Om / About Wiseman's Wisdoms

torsdag 30 juli 2009

Otyget internet

Internet innebär oanade möjligheter till informationsinsamling och därmed också slarv med information. Dagens samhälles tekniska hjälpmedel såsom mobiltelefoner med internet, trådlösa nätverk, usb-minnen o s v, bjuder på lika många säkerhetsfällor som de underlättar arbetet och vardagen. Har man en gång fått demonstrerat för sig hur öppen även den mest krypterade (civila) överföringen på normala trådlösa nätverk är, skyr man dem så fort det handlar om någon form av känslig information. Hur många Svensson är för övrigt medvetna om att man med en relativt enkel apparatur kan koppla in sig på en hel del av de trådlös övervakningskameror som finns uppsatta runtom i stöderna? Som sagt, får man en demonstration av ett proffs på vad man med mycket enkla medel kan komma åt av den informations som surrar runtom oss blir man lite mörkrädd.


Som jag skrev härom veckan tror jag inte det var någon inom Försvarsmakten som egentligen höjde speciellt mycket på ögonbrynen åt TV 4:s reportage om säkerhetsbristerna på Försvarshögskolan och på Högkvarteret (dagens reportage). Jag tror inte det är speciellt många som är överraskade över dagens artiklar (2) heller. Smålandspostens ledare bör däremot vara lite tankeväckande.

Det är som vanligt oerhört svenskt blåögt och naivt att tro att ingen orkar bry sig om vad vi gör i lilla Sverige. Speciellt tydligt brukar detta vara då man är på tjänsteresor utomlands och möts av mobiltelefondetektorer och "mobilstekare" lite varstans. Man blir nog så röd i ansiktet om man glömt att lägga ifrån sig sin mobiltelefon innan man går på ett hemligt område och mobillarmen går igång.

Problemet med den dåliga hanteringen av hemlig information på datormedia och i etern, hävdar jag helt och fullt beror på att man inom Försvarsmakten saknar tillräckligt lättanvända och framförallt lättillgängliga verktyg för att hantera hemlig information.

Den andra delen av problemen som beskrivs är hur försvarsmaktsanställda hanterar känslig information på internet. Missionsbloggarna från framförallt Afghanistan brukar innehålla ett och annat guldkorn för den som lägger pussel. Framförallt är det dock Facebook som inbjuder till läckage. Frågan är hur smart det är att skapa en "grupp" för deltagare i en mission? Det är väl känt att motståndarsidan i Afghanistan försökt kartlägga såväl svenska som danska soldater via Facebook. På den gamla fälttelefonen m/37 står det på ovansidan "Ring av, fienden lyssnar!" (signalspaning i kabel!). Tvyärr finns det inte några liknande skyltar på internet. Kanske vore något att ha på en dymoremsa på skärmarna i welfare-containrarna?

Säkerhetsmedvetandet i det svenska samhället är överlag mycket dåligt och då är det väl rätt symptomatiskt med den folkstorm som drog igång mot FRA-lagen samtidigt som folk i allmänhet lägger ut enorma mängder av privat information på helt öppna platser som t ex Facebook?

8 kommentarer:

  1. En liten ögonblicksbild från verkligheten. Militära besökare till SÄPO ombeds låsa in mobiltelefonerna i därför avsedda fack i vestibulen innan de släpps in till mötet. En man sätter upp en synnerligen kränkt och förvånad min över denna oförskämdhet som han uppfattar som ett misstroende. Dessutom väntar han ju på ett viktigt samtal....
    Än mer förvånad och förbannad blir han då SÄPO-mannen inte köper hans argument eller imponeras av hans brösttoner.....

    Mera intressant är kanske Wisemans "man inom Försvarsmakten saknar tillräckligt lättanvända och framförallt lättillgängliga verktyg för att hantera hemlig information."
    Må så vara, men då är det ju bara att anpassa sig till dessa brister och i väntan på en bättre tingens ordning använda alternativa och säkra hanteringsmetoder!
    Bara för att den öppna vardagen är full av diverse praktiska prylar för informationshantering, något som skapat vanor som verkar omöjliga att vara utan, är det inte självklar att samma förhållanden ska råda i den H-stämplade världen.
    Acceptera att de är två skilda världar med olika förutsättningar.
    Förväntar man man sig att allt ska vara lika och utan behov av anpassning och eftertanke, är man ute på femton famnar!

    SvaraRadera
  2. Peter: Jag håller med dig i sak. Jag vill inte avslöja för mycket om hur saker och ting fungerar, men även om man är mycket mån om att hålla på säkerheten som jag, ter sig procedurerna snabbt övermäktiga, otidsenliga och oanvändbara.

    Låt mig ta ett helt öppet exempel om informationshanteringen. Stundom händer det att man kommunicerar med amerikanska försvarsmakten. Dessa (moderna människor) använder Office 2007 och sparar därmed sina dokument i detta format. Inom Försvarsmakten använder man i bästa fall Office 2003 som är inkompatibelt med det nya filformatet. Det finns ett gratisverktyg att hämta, men av någon byråkratisk anledning installeras inte detta av Försvarsmakten. Den centrala datorsupport har hittills varit helt ohjälpsam i frågan. För att lösa uppgiften blir man då tvungen att helt sonika använda en privat dator. Det blir snabbt ganska ineffektivt (och för svensk del pinsamt) att maila varenda amerikan och be dem konvertera filerna till ett äldre format.

