Tekniken bakom IT-skandalen hos Transportstyrelsen

Eftersom man inte fick diskutera teknik i den politiska tråden ( (FB) Politiska konsekvenser av IT-skandalen på Transportstyrelsen) startar jag den här för det ämnet.

Vad vi vet hade 17 personer tillgång till känslig information. 14 av dem var serber och 3 tjecker. De ska alla ha jobbat på IBM. Bara tjeckerna ska ha haft den högsta administratörsstatusen (root?). Ingen av dem(?) hade svenskt medborgarskap eller var säkerhetsklassade. Servrarna ska fysiskt ha funnits i Örebro och teknikerna haft access till dem över internet. Vi vet inte hur de anslutit sig, men gissningsvis med VPN.

Följande register hade dessa it-tekniker tillgång till:

• Två hemliga polisregister (vilka?)
• Belastningsregistret
• Misstankeregistret
• Körkortsregistret
• ...

De ska också haft åtkomst till Swedish Government Secure Intranet. Min bedömning är att sannolikheten att information skulle ha kopierats är låg. Det skulle ha tagit för lång tid att kopiera data via VPN från svenska servrar till Serbien eller Tjeckien. Dessutom är alla register på svenska vilket nog gör de svårnavigerade för östeuropéer som inte kan svenska.

Fyll gärna på med mer information! Jag skulle särskilt vilja veta vilka operativsystem som användes och hur vilka databaser datan var lagrad i. Oracle, SAP, ....? Och politik kan diskuteras i den andra tråden.

Källor

• http://www.dn.se/nyheter/sverige/dn-...for-obehoriga/
• https://www.svt.se/nyheter/inrikes/t...detta-har-hant

Det är ju inte självklart att man snor data bara för att man kan. Men att det skulle ta för lång tid...? Hur länge hade dessa access? Det var väl månader? Det hinner du kopiera rätt mycket på.


Google translate? Kanske inte lika smidigt som att kunna språket, men det borde inte vara så jättesvårt tänker jag. Framför allt inte om man dumpar först och letar sen.

Vad vet vi om själva upphandlingen då? Inte så jäkla mycket. Enligt Säpo och FMV skulle upphandlingen gå under något som heter Säkerhetsskyddad upphandling med säkerhetsskyddsavtal (SUA):


Bland annat står det


Den kursiverade meningen måste vara den del av bestämmelsen som Maria Ågren på Transportstyrelsen beslutat sig för att frångå.

En fristående informationssäkerhetsexpert ansåg 2016 att myndigheter är alldeles för räddhågsna av sig, men tji fick hon:
Frågan är om det finns någon privat aktör som uppfyller kraven för SUA-avtal till en rimlig kostnad och är med och slåss om upphandlingar? Hade det varit möjligt för IBM att uppfylla kraven som SUA-avtalet (svensk säkerhetsklassad personal) kräver? Här är det intressant att veta om IBM visste att Transportstyrelsen bröt mot lagen.

I den här intervjun svarar Lennart Malm på IBM lagom undvikande på ansvarsfrågan:

Jag hittar ingen uppgift på det. Men om man läser mellan raderna på DN:s artikel

Det kan inte ha dröjt jättelänge mellan dagen då åk inledde förundersökningen och accessen för it-teknikerna togs bort. Men vi kan vara generösa och anta att it-teknikerna hade access hela februari ut till första mars. De skulle då ha haft 74 dagar på sig att kopiera information.

Vi vet inte heller vilken uppkoppling de satt på. Vi kan gissa på 10 MBit/s eftersom det verkar vara genomsnittshastigheten i Belgrad. Vi vet heller inte exakt vilken overhead deras anslutning till det svenska VPN:et hade. Min erfarenhet säger mig att VPN är jävligt segt och att de därför fick ut max 10% av topphastigheten. I mycket runda slängar skulle en serb då ha kunnat tanka 539 gigabyte (74 * 24 * 3600 * 10%) om han tankat dygnet runt.

Men om en sådan tankning pågick borde någon förr eller senare märkt något. Antingen andra medarbetare på hans kontor i Belgrad eller av it-tekniker i Sverige.

