Oj, jag skickade mailet till fel adress.

”Börja med att förutsätta att mejlsystemet är affärskritiskt Och se till att verksamheten fattar beslut om vilka upptider som är rimliga.”, skriver Åsa Schwarz.

Publicerad: 2012-05-25 03:00, i Computer Sweden.

Jag blev iskall i magen. Hjärtat slog ett extra slag. Jag var tvungen att läsa mottagaren till mejlet en extra gång. Det var fel adress. Jag ville sjunka genom marken. Jag hade skickat ett brev där jag skrev hur tråkigt mitt jobb var till chefen i stället för till sambon. De hade samma förnamn.

Känner du igen det där? Det behöver inte vara till chefen, det kan lika gärna vara affärshemligheter till en konkurrent eller kärleksbrev till fel kollega. När jag har analyserat säkerhetsproblem med mejlsystem så är den vanligaste incidenten att brev kommer fel när användaren varit för snabb och valt fel mottagare.

Ett annat problem är att mejl oftast skickas i klartext vilket gör att vem som helst som fångar upp trafiken kan läsa mejlet. Detsamma gäller om någon stulit eller hackat sig in på en dator där det finns en mejlklient. Allt går att läsa. Det är dessutom lätt att fejka avsändaradressen och därmed hela innehållet. Sammanfattningsvis så är majoriteten av mejlsystem inte säkra.

Det konstiga är att många företag fortfarandeenvist anser att mejlsystemet inte är affärskritiskt. Jag hävdar att de har fel. Under det senaste tio åren har vi ändrat vårt sätt att arbeta. I många företag skickas nästan all information någon gång via mejlsystemet. Samtidigt blir vi allt mer mobila och får mejl i telefoner och surfplattor. De flesta människor har någon gång blivit av med sin mobiltelefon.

Det finns två vägar att gå för att minska risken. Den ena är att skaffa ett nytt system eller uppgradera det befintliga så att det har funktioner för kryptering och signering. Det är lätt och relativt billigt. Problemet är att det även måste finnas en struktur för hantering av krypteringsnycklar, inte bara internt utan även med samarbetspartner. Det är inte alls lika lätt och det är där projektet ofta strandar.

Den andra vägen är vara pragmatisk. Börja med att förutsätta att mejlsystemet är affärskritiskt och se till att verksamheten fattar beslut om vilka upptider som är rimliga. Utifrån det är det lätt att arbeta med tillgänglighetsfrågor som elförsörjning, internetleverantörer och säkerhetskopiering.

Se därefter över klientsidan, speciellt den mobila. Det viktiga är att se på telefoner på samma sätt som datorer. De ska levereras till användarna med fördefinierade säkerhetsinställningar. Allt annat är dömt att misslyckas. Det ska finnas regler för uppdateringar, brandvägg, antivirus och kryptering . Lösenord och automatisk utloggning ska vara obligatoriskt.

Nyckeln är att ifrågasätta hur mycket information som behöver ligga på klienterna. Ibland räcker det med dagens mejl utan bilagor. Då minskar risken betydligt.

Slutligen ska mejlen användas med sunt förnuft. Det är lättare sagt än gjort. Det finns minst en som saknar det i alla större organisationer.

Läckande myndigheter gör skyddad identitet till papperskonstruktion

Åsa Schwarz om det bristande skyddet för hotade personer.

Publicerad 19 december, 2012 – 06:01, SVT Debatt

TRYGGHET 12 500 personer har skyddad identitet i Sverige. Men hundratusentals myndighetsanställda har tillgång till uppgifterna, och misstag sker alltför ofta i hanteringen. Gemensamma nationella riktlinjer för skyddade personuppgifter behövs därför omgående. I dag är ”skyddet” ofta bara en falsk trygghet, skriver Åsa Schwarz, författare och it-säkerhetsexpert.

I dag finns runt 12 500 personer med vad som slarvigt brukar benämnas som skyddad identitet i Sverige. En tredjedel av dem är barn och antalet växer. Men namnet inger falsk trygghet.

