Hur skyddar vi oss från informationsläckor?
Tack vare internet och Wikileaks får eventuella informationsläckor fatala konsekvenser genom att de sprids så snabbt över hela världen. Läs säkerhetsexpert Tomas Djurlings råd för att skydda kritisk information.
Fråga: Tack vare internet och Wikileaks får eventuella informationsläckor fatala konsekvenser genom att de sprids så snabbt över hela världen.
Under hösten har sekretessklassad information från amerikanska, och även svenska myndigheter publicerats. Hur kan man arbeta för att skydda sig mot det och hur kan det vara möjligt för någon att få ut så stora mängder information?
Svar: Wikileaks och andra aktörer med syfte att sprida och offentliggöra stulen information är ett relativt nytt fenomen. Vi kan vara säkra på att det kommer att fortsätta och få många efterföljare.
Att samla in och få tag på 100 000-tals dokument från militära källor och diplomatkommunikation kan i stort sätt bara göras av insiders till exempel datoradministratörer med stora behörigheter i IT-systemen.
I fallet med läckan från det amerikanska försvaret är en datoradministratör sedan några månader anhållen och misstänkt för stöld av information som sedan publicerats på Wikileaks.
När det gäller informationsstölden från det amerikanska utrikesdepartementet har vi inte fått ta del av information om eventuella misstänkta, men det skulle förvåna mig om det inte var interna administratörer som även här läckt informationen.
Vem stjäl information?
Diplomatkommunikation är normalt krypterad med en stark kryptering vilket gör att det är få externa aktörer som har kapacitet att inhämta och dekryptera trafiken. Det är i stort sett bara andra nationers underrättelsetjänster som har den möjligheten.
Den målgrupp som kvarstår är den egna personalen, troligen med viss hjälp från externa aktörer. Statistik visar att 80 procent av brottsligheten en organisation utsätts för utförs av den egna personalen, ofta i samarbete med externa krafter.
Kända fall där informationsstölden avslöjats och gärningsmannen dömts, visar att det ofta rör sig om administratörer eller mycket högt uppsatta chefer. Dessa båda grupper har i sitt arbete tillgång till stora mängder känslig information.
Datoradministratörer har i sitt arbete möjlighet att läsa, förändra, förstöra samtlig information i IT-systemen. De kan dessutom, om de har ett bedrägligt uppsåt, ta bort alla spår efter sig i datorernas loggar.
Det gör det mycket svårt att upptäcka, förhindra och spåra olovligt beteende hos administratörer i IT-system och ställer stora krav på de organisationer som bedriver verksamhet där behov av sekretess, tillgänglighet och riktighet är viktig. Det gäller med andra ord alla myndigheter.
Personalpolitik en viktig åtgärd
De viktigaste åtgärderna för att försvåra insiderbrott är professionell rekrytering, bra personalpolitik och ett seriöst, långsiktigt och kunnigt säkerhetsarbete i myndigheten. Det är viktigt att ha en förståelse för vilka möjligheter och risker som finns i verksamheten, samt konsekvenser och möjligheter med valet av teknik för att bedriva verksamhet och kunskap för att skydda de tekniska systemen.
Myndighetens personalpolitik är viktig för verksamheten och möjligheten för nyrekrytering och inte minst för säkerheten på arbetsplatsen. Personal som känner sig rättvist behandlad och där samma regler gäller för både chefer och anställda borgar för en trygg arbetsplats – en arbetsplats där grogrunden för insiders och missnöjda anställda starkt kommer att begränsas.
Det kan inte nog påpekas att en genomarbetad och seriös rekryteringsprocess som tillser att rätt kompetens, utbildning, bakgrund, inställning, förmåga samt andra för verksamheten viktiga faktorer stämmer och dessutom är kontrollerade och verifierade.
Det sistnämnda är ett område som det slarvas med på många ställen.
Att verifiera och kontrollera utbildningsbevis, att ringa till referenspersoner, även sådana som den sökande inte själv uppgivit är viktigt.
Ett test utifrån de arbetsuppgifter och den tjänst som den nyanställde är tänkt att inneha ger viktig information om personens kunskap och lämplighet. Detta under förutsättning att testet är korrekt konstruerat och genomfört.
Ett sådant test behöver inte ta mer än 20-30 minuter att genomföra och 1-2 dagar att ta fram beroende av tilltänkta arbetsuppgifter och målgrupp. Det är en mycket god investering för verksamheten och framtiden. Bra tester kommer att spara mycket stora belopp under kommande år – betänk vad en felaktig rekrytering kan kosta.
Ett proffsigt säkerhetsarbete
I förra numret av Offentliga Affärer skrev jag om vikten av ett ekonomiskt försvarbart och seriöst säkerhetsarbete. Jag skrev: ”Att arbeta kostnadseffektivt och proffsigt med säkerhet är för många myndigheter en besparingsmöjlighet med mycket stor potential. Det viktigaste för att uppnå stora besparingspotentialer är att ha riktig kompetens och inte bara en anställd med en titel”. För vidare information se förra numret av Offentliga affärer.
Wikileaks är den mest aktuella säkerhetsrisken just nu för vissa myndigheter. Det är ett nytt fenomen som sprider sig även till Sverige. Liknande sajter med ungefär samma mål håller på att etableras i Sverige, det vill säga en hemsida där du anonymt kan skicka in och publicera information om sådant du tycker är fel i någon aspekt. Det kan till exempel utnyttjas av missnöjda anställda, eller tidigare anställda som vill hämnas.
Den svenska lagstiftningen ger ökade möjligheter för anställda i just offentlig sektor. Meddelarfriheten kan komma att användas som argument för att publicera intern myndighetsinformation.
Med stor sannolikhet kommer vi de kommande åren få se flera prövningar och prejudikat från Högsta domstolen i sådana ärenden.
Det kommer att tänjas på meddelarfrihetens gränser om vad som får ges ut till allmänt beskådande utan att någon bryter mot lagen. Meddelarfriheten är både en rättighet och en skyldighet för samtliga anställda inom det offentliga Sverige.
Tekniska säkerhetsprodukter
Det finns ett antal tekniska produkter och program som kan användas för att försöka stoppa och upptäcka informationsstölder. Vissa av dem kräver omfattande administration för att fungera hjälpligt och andra system skapar mer risker än skydd, på grund av den metodik de använder för att skydda informationen.
Ytterligare en kategori av system fungerar genom att begränsa administratörernas möjligheter i systemen, men dessa är ofta lätta att kringgå.
Det finns en ny produkt på utvecklingsstadiet som ser lovande ut. Produkten kommer bland annat att testas på en högsäkerhetsanläggning under försommaren. Därefter kan man förvänta sig att produkten lanseras.
Tomas Djurling
VD & säkerhetsexpert
Djurling Säkerhetsinformation AB
tomas@djurling.se