Svenska företags och myndigheters e-postservrar i utlandet kan leda till avlyssning på hemmaplan

Träna katastrofhantering, för när det smäller blir det omfattande. Så säger Tietos kundchef Nils Boghammar i förra fredagens CS. Ett klokt råd i och för sig, men betonade man det också när avtalen skrevs? Och har Stockholms stad tänkt över integritetsaspekterna av en upphandling av spamfiltrering som resulterar i att en del elektronisk post skickas via USA?

Ett informationssamhälle för alla kräver att inte minst den offentliga förvaltningen är en god föregångare i användningen av IT. Allmänhetens rättmätiga krav på insyn i – och service från – den offentliga förvaltningen ska tillgodoses.

Medel för detta är till exempel att alla myndigheter i offentlig förvaltning erbjuder en hög servicegrad, att de är nåbara elektroniskt och att de kan erbjuda tjänster för distribution och insamling av information via internet. Detta ska ske med god tillförlitlighet, tillgänglighet och säkerhet. Det ska gå att säkert kommunicera inom landet och med omvärlden. Elektroniska affärer ska kunna bedrivas säkert.

Ett informationssamhälle för alla förutsätter även att hela den infrastruktur som informationen beror av är säker och tillgänglig.

Amen.

Som klippt och skuret ur vilken förvaltningspolitisk utredning som helst.

Tilltron till informationsteknik är i mycket stor grad beroende av tilltron till de tekniska systemen. Det betyder också tilltro till att systemen bevarar och garanterar sekretess, äkthet och riktighet av den information som hanteras. I förvaltningssammanhang är detta särskilt viktigt, inte minst för den personliga integriteten och medborgarnas trygghet.

En utbredd användning av kryptering och elektroniska signaturer har alltid lyfts fram som viktiga åtgärder för att garantera acceptabla nivåer avseende dessa former av säkerhet. Kryptering är av särskild betydelse för kommunikationssäkerhet och kan utnyttjas på olika sätt beroende på krav på säkerhetsnivå.

Säkerhetsarbete kräver ett visst mått av aktiva åtgärder. Dessa kan omfatta åtgärder som vaksamhet, upptäckt av avvikelser, övervakning, incidenthantering och ytterst krishantering. Aktiva åtgärder omfattar också ständigt pågående förbättringar till följd av förändrad teknik och förändrade tillämpningar, förändrad hotbild och uppkommna incidenter.

Aktiva åtgärder omfattar även metoder för att uppnå spårbarhet (exempelvis säkra bevis genom loggar). På det behövs rutiner för hur driften återtas och information återställs så långt möjligt.

Av särskild betydelse är även att göra användarna medvetna om sitt ansvar och att göra regelbundna risk- och säkerhetsanalyser och upprätta konkreta handlingsplaner i syfte att öka säkerhetsnivån.

Så här skrev Försvarsdepartementet en gång i en departementsskrivelse från 2001:

I informationsåldern transformeras samhället från sektorer till nätverk. Det ställer stora krav på ett helhetsperspektiv på samhället. Säkerhetsarbetet blir gränslöst när gränserna mellan olika system suddas ut. Det ställer också krav på en gemensam grundläggande säkerhetsnivå i nätverkssamhället eftersom nätet inte har ett finare skydd än sin största maska.

Vi har alla hört till leda om att säkerhetsfrågorna måste beaktas redan från första början vid all utveckling inom IT-området. Säkerhetsfunktioner som måste tillföras i efterhand innebär problem och ökade kostnader.

Stora ord – stora brister

Det finns mängder av utredningar som genom åren beskrivit en idealbild av hur samhällets IT-säkerhet ska vara inrättad och fungera. Dessvärre har den inte riktigt ätit sig in i medvetandet hos de som har till uppgift att upphandla tjänster som till exempel extern drift, digitala signaturer, kryptering eller spamfiltrering.

Men hur kommer det sig då att vi 2011 drabbas av den största kraschen i svensk historia där vissa kunder inte fått tillbaka driften ens efter 4 veckor? Nu kommer snart en rapport som väntas innehålla svidande kritik mot leverantören och krav på hårdare regler för offentliga upphandlingar. Notan för haveriet beräknas till 45 miljoner.

Och hur kommer det sig att Stockholms Stad, trots de risker det innebär för medborgarnas personliga integritet, ändå väljer att låta e-post studsa via USA för spamtvätt enbart med hänvisning till en samling frivilliga regler om personlig integritet som USA:s handelsdepartement har tagit fram?

Många kommuners e-postservrar placerade i utlandet

18 procent av kommunerna hade sina e-postservrar placerade i utlandet 2011 enligt .SE:s undersökning av hälsoläget i .se-zonen.

Den huvudsakliga anledningen till placeringen av e-postservrar utanför landet är att verksamheter anlitar någon tredjepartsleverantör för att hantera filtrering av virus och skräppost (spam) för deras räkning. En konsekvens av att till exempel myndigheters och kommuners e-postservrar är placerade utanför Sverige blir att en hel del av bland annat den offentliga förvaltningens e-postkommunikation passerar ett främmande land på sin väg till mottagaren.

Med tanke på att kommunikationen enligt vår undersökning ofta är oskyddad innebär det en onödig risk för exponering av känslig information. Vi vet att det är mindre än hälften av de undersökta verksamheterna som använder kryptering för transportskydd av elektronisk post.