Skyddet är ofta bristfälligt.

Skatteverket godkänner om en person kan få skyddade personuppgifter. Det finns olika nivåer av skydd. Det vanligaste är att ett litet kryss blir ifyllt som anger att uppgifterna bör skyddas. Oftast är det adressen som är känsligast. Sedan synkas registret kontinuerligt med minst tretton andra myndigheter, samt kommuner och landsting. Det innebär att hundratusentals anställda kan få tillgång till uppgifterna – spridningen är enorm.

Vad är sannolikheten att någon av dem är ett rötägg? Det vet Kerstin, som fick tänderna utslagna efter att hennes före detta sambo fått tillgång till hennes journal och adress.

Samtidigt finns inga gemensamma riktlinjer för vare sig it-system eller övrig hantering. Varje organisation får uppfinna hjulet igen. Om det nu görs. Desto fler personer som har tillgång till uppgifterna, desto större är risken för ett misstag. Allt för många patienter har fått sina namn upplästa i väntsalen, trots att de har skyddade uppgifter.

Även om man har det något högre skyddet som kallas kvarskrivning, är problemen stora. Barn måste kunna gå i förskola och skola. Studenter måste kunna få studielån. Alla måste kunna få sjukvård och hämta ut mediciner. För att inte tala om att arbeta, hyra en bostad eller ha ett abonnemang. Fortfarande finns det inga nationella riktlinjer. Okunskapen är stor och tekniken brister så mycket att det oftast är säkrast att inte registrera något i datorsystem alls.

Undervisning och information kryper ut på internet och i de sociala medierna. Men det finns barn och vuxna vars fotografier och namn aldrig får cirkulera där. Det händer tyvärr allt för ofta av misstag. Även om ett barn utesluts från ett klassfoto kan det säga mer än om det finns kvar.

Vad vi ser här är ett systemfel. Vid arbete med säkerhetsfrågor är det viktigt att analysera hela kedjan. Alla delarna i ett informationsflöde måste vara skyddat, annars  faller hela arbetet. Att stifta lagar och sedan hänvisa till att alla ska följa dem fungerar inte.

De största problemen uppstår när information passerar mellan olika organisationer. Som till exempel förSusan och hennes tre söner, som lever under kidnappningshot. De tvingades flytta när ett av barnen ansökte till gymnasiet och betygen skrevs in i en databas.

Frågan är vad Beatrice Ask tänker göra för utsatta människor verkligen får det skydd som de behöver? Det behövs, precis som Barnombudsmannen nyligen påpekade i rapporten Oskyddad, gemensamma natioenlla riktlinjer för skyddade personuppgifter i Sverige. De borde ha målgrupper som skola, vård, företag och myndigheter och säkerställa att uppgifterna även skyddas över organisationsgränserna.

Att peka på varje myndighet separat håller inte längre. Samma säkra rutiner ska gälla när en person med skyddad identitet söker vård i Stockholm som i Umeå. Samma krav ska finnas för it-system som hanterar uppgifterna. Utmaningen är att göra det lätt och enkelt. Alla måste kunna förstå.

Men det svåra är inte att skriva riktlinjer – det svåra är att se till att skyddet verkningen införs och följs upp. Någon måste ha ansvar för helheten för att de ska gå. Sist men inte måste arbetet gå fort. Lösningen borde ha funnits redan för tio år sedan.

Åsa Schwarz, författare och konsult inom it-säkerhe

Chefredaktörer har gått Anonymous ärenden

Åsa Schwarz om medierapporteringen kring hackerattackerna:

Svenska chefredaktörer har gått Anonymous ärenden
Publicerad 17 oktober, 2012 – 07:00, på SVT Debatt.

IT-SÄKERHET Dagligen genomförs långt värre brott på internet än Anonymous överbelastningsattacker. Ändå fick hackerangreppen mot svenska hemsidor för ett par veckor sedan både kvällstidningslöp och förstasidor. Chefredaktörerna borde reflektera över sin egen roll i saken. Den dag det blir allvar måste allmänheten kunna lita på att vi får korrekt information, skriver Åsa Schwarz, författare och it-säkerhetsexpert.