Ska väl erkänna att jag inte begriper den tekniska biten riktigt. Och den är viktig.
OK min första fråga är: jobbade tjeckerna och serberna med den svenska infon, eller var det "bara" så att de jobbade på IBM och kunde komma åt infon om de ville?

Är det nån som förhört de aktuella serberna och tjeckerna? SÄPO? Eller säkerhetskollat dem i efterhand?

Kravet är inte svenskt medborgarskap som jag fattat det, utan att dem kollas upp ur säkerhetssynvinkel. Och det har inte gjorts. Det skadar väl inte att göra det i efterhand?

Om man tror att de kopierat borde det vara det första man gör.

Om dom körde google translate för att lista ut vad som är värdefullt behövde dom nog inte tanka en halv TB.

Dessutom låter ditt estimat av effekten av en VPN som väldigt pessimistiskt. Jag märker inte av sådana förluster i jobbet, även om det såklart är lite segare. Sen tror jag att man inte ska gå för hårt på genomsnittshastighet. Företag tenderar att ha bättre lina än privatpersoner.

Det de jobbade specifikt med servrarna. Alltså datorer på vilka myndigheternas databaser med känslig information lagrades. Dessa datorer ska ha funnits i Örebro och teknikerna ska ha loggat in på dem över internet. Exempel på uppgifter som de kan tänkas ha befattat sig med är uppgradering av Windows, konfigurering av Oracle och säkerhetskopiering.


Dessa har, mig veterligt, handlat oklanderligt och är inte misstänkta för något.


Kravet för säkerhetsklassad personal är svenskt medborgarskap:


Det är här skon klämmer. Det går säkerligen att säkerhetstesta utlänningar, men eftersom de inte är svenska medborgare spelar det ingen roll. Hade de varit svenska medborgare hade de naturligtvis jobbat för svenska löner och inte tjeckiska eller serbiska och prislappen hade blivit mycket högre.

Jag tror inte medborgarskap eller säkerhetsklassning är avgörande. Både Edward Snowden och Chelsea Manning var amerikanska medborgare med "security clearance" och de läckte mängder med känslig information. Stig Bergling var underrättelseagent... Säkerhetsklassningen blir ett spel för galleriet, men ökar nog inte säkerheten i praktiken. Men det är, om jag fattat skandalen rätt, denna avsaknad av säkerhetsklassning som är själva skandalen.

OK tack då är jag kanske lite klokare.

Har jag förstått det rätt:
serber och tjecker borde inte kunnat komma i fråga, ens om de hade blivit säkerhetscheckade?

Har IBM också ett ansvar i det här?

Kan man outsourca till globala företag utan att utländska medborgare får insyn?

Kanske är det fel tråd men jag tycker det mest verkar vara en fråga om IT-säkerhet och inte lika mycket en politisk/alltså partipolitisk fråga.

Det gäller väl att försöka ta reda på om den känsliga informationen kopierats?

Kan man outsourca till globala företag utan att utländska medborgare får insyn?

Detta har gjorts förut, för att tjäna pengar har man varslat och tvingat svenska tekniker att flytta för att behålla jobbet. Känner en fd kollega som flyttade till Estland ( nearshoring kallas detta ) och satt med lägre lön som svensktalande helpdesk (till historien hör oxå att han hade en flickvän i Estland). Så rent tekniskt kan man alltså ha svensk personal i berörda länder med svensk registerkontroll, trodde inte att S själva vill bidra till lönedumpning men enligt mitt resonemang så kan ju detta blir fallet. DVS självmål för Sosseriet .

Vill du ha alla tekniska detaljer är det bara att ringa till Transportstyrelsen och be att få ut upphandlingsunderlaget.
Då får du kompletta listor på samtliga ca 1500 servrar med alla OS, versionnr, till och med servernamn. Allt är offentligt.

Men nu är nog denna outsourcing marknaden död de närmsta åren vilket nog drabbar IBM mest. En slags rättvisa i sig.

Lite osäker på hur länge de hade med de högsta accesserma men tänk på att de fick de redan augusti 2015. De började begränsa accesserna först februari 2016, så minst 6 månader.