Att svensk e-post skickas till annat land kan ge FRA rätt att avlyssna

Det vi bland annat vill visa med denna del av undersökningen är att det faktum att e-post som skickas från svenska företag och myndigheter till något annat land för exempelvis spamfiltrering eller virustvätt kan få konsekvenser i Sverige med det regelverk som finns i den mycket omdebatterade FRA-lagen som riksdagen fattade beslut om 2009. Att ha e-postservrarna i utlandet innebär de facto att informationen passerar landets gränser och sedan kommer tillbaka, vilket gör det mer eller mindre omöjligt att avgöra om det är svensk trafik eller inte.

Det innebär också att inte bara den svenska utan även utländska underrättelsetjänster utan större svårighet kan avlyssna trafiken. Placeringen av servrar i utlandet medför att all information passerar Sveriges gränser och att främmande stater och andra mycket enkelt kan komma åt information som kan vara känslig på ett eller annat sätt.

Det är omöjligt att säga hur medvetna verksamhetsansvariga är om att så är fallet, och om de i så fall gjort någon konsekvensanalys.

Etiketter: , , , , , , , , , , , , , Foto: Wireless-internet-Security.jpg av CyberHades (CC BY-NC 2.0)
Fyll gärna i vår enkät.

Om bloggaren

Anne-Marie Eklund Löwinder Säkerhetschef, IIS Rankad som en av Sveriges främsta IT-säkerhetsexperter. En av få utvalda i världen att delta i nyckelgenereringen för DNSSEC i rotzonen för internet. Ledamot i ett flertal styrelser och remissvarare på statens offentliga utredningar om internet och säkerhet.

Lämna en kommentar

Svara på en kommentar

Obligatoriskt

Frivilligt

Kommentarer

  • LL 19 februari 2012, kl 10.57

    Ett mycket bra blogginlägg.

    Det är rejält sorgligt, och närmast pinsamt, att vi i Sverige, som i sammanhanget får anses vara långt framme när det gäller att använda IT i olika sammanhang, med hög kompetens inom landet, har kommuner, myndigheter och organisationer som brister i att se till alla delar av informationsteknikens säkerhetsaspekter.

    Att låta trafik gå utanför landet för något så trivialt som kontroll av ev. virus och spam måste anses vara rejält ogenomtänkt; detta handlar om trafik till och från förvaltningen av Sverige, dess kommuner och landsting, som även kan beröra enskilda medborgare. Kanske är orsaken att denna aspekt av IT-säkerhet, att tvätta e-post, har låg prioritet i sammanhanget givet allt annat som ska hanteras; säkerhetskopieringar, tillgänglighet, redundans etc. Då kanske det är dags att vakna, för även om en enskild medborgare inte berörs så önskar man som medborgare att förvaltningens alla delar sköts professionellt, och inom landets gränser.

    Svara
    • Christian 19 februari 2012, kl 14.56

      Håller helt med dig! Att det finns organisationer/myndigheter i Sverige, som ett av de länder där internet används av störst andel av befolkningen är som du säger rent pinsamt och oroväckande. Vad kan de möjligtvis få ut av att låta trafiken gå utanför landet, förutom att spara pengar då?

      Svara
      • Rikard Zetterberg 30 mars 2012, kl 09.43

         Eftersom det ändå inte är möjligt att styra vilken väg e-post skickas över internet så bör kriterierna för e-postsäkerhetslösning handla om vem som kan erbjuda den högsta säkerheten för minst skattepengar.

        Svara
  • Anne-Marie Eklund Löwinder
    Anne-Marie Eklund-Löwinder 23 februari 2012, kl 10.07

    Nu är analysen äntligen publicerad. Här finns rapporten från MSB! https://www.msb.se/sv/Start1/Nyheter-fran-MSB/Nyheter/Studie-av-samhallskonsekvenser-efter-Tieto-storningarna/

    Svara
  • Rikard Zetterberg 28 februari 2012, kl 17.17

    Intressanta funderingar, men jag är rädd att detta kan misstolkas och ingjuta en falsk kännsla av säkerhet hos de som behåller sin fysiska utrustning inom Sveriges geografiska gränser.

    Traditionell ”geografi” fungerar helt enkelt inte på internet. internet är gränslöst och det är omöjligt att styra vilken väg t.ex. e-posttrafiken flyger fram.

    Det vore inte heller särskillt svårt för en välbärgad främmande makt att ta del av information som mot förmodan skulle stanna på de svenska koppar- och fiber-ledningarna.

    Jag anser att kryptering av kännslig information som skickas via det öppna internet är en betydligt viktigare fråga och tyvärr något som många organisationer slarvar med.

    Svara
    • Anne-Marie Eklund Löwinder
      Anne-Marie Eklund-Löwinder 29 februari 2012, kl 09.01

      Helt riktigt. Man ska också skilja mellan transport och lagring. Det går att ställa krav på lagring på servrar inom landet, eller åtminstone inom EU. Att trafiken tar olika vägar är jag väl medveten om, därför lyfter jag också fram behovet av kryptering. Nu har vi fakta från våra undersökningar som säger att det är mindre än 50 procent som använder servrar som ens har stöd för TLS, siffror som talar för sig själva.

      Svara
      • Rikard Zetterberg 1 mars 2012, kl 11.17

        Verkligen intressanta och anmärkningsvärda siffror, speciellt med tanke på att TLS är standardiserat och i princip gratis.

        Svara