Vad de flesta även har insett är att rekryteringsfirmor och eventuella arbetsgivare idag använder Google och andra verktyg för att samla in information kring kandidater och att olämpliga bilder på till exempel Facebook kan vara avgörande huruvida drömjobbet blir ditt eller inte. Med andra ord, internet är idag en guldgruva att leta efter information om enskilda individer och där sociala medier har en avgörande roll för själva informations insamling – och det publiceras framför allt av egen vilja.

Att internet har etablerats som en global informationsdatabas om privatpersoner och där det mesta går att söka reda på råder det inga tvivel kring. Please Rob Me är ett intressant experiment för att påvisa att man bör tänka både en eller två gånger kring vilken typ av information man gör tillgängligt via internet. För de som har behovet att tala om för sin omgivning att man är på semester eller är borta över helgen eller inte ovanligt på Twitter ”ute ett par timmar för att ta en fika” är nog med information för en inbrottstjuv och ofta används ord som Leave eller Left Home för att indikera detta. Just dessa ord är vad Please Rob Me letar efter för att påvisa vem och vart eventuella rånoffer bor; avsikten är knappast att inbjuda till detta; utan påvisa vilka möjligheter nätet ger idag.

Enskild information som normalt anses harmlös, blir extremt värdefullt när den kombineras med annan (harmlös) information. En del detaljer bör man helt enkelt inte posta ut på nätet; lika lite som vi sätter upp en skylt på ytterdörren att vi är på semester.

Kim Haverblad

Dela med andra:

Kim Haverblad

Dela med andra:

På grund av ändringen av lagstiftningen gällande signalspaning har FRA ovilligt hamnat i rampljuset gång efter gång kring sina aktiviteter. På detta sätt får vi trots allt anse att hela lagstiftningen har bidragit med något positivt; vilket även används som försvar till att låta FRA bedriva signalspaning inom de regler som lagen föreskriver. Vad lagstiftarna helt har missat är att FRA är en underrättelsetjänst vilka jobbar enligt principen att endast informera om det man behöver, varken mer eller mindre. Vilket kommer att försvåra insynen från bland annat Datainspektionen som är en av de organ som skall agera som kontrollant för att FRA utför sitt uppdrag lagenligt. Jag är dock inte helt övertygad om att så kommer ske.

Kim Haverblad

Dela med andra:

Jag har själv flertalet gånger noterat när jag tidigare jobbade för IBM att då presentera sig från detta bolag ingav uppenbarligen förtroende som gjorde att en del företag inte behövde se legitimation. Att jag kanske hade en tröja eller jacka med logotyp var många gånger avgörande för personalen i receptionen då de ofta svara med repliken ”jag ser ju att du är därifrån på tröjan” och därmed behövde jag inte visa någon form av legitimation.

Flertalet gånger så har man även varit så vänlig att visa mig till deras datorhall och sedan försvunnit iväg för att låta mig invänta att rätt person kommer för att möta upp mig. Gott om tid för att undersöka systemet och installera allhanda program för att sniffa värdefull information eller varför inte helt enkelt ta med sig ett system för service… vilket flertalet företag har råkat ut för.

Dagens kontorslandskap och andra öppna miljöer är ett annat område där det som regel är ganska så lätt att glida runt utan att någon ställer några frågor. Möjligheten att plocka med sig bärbara datorer eller på annat sätt manipulera med utrustningen är enormt lätt. Det är också förvånansvärt hur många företag som saknar ”Clean Desk” policy för att undvika att information kommer i fel händer.

Kim Haverblad

Dela med andra:

Förslaget i sig framhåller denna typ av informationsfiske som modern signalspaning, vilket även är huvudsyftet med lagförslaget; att modernisera de tekniska möjligheterna för att samla in information på lagligt sätt. Möjligen så kan vi det vara så att det går att dra paralleller till amerikanska Department of Homeland Security som även de har uppdrag att övervaka och skydda mot externa hot eller om man vill gå till ytterligheterna George Orwells 1984 eller en svensk light version av ECHELON (eller Swechelon).

Om vi bortser från den politiska diskussionen och istället fokuserar på de eventuella risker som finns med införande av lagen så kan man ganska snabbt konstatera att genom att höja ribban för hur och vad som kommer att avlyssnas och analyseras kommer troligen få de eventuella intressegrupper, att anpassa kommunikationen efter den nya hotbilden som de eventuellt ser med lagförslaget genom att nyttja tillgänglig teknik såsom:

• Kryptering av datorer
• Krypterad access till hemsidor
• Kryptering av telefoner
• Kryptering av e-post och sms

Ovan teknik används idag för att skydda ljusskygga gruppers kommunikation och även uppsättning av slutna nät för att stänga ute all form av insyn såvida man inte lyckas infiltera grupperna eller på annat sätta penetrera deras kommunikation.

