2017-09-14

Dataskyddsförordningen och SkuggIT

SkuggIT (Shadow IT) är informationsbehandling som ofta görs och beslutas av enskilda medarbetare för att de skall kunna lösa sina uppgifter effektiv. Det är en realitet i de flesta verksamheter och är ofta accepterat i det tysta.
Dataskyddsförordingen (GDPR) som blir lag i maj 2018 sätter nytt fokus på fenomenet då även personuppgifter i ostrukturerad form omfattas av lagen. Att åtgärda detta kan bli svårt och åtgärderna kan introducera nya risker.

Jag vill här belysa fenomenet i ett mer filosofiskt perspektiv. 
-- 
Vi har fört anteckningar och skickat brev i generationer. Ofta har de sparats under långa tider. I dessa har både subjektiva och objektiva tankar och uppgifter nedtecknats. D.v.s. det som GDPR betraktas som ostrukturerade personuppgifter.
Därmed så tvingas vi av lagen att i princip in i att göra ostrukturerad information till strukturerad, endera i lagringen eller m.h.a. verktyg som extraherar och strukturerar personinformation vid sökning. GDPR ger, om inte annan lagstiftning är överordnad, rätten för den omskrivna att få del av noteringarna, rätt att få dem ”rättade” eller borttagna. 
Min spaning är då att GDPR kan få en förlamande effekt på organisationer. Många ”personuppgifter” kommer att flyttas till de flyktiga och opålitliga databaser som våra hjärnor är. Det som idag är data blir tyckande. Jag är rädd för att GDPR, om lagen tolkas bokstavligt, resulterar i en dataminimering som kommer att ge oss sämre beslut och en historielöshet.
Jag gillar i princip GDPR, det ger människan ett anständigt skydd mot myndigheter och företags informationsmissbruk. Men ”SkuggIT” är förmodligen ett nödvändigt inslag i en fungerande organisation, stryps den så riskerar verksamheten att dö.

2016-03-25

Är "e-röstning" bra?

I dagens Svenska Dagbladet, e-upplagan skriver Tuve Johannesson och Karin Ehnbom-Palmquist en debattartikel under rubriken ”E-röstning skulle öka valdeltagandet”. Argumenten som förs fram är att grupper som idag har svårt att komma till en vallokal skulle ges bättre möjligheter att lägga sin röst. Vidare pekas på ett antal möjliga besparingar med "e-röstning", t.ex. mindre åtgång på papper och färre transporter. D.v.s. miljöargument. Dessutom att "digitalisering" ligger i tiden och att flera andra länder har börjat med "e-röstning".

Men är det så enkelt?
  1. Vi skall ha fria val, d.v.s det får inte finnas en risk till att någon tvingas till att rösta på ett sätt som inte överensstämmer med den egna viljan.
  2. Vi skall ha hemliga val, d.v.s. att det skall vara möjligt att dölja och hålla hemligt hur man röstat.
  3. Valen skall vara offentliga, det skall vara möjligt för envar att övervaka hela valproceduren inklusive rösträkning.
Hur är det idag? Nuvarande procedur är väl beprövad, den går att förstå för merparten av väljarna och vi vet dess brister. Det tar t.ex. ett antal dagar innan det slutliga resultatet är färdigräkning och klart. Det brukar bli fel i någon eller några valkretsar vilket kräver omräkning eller i värsta fall ett nytt val i distriktet. Men felen blir kända och det rör sig då ofta om fel på promillenivå som blir rättade. Valhemlighet och "valfrihet" är möjlig även om kritik har framkommit om att man inte kan plocka valsedlar i "hemlighet" i vallokalen. Envar har också rätt att övervaka rösträkningen så länge man inte stör verksamheten. 

Hur kan det då bli vid "e-röstning"?

Det finns idag teoretiska lösningar (algoritmer) som kan garantera valhemligheten om dessa programmeras rätt och att programmen körs på garanterat säkra datorer. Men man kan inte tekniskt skydda att någon står bakom och har synpunkter hur man röstar. Argumentet i debattartikeln att den som inte känner sig trygg med att rösta i hemmet kan ta sig till vallokalen kanske inte är så enkel. Man kan kanske bli tvingad att rösta. 

I den bästa av världar kanske perfekta programmerare och säkra datorer finns. D.v.s. en grundförutsättning att valhemligheten kan garanteras. Tyvärr så finns varken eller. Vi vet att ALLA datorsystem har brister, det är mest bara en fråga hur snart och vem som upptäcker det först. Är det "ägaren" till systemet eller är det någon annan, är det någon god eller någon ond? Kommer bristen att utnyttjas för att manipulera eller misstänkliggöra valet?

