Citat:
Ursprungligen postat av
BlueSwede
Vad har du fått dessa tankar från?
Outsourcar man IT-drift, så brukar hantering av nycklar och certifikat ingå i tjänsten och många tekniker har rättigheter till "allt". IBMs personal är nog minst lika pålitlig som den egna personalen, problemet här är att man "glömde" verifiera saken.
Nja, ska man vara lite krass och se till rådande säkerhetsläge samt verksamhetens natur är det väl snarast såhär:
1) Transportstyrelsen hanterar information som är av betydelse för rikets säkerhet (och en hel del annat)
2) Den skyddsvärda informationen är av sådant slag att främmande makt eller andra "tredje parter" gärna ser att de får tillgång till den/insikter i den.
3) Transportstyrelsen går ut i en offentlig upphandling där man i de offentliga underlagen öppet signalerar att man ska outsourca en verksamhet som hanterar skyddsvärd/känslig information.
4) Tredje makt har nu god tid på sig att förbereda sig för olika typer av "förberedande åtgärder". Förberedande åtgärder kan exempelvis vara att för en sannolik leverantör/sannolika leverantörer börja styra var/hos vilka inom koncern/underleverantörer vissa typer av uppdrag/åtaganden skall läggas.
Notera att de större underrättelsetjänsterna sedan urminnes tider har personer verksamma inom för dem och deras uppdragsgivare "strategiskt viktiga" områden.
Det kan röra sig om i sak egen personal som arbetar helt "undercover" som anställda exempelvis vid företag och organisationer som är knutpunkter för betalningar/elektroniska penningtransaktioner, kommunikationsföretag/internationella ISP:er etc. Utöver det har man "vänligt inställda" personer man ibland kan be om tjänster - direkt eller indirekt och i många fall helt öppna samarbeten inom säkerhet, kryptologi o.s.v.
5) När vinnaren av upphandlingen står klar (eller man på annat sätt erhållit information om vem som kommer att vinna upphandlingen) har tredje makt, om man har rätt kontakter/resurser och spelat korten rätt, en ytterligare möjlighet att påverka personalallokering eller t.o.m. vilka underleverantörer som skall nyttjas.
6) Utöver ovan har en tredje makt möjlighet att utifrån vald leverantör och lösningens utformning i god tid förbereda och sjösätta tekniska åtgärder för att komma åt känslig information. Det kan exempelvis röra sig om att vid internationell telekommunikation spegla/kopiera trafik, inhämta kryptonycklar och annat som kan behövas för dekryptering/stödja dekryptering m.m. Dessutom finns möjligheten att via skräddarsydda virus eller "vanlig" hacking komma åt centralt placerade personers IT-utrustning (exempelvis identifiera personer som har administrativ tillgång till de olika systemen, ta sig in i deras datorer för att därifrån kunna inhämta ytterligare information/nycklar etc.)
7) Notera att för skyddsvärd information är det givetvis så för "intressenter" att de gärna vill ha informationen i sig ("engångsdump") men att det också är oerhört mycket värt att ha tillgång till ständig / uppdaterad information. Det är därför sannolikt så att en tredje makt som vill åt skyddsvärd information är måna om att inte sjösätta lösningar som "stör ut" möjligheten till ett kontinuerligt informationsflöde.
Därför undviker troligen man en del annars "uppenbart enkla" lösningar som att exempelvis "tanka ur" stora mängder data ur ett system via en enskild persons dator enär detta ganska enkelt kan upptäckas via trafikanalys, loggar och andra åtgärder.
8) IBM har absolut massor av väldigt kompetenta, lojala och säkerhetsmedvetna medarbetare. Men ha i åtanke att det räcker med en (1st) tillräckligt kompetent person med tillräcklig behörighet/åtkomst till en eller flera kritiska komponenter för att läckage ska vara ett faktum.
9) Vid internationell outsourcing uppstår ett komplicerande faktum i att kommunikation passerar flera olika länder, den passerar fler kommunikationspunkter (GIX:ar och andra knutpunkter för routing/trafikval). Man ska också komma ihåg sekundär kommunikation, exempelvis sådan som sker för backuptrafik. Om backuper ligger på annan plats, eller i synnerhet i annat land, än driften finns stora risker för läckage från backuptrafik/kommunikation.
Det är således en oerhörd skillnad på att driva ett känsligt system när allt finns inom landets gränser (drift, kommunikation, backup, användare etc.) då man har en helt annan möjlighet till styrning och kontroll jämfört med en internationell outsourcing.
Bara en så enkel sak som att Säkerhetspolisen och andra myndigheter har en jurisdiktion inom Sverige - de kan alltså agera med olika former av åtgärder. De har däremot inte någon jurisdiktion i andra länder (där datatrafiken passerar, där driften finns, där backuper lagras o.s.v.). Det betyder att möjligheten till kontroll (förebyggande åtgärder) och aktiva åtgärder vid upptäckt av risker, hantering av incidenter etc. i princip omöjliggörs.
10) I den lösning som IBM offererat/lämnat i sitt anbud och det praktiska utförandet av detta ingår en kritisk del som hanteras i Serbien. Det är ingen hemlighet att man i underrättelsesammanhang i stort sett sätter likhetstecken mellan Serbien och Ryssland avseende känslig information/underrättelseärenden. Det kan på goda grunder antas att det finns ett djupt och omfattande samarbete mellan Serbien och Ryssland avseende underättelsefrågor m.m.
På det hela taget är situationen således betydligt värre än att man "glömde verifiera" delar av leverantörens personal.
Hela upphandlingen, och den process som föregick upphandlingen, är en total genomklappning på många plan och vittnar om ett komplett haveri på ledningsnivå. Tyvärr är nog Transportstyrelsen inte den enda myndighet där liknande har skett men omfattningen, arrogansen och försöken att sopa det under mattan är alarmerande.
Man har uppenbarligen inom ledningen saknat insikt i (eller struntat i den) avseende vad man själva hanterar för typ av information och processer samt skyddsvärdet av densamma.
Man har på ett flagrant sätt undanlåtit att agera utifrån de varningar som kommit från kompetent personal inom organisationen, man har dessutom valt att i praktiken köra över landets säkerhetspolis och kanske också ytterligare aktörer som varnat / ställt krav.
Listan kan göras lång.
Haveriet i Transportstyrelsen är inte en isolerad företeelse som bygger på "en grej som gick snett", haveriet är ett systemfel i svensk myndighetskultur och den politiska styrningen. Ytterst sett handlar det om tror jag att man på hög nivå har för många naiva och okunniga personer (avseende försvar, säkerhet, IT m.m.) i ledande ställning och att det idag finns en politisk kultur av floskler, tillrättalagda uttalanden, yta m.m. istället för en saklig och reell hantering. D.v.s. är något ett problem måste man säga att det är ett problem och agera därefter, är något inte rimligt att uppnå med givna ramar måste man vara öppen med det o.s.v.
Teknik är verktyg, varken mer eller mindre. Rätt använt är det fantastiskt. Men hanterat utifrån ovanstående bild är det banne mig landsförräderi som involverade betett sig och agerat.
Under andra världskriget lyckades britterna mycket precist räkna ut hur många stridsvagnar tyskarna producerade per månad eftersom löpnumret trycktes på plåten.
