Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Svenska myndigheter och säkerhet » Kryptoblog

Svenska myndigheter och säkerhet

December 21st, 2006 by Joachim Strömbergson Leave a reply »

I veckan har det kommit två nyheter som rör Svenska myndigheter och IT-säkerhet.

Riksrevisionen har enligt en artikel på IDG utrett hur det står till med säkerheten på Svenska myndigheter, bland annat Migrationsverket, Sjöfartsverket och Arbetsmarknadsverket. Resultatet är inte vackert. Enligt Riksrevisionen har samtliga granskade myndigheter stora brister i sin säkerhet. Det stora bekymret som Riksrevisionen ser hos myndigheterna är att ledningen inte är intresserad av, har verktyg för, och är engagerad i ett metodiskt säkerhetsarbete. Exempelvis har Arbetsmarknadsverket haft en säkerhetsplan som ännu efter tre år blivit genomförd, Lantmäteriet inför fläckvis olika typer av regler och system för IT-säkerhet. Om det är någon tröst kan man notera att detta är inget unikt för myndigheter, utan drabbar organisationer som inte ser säkerhet som en ledningsfråga.

I en annan nyhet på IDG berättas det att Datainspektionen nu beslutat sig för att kräva att myndigheter börjar använda kryptering för att skydda e-post med känslig information. Vidare skall myndigheterna tvingas att försäkra sig om att rätt mottagare får information som skickas från myndigheten. Så långt alldeles utmärkt och hög tid. Problemet jag har med detta nya krav från Datainspektionen är den specifika ärende som fått myndigheten att reagera och agera:

Ärendet gäller socialnämnden i Nacka kommun. På begäran av ett barns förälder skickades ett dokument till föräldern som bilaga i ett mejl. Med en funktion i ordbehandlingsprogrammet kunde föräldern ta fram känsliga uppgifter om ett annat barn än sitt eget. Man hade nämligen använt ett gammalt dokument som mall för det nya.

Men vänta nu – på vilket sätt hade kryptering av e-post förhindrat det som hände? Här är det frågan om att revisionsinformation följer med i dokument som kopieras, vilket snarare handlar om kompetensbrist, att myndigheten använder ett felaktigt format för dokument som skickas iväg och att rutinerna vid skapande av nya dokument brister.

Snälla Datainspektionen, det är jättebra att ni tvingar myndigheterna att ta IT-säkerhet på allvar, men det här är av fel orsak, fel åtgärd och och löser i det här fallet inte problemet. Slutligen är det inte klart hur myndigheterna skall kryptera och på annat sätt säkra sin kommunikation. Vi lär få återkomma i ämnet.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

4 comments

  1. Karl Hedblom says:

    Jag tror du helt missade poängen. Jag hittar ingenstans i Datainspektionens beslut att det det var på grund av “fel-mejlandet” de ingrep. Snarare för att det överhuvudtaget skickades hemliga uppgifter okrypterat.

    Att håna Datainspektionen för detta är som att håna polisen för att ingripa mot ett narkotikafynd uppdanat vid kronofogdens utmätning.

    Vad alla myndigheter ska göra nu återstår att se, det mejlas ju en hel del kors och tvärs… Men för oss kryptokillar stundar nog goda tider 🙂

  2. Joachim says:

    Aloha!

    Läste du över huvud taget artikeln jag länkade till?

    Det handlade inte alls om mail som skickats fel, vilket jag inte heller hävdade i mitt blogginlägg. Istället är det ett föreläggande från myndigheten som att döma av artiklen handlar om revisionsinformation som kommit i orätta händer, och att Datainpektionen i föreläggandet berordrar åtgärder som inte löser problemet.

    Att kalla mitt blogginlägg för att håna Datainspektionen tycker jag är att ta i. Men då jag inte alls ser hur din liknelse med polisen och kronofogden på något sätt stämmer överens med Datainspektionen och kommunen kanske det helt enkelt handlar om språkförbistring.

  3. Kalle says:

    Det var där som jag tror att du missuppfattade “problemet”... Jag finner ingenstans att problemet var att fel uppgifter följt med mejlet. Jag tror inte det var det förläggandet skulle fixa… Snarare att datainspektionen (för att pressen uppmärksammade att nån gjort just det misstaget) gjorde en koll, såg att de inte krypterat eller kollat mottagare och därför förlagt dem att göra det och kolla sånt i fortsättningen.