Vi vet också att de fyra år som normalt går mellan riksdagsval är utvecklingen inom IT enorm. Tekniken förändras, nya sårbarheter upptäcks så man kan förutsätta att det utvecklingsarbete som gjorts fyra år tidigare förmodligen måste göras om från grunden. Ett projekt som förmodligen hamnar på en kostnadsnivå om minst 100 miljoner kronor.  De besparingar som artikelförfattarna pekar på finns ju heller inte om röstning i vallokal skall finnas kvar som alternativ.

Sista men kanske tyngsta argumentet mot e-röstning och för att behålla vår traditionella process är att valen skall vara öppna och tillåta envar och kanske även utländska valobservatörer att övervaka process och rösträkning. Jag vill påstå att vi i Sverige bara har några 10-tal personer som har förutsättningar att förstå en e-röstningsprocess och samtidigt har förmågan att granska tekniken. Transparensen försvinner helt och risken är då stor att hela valresultatet ifrågasätts och legitimiteten för valet faller.

Så "e-röstning" kan bli ett stort bakslag för demokratin!

2015-10-02

Information ger makt!

Delar du ut information så kan du;
1. utnyttjas
2. visa makt
3. skapa förtroende

Så dela med dig kontrollerat!
Det är informationssäkerhet.

2015-08-29

Vad är "hemlig dataavläsning"?

Inrikesminister Anders Ygeman presenterade 2015-08-28 Regeringens skrivelse 2014/15:146 "Förebygga, förhindra och försvåra – den svenska strategin mot terrorism".
I den presskonferens som följde pekade ministern på hemlig dataavläsning som ett möjligt tvångsmedels för avlyssning.
Vad är i detta sammanhang "hemlig dataavläsning"? Förmodligen refererar ministern till SOU 2005:38 -- Tillgång till elektronisk kommunikation i brottsutredningar m.m. samt SOU 2012:44 -- Betänkande av Utredningen om vissa hemliga tvångsmedel  där detta begrepp används och föreslås som ett möjlig tvångsmedel.

Värdering av de juridiska argumenten i utredningarna lämnar jag åt sidan och fokuserar på de möjliga tekniker som kan finnas i detta begrepp. Jag uppfattar "hemlig dataavläsning" som riktade åtgärder mot en eller ett fåtal personer beslutad av domstol. D.v.s. inte den allmänna lagringen som teleoperatörer är ålagda att utföra.
Det är alltså frågan om att plantera teknik eller programvara i utrustning som den misstänkte förfogar över. Detta kräver att myndighet på något sätt får tillgång till utrustningen, fysiskt eller via internet. Fysiskt kan det vara fråga om att ansluta loggningsutrustning som keyloggers eller sniffers som samlar ihop information, lagrar och levererar till myndighet. Att göra fysiska ingrepp i misstänktas utrustning eller bostäder är förenat med problem och risken för att det skall upptäckas är stor. Ett par alternativ står då till buds, endera utnyttja sårbarheter i produkter och dess programvaror som illasinnade hackers har för vana. Ett andra är att helt enkelt lura användaren att installera avlyssningsprogramvara. Det senare förutsätter någon form av undercoververksamhet som nog inte är förenlig med svensk rättstradition. Att någon med ont uppsåt är beredd att klicka på en länk i ett mail från Polisen är knappast troligt.

Att utnyttja sårbarheter för hemlig dataavläsning.

Stor del av de problem vi har med virus, trojanska hästar, "maskar" under samlingsnamnet "skadlig kod" (malware) beror på att de produkter vi använder har sårbarheter (buggar) som tillverkaren inte känner till vid leverans. Det pågår en ständig kamp och kapplöpning mellan de som söker sårbarheter som kan användas i onda syften och leverantörernas förmåga att rätta och distribuera rättningarna (patchar). I denna kamp finns också antivirusföretagen som tillverkar och säljer programvara för att bromsa spridning av och skadeverkning från skadlig kod.

Det finns en internationell marknad för handel med upptäckta men ännu inte allmänt kända sårbarheter som förmodligen omsätter stora belopp. Denna marknad är i huvudsak svart men ibland blir en grå verksamhet känd. På försommaren hackades det italienska "säkerhetsbolaget" Hacking Team som specialiserat sig på att sälja okända sårbarheter (Zero-day) till polis och underrättelsetjänster i många länder. Då även amerikanska myndigheter fanns på kundlistan så det är troligt att det är denna typ av företag som svensk polis behöver anlita för att köpa verktyg för "hemlig dataavläsning".