    Liknande exempel finns inom hanteringen av hemlig information och många ger mig verkligt kalla kårar längs ryggen. Plikttrogna som många officerare är, resonerar de att det viktigaste för landet är att man löser uppgiften även om man tvingas gå utanför regelverket. Utan att ha direkt insyn i hur kommunikationen ska ske är det svårt att förstå hur problemet är beskaffat.

    Man ska tyvärr inte lasta landets officerare helt och hållet för bristande säkerhetsförståelse i det här fallet. Man kan ju hoppas att utebliven kommunikation och resultat skulle kunna få högre nivåer att förstå behovet av nya kommunikationsmedel. Tyvärr är det inte så. Allt som oftast är det alltför många filtrerande nivåer emellan, som alla till viss grad är måna om att resultatet ska bli bra.

    SvaraRadera
  3. PH skriver
    -"Acceptera att de är två skilda världar med olika förutsättningar.
    Förväntar man man sig att allt ska vara lika och utan behov av anpassning och eftertanke, är man ute på femton famnar!"

    Acceptans av dåliga system har jag fått nog av under min tid i Försvarsmakten. Tänker man på detta sätt så stannar utvecklingen!

    Effektivisering måste vara ett ledord då vi fortsätter att minska personalvolymen trots att vi har samma förmågebredd, kunskaps och utvecklingskrav.

    Här är det dock inte frågan om acceptans av ett dåligt system (Det finns ju inget, jag räknar inte kryfax, kryptotelefon som system då dessa inte finns i alla korridorer)Se till att folk kan jobba som vanligt med i alla fall "restricted" klassificerade handlingar.
    Folk försöker så att det ryker om det att hålla allting öppet så att det inte blir krångligt att skicka ut på remiss och arbeta med.
    Känner någon igen sig kanske!!??

    Bra blogg Wiseman!
    /L

    SvaraRadera
  4. L: Med tanke på hur ofta du skrivit det sista är det nog enklare om du säger till när det börjar bli dåligt! ;)

    SvaraRadera
  5. Replik!
    Kanske dags att byta ut min hemliga signatur!?
    /H

    SvaraRadera
  6. OK, även jag har genat i hörnen, gjort en egen sekretessbedömning (så dj-la hemligt är det inte) eller tänkt i banorna att verkan går före skydd.
    Även jag har svurit över allt annat än användarvänliga kryptomobiler eller att motparten inte haft tillgång till samma krypterade datorsystem som jag, så jag förstår problematiken.

    Min huvudtes var dock att, oavsett vilka förenklande, praktiska användarvänliga och spridda system som nu saknas men som kan tänkas dyka upp, får man ändå aldrig glömma distinktionen mellan hemligt och öppet.
    Hanteringen av hemlig info ska kräva eftertanke. Om inte, försvinner snart respeken för klassat material.

    Sen kan man ju konstatera att så länge som lojala officerare trollar med knäna och drar runt verksamheten med mer eller mindre säkra nödlösningar, kommer nya och bättre system inte att dyka upp. ("Det fungerar ju...").
    Riktig fart på anskaffningen lär det inte bli förrän alla strikt följer regelverket med följd att verksamheten kraschar.
    Att MUST SÄK genom åren gång på gång påpekat bristerna och följderna verkar ju inte ha hjälpt särskilt mycket.

    SvaraRadera
  7. Angående FM hantering av klassad information, kan man ställa sig en "hönan/ägget" fråga: Är det fel på FM bestämmelser (som ju rimligen påverkar framtagningen av de system som finns)? Eller är det fel på FM personal som tillämpar dessa bestämmelser på fel/rätt sätt? Eller är det kanske rentav fel på båda?

    Personligen har jag aldrig förstått varför MUST (FPAN?) aldrig tar i lite hårdare mot dem som bryter mot bestämmelserna, eller beror det just på att då faller korthuset HKV/FM ihop?

    SvaraRadera
  8. Var medvetna om att när ni använder Office så sprider dessa format mängder av information som kanske inte är avsedda för spridning - spara i RTF eller i Office 95-format istället för att minska informationsläckorna. Om ni går igenom ett word-dokument som har reviderats ett antal gånger av olika personer så kommer ni att bli överraskade vad man kan läsa ut i dold information i dokumentet.

    Säkerhet och Microsoft-produkter hör absolut inte ihop!

    /S

    SvaraRadera

FRÅN OCH MED 2015-02-28 INFÖRS EN HÅRDARE KOMMENTARSGRANSKNING.

Inga kommentarer som ligger för långt från ämnet kommer att godkännas. Ser man som sitt livs uppgift att sprida konspirationsteorier om förintelsen, 9/11 eller återge hela innehållet från Russia Today och vaken.se, så gör man bättre i att starta en egen blogg.



Helt anonyma kommentarer är avstängda. Det går dock utmärkt att kommentera anonymt, men det kräver att man först registerar ett konto hos exempelvis Google, Wordpress eller OpenID. Hos Verisigns OpenID-tjänst krävs det t ex endast att man har ett mailkonto för att man ska kunna skaffa sig ett OpenID.

Håll en god ton i kommentarerna

Det går inte att se de mailadresser fylls i så vill man ha ett privat svar måste man bifoga bifoga mailadress i själva kommentaren och be om att kommentaren inte läggs ut.

Blogger genererar ibland felkoder då kommentarer sänds in. Kommentarerna kommer ändå fram, men vill man vara på den säkra sidan kan man försöka igen. Ctrl-c kan vara klokt innan man trycker på publicera-knappen.