Svenska företags och myndigheters e-postservrar i utlandet kan leda till avlyssning på hemmaplan

Träna katastrofhantering, för när det smäller blir det omfattande. Så säger Tietos kundchef Nils Boghammar i förra fredagens CS. Ett klokt råd i och för sig, men betonade man det också när avtalen skrevs? Och har Stockholms stad tänkt över integritetsaspekterna av en upphandling av spamfiltrering som resulterar i att en del elektronisk post skickas via USA?

Ett informationssamhälle för alla kräver att inte minst den offentliga förvaltningen är en god föregångare i användningen av IT. Allmänhetens rättmätiga krav på insyn i – och service från – den offentliga förvaltningen ska tillgodoses.

Medel för detta är till exempel att alla myndigheter i offentlig förvaltning erbjuder en hög servicegrad, att de är nåbara elektroniskt och att de kan erbjuda tjänster för distribution och insamling av information via internet. Detta ska ske med god tillförlitlighet, tillgänglighet och säkerhet. Det ska gå att säkert kommunicera inom landet och med omvärlden. Elektroniska affärer ska kunna bedrivas säkert.

Ett informationssamhälle för alla förutsätter även att hela den infrastruktur som informationen beror av är säker och tillgänglig.

Amen.

Som klippt och skuret ur vilken förvaltningspolitisk utredning som helst.

Tilltron till informationsteknik är i mycket stor grad beroende av tilltron till de tekniska systemen. Det betyder också tilltro till att systemen bevarar och garanterar sekretess, äkthet och riktighet av den information som hanteras. I förvaltningssammanhang är detta särskilt viktigt, inte minst för den personliga integriteten och medborgarnas trygghet.

En utbredd användning av kryptering och elektroniska signaturer har alltid lyfts fram som viktiga åtgärder för att garantera acceptabla nivåer avseende dessa former av säkerhet. Kryptering är av särskild betydelse för kommunikationssäkerhet och kan utnyttjas på olika sätt beroende på krav på säkerhetsnivå.

Säkerhetsarbete kräver ett visst mått av aktiva åtgärder. Dessa kan omfatta åtgärder som vaksamhet, upptäckt av avvikelser, övervakning, incidenthantering och ytterst krishantering. Aktiva åtgärder omfattar också ständigt pågående förbättringar till följd av förändrad teknik och förändrade tillämpningar, förändrad hotbild och uppkommna incidenter.

Aktiva åtgärder omfattar även metoder för att uppnå spårbarhet (exempelvis säkra bevis genom loggar). På det behövs rutiner för hur driften återtas och information återställs så långt möjligt.

Av särskild betydelse är även att göra användarna medvetna om sitt ansvar och att göra regelbundna risk- och säkerhetsanalyser och upprätta konkreta handlingsplaner i syfte att öka säkerhetsnivån.

Så här skrev Försvarsdepartementet en gång i en departementsskrivelse från 2001:

I informationsåldern transformeras samhället från sektorer till nätverk. Det ställer stora krav på ett helhetsperspektiv på samhället. Säkerhetsarbetet blir gränslöst när gränserna mellan olika system suddas ut. Det ställer också krav på en gemensam grundläggande säkerhetsnivå i nätverkssamhället eftersom nätet inte har ett finare skydd än sin största maska.

Vi har alla hört till leda om att säkerhetsfrågorna måste beaktas redan från första början vid all utveckling inom IT-området. Säkerhetsfunktioner som måste tillföras i efterhand innebär problem och ökade kostnader.

Stora ord – stora brister

Det finns mängder av utredningar som genom åren beskrivit en idealbild av hur samhällets IT-säkerhet ska vara inrättad och fungera. Dessvärre har den inte riktigt ätit sig in i medvetandet hos de som har till uppgift att upphandla tjänster som till exempel extern drift, digitala signaturer, kryptering eller spamfiltrering.

Men hur kommer det sig då att vi 2011 drabbas av den största kraschen i svensk historia där vissa kunder inte fått tillbaka driften ens efter 4 veckor? Nu kommer snart en rapport som väntas innehålla svidande kritik mot leverantören och krav på hårdare regler för offentliga upphandlingar. Notan för haveriet beräknas till 45 miljoner.

Och hur kommer det sig att Stockholms Stad, trots de risker det innebär för medborgarnas personliga integritet, ändå väljer att låta e-post studsa via USA för spamtvätt enbart med hänvisning till en samling frivilliga regler om personlig integritet som USA:s handelsdepartement har tagit fram?

Många kommuners e-postservrar placerade i utlandet

18 procent av kommunerna hade sina e-postservrar placerade i utlandet 2011 enligt .SE:s undersökning av hälsoläget i .se-zonen.

Den huvudsakliga anledningen till placeringen av e-postservrar utanför landet är att verksamheter anlitar någon tredjepartsleverantör för att hantera filtrering av virus och skräppost (spam) för deras räkning. En konsekvens av att till exempel myndigheters och kommuners e-postservrar är placerade utanför Sverige blir att en hel del av bland annat den offentliga förvaltningens e-postkommunikation passerar ett främmande land på sin väg till mottagaren.

Med tanke på att kommunikationen enligt vår undersökning ofta är oskyddad innebär det en onödig risk för exponering av känslig information. Vi vet att det är mindre än hälften av de undersökta verksamheterna som använder kryptering för transportskydd av elektronisk post.

Att svensk e-post skickas till annat land kan ge FRA rätt att avlyssna

Det vi bland annat vill visa med denna del av undersökningen är att det faktum att e-post som skickas från svenska företag och myndigheter till något annat land för exempelvis spamfiltrering eller virustvätt kan få konsekvenser i Sverige med det regelverk som finns i den mycket omdebatterade FRA-lagen som riksdagen fattade beslut om 2009. Att ha e-postservrarna i utlandet innebär de facto att informationen passerar landets gränser och sedan kommer tillbaka, vilket gör det mer eller mindre omöjligt att avgöra om det är svensk trafik eller inte.

Det innebär också att inte bara den svenska utan även utländska underrättelsetjänster utan större svårighet kan avlyssna trafiken. Placeringen av servrar i utlandet medför att all information passerar Sveriges gränser och att främmande stater och andra mycket enkelt kan komma åt information som kan vara känslig på ett eller annat sätt.

Det är omöjligt att säga hur medvetna verksamhetsansvariga är om att så är fallet, och om de i så fall gjort någon konsekvensanalys.

Etiketter: , , , , , , , , , , , , , Foto: Wireless-internet-Security.jpg av CyberHades (CC BY-NC 2.0)

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.