Läckande myndigheter gör skyddad identitet till papperskonstruktion

Åsa Schwarz om det bristande skyddet för hotade personer.

Publicerad 19 december, 2012 – 06:01, SVT Debatt

TRYGGHET 12 500 personer har skyddad identitet i Sverige. Men hundratusentals myndighetsanställda har tillgång till uppgifterna, och misstag sker alltför ofta i hanteringen. Gemensamma nationella riktlinjer för skyddade personuppgifter behövs därför omgående. I dag är ”skyddet” ofta bara en falsk trygghet, skriver Åsa Schwarz, författare och it-säkerhetsexpert.

I dag finns runt 12 500 personer med vad som slarvigt brukar benämnas som skyddad identitet i Sverige. En tredjedel av dem är barn och antalet växer. Men namnet inger falsk trygghet.

Skyddet är ofta bristfälligt.

Skatteverket godkänner om en person kan få skyddade personuppgifter. Det finns olika nivåer av skydd. Det vanligaste är att ett litet kryss blir ifyllt som anger att uppgifterna bör skyddas. Oftast är det adressen som är känsligast. Sedan synkas registret kontinuerligt med minst tretton andra myndigheter, samt kommuner och landsting. Det innebär att hundratusentals anställda kan få tillgång till uppgifterna – spridningen är enorm.

Vad är sannolikheten att någon av dem är ett rötägg? Det vet Kerstin, som fick tänderna utslagna efter att hennes före detta sambo fått tillgång till hennes journal och adress.

Samtidigt finns inga gemensamma riktlinjer för vare sig it-system eller övrig hantering. Varje organisation får uppfinna hjulet igen. Om det nu görs. Desto fler personer som har tillgång till uppgifterna, desto större är risken för ett misstag. Allt för många patienter har fått sina namn upplästa i väntsalen, trots att de har skyddade uppgifter.

Även om man har det något högre skyddet som kallas kvarskrivning, är problemen stora. Barn måste kunna gå i förskola och skola. Studenter måste kunna få studielån. Alla måste kunna få sjukvård och hämta ut mediciner. För att inte tala om att arbeta, hyra en bostad eller ha ett abonnemang. Fortfarande finns det inga nationella riktlinjer. Okunskapen är stor och tekniken brister så mycket att det oftast är säkrast att inte registrera något i datorsystem alls.

Undervisning och information kryper ut på internet och i de sociala medierna. Men det finns barn och vuxna vars fotografier och namn aldrig får cirkulera där. Det händer tyvärr allt för ofta av misstag. Även om ett barn utesluts från ett klassfoto kan det säga mer än om det finns kvar.

Vad vi ser här är ett systemfel. Vid arbete med säkerhetsfrågor är det viktigt att analysera hela kedjan. Alla delarna i ett informationsflöde måste vara skyddat, annars  faller hela arbetet. Att stifta lagar och sedan hänvisa till att alla ska följa dem fungerar inte.

De största problemen uppstår när information passerar mellan olika organisationer. Som till exempel förSusan och hennes tre söner, som lever under kidnappningshot. De tvingades flytta när ett av barnen ansökte till gymnasiet och betygen skrevs in i en databas.

Frågan är vad Beatrice Ask tänker göra för utsatta människor verkligen får det skydd som de behöver? Det behövs, precis som Barnombudsmannen nyligen påpekade i rapporten Oskyddad, gemensamma natioenlla riktlinjer för skyddade personuppgifter i Sverige. De borde ha målgrupper som skola, vård, företag och myndigheter och säkerställa att uppgifterna även skyddas över organisationsgränserna.

Att peka på varje myndighet separat håller inte längre. Samma säkra rutiner ska gälla när en person med skyddad identitet söker vård i Stockholm som i Umeå. Samma krav ska finnas för it-system som hanterar uppgifterna. Utmaningen är att göra det lätt och enkelt. Alla måste kunna förstå.

Men det svåra är inte att skriva riktlinjer – det svåra är att se till att skyddet verkningen införs och följs upp. Någon måste ha ansvar för helheten för att de ska gå. Sist men inte måste arbetet gå fort. Lösningen borde ha funnits redan för tio år sedan.

Åsa Schwarz, författare och konsult inom it-säkerhe

Chefredaktörer har gått Anonymous ärenden

Åsa Schwarz om medierapporteringen kring hackerattackerna:

Svenska chefredaktörer har gått Anonymous ärenden
Publicerad 17 oktober, 2012 – 07:00, på SVT Debatt.

