fredag 21 juli 2017

Debacle!

Reflektion

Knappt en dag går förbi utan nya avslöjanden, eller för den delen konstateranden, avseende vad som än så länge får anses vara det största IT-säkerhetshaveriet i svensk historia. Nämligen Transportstyrelsens outsourcing av sitt IT-system. System må outsourcas, men hur det outsourcats får anses vara det största felet, då regelverk gravt åsidosätts och trots varningar från andra myndigheter och inom egen myndighet tas det ej på allvar, i den styrande delen av myndigheten.

Här vill jag belysa det första området som jag anser det ej har bottnas i. Har våra styrande inte förstått vilken säkerhetssituation Östersjöregionen befinner sig i? Säkerhetspolisen delgav i sin årsrapport för 2013 att krigsförberedelser genomförs på svenskt territorium. I oktober 2014 genomfördes den s.k. Operation Örnen, underrättelseoperation, i svensk skärgård, där den senare efteranalysen gav i hand att svenskt inre vatten kränkts. Därtill den övriga negativa säkerhetsutveckling i vårt absoluta närområde.

Således vid 2015 års infall, bör myndighetspersoner inom ramen för s.k. bevakningsansvariga myndigheter i Totalförsvaret, förstått att, nu är det nog på riktigt, nu är det inte hypotetiska scenarier längre. Trots det så förefaller logiken halta, som Generaldirektör på en bevakningsansvarig myndighet får det anses att tjänsten innefattar ett ansvar där det krävs att rikets säkerhet alltid beaktas, annars åsidosätts tjänsteutövningen enligt mitt förmenande.

Dock förefaller det ej vara så i det aktuella fallet. Vilket får anses vara en av de mer skrämmande delarna, att man ej kan göra kopplingen mellan varningar inom egen organisation avseende outsourceningen, omvärldsutvecklingen och sitt eget myndighetsansvar. Här ställer man sig automatiskt frågan, hur ser det ut på andra bevakningsansvariga myndigheter?

Nästa faktor som bör tas upp, som inte belysts är effekt och ekonomi. Då transportstyrelsen även är involverad i de s.k. kvalificerade skyddsidentiteterna. Vilket t.ex. inom Försvarsmakten innebär individer som arbetar med inhämtning av underrättelser med särskilda metoder – personbaserad och teknisk inhämtning. Varvid personbaserad inhämtning innefattar att finna mänskliga källor och få dessa att lämna information.

Varvid en intressant frågeställning, men även obehaglig, hade denna information flyttas utom rikets gränser? Hade ej säkerhetsprövad personal haft tillgång till denna information? Sist men inte minst går det verkligen säkerställa att informationen ej är röjd? För ytterst är det dessa individer inom Polisen, Säkerhetspolisen och MUST som är ”längst ut på linan” och riskerar sitt liv. För även om namnen byts ut, kan de vara ”röjda” maa. att körkortsregistret som bekant även innefattar ansiktsbilder.

Varvid en moralisk, ekonomisk och effekt aspekt plötsligt inträder. Skall man förutsätta att informationen ej är röjd och arbeta på som vanligt med bibehålla effekt, eller måste personal/-en bytas ut? Ur en moralisk aspekt måste, har sannolikt redan, någon fattat ett beslut vilket inte kan ha varit ett trevligt beslut för oaktat hur man väljer, kan det få långtgående konsekvenser. Är det så att personal måste bytas ut, kommer det få en tydlig nedgång (effektminskning) i underrättelseflöde från det personbaserade spåret under en ansenlig tid, därtill tillkommer kostnaderna med nyrekryteringar och utbildning, vilket troligtvis är en långsam process maa. verksamhetens särart.

Nästa intressanta sak man slås av i mediarapporteringen är den omfattande informationsmängd som Transportstyrelsen de facto besitter. Att vissa statliga myndigheter måste besitta ansenlig mängd information har jag full förståelse för. Men någonstans måste det då börja göras ordentliga riskanalyser, vad händer om all denna information extraheras av någon? Hur kan vi säkerställa att så ej blir fallet osv. För som det ser ut just nu kring Transportstyrelsen så har det blivit en mindre version av det s.k. ”OPM-hacket”, utan att ha blivit ”hackad” och då återkommer man till frågan hur i hela fridens namn vet man att ingen information hamnat i orätta händer?

Utländska underrättelseorganisation, här avser jag alla, har sannolikt god insyn in vilken informationsbärare Transportstyrelsen är. Varvid de sannolikt redan under våren 2015, när det blev klart att IBM vann upphandlingen, började titta på hur man skulle kunna få tillgång till information. För onekligen torde de insett vilken guldgruva som plötsligt kunde öppna sig för dem, om man snabbt lyckades rekrytera någon eller försöka extrahera data vid informationsöverföringen. Här vill jag poängtera att det får förutsättas att det kan röra som om både västliga och östliga underrättelseorganisationer. Då det som sagt inte finns några vänner utan bara intressen i underrättelseverksamhet.

Listan kan göras längre på områden som inte belysts, utan det som rapporteras just nu är vilken skyddsvärd information som kan ha läckt. Konsekvenserna berörs ej i någon större omfattning, ännu skall tilläggas. Vilket jag hoppas massmedia börjar fokusera på, för vidden av detta är mycket stort och kostnaderna och konsekvenserna kan bli väldigt omfattande, ur ett Totalförsvarsperspektiv och betydligt mer än 70 dagsböter.

Avslutningsvis har vi nog inte sett slutet på detta debacle. Men en lärdom för andra myndigheter bör vara att snabbt se över sina egna IT-säkerhetsrutiner. För skadan kring Transportstyrelsen är redan skedd, det är bara att acceptera och försöka göra det bästa av situationen, men det är inget som bör upprepas. För just nu börjar misslyckandena, eller om man vill nyttja ett populistiskt ord utmaningarna, hopa sig ordentligt inom Totalförsvarssektorn och inte bara inom IT-området.

Have a good one! // Jägarchefen