Transportstyrelsen

Med anledning av uppståndelsen kring Transportstyrelsens informationsläckage, så tänkte jag passa på att delge mina funderingar kring frågan. Men vad kan man säga som inte redan är sagt undrar du kanske? Många förfasas över okunskapen hos ledningen för Transportstyrelsen, vissa tycker att outsourcing är problemet, och andra undrar om det verkligen är så farligt. Jag börjar med det sistnämnda.

 Här är några exempel på information som kan ha läckt:

  • Samtliga svenska körkortsfoton har varit tillgängliga för utvecklare i Tjeckien.
  • Adresser till personer med skyddad identitet har läckts genom ett register över samtliga fordon i Sverige.
  • Enligt dokument som SVT Nyheter tagit del av har även delar av det militära fordonsregistret läckt ut.
  • Polisens belastningsregister och misstankeregister har tillgängliggjorts för utländska företag.

Källa: http://www.breakit.se/ 

Jag vill understryka att detta i mina ögon är en mycket allvarlig händelse, både på nationell och individuell nivå. När familjer som lever under skyddad identitet och är beroende av att samhället skyddar dem, blir exponerade på detta sätt, så är det fruktansvärt allvarligt. Föreställ er alla barn som är en del av dessa familjer och som kanske hade sett fram emot att återse sina klasskamrater efter sommarlovet, men som nu tvingas flytta till en annan del av landet för att inte riskera att hittas. Det är en storskalig incident, helt klart.

Med samma synsätt som vi människor har på syre, mat, sömn och motion, måste en organisation se på Informations- och IT-säkerheten. Det är det skyddsnät som håller er vid liv. Slarva inte med skyddsnätet.

Säpos utredning av händelsen sätter fingret på något som vi som arbetar med informations- och IT-säkerhet länge har upplevt, nämligen att det finns en tendens att förminska och avfärda säkerhetspersoner när man inte orkar sätta sig in i vad de pratar om. Det berömda Jag-förstår-inte-vad-du-säger-därför-utgår-jag-från-att-du-har-fel-syndromet. Jag medger att det finns en viss vargen-kommer-problematik i vår bransch (vilket Transportstyrelsens Generaldirektör också skyller på i förhören med Säpo), och att det därför kan vara svårt att ta till sig alla domedagsprofetior. I fallet med Transportstyrelsen så verkar ledningen ha avfärdat de råd och varningar som säkerhetsspecialisterna utfärdat som överdrivna och dystopiska. Det beslutet kom att kosta Generaldirektören sitt jobb.

Men det är just därför som säkerhetspersonerna är så strategiskt viktiga. Säkerhetspersonerna är nämligen de som är bäst rustade (och faktiskt också anställda för) att urskilja, belysa och förebygga den här typen av fallgropar som Transportstyrelsen nu hamnat i. Informations- och IT-säkerhet är strategiska frågor eftersom det är överlevnadsfrågor. Med samma synsätt som vi människor har på syre, mat, sömn och motion, måste en organisation se på Informations- och IT-säkerhet. Det är det skyddsnät som håller er vid liv. Slarva inte med skyddsnätet.

Men hur gör man rätt då? Vad hade Transportstyrelsen kunnat göra annorlunda?

Ja, det är egentligen inte så svårt. I grunden handlar det om att verksamheten och affärssidan behöver förstå säkerhet, och vice versa (för bristen på förståelse är sällan ensidig).

Min absoluta rekommendation till alla som vill förstå varför säkerhet är nödvändig för er överlevnad, är att läsa boken ”Security Battleground; an Executive Field Manual”. Den är skriven för att hjälpa företagsledare, IT-chefer och IT-säkerhetsmänniskor att etablera en gemensam säkerhetsstrategi som gör det möjligt för organisationen att nå sina verksamhetsmål. I den boken etableras bland annat de tre R:en som utgångspunkt för strategin; ”Riches, Ruins, Regulations”.

Riches

  • Vilka tillgångar har vi som skulle vara värdefulla för någon att stjäla?
  • På vilka sätt kan våra tillgångar stjälas?
  • Vem skulle sannolikt stjäla våra tillgångar?
  • Hur skulle ”tjuven” gå till väga för att stjäla denna tillgång?

Ruins

  • Vad kan någon rikta in sig på specifikt för att förstöra vårt rykte?
  • Vilka direkta kostnader eller ansvar skulle vårt företag ådra sig om tillgången stjäls?
  • Vilka indirekta kostnader, som t.ex. skadat rykte, skulle vår organisation ådra sig om tillgången stulits?

Regulations

  • Vilka regler och lagar måste vår organisation följa?
  • Vem ansvarar för att dessa efterlevs?
  • Vem kontrollerar vår organisations efterlevnad mot dessa olika regler?
  • Har vi några avtal med konsekvenser vid bristande efterlevnad?

Genom att definiera de tre R:en kommer alla ansvariga att få en tydlig (och inte minst enhetlig) bild av säkerhet i relation till sin organisation, och kan på så sätt undvika otrevliga överraskningar och katastrofer. Ni kan läsa mer om de tre R:en här.

Den sista rekommendationen är väl att för guds skull se till att ha koll på säkerheten innan man drar igång ett sånt här projekt.

Oskar Ehrnström, Försäljnings- och Marknadschef på NSEC