IT-upphandlare med huvuden i sanden

Det finns mängder av utredningar som genom åren beskrivit en idealbild av hur samhällets IT-säkerhet ska vara inrättad och fungera. Dessvärre har de inte riktigt ätit sig in i medvetandet hos de som har till uppgift att upphandla tjänster som till exempel extern drift, digitala signaturer, kryptering eller spamfiltrering.

Hur kommer det sig att vi 2011 drabbas av den största kraschen i svensk historia där vissa kunder inte fått tillbaka driften ens efter fyra veckor? MSB:s studie av samhällskonsekvenser efter Tietostörningarna innehåller svidande kritik mot leverantörerna och krav på hårdare regler för offentliga upphandlingar.

Hur kommer det sig att Stockholms Stad, trots de risker det innebär för medborgarnas personliga integritet, ändå väljer att låta e-post studsa via USA för spamtvätt enbart med hänvisning till en samling frivilliga regler om personlig integritet som USA:s handelsdepartement har tagit fram?

Vid den årliga undersökning av Hälsoläget i .se som vi företar brukar vi lyfta fram att det är en stor andel av de undersökta verksamheterna som har sina e-postservrar placerade i utlandet. Den huvudsakliga anledningen till placeringen är med största sannolikhet att verksamheter anlitar någon tredjepartsleverantör för att sköta om filtrering av virus och skräppost (spam).

För att hantera skräpposten skickar alltså svenska myndigheter och företag all sin inkommande e-post, oavsett innehåll, via spamfilter som filtrerar bort skräpposten. En stor del av dessa filter levereras av företag med servrar i utlandet, främst Storbritannien, Danmark och Tyskland men även USA och Rumänien. Därmed får dessa länders myndigheter i teorin möjlighet att övervaka e-posten, på samma sätt som FRA har rätt att övervaka all datatrafik som skickas till Sverige.

12 procent av myndigheterna, 18 procent av kommunerna och hela 34 procent av mediaföretagen hade sina e-postservrar placerade i utlandet 2011 enligt .SE:s senaste undersökning av hälsoläget i .se-zonen.

Med tanke på att kommunikationen enligt .SE:s undersökning dessutom ofta är oskyddad innebär det en onödig risk för exponering av känslig information. Vi vet att det är mindre än hälften av de undersökta verksamheterna som använder kryptering för transportskydd av elektronisk post.

Vi kan bland annat visa med denna del av undersökningen att e-post som skickas från svenska företag och myndigheter till något annat land, för exempelvis spamfiltrering eller virustvätt, kan få konsekvenser i Sverige. Det handlar om regelverket som finns i den mycket omdebatterade FRA-lagen, som riksdagen fattade beslut om 2009.

Att ha e-postservrarna i utlandet innebär de facto att informationen passerar landets gränser och sedan kommer tillbaka, vilket gör det mer eller mindre omöjligt att avgöra om det är svensk trafik eller inte.

Det innebär också att inte bara den svenska utan även utländska underrättelsetjänster utan större svårighet kan avlyssna trafiken. Placeringen av servrar i utlandet medför att all information passerar Sveriges gränser och att främmande stater och andra mycket enkelt kan komma åt information som kan vara känslig på ett eller annat sätt.

En konsekvens av att myndigheters och kommuners e-postservrar är placerade utanför Sverige blir följaktligen att en hel del av den offentliga förvaltningens e-postkommunikation passerar ett främmande land på sin väg till mottagaren, vilket lämnar en hel del spår av hur kommunikationen går mellan myndigheterna.

En konsekvens av att medieföretagens e-postservrar är placerade utanför Sverige blir att det är omöjligt att upprätthålla meddelarskyddet i kommunikationen mellan uppgiftslämnare och journalister.

Samtidigt vet vi att det fortfarande bara är hälften av de undersökta verksamheterna som använder kryptering för transportskydd av elektronisk post. Endast 50 procent av de undersökta domänerna har stöd för transportskydd med kryptering för inkommande e-post.

Om e-posten går okrypterad via något annat land är det enkelt att avlyssna innehållet. Frågan är hur sunt det är att skicka e-post med exempelvis känslig information mellan offentliga verksamheter via utlandet? Man kan undra vad som händer med svensk e-post som innehåller information eller namnuppgifter som är intressanta för utländsk underrättelsetjänst? Eller är vi så naiva att vi inte tror att andra länder har något intresse av oss?

Alltför många verksamheter väljer att skicka e-post för exempelvis spamtvätt via utlandet samtidigt som de inte vidtar tillräckliga åtgärder för att skydda informationen från insyn.  Riktlinjer om vad som är acceptabelt när det gäller skräpposthantering och virustvätt borde finnas åtminstone i offentlig förvaltning, men även inom media.

Det borde inte vara accepterat att exempelvis svenska myndigheter och kommuner skickar sin e-post utomlands, åtminstone inte utan att det ställs relevanta och enhetliga krav på transportskydd och kryptering.

Det är omöjligt att säga hur medvetna verksamhetsansvariga är om att det är ett problem, och om de i så fall gjort någon konsekvensanalys. Mycket tyder dock på att så inte är fallet.

Anne-Marie Eklund Löwinder är kvalitets- och säkerhetschef på .SE. Anne-Marie har rankats som en av Sveriges främsta IT-säkerhetsexperter av CS och har även mottagit Kjell Hultman-stipendiet av Dataföreningen för sina insatser inom området. Hon har många uppdrag inom området och är bland annat ledamot i MSB:s Informationssäkerhetsråd, utvald av ICANN/IANA att vara Trusted Community Representative och Crypto Officer för hantering av DNSSEC i rotzonen samt ledamot i styrelsen för SNUS, Swedish Network Users' Society.

Ann-Marie satt också med i de första arbets- och referensgrupperna för informations- säkerhetsstandarden LIS inom standardisteringsorganen SIS och myndigheten Swedac. Hon läser och besvarar flitigt remisser på statens offentliga utredningar inom allt som berör Internet och säkerhet. Bland tidigare arbetsgivare finns Statskontoret och IT-kommissionen. Ann-Marie har en systemvetenskaplig utbildning från Stockholms universitet.

Ser du någon kommentar som du tycker är kränkande eller olaglig? Då kan du anmäla den här >>