Risken är att man faktiskt försvårar övervakningen genom att de grupper eller individer man avser att övervaka snabbt anpassar sig till de nya spelreglerna och därmed är frågan vilken effekt övervakningen har då det som är det primära intresset inte går att övervaka. I takt med att kryptering ökar bland gemene man för att eventuellt skydda sig, av rädsla mot till exempel åsiktsregistrering, ökar även bruset på nätet. Därmed måste denna typ av signalspaning lokalisera specifik informationskälla för att överhuvudtaget ha någon funktion. Man får därmed nöja sig med de mindre oförsiktiga grupper och individer som utgår ifrån att det inte finns något intresse för deras kommunikation då granulariteten troligen kommer öka för att fånga in mer information och därmed ökar även mängden information som skall analyseras.

Amerikanska FBI har även tidigare uttalat sig om att kryptering försvårar avlyssnig och övervakning; men man har dock svängt på denna punkt och numera vill även FBI avlyssna Internet.

I förslaget lyfts nya hotbilder mot Sverige fram såsom:

• Terror
• Massförstörelsevapen
• Tekniska sabotage

Inget av ovan har än så länge varit aktuellt för Sverige. Det är möjligt att man har lyckats avstyra eventuella hotbilder, men inget som har påvisats någonstans i media eller andra externa rapporter.

Tekniken har förändrats då signalspaning per definition avser information som sprids via radiovågor och inte de nya moderna medium som Internet som majoriteten av information idag skickas via. Kärnfrågan kvarstår huruvida den personliga integriteten skyddas? För den som har rent mjöl i påsen skall, enligt förslaget, skyddas från FRA övervakning såvida den enskilda individen inte är av betydelse för en utredning. Frågan är då vilka dessa kriterier är och vem som avgör detta och om en person är under utredning avser man då en brottsutredning? All så kallad spill information skall enligt förslaget raderas samt även information som meddelarskyddet och efterforskningsförbudet skall även förstöras. Men hur vet vi att detta görs och att det trots allt inte kommer finnas backup eller logg information kvar för att eventuellt användas vid framtida behov?

FRA beskriver själv metoden som informationsfiske:

”Man kan beskriva sökbegreppen som fiskekrokar som sänks ned i en flod. En del fiskar fastnar, men de allra flesta är otillåten fångst och fastnar inte utan försvinner för alltid med strömmen”

Vem bestämmer vilken typ av krok och bete som skall användas för ovan informationsfiske? Och kommer det finnas total insyn i verksamheten för att kontrollera att man inte har adderat några extra fiskekrokar med speciellt bete för att fånga information som ligger utanför uppdragsbeskrivningen? Även regering och myndigheter ges befogenhet att söka i den privata kommunikationen vilket öppnar för nya, godtyckliga användningsområden då materialet lätt kan missbrukas eller hamna i fel händer.

Även om svensk nyhetsmedia agerat långsamt samt även svenskt näringsliv så har en del uttalande redan gjorts som visar att lagförslaget kommer ha konsekvenser för Sverige samt även uppmärksammats av amerikanska tidningen CIO.

Google har deklarerat att man inte kommer att investera i nya servrar i Sverige om lagförslaget går igenom, bland annat har Peter Fleischer, Googles ansvarige för integritetsfrågor, sagt följande om förslaget:

”Vi kan helt enkelt inte kompromissa med våra användares integritet och låta svenska myndigheter ta del av data som kanske inte ens rör svensk aktivitet. [...] Förslaget är sprunget ur en tradition inledd av Saudiarabien och Kina och hör helt enkelt inte hemma i en västerländsk demokrati.”

Även TeliaSonera flyttade bland annat e-post servers och cirka en halv miljon e-post konton från Sverige till Finland efter rekommendation från Finska myndigheter enligt Ahti Martikainen, TeliaSonera Finland. I tidningen Ny Teknik säger Juha-Pekka Weckström, chef för affärsenheten bredband på Telia Sonera i Finland:

”Det här är ett viktigt ämne för våra kunder. De vill vara absolut säkra på att den planerade lagstiftningen i Sverige inte ger någon som helst möjlighet för svenska myndigheter att se och kolla deras mejl. Så vi vill minimera risken”

Frågan kvarstår om detta egentligen var till någon hjälp då det är ganska stor sannolikhet kommunikationen till och från TeliaSonera Finland går via Sverige.

Hur många andra internationella företag har egentligen satt sig in i frågan och gjort en riskbedömning av att svenska staten kommer få möjligheten att övervakar in och utgående trafik till Sverige?

