nåt läckt ut men det kan ha skett …”
Här finns det stora allvaret i skandalen.
Att endast säkerhetsklassad personal (http://www.sakerhetspolisen.se/sakerhetsskydd/sakerhetsprovning/sakerhetsklass.html) har tillgång är ett av fundamenten men det är långt ifrån tillräckligt (Wennerström och Bergling hade förmodligen varje upptänklig klassning men ändå läckte de, i vår krassa värld har allt ett pris och det är inte alldeles ovanligt att ”spioner” verkar inifrån).
En god informationssäkerhetsstrategi måste också innefatta att informationen endast är tillgänglig för de som verkligen behöver den. Att vara klassad bör inte räcka det måste också finnas ett reellt syfte med tillgången. Ju färre som ges tillgång ju mindre är risken att informationen ”får fötter”.
I säkerhetskonceptet bör också ingå att varje åtkomsttillfälle registreras. Har spridning skett är denna information viktig för skadebegränsningen. Detta leder också till återhållsamhet. Jag har inom vårdsektorn varit med om att digitalisera journalsystem. Här fanns en viss ”nyfikenhetsproblematik” (ofta inte illasinnad) där ”klassad” personal gick in och läste i journaler, som de egentligen inte hade något med att göra. Efter införande av registrering kunde denna problematik reduceras kraftigt.
Vill man ytterligare försvåra kan man också införa restriktioner om hur informationen flyttas. Att arbeta med informationen över skärmen behöver med nödvändighet inte innebära att den måste kunna skrivas ut eller att den rakt av kan kopieras till en USB-sticka eller ett mail. Det finns många möjligheter att begränsa.
Varje säkerhetsåtgärd bygger dock på att informationen är klassificerad. Saknas klassificeringen blir åtgärder, av det slag som klassificeras ovan, omöjliga. Det är här det brustit hos Transportstyrelsen och man kan nog utan att ”sticka ut hakan” för mycket förmoda att bristen finns på andra ställen. Hur man ens kommit på tanken att skicka klassad information till annat land är dessutom en gåta eftersom det är mycket svårt, om ens möjligt, att säkerhetsklassa utländska medborgare i andra länder, då klassningen i sig kräver tillgång till respektive lands myndighetsregister, som i många fall är allt annat än offentliga. Mitt enda svar på denna gåta är att man inledningsvis inte förstått vilken information det gällde och att det sedan var insikten om detta som fick generaldirektören att ”ta lagen i egna händer” för att rädda situationen. Själv blir jag mörkrädd …
…sedan ska vi i det aktuella fallet vara medvetna om att det inte är så att informationen skickats direkt ut i cyberspace vilket både media och politiker ibland, mellan raderna och för att ”spä på”, gjort sken av. Vi kan utgå ifrån att IBM i detta fall har ett omfattande säkerhetskoncept för att skydda informationen. I förutsättningarna för dessa affärer, där information från både företag, organisationer och stater hanteras, ingår att ”kunden” skall känna sig trygg. Skulle information läcka och skulle detta komma till ”kundens” kännedom kan skadan för företaget som åtagit sig hanteringen att bli i det närmaste irreparabel både i form av skadestånd och förstört varumärke. Detta gör dock grundproblemet, dålig koll på informationen, mindre.