Ett ytterligare alternativ som förekommer, framförallt i USA, är att med lag tvinga IT-företag att medverka till att skapa produkter eller tjänster där myndigheter har bakdörrar för avlyssning alternativt att IT-företagen själva åläggs att selektivt eller brett avlyssna och leverera informationen till myndigheter.

Men Snowden-avslöjandena har gjort att IT-företagen har blivit ovilliga att medverka. De ser en internationell motvilja mot produkter som USA har avlyssningsmonopol på. De lägger in krypton i sina kommunikation för att försvåra avlyssning. De skapar som t.ex. Apple lösningar där det inte är möjligt att gå runt krypteringen, inte ens för Apple själva. Tjänsten iMessage är idag avlyssningssäker så länge ingen fysiskt har haft möjlighet att gå in i telefonen (iPhone) och detta är ett förhållningssätt som fler IT-företag håller på att ta efter.

För att svensk polis och andra myndigheter skall kunna genomföra "hemlig dataavläsning" där tekniken som skall avlyssnas i huvudsak är amerikansk krävs ett nära samarbete med USA och dess arbete med avlyssning. Motviljan hos konsumenter och andra kunder till att köpa utrustning med bakdörrar som i varje fall amerikanska myndigheter har tillgång till kommer nog att få IT-företagen att vara fortsatt motvilliga till detta.






2015-06-21

Har du makt? Har du fiender?

Informationskrigföring är nu en realitet. Det utövas av både politiska och ekonomiska skäl. Det kan vara en del av organiserad brottslighet, det kan också utövas av stater eller terroristorganisationer.
Gemensamt för dessa operationer är att de oftast angriper någons eller någon grupps trovärdighet genom att sprida falsk information eller illasinnade rykten.
Informationskrigföring är ett mycket billigt sätt att föra "krig" och möjligheten att spåra källan till angreppen kan vara begränsad. Vi kan därför förutse att detta sätt att utöva makt kommer att eskalera kraftfullt och att metoderna blir fulare.

Så har du makt, tänk igenom vilka anklagelser du skulle få svårt att värja mot.
Tänkbart är t.ex. att bli anklagad för eller påkommen med att syssla med barnpornografi.
Att plötsligt få besök av Polisen som gör husrannsakan, tar med din dator och anhåller dig. Att detta sedan följs av rubriker i media om att du är föremål för förundersökning om barnpornografibrott. Hur ser din framtid ut nu? Hur ser den ut om det dessutom hittas "bevis" på din dator och du kanske blir fälld för brottet?

Allt detta kan ske utan att du gjort något olagligt.
Det är som känt svårt att skydda sig mot datavirus och skadlig programkod. Det är dessutom i princip omöjligt om det är ett riktat, kvalificerat angrepp som någon är beredd att lägga lite pengar på. Det går att ta över din dator, plantera lämpliga bevis, radera spåren och därefter se till att Polisen och media får lämpliga tips. Därefter blir det svårt att hävda sin oskuld. Även om bevisen inte räcker för en fällande dom, ja att det rent av går att bevisa att du inte är skyldig så kommer du att vara skadad och dömd av många enligt uttrycket "ingen rök utan eld".

Kan man skydda sig mot detta? Helt är nog svårt men man kan göra så gott man kan. Konsekvent leva efter de råd om god datorhygien som finns. T.ex. använda starka lösenord, unika på varje tjänst, aldrig använda öppna wifi-nät, aldrig använda publika datorer (internetcaféer, bibliotek m.m.), aldrig klicka på mailade länkar även om de ser ut att komma från kända avsändare. Bara öppna väntade bilagor i mail. Inte låna ut den dator där du läser dina mail, inte ens till familjemedlemmar.
Sedan skall man vara förberedd på att den här typen av anklagelser kan komma och ha en genomtänkt strategi för hur dessa skall hanteras.