Även SÄPO har uttalat sig kring lagförslaget och ställer sig negativt, troligen på grund av att avlyssning kan komma försvåras (på grund av ökad användning av kryptering) med lagförslaget samt troligen oönskad konkurrens; men i SÄPOs kommentar lyfter man fram kränkning av den enskildes integritet:

”Det är således fråga om en massiv telefonavlyssning och förslaget innebär en kränkning av enskilds integritet som vida överstiger den kränkning som förslaget om buggning och preventiva tvångsmedel sammantaget innebär.”

Flertalet organisationer har även uttalat sig negativt om förslaget, däribland Åklagarmyndigheten, Kustbevakningen, Datainspektionen, Kammarrätten i Stockholm, Lunds universitet, Rikspolisstyrelsen, Sveriges Advokatsamfund, varnar för gränsdragningsproblem mot det polisiära arbetet där FRA-lagen ger befogenheter som överskrider de möjligheten som polisiärt arbete idag möjliggör.

Frågan är om det eventuella riskerna verkligen har lyfts fram och öppet diskuterats och vem skall övervaka övervakarna?

Kim Haverblad

PS! Att ämnet intresserar och har väckt reaktioner återges i följande inlägg Bloggbävning.

Dela med andra:

Grundproblemet ligger snarare i att det kortsystem som svenska banker envisas med att använda har varit påtagligt sårbart sedan urminnes tider. Redan under 80-talet kunde vi läsa i svensk media hur sk ”hackare” (som de gärna kallades på den tiden) använde stulna kort för att både betala sina inköp av hård och mjukvara samt för sina modemuppkopplingar till utlandet – något som oftast gjordes via amerikanska AT&T. Något som försvårades när man införde slumpmässiga manuella tester (man fick helt enkelt prata sig förbi en person också) och pinkoder samt krav på att kortets giltighetstid skulle anges, men annars var det i början fritt fram att ringa ”gratis” om man endast hade ett kortnummer.

Ganska snabbt kom sedan även de sk CC programmen (Card Calculators) där man med hjälp av ett fungerade kort kunde räkna fram resterande korten i samma serie och därmed utgå ifrån att de närmaste plus/minus 50 kortet troligen hade samma giltighetstid som ursprungskortet. Märk väl, vi pratar fortfarande om senare hälften av 80-talet och början av 90-talet då majoriteten använde sig av Commodore 64 och Amiga datorer.

Söker man i media så finner man som regel att artiklar om sk hackare och crackare brukar publiceras vid intervall av 3-5 år och att man då slår upp det som något nytt. Bevisligen inte och knappast något nytt problem; trots detta sitter vi idag, 2008, med samma kortteknologi som har fått små förändringar för att bli säkrare, däribland CVV-koden och som för övrigt trycks på kortets baksida.

Ovan en interview från Kvällposten (augusti 1989)

Här kan vi som konsumenter endast önska att bankerna var mer aktiva med att få ut de nya chip baserade korten. Uppenbart är att de förluster som bankerna gör på nuvarande kortsystem inte motiverar investering och uppgradering av nytt system fullt ut; med andra ord man har valt att acceptera de risker som nuvarande systemet har.

Kim Haverblad

Dela med andra:

Grundproblemet är att IT-säkerhet har en tendens att handla om teknik och teknikprojekt; med andra ord antivirus och brandväggar som visserligen är konkret nog för att påvisa vad en investering ger, men abstrakt nog för att ha problem att påvisa det egentliga värdet för affärsverksamhetens kärnverksamhet. För de flesta organisationer är IT inte en kärnverksamhet utan en av flera stödjande enheter som jobbar gemensamt för att affärsverksamheten skall uppnå de uppsatta målen.

Vidare så lär det knappast vara IT-säkerhet som bolagsstyrelsen fokuserar på utan eventuella risker och hur dessa kan minimeras, hanteras och kontrolleras. Det är här IT-säkerhet kommer in som en del av riskhanteringen och inte tvärtom vilket det oftast har en tendens att bli för många företag. Möjligen är det intressantare att diskutera IT-säkerhet på teknisk nivå än att diskutera riskpåverkan. Men utan riskpåverkans analys blir svårt att påvisa vad som skall uppnås och därmed faller man snabbt över på tekniska diskussioner.

Bruce Schneier berör även detta på sin blogg i artikeln How to Sell Security där han tar upp att den mänskliga naturen ligger till hinder för hantering av risk. Detta genom att människan överlevnads strategi hellre accepterar mindre förtjänster än risken för en större förtjänst, och därmed även risken för större förluster. Av natur så undviker vi helt enkelt risk något som även förklaras genom prospektteorin som utvecklades av Nobellprisvinnaren Daniel Kahneman och hans kollega Amos Tversky.

