Bruce Schneier har skrivit en krönika på Wired News om CYA-säkerhet. CYA som i Cover Your Ass. Bruce Schneiers poäng är att skälet till att det dyker upp en massa idiotiska säkerhetsåtgärder är att dom för politiker och tjänstemän som inför dom:

• Inte kostar något – merkostnader för åtgärden betalas av någon annan, oftast av den stora massan.


• Ger intryck av att man försöker åstadkomma trygghet.


• Alltid kan anses som lyckad. Inför man en åtgärd som skyddar mot ett problem som aldrig skulle inträffa kommer åtgärden ändå att anses som lyckad – det hände ju inget.


• Alternativkostnaden kan potentiellt vara mycket stor. Om det inträffar något (läs: terroristattack) och man inte gjort något ser man ut att vara passiv. Har man gjort något, men det man gjort, men inte stoppat det som inträffade var det ändå ett försök till åtgärd.

Även om datalagring, fler övervakningskameror, SÄPO-rapportering i skolan etc är aldrig så menlösa, kostsamma eller ineffektiva är det iaf försök att skydda befolkningen. Att då erkänna att åtgärden inte ger något, eller tom är direkt felaktig kommer knappast att ske.

För ett par dagar sedan väckte Patrik Wallström (Pawals) bloggpostning om att SVT outsourcat sin spamkontroll till ett företag i England ett visst rabalder. Efter att TT uppmärksammat Pawals postning dök nyheten bland annat upp i Svenska Dagbladet. Skälet till attt det blev uppmärksamhet är diskussionerna om att FRA skall få avlyssna datatrafik som passerar sveriges gränser. Eftersom SVTs trafik SPAM-filtreras i England passerar trafiken (minst) två gånger över gränsen. Här finns därför en potentiell krock mellan meddelarskyddet och FRAs avlyssning. Detta bekymmer har uppmärksammats av Svenska Journalistförbundet som vädjar till Riksdagen att stoppa lagförslaget som ger FRA rätt att avlyssna datatrafik som passerar sveriges gränser.
Bloggaren Calle Lindström har i god journalistisk anda kollat vilka andra tidningar som använder utländskt placerade IT-resurser. Listan är lång, och sannolikt inte komplett:

• Barometern


• Blekinge Läns tidning


• Borås Tidning


• Gävle Dagblad


• Hallandsposten


• Hällekis kuriren


• Hälsingekuriren


• Kristiandstadsbladet


• Ljusdalsposten


• Ljusnan i Hälsingland


• Smålandsposten


• Trelleborgs Allehanda


• Ulricehamns Tidning


• Uppsala Nya tidning


• Ystads Allehanda


• Ölandsbladet


• Östra Småland

Jag håller helt med om att det här finns ett potentiellt problem mellan meddelarskydd och FRA:s avlyssning, inte minst mentalt är det problematiskt att mail med information, (för att ta ett hypotetiskt exempel) problem inom FRA som skickas av en medarbetare till SVT skulle kunna komma FRA till del. Men det jag tycker är det intressanta här är vad SVT:s inköpta SPAM-hantering pekar på: IT-säkerhet är inte en ledningsfunktion.

SPAM-filtrering är en tjänst man köper in på samma sätt som man hyr en kopiator från Carl Lamm. SVT:s kommentar till Pawals avslöjande är symptomatiskt:

Vi kommenterar inte vilken väg vår e-post tar. Det är en helt företagsintern sak, säger Niklas Ahlgren vid SVT:s kommunikationsavdelning. (SvD)

IT-säkerhet, där SPAM-hantering ingår är uppenbarligen en administrativ funktion som upphandlas och ingen analys av konsekvenserna har genomförts. Ledning är inte informerad för att ledningen inte bryr sig. Tydligen är det även förbjudet att använda kryptering för epost på SVT, detta troligen för att brandväggen (som även den antagligen är upphandlad på motsvarande sätt) då inte kan undersöka innehållet. Därmed krockar en säkerhetsåtgärd med en annan säkerhetsåtgärd. Listan över dagstidningar, där de flesta är mindre lokaltidningar som ofta brottas med dålig ekonomi tyder på att pris sätts före analys av konsekvenser. Säkerhet på djupet, ett sunt säkerhetstänkande, journalistiska principer och meddelarskydd sätts ur spel. Men SPAM-hanteringen blev iaf billig.