whoisalice
Inlägg: 16
Blev medlem: 11 sep 2015, 18:58

Transportstyrelsen

24 jul 2017, 18:09

Det finns mycket att säga om outsourcingdebacklet på transportstyrelsen.
Framförallt hur det hanterats från RK:s sida samt det faktum att en myndighet uttryckligen valde att inte följa lagen.

Jag tycker att det är bra att frågan får såpass mycket uppmärksamhet i media men är något förvånad över att
ingen dragit paralleller med Logica-caset, framförallt när man frågar sig vad som kunde ha hänt. Hos Logica hände det ju faktiskt.

Användarvisningsbild
westminister
Respekterad Medlem
Inlägg: 131
Blev medlem: 16 apr 2016, 13:47

Re: Transportstyrelsen

25 jul 2017, 00:53

Om jag inte minns fel så skiljer sig väl dessa olika fall på flera sätt, i Logica-fallet hamnade inloggningsuppgifter i fel händer och utnyttjades därefter för att komma åt information, medan i Transportstyrelsens fall har man redan från början utfärdat behörigheter till personal från andra länder som inte genomgått vissa prövningar för att få tillgång till den klassificerade information. Alltså, i Logica-fallet hade kontona därför rätt behörighet men användes av en obehörig person, i Transportstyrelsens fall har personal fått (felaktiga) behörigheter innan prövning.

Det som dock verkar oklart om man läst förundersökningen är att personalen inte verkar känna till vilken information som faktiskt är skyddvärd. Normalt sett är en sådan informationsklassning steg ett för att kunna avgöra vilka som ska vara behöriga till viss information och vad som är hemlig information om något läckt. Transportstyrelsen kommer ha ett oerhört tufft jobb framöver att försöka ta reda på detta.

Det faktum att det blir massa "käbbel" bland politiker kring detta kommer inte leda till någoting så länge inte tydligare riktlinjer sätts för myndigheternas IT-säkerhet och hur de får hantera sin information.
keybase.io/westminister | westminister[at]swehack.org

Användarvisningsbild
Chloë
Administratör
Inlägg: 2505
Blev medlem: 08 okt 2014, 02:28
Områden: Webbsäkerhet
Kontakt: Twitter

Re: Transportstyrelsen

25 jul 2017, 13:47

ingen dragit paralleller med Logica-caset, framförallt när man frågar sig vad som kunde ha hänt. Hos Logica hände det ju faktiskt.
Det är inte riktigt samma sak, men förstår absolut din poäng. Datan från Logica-hacket spreds dessutom så det är bara att ta det för givet att datan ligger i väldigt fel händer. Hänvisar även till inlägget ovanför.

Sen är det svårt att dra paralleller med ett hack och dåliga säkerhetsrutiner då man faktiskt kan försöka skydda sig mot hackningsattacker medan outsourcing/dåliga säkerhetsrutiner sätter en hel eller stora delar av en infrastruktur i fara med avsikt.

Sen kan det handla mycket om mörkläggning och komplexitet. Nu finns det ansvariga som satt säkerhetsklassad information i fel händer medan samma ansvar inte finns när det kommer till att säkra upp system. Infotorg/Logica hade dålig säkerhet men bra säkerhetsrutiner, TS hade bra säkerhet men dåliga säkerhetsrutiner. Pest eller kolera?
keybase.io/dotchloe | chloe.re | chloe.website

whoisalice
Inlägg: 16
Blev medlem: 11 sep 2015, 18:58

Re: Transportstyrelsen

26 jul 2017, 19:07

Visst är det stora skillnader mellan casen, absolut.

Men i trasportstyrelsens fall, även om vägen dit kan ifrågasättas och bör belysas, så handlar det i slutändan om
att information riskerade att komma på avvägar hos Logica vet vi att så är fallet. Visst Anakata fick sitta på kåken,
men jag tycker att en del i ansvarspositioner borde fått stå till svars också, för att man låtit det hända alternativt gå så
långt som det gjorde.

FRA har nu kommit med ett uttalande i stil med "Glöm inte bort oss i mediebruset, vi har sagt något om outsourcing förut ..."

Användarvisningsbild
westminister
Respekterad Medlem
Inlägg: 131
Blev medlem: 16 apr 2016, 13:47

Re: Transportstyrelsen

27 jul 2017, 18:46

Men i trasportstyrelsens fall, även om vägen dit kan ifrågasättas och bör belysas, så handlar det i slutändan om
att information riskerade att komma på avvägar hos Logica vet vi att så är fallet. Visst Anakata fick sitta på kåken,
men jag tycker att en del i ansvarspositioner borde fått stå till svars också, för att man låtit det hända alternativt gå så
långt som det gjorde.
Maria Ågren som var Generaldirektör för Transportstyrelsen fick avgå när detta uppdagades samt ett strafföreläggande om böter på 70 000 kr. Så sent som i dag fick även Infrastrukturminister Anna Johansson och inrikesminister Anders Ygeman lämna regeringen.
https://computersweden.idg.se/2.2683/1. ... -itskandal
FRA har nu kommit med ett uttalande i stil med "Glöm inte bort oss i mediebruset, vi har sagt något om outsourcing förut ..."
FRA har sedan ganska många år tillbaka påtalat detta både indirekt i uttalanden men också direkt påpekat deras synpunkter till myndigheter. FRA fungerar dock inte som någon polis utan kan endast ge vägledning kring detta. Har även för mig att Säkerhetspolisen givit synpunkter att man ska se över vilken information det är man outsourcar innan man gör det - och även dem flera gånger.

Nu verkar det ju även som att Post- och telestyrelsen ska ta fram något förslag för att förbättra känsliga offentliga verksamheter, vi får väl se vad det mynnar ut i: http://www.di.se/nyheter/regeringen-pos ... akerheten/
keybase.io/westminister | westminister[at]swehack.org

Användarvisningsbild
smurfacc
Inlägg: 322
Blev medlem: 28 dec 2014, 02:05

Re: Transportstyrelsen

31 jul 2017, 13:34

Enda likheten är väll egentligen att data hamnat i händer på folk som av helt olika anledningar inte skulle ha den. I det första fallet hamnade den i händerna på fel folk på olaglig väg och i det andra fallet på laglig väg även om den gavs på olaglig väg...


Något jag tycker är intressant är att så väldigt mycket fokus läggs på IBM's tekniker istället för politikerna som är ansvariga. Som jag förstått det så verkar IBM gjort precis vad dom bilivit tillsagda av sin uppdragsgivare. Att då anklaga IBM för att deras personal teoretiskt sätt kan sno datan och att dom är onda ryssspioner känns lite väll.

Är övertygad om att det inte låg i IBM's intresse att lägga datan tillgänglig till ryssarna bara för deras uppdragsgivare inte vet vad dom höll på med. Om jag inte missförstått de så var tanken att säkerhetsklassa dom tekniker som gjorde jobbet men att det tog för lång tid så dom strök det och då förutsätter jag att IBM räknat med att dom skulle gå igenom den kontrollen. Att då anklaga teknikerna och hänga ut dom som spioner känns helt idiotitskt.

Kan inte kännas bra som tekniker att bara göra sitt jobb och sen helt plötsligt bli uthängd i världsmedia som spion med namn och cv.



Är inget fan av IBM men så mycket negativ publicitet dom fått pga svenska regeringens inkompetens känns helt sjukt