Man måste tänka risk innan man kan definiera säkerhetsaktiviteter.

Kim Haverblad

Dela med andra:

PC:s, servers, kylning, telefoni, nätverk, kommunikations utrustning och skrivare är typisk utrustning som idag bidrar till utsläpp av CO2 men även hantering av skrotningen av gammal utrustning är av stor vikt för att i sig inte bidra till kemiska utsläpp som kadmium och kvicksilver.

Ökat eller minskad CO2 utsläpp? Även här slår Gartner fast att IT-avdelningar kommer öka sin energi kostnad två eller tre gånger inom en fem års period. Detta på grund av ökad el konsumtion och framför allt ökade kostnader för el. Detta i sig är en risk som bör lyftas upp på agendan för strategiska aktiviteter – införande av grön IT. Tids nog lär svenska myndigheter agera och ställa högre krav kring energi deklaration av levererade IT-tjänster.

Brittiska OGC (Office of Government Commerce) publicerade redan 2002 riktlinjer kring vad som idag kallas för Grön IT och detta i sig är troligen även anledningen till att brittiska CIO:er är mer intresserad av ämnet än sina svenska kollegor som enligt tidningen CIO Sweden är ljumma i sitt intresse. Brittiska CIO:er har idag redan krav och därmed incitament för att driva frågan kring Grön IT.

Som vid alla IT-projekt eller IT-investeringar måste risken avvägas gentemot fördelarna och så även vad det gäller införande eller förändringar av existerande IT-miljö för att anpassa denna och göra den mer miljövänlig. Att inte agera är det en risk din organisation tar?

Kim Haverblad

Dela med andra:

Vi har idag ett flertal lagar och förordningar som reglerar hur viktig information skall hanteras och lagras och därmed även sätter en basnivå för hanteringen av säkerhet. Problemet ligger dock i att flertalet av de standarder och ledningssystem som idag finns och som även KBM pekar på i sin skrivelse har en tendens att vara för tekniskt orienterade eller för övergripande och därmed missar hela grundförutsättningen för att lyckas med säkert – avsaknad av processtruktur.

För det de flesta organisationer är just svårigheten att definiera processen för hur själva hanteringen skall göras samt att definiera tydliga roller och ansvar. Detta i sig leder oftast till fokusering kring hur och inte kring vad som skall göras. Man missar helt enkelt den övergripande styrningen av själva säkerhetshanteringen.

Åter igen så ägnas även i KBM skrivelse ganska lite kring hur man avser att följa upp att myndigheter efterlever en föreslagen basnivå för säkerhet. Man skriver visserligen i åtgärdspunkt 12:

”Det bör tas fram och införas ett system för värdering av myndigheters informationssäkerhet. Systemet ska underlätta självvärdering samt vid intern och extern revision hur ställda krav på myndigheters informationssäkerhet uppfylls.”

Risken med ett system för självvärdering är att fokus flyttas över på nyckeltal istället. Det är i sig inte nyckeltalen som är en garant för hög säkerhet och risken finns att man tittar sig blind på dessa. Nyckeltal i sig finns till för att förenkla kommunikation och rapportering kring de uppsatta mål för säkerhet samt framför allt är ett stöd för säkerhetshanterings processen.

Hela förslaget kan på denna punkt fallera om man inte avser att löpande följa upp verksamheten genom granskningar och revisioner. Risken är att man kör vidare som vanligt med fokus på att lösa säkerhetsproblem med nya tekniska lösningar.

Kim Haverblad

Dela med andra:

Men vid dagens strömavbrott som drabbade flertalet ISP’er (Loopia, Bredbandsbolaget och Telenor) har gett en tydlig fingervisning kring påverkan. Att som Loopia tillhandahålla DNS-tjänster utan att göra en ordentlig riskhantering och därmed sänka drygt 300.000 (enligt Jonathan Sulo, fd Loopia-profil) svenska hemsidor är i sig en prestation. Att strömavbrott skulle hända kan knappast ha varit något de har avskrivit i sin kontinuitetshantering; men så verkar det vara när de enligt egen utsago endast har reservkraft för 20 minuter.

Frågan är hur många av dessa 300.000 hemsidor som var någon form av kritisk samhällsfunktion? ISP’er och såväl kunder bör av dagens händelse se över sina rutiner för riskhantering.

Dagens händelse är en god övning och visar hur sårbart vårt samhälle är när strömmen försvinner.

Kim Haverblad

Dela med andra: