Säkerhetsrisk: e-posten går via utlandet
Var femte svensk myndighet och kommun skickar sin e-post via utlandet. Därmed kan utländska myndigheter läsa svenska myndigheters och medborgares e-post.
Cirka 18 procent av Sveriges myndigheter och kommuner skickar sin e-post via utlandet. Hälften av dessa, cirka 9 procent, skickar e-posten via USA eller Storbritannien. Det visar en undersökning av 504 svenska myndigheters och kommuners e-posthantering utförd av IT-säkerhetsföretaget Stej. Effekten av e-posthantering via utlandet är bland annat att utländska myndigheter i teorin kan läsa svenska myndigheters och medborgares e-post.
Anledningen till att e-posten i vissa fall går via utlandet är den enorma mängd skräppost, så kallad spam, som myndigheterna dagligen tar emot. För att hantera skräpposten skickar myndigheterna all sin inkommande e-post, oavsett innehåll, via spamfilter som filtrerar bort skräpposten. En stor del av dessa filter levereras av företag med servrar i utlandet, främst Storbritannien, Danmark och Tyskland men även USA och Rumänien. Därmed får dessa länders myndigheter i teorin möjlighet att övervaka e-posten, på samma sätt som FRA har rätt att övervaka all datatrafik som skickas till Sverige.
– Går e-posten via ett annat land så är det enkelt att avlyssna innehållet. Frågan är då hur sunt det är att skicka e-post med exempelvis känslig information mellan offentliga verksamheter via utlandet. Man kan ju till exempel undra vad som händer med svensk e-post som innehåller information eller namnuppgifter som är intressanta för utländsk underrättelsetjänst. Det är tydligt att vi svenskar varit naiva och inte trott andra länder har ett intresse att övervaka oss. Händelser på senare tider tycker jag visar på motsatsen, säger Stefan Thelberg, VD på Stej.
– Det är alltför många verksamheter som väljer att skicka e-post för exempelvis spamtvätt via utlandet samtidigt som de inte vidtar tillräckliga åtgärder för att skydda informationen från insyn. Vi har länge efterlyst riktlinjer om vad som är acceptabelt när det gäller skräpposthantering och virustvätt i offentlig förvaltning, säger Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef på Stiftelsen för Internetinfrastruktur (.SE).
Stejs undersökning gjordes i december 2010 och är en granskning av olika myndigheters och kommuners e-postservrars IP-nummer och därmed geografiska anknytning. Av de 504 granskade förvaltningar skickade 90 stycken sin e-post via utlandet. Syftet med undersökningen är att se om det finns en standard för hur myndigheternas e-post hanteras och hur en lösning anpassad för svenska förhållanden kan appliceras.
– Mig veterligen skulle myndigheter i exempelvis USA eller Storbritannien aldrig låta sin e-post gå via andra länder. Även om det inte bryter mot lagen kan man fråga sig varför vissa svenska myndigheter ska ge främmande makt teoretisk möjlighet att läsa deras e-post, säger Stefan Thelberg.
Var skickar din kommun eller myndighet sin e-post? Hela undersökningen finns här.