För två veckor sedan rapporterade tidningarna hur en våg av farliga hackerangrepp svepte över Sverige. Myndigheter som Riksbanken, Polisen och Socialstyrelsen var nere för räkning. Sverige var utslaget.

Problemet är bara att det inte var sant. Visserligen pågick angrepp, men det var överbelastningsattacker. Sådana innebär att ingen ändrar eller förstör i myndigheternas datorsystem – det är bara svårt att komma åt deras hemsidor för en kortare period, eftersom stora mängder av data skyfflas mot dem.

Men verksamheten kunde fortgå som vanligt under tiden. Dessutom hade polisen hela situationen under kontroll, och attackerna ebbade ut efter att de tagit in en misstänkt för förhör. Slutsatsen är därför att de aldrig var farliga och inte hade någon effekt alls.

Ändå fick hackergruppen Anonymous som genomförde angreppet tidningarnas löp och förstasidor. De uppnådde med råge sitt mål att få uppmärksamhet för sina något diffusa sakfrågor. Svenska chefredaktörer borde reflektera över sin egen roll i den saken.

Dagligen genomförs nämligen mycket värre brott på internet än Anonymous överbelastningsattacker. Ryska ligor försöker lura oss på våra bankuppgifter, pedofiler lagrar vidriga bilder och hackerangrepp i utpressningssyfte sker mot företag. Polisen sliter sitt hår och är tvungna att prioritera hårt.

Den löpande brottsligheten är obehaglig, men inte heller den slår ut Sverige. Föreställ er istället ett scenario med ett nätverk av personer som vi kan kalla Known med en stark ledare som heter, säg, Julian Brevik. De är fanatiska. Till skillnad mot Anonymous har de dessutom hög teknisk kunskap, och vet hur Sverige fungerar.

Då blir det farligt.

Istället för att angripa några hemsidor ger de sig på Sveriges kraftnät och teleoperatörer – det råkar nämligen vara så att kraftnätet är svårt att få igång utan fungerande telefoner, och vise versa. För att göra det ännu svårare för samhället att fungera ger de sig även på SJ och SAS. Det kanske inte går att boka biljetter längre? Medierna behöver de inte slå ut om tidningarna fortsätter i samma stil som i fallet med Anonymous.

Enda skillnaden mot nu är att Sverige faktiskt har upphört att fungera.

Ansvaret för it-säkerheten i Sverige är fördelat över ett antal myndigheter. Myndigheten för samhällsskydd och beredskap har ett samordningsansvar. När jag går in på deras webbplats hittar jag bra information om hur drabbade skyddar sig mot överbelastningsattacker. Men ingenstans finns en analys av hur (långt ifrån) allvarligt läget var i relation till myndigheternas verksamheter under Anonymous attack.

Om en sådan ändå har gjorts, kan den inte ha förmedlas till medierna på ett effektivt sätt.

Vi har alltså en bristfällig kommunikation till tidningar, som istället för att förmedla verkligheten väljer att gå på vad maskklädda Anonymous säger i dramatiska videoklipp. Vi har ett antal myndigheter som ska samarbeta runt it-säkerhetsfrågor, men som inte levererar en analys av läget till massmedierna. Det här är ett systemfel som måste åtgärdas.

Jag tror att en centralisering av it-säkerhetsfrågorna skulle minska risken för den här typen av problem. Samtidigt skulle det vara lättare för myndigheter att attrahera it-säkerhetsexperter om de fick arbeta gemensamt i en större grupp. Vi måste också ha en tydlig organisation som medierna kan vända sig till. Svenska dagstidningar får helt enkelt inte skrika att vargen kommer när vi inte ens ser skymten av en svans.

Den dagen allmänheten verkligen behöver korrekt information måste vi kunna ta den på allvar.

Åsa Schwarz, författare och konsult inom it-säkerhet