    Kanske språkförbistring, men jag fick lite “men snälla Åååke”-vibbar av ditt sätt att skriva “snälla Datainspektionen”... 🙂

    Min liknelse var kanske inte så tydlig… 🙂

    Vad jag menade var att om någon (i det här fallet pressen – i min liknelse kronofogden) hittar ett fel (i det här fallet att hemligheter röjts till obehöriga – i min liknelse kronofogden vid utmätning hittar knark) som inte har med det egna området att göra (kronofogden har inget med knark att göra, precis som datainspektionen inte har med sekretessbrott att göra) så ska ju den som har med det att göra (i det här fallet datainspektionen (säkerhet) – i liknelsen polisen (som straffar knarkare)) göra SITT jobb… Nu kanske ingen slutar langa knark för att de blir hånkade av snoken, men ändå...

    ööööhhhh… känns inte som om den förklaringen hjälpte… jag skippar det och återgår till vad jag egentligen menade…

    “som att döma av artiklen handlar om revisionsinformation som kommit i orätta händer”

    Varför jag kommenterade in the first place var för att när jag läste beslutet (som låg på datainspektionens hemsida) var det inte det som jag förstod att förläggandet handlade om, utan att det handlade om att de skickat mejl okrypterat och utan att “tekniskt säkerställa” att det var rätt mottagare…

    De var det hele… Nu sitter jag och väntar på att nån annan myndighet ska ringa och vilja kryptera sina mejl, hehehe…

    Love your blog by the way! Har lärt mig massor!

  4. Joachim says:

    Aloha!

    Jo, du kan mycket väl ha rätt i att så har Datainspektionen handlat – dvs de har ålagt kommunen att fixa det som Datainspektionen ser går att fixa. Och det kan vara så att jag läser beslutet som fan läser bibeln (om man får ta till ett sådant uttryck så här dagen för dagen.)

    Jag ser alltså det här när jag läser i besluten (Se PDF på den här sidan http://www.datainspektionen.se/nyhetsarkiv/nyheter/2006/december/2006-12-18.shtml )


    Redogörelse för tillsynsärendet

    Datainspektionen har genom en nyhetsartikel i Nacka Värmdö Posten upp-
    märksammats på att ett e-postmeddelande skickats från handikapp-, psykiatri-
    och beroendeenheten innehållande bland annat känsliga personuppgifter.

    Socialnämnden i Nacka kommun är personuppgiftsansvarig för behandling av
    personuppgifter vid handikapp-, psykiatri- och beroendeenheten.

    Datainspektionen har inlett tillsyn och Socialnämnden har yttrat sig.

    Nämnden har i sitt yttrande i huvudsak anfört följande.

    Ett brev har som bilaga till ett e-postmeddelande skickats till ett barns förälder
    på uttrycklig begäran av föräldern. Vid framtagandet av brevet återanvändes ett
    äldre elektroniskt dokument som mall, där de äldre uppgifterna ersattes med det
    aktuella barnets. Genom en funktion i ordbehandlingsprogrammet kunde den
    mottagande föräldern ta del av de äldre uppgifterna, som rörde ett annat barn.

    Det är alltså problemet. Och Datainspektionens beslut är då:


    Datainspektionens beslut

    Datainspektionen konstaterar att Socialnämnden i Nacka kommun har behand-
    lat känsliga personuppgifter i sitt e-postsystem utan att vidta tillräckliga säker-
    hetsåtgärder enligt 31 § personuppgiftslagen.

    Datainspektionen förelägger Socialnämnden i Nacka kommun att krypterings-
    skydda känsliga personuppgifter när de kommuniceras över ett öppet nät samt
    att vidta tekniska åtgärder för att säkerställa att endast den tänkta mottagaren
    kan ta del av uppgifterna.

    Med detta avslutar Datainspektionen ärendet. Ärendet kan komma att följas
    upp.

    Jag tycker att det ser märkligt ut, men det kan mycket väl vara som du säger – att DI pga händelsen fått upp ögonen för att kommunen är slarvig även på sättet man överför dokument.

    Och jag kanske är en aning sarkastisk 😉

    Kul att du gillar bloggen och att du hör av dig.

    God Jul!

Leave a Reply

You must be logged in to post a comment.