JUSS OG SAMFUNN

Derfor er den svenske datalekkasjen så ille

Ga utlendinger uten sikkerhetsklarering full tilgang til følsomme data og krypterte intranett.

Informasjon om både førerkort og sivile kjøre- og fartøyer er blant det den svenske Transportstyrelsen valgte å overlate til teknikere i blant annet Serbia.
Informasjon om både førerkort og sivile kjøre- og fartøyer er blant det den svenske Transportstyrelsen valgte å overlate til teknikere i blant annet Serbia. Bilde: Körkortsportalen
Harald BrombachHarald BrombachNyhetsleder
25. juli 2017 - 09:56

NTB-saken som digi.no publiserte i går om den største IT-lekkasjen i svensk historie, forteller lite om hva som egentlig har skjedd. Det eneste som nevnes, er at hemmelige identiteter har kommet på avveie fra svenske Transportstyrelsen, noe som til syvende og sist skyldes at den tidligere lederen for tilsynet – Maria Ågren – i 2015 besluttet at det kunne gjøres avvik fra lovene som beskytter sensitiv informasjon hos Transportstyrelsen.

Derfor denne oppsummeringen, som forklarer alvoret.

I april 2015 hentet IBM hjem en kontrakt på 700-800 millioner svenske kroner for å overta IT-driften til Transportstyrelsen. Ifølge ComputerSweden gjaldt avtalen drift av omtrent 1100 fysiske og virtuelle servere over en periode på fem år. 

Outsourcet til Øst-Europa

IBM valgte å drifte dette fra anlegg i Øst-Europa, blant annet i Tsjekkia og Serbia. Sikkerhetsgranskningen av personalet skal ha tatt lenger tid enn forventet, noe som satte tidsfristen for overgangen i fare. Ifølge Dagens Nyheter var det på dette tidspunktet at Ågren besluttet å gjøre avvik fra tre ulike lover. 

Til tross for at det svenske sikkerhetspolitiet, Säpo, i november 2015 anbefalte umiddelbar stopp i outsourcingen, overtok IBM driften av Transportstyrelsens servere i desember 2015. 

Den tidligere lederen for det svenske piratpartiet, Rickard Falkvinge, har kommet med jevnlige oppdateringer om saken gjennom sin engelskspråklige blogg. I dag leder han VPN-leverandøren Private Internet Access. 

Lekket til Russland?

I et innlegg skriver Falkvinge at dataene til Transportstyrelsen kan ha blitt lekket til russiske myndigheter fordi IBM har benyttet den serbiske underleverandøren NCR, hvor ansatte har hatt full tilgang til både data og logger. Serbia og Russland er nære allierte og har gjennomfører blant annet militærøvelser sammen.

Noen av disse opplysningene skal stamme fra en forundersøkelse gjort av Säpo, som blant annet SVT har fått tilgang til. Men det skal ikke være bevist at dataene har blitt lekket til Russland. 

Det har kommet mange påstander om hva slags data som kan ha blitt lekket. Falkvinge viser til andre presseoppslag som forteller at dette omfatter databaser med informasjon om: 

  • vektkapasiteten til alle veier og broer
  • navn, bilder og hjemadressen til jagerflypiloter
  • navn, bilder og hjemadressen til alle i et hemmelig politiregister
  • navn, bilder og hjemadressen til operatører i militære spesialstyrker
  • navn, bilder og hjemadressen til personer i vitnebeskyttelsesprogrammet
  • teknisk informasjon og tilstandsrapporter om alle militære kjøretøyer.

Ifølge SVT skal det svenske forsvaret ha bekreftet at deler av det militære kjøretøyregisteret er omfattet de dataene, som utenlandske teknikere uten sikkerhetsklarering skal ha tatt hånd om. 

Avvises

Men Transportstyrelsen kom i forrige uke med en pressemelding hvor det påpekes at etaten ikke har noe med det militære kjøretøyregisteret å gjøre, da dette håndteres av forsvaret selv.

I en senere pressemelding har Transportstyrelsen oppgitt hva slags informasjon som finnes i etatens registre. Det nevnes blant annet at etaten har ansvar for registre over blant annet jernbaneinfrastruktur, jernbanekjøretøyer, luftfartøyer, skip og båter, sjømenn og veitrafikk. Det understrekes at det meste av dette er åpen informasjon som ikke er hemmeligholdt på noen måte. 

Men i tillegg har Transportstyrelsen en del informasjon som er beskyttelsesverdig. Av sikkerhetsårsaker vil etaten ikke gå inn på hva dette dreier seg om, men oppgir at en del av dette kun lagres på papir. 

Det understrekes også at etaten heller ikke har noe register over militære piloter, flyplasser, luftfartøyer eller sjøfartøyer.

Sikkert intranett

Falkvinge nevner også at IBM også ha hatt ansvaret for å drifte Transportstyrelsens tilgang til det sikre intranettet til svenske myndigheter (SGSI – Secure Government Swedish Intranet). Også denne driftingen skal ha blitt gjort Serbia. SGSI er i sin tur knyttet til EUs STESTA-nettverk (Secure Trans European Services), som er EUs lukkede nettverk for kommunikasjon mellom myndighetene i medlemsstatene. 

Ifølge Dagens Nyheter er det for tiden 34 svenske myndigheter knyttet til SGSI. Kun svenske statsborgere med spesiell utdannelse fra Försvarsmaktens Logistik har lov til å bruke systemet, og utstyret som benyttes må være sertifisert. Det benyttes kryptonøkler som utstedes av MUST (Militära underrättelse- och säkerhetstjänsten). 

Opplæring i Sverige

Høsten 2015 skal det ha kommet serbiske ansatte fra NCR til svenske Trafikverket for å få opplæring i SGSI. Dette går ifølge Dagens Nyheter fram av en forundersøkelse gjort av Säpo. Transportstyrelsen skal ha forsikret at dette var i orden, men etter at det ble stilt spørsmål ved denne opplæringen, skal den ha blitt avsluttet. 

I stedet skal enkelte kompetente tjenestepersoner fra Trafikverket ha blitt ansatt av IBM for å håndtere SGSI og brannmuradministrasjon. 

Overvåking

De i alt 14 serbiske teknikerne fikk dermed ikke tilgang til å gå inn i selve SGSI-systemet eller til krypteringsnøklene, men fikk ansvar for å drifte Transportstyrelsens del av nettverket. Dette skal ha gitt teknikerne mulighet til å overvåke trafikkdataene. 

Til Dagen Nyheter sier sikkerhetsspesialisten Johan Wiktorin at dette ville kunne gi fremmede makter mulighet til å se når nettverket for eksempel er ute av drift på grunn av vedlikehold, til å måle responstidene til svenske transportmyndigheter under krisetilfeller, eller å se hvem disse trafikkmyndighetene kommuniserer med.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.