2015-04-27

Nätneutralitet och sårbarhet

Dagens Nyheter skriver idag om ett tidigare beslut i EU-parlamentet att nätet skall vara neutral och all trafik skall behandlas lika. EU:s ministerråd går emot detta beslut och vill att "speciella tjänster" skall prioriteras såsom självkörande bilar och medicinska tjänster.
Men öppnas denna möjlighet till prioritering kommer också värdering av tjänster och dess samhällsnytta att behöva göras. Här kommer förmodligen kommersiella aktörer arbeta för att deras tjänster får prioritet och därmed bli mer kommersiellt attraktiva. Är självkörande bilar ett samhällsintresse eller ett affärsintresse?
Men en annan risk med prioritering är säkerheten i de tjänster som prioriteras. Bygger dessa på att de ges bättre prestanda och svarstider i nätet så är de sårbara. Nätverksaktörerna kan bara garantera en viss del av den tillgängliga kapaciteten. Men är nätet inte tillgängligt p.g.a. tillfälliga fel får inte inte heller de prioriterad tjänsterna någon kapacitet. System eller tjänster som bokstavligt är nödvändiga för liv och hälsa (såsom just självstyrande bilar och medicinska system) får inte vara beroende av kontinuerligt tillgång till internet. De behöver byggas med redundans och autonomi d.v.s. att de kan fatta rätt beslut under ett avbrott i internetförbindelsen.
Att utformat system med förutsättningen att man alltid har tillgång till prioriterad koppling till internet är en stor risk i sig. Bygger man säkert så faller behovet av prioritet.

Prioriterad internetförbindelse är bra för kommersiella tjänster där man kan få konkurrensfördelar, t.ex. film och annan trafik som kräver hög kapacitet.
"Samhällsnyttiga" tjänster får inte bli beroende av prioriterat nät, skulle de bli det kan de bli farliga den dag nätet är oåtkomligt!

2015-03-20

Värdet av osäkra webbtjänster

Detta kommer att vara en ganska cynisk bloggpost men tyvärr, det är allt för ofta sant.

Det kommer regelbundet rubriker om att kända företag och organisationers webbtjänster är "hackade"  eller har svåra sårbarheten som kan ha utnyttjas av utomstående. Ofta visar det sig att det underleverantörer i form av webbtjänsteföretag som haft dålig säkerhet. De kända varumärkena som som då svärtas är det en obehaglig överraskning för. De hade valt en tjänst som funktionellt fungerade väl till ett acceptabelt pris. Tjänsteföretaget verkade seriöst och kanske redan hade bra referenser från andra kända varumärken.
Helt plötsligt uppdagas det att tjänsteföretaget blivit "hackat" och att känslig personlig information kan ha läckt ut för tusentals användare och att det varit möjligt att avlyssna deras trafik under en tid.
  • Hur kan detta hända?
    Det är svårt att skapa "säkra" webbtjänster, programmeringen måste vara mycket disciplinerad och utvecklarna måste vara välutbildade i säker applikationsutveckling. Sedan upptäckts hela tiden sårbarheten i operativsystem, webbservrar m.m. som kan utnyttjas för intrång. Det behövs  en mycket aktiv förvaltning för att hantera dessa sårbarheten.
    Sedan finns det också en ovana och kanske okunskap om hur man ställer säkerhetskrav på tjänsteleverantörer och ofta, om sådana krav trots allt ställs, en ointresse från tjänsteleverantören att avtal om detta.
  • Vilka drabbas?
    Först och främst de som får sina personliga uppgifter exponerade och kanske utnyttjade. Sedan kan förtroendet för de som i god tro köpt tjänsterna. Varumärkesskadan kan bli omfattande.
  • Varför uppdagas liknande gång på gång?
    Säkra webbtjänster är inte enkla att skapa. Många utvecklare kan skapa funktionella tjänster, få av dem klarar också av att utveckla säkra tjänster. Här ligger nog problemet. Det är lätt att hitta utvecklare som snabbt och billigt tar fram bra funktion. Sedan är "time to market" viktigt för att snabb skapa ett kassaflöde i tjänsteföretaget. Säkerheten blir då medvetet eller omedvetet eftersatt, det finns inga pengar i att satsa på säkerhet. Så länge det går bra flödar pengarna in och genom tjänsteföretaget. Ofta är det ganska litet kapital bundet i företaget så skulle det värsta hända så kan man ta en konkurs och starta om med nytt namn.
    Det kommersiella värdet är helt enkelt högre för en osäker tjänst.
  • Hur kan man då som köpare av webbtjänster minska risken att bli "hackad", förlora kunder och användares förtroende och i värsta fall sin verksamhet?
    I första hand ställa krav på tjänsteleverantören, att kontraktera skadestånd om tjänsten blir hackad. Vidare skall krav på leverantören att ha standardiserade processer för säkerhet t.ex. enligt IEC/ISO 27001. Att man följer de rekommendationer som organisationen OWASP ger för säkra webbapplikationer. Hanterar tjänsten personuppgifter så skall också ett personuppgiftsbiträdesavtal tecknas. När man kommit så här lång med sin tjänsteleverantör så inser man att priset förmodligen blir mycket högre än vad konkurrenten tar för samma funktion. Men vad kan en osäker webbtjänst kosta din verksamhet i slutändan?