IT-SÄKERHET Dagligen genomförs långt värre brott på internet än Anonymous överbelastningsattacker. Ändå fick hackerangreppen mot svenska hemsidor för ett par veckor sedan både kvällstidningslöp och förstasidor. Chefredaktörerna borde reflektera över sin egen roll i saken. Den dag det blir allvar måste allmänheten kunna lita på att vi får korrekt information, skriver Åsa Schwarz, författare och it-säkerhetsexpert.

För två veckor sedan rapporterade tidningarna hur en våg av farliga hackerangrepp svepte över Sverige. Myndigheter som Riksbanken, Polisen och Socialstyrelsen var nere för räkning. Sverige var utslaget.

Problemet är bara att det inte var sant. Visserligen pågick angrepp, men det var överbelastningsattacker. Sådana innebär att ingen ändrar eller förstör i myndigheternas datorsystem – det är bara svårt att komma åt deras hemsidor för en kortare period, eftersom stora mängder av data skyfflas mot dem.

Men verksamheten kunde fortgå som vanligt under tiden. Dessutom hade polisen hela situationen under kontroll, och attackerna ebbade ut efter att de tagit in en misstänkt för förhör. Slutsatsen är därför att de aldrig var farliga och inte hade någon effekt alls.

Ändå fick hackergruppen Anonymous som genomförde angreppet tidningarnas löp och förstasidor. De uppnådde med råge sitt mål att få uppmärksamhet för sina något diffusa sakfrågor. Svenska chefredaktörer borde reflektera över sin egen roll i den saken.

Dagligen genomförs nämligen mycket värre brott på internet än Anonymous överbelastningsattacker. Ryska ligor försöker lura oss på våra bankuppgifter, pedofiler lagrar vidriga bilder och hackerangrepp i utpressningssyfte sker mot företag. Polisen sliter sitt hår och är tvungna att prioritera hårt.

Den löpande brottsligheten är obehaglig, men inte heller den slår ut Sverige. Föreställ er istället ett scenario med ett nätverk av personer som vi kan kalla Known med en stark ledare som heter, säg, Julian Brevik. De är fanatiska. Till skillnad mot Anonymous har de dessutom hög teknisk kunskap, och vet hur Sverige fungerar.

Då blir det farligt.

Istället för att angripa några hemsidor ger de sig på Sveriges kraftnät och teleoperatörer – det råkar nämligen vara så att kraftnätet är svårt att få igång utan fungerande telefoner, och vise versa. För att göra det ännu svårare för samhället att fungera ger de sig även på SJ och SAS. Det kanske inte går att boka biljetter längre? Medierna behöver de inte slå ut om tidningarna fortsätter i samma stil som i fallet med Anonymous.

Enda skillnaden mot nu är att Sverige faktiskt har upphört att fungera.

Ansvaret för it-säkerheten i Sverige är fördelat över ett antal myndigheter. Myndigheten för samhällsskydd och beredskap har ett samordningsansvar. När jag går in på deras webbplats hittar jag bra information om hur drabbade skyddar sig mot överbelastningsattacker. Men ingenstans finns en analys av hur (långt ifrån) allvarligt läget var i relation till myndigheternas verksamheter under Anonymous attack.

Om en sådan ändå har gjorts, kan den inte ha förmedlas till medierna på ett effektivt sätt.

Vi har alltså en bristfällig kommunikation till tidningar, som istället för att förmedla verkligheten väljer att gå på vad maskklädda Anonymous säger i dramatiska videoklipp. Vi har ett antal myndigheter som ska samarbeta runt it-säkerhetsfrågor, men som inte levererar en analys av läget till massmedierna. Det här är ett systemfel som måste åtgärdas.

Jag tror att en centralisering av it-säkerhetsfrågorna skulle minska risken för den här typen av problem. Samtidigt skulle det vara lättare för myndigheter att attrahera it-säkerhetsexperter om de fick arbeta gemensamt i en större grupp. Vi måste också ha en tydlig organisation som medierna kan vända sig till. Svenska dagstidningar får helt enkelt inte skrika att vargen kommer när vi inte ens ser skymten av en svans.

Den dagen allmänheten verkligen behöver korrekt information måste vi kunna ta den på allvar.

Åsa Schwarz, författare och konsult inom it-säkerhet