OK, dags att lägga ut texten lite om Sveriges Radio och DN:s granskning av deras säkerhet som man inte kan i ett intervjuformat i TV med korta instick. Mega-tråd del 1 följer)
Jag har alltså blivit tillfrågad av DN att verifiera trovärdigheten i utsagor från en av flera källor. DN och källan har beskrivit innehållet i systemdokumentationen (vilket SR anmärkningsvärt sade sig inte ha i SVT-intervjun!)
Jag har också haft möjlighet att ställa frågor rörande teknik, utveckling, säkerhet, processer och rutiner under flera sessioner med källan direkt. Kontakten har varit via säkra voice-funktioner och burner-telefon. Så jag vet inte vem det är eller hur man kontaktar hen.
Jag har varit noga med att inte få något material sänt till mig och inte heller velat höra om det finns någon specifik detalj som källan bedömt som känsligt för Sveriges säkerhet
Vad jag kan säga utifrån det som framställs, både från DN (som ju har andra källor och annat material) och från källan: Det förefaller vara trovärdigt underlag och källan jag pratat med bedömer jag som sansad och trovärdig utan några uppenbara agendor
Nu till sakfrågorna: det handlar inte om att lägga dokumentation, konfiguration och källkod i en molntjänst. Det är en liten fråga i ett ganska mycket större sammanhang som jag ska skriva mer om lite längre ner
Det större sammanhanget är SR:s *hantering* av sådant som jag skulle bedöma har påverkan på IT- och informationssäkerheten och i vissa fall säkerhetsskydd
I centrum för det hela är digitalt VMA. Och en slags hub mot olika distributionsformer. Bland annat innehållande ett API (application programming interface). På en server. Nåbar från Internet. Hepp!
Men först molnfrågan: SR hävdar att molnanvändning är oproblematisk för man har avtal med molnleverantören. Verkligen? Har SR helt missat både Schrems och Schrems II-domarna i EU-domstolen och vad generaladvokaten sa om amerikanskt rättsystemet? Earth calling SR!
Och schrems handlar om att utomstående kan komma åt personuppgifter. Här pratar vi snarare om uppgifter som kan falla under säkerhetsskyddslagen, och då är det betydligt striktare hanteringsregler än personuppgifter
Nog om moln för stunden. Källan gör bedömningen att det material, som lagts ut på molnet också på många konsultera laptops och därmed på respektive konsultbolags backupservrar mm, i delar berör eller omfattas av säkerhetsskydd
Här måste man ställa frågan om SR hade kontroll på sin information och sitt material (tex konfig, källkod) då under utvecklingsperioden, samt om man haft det sen under förvaltning och underhållstid
Källan säger också ”Det kom konsulter och frågade om de verkligen skulle ha den här dokumentationen”. D.v.s. det var flera som insåg att det fanns känsliga uppgifter i den
SR säger (i TV-intervju, i radio, i blogg) att det som har hänt är historia, att det är så länge sedan och att allt är omgjort sedan dess. I TV insinuerade SR att det är jättegammalt (2013) och överspelat. Men här blandar SR bort korten som så ofta. Det är 2017 och senare
Källan säger att det finns gamla komponenter som lyfts in och används i lösningen, men att lösningen togs fram 2017-2019, dvs inte så länge sedan, och sjösattes därefter och fungerar därefter i stort såsom när det togs fram
Här följer de fakta och slutsatser jag kan se, baserat på min dialog med DN och en av dess (anonyma) källor.
Så vad är felet, förutom molntjänsten som alla verkar fastna på:
1) det gjordes ingen upphandling, utan man tog in befintliga huskonsulter som fick gå på timme.
2) av (1) följer att man inte följde inköpsrutiner och formalia.
3) 1+2 ger att det inte tecknades SUA-avtal
1) det gjordes ingen upphandling, utan man tog in befintliga huskonsulter som fick gå på timme.
2) av (1) följer att man inte följde inköpsrutiner och formalia.
3) 1+2 ger att det inte tecknades SUA-avtal
4) inte heller säkerhetsprövades konsulter som skulle jobba med VMA-projektet.
5) punkt 3+4 blev också fel pgr att man inte gjort någon säkerhetsanalys (nu kallat ”säkerhetsskyddsanalys”, SSA) för den digitala VMA-lösningen (kan knappt tro mina egna ögon när jag skriver detta!)
5) punkt 3+4 blev också fel pgr att man inte gjort någon säkerhetsanalys (nu kallat ”säkerhetsskyddsanalys”, SSA) för den digitala VMA-lösningen (kan knappt tro mina egna ögon när jag skriver detta!)
6) inte heller någon särskild säkerhetsskyddsbedömning (tänk specificerad, detaljerad SSA för specifik funktion) gjordes
7) inte heller fanns det skriftliga säkerhetskrav ställda på systemet. Återigen, jag fattar inte att jag skriver detta
8) Saknas SSA/SSB, riskanalys, hotmodell och säkerhetskrav då _VET_ man inte vad som är skyddsvärt, vilka hot man måste skydda sig mot eller hur skydden ska vara beskaffade. Detta saknades hos SR när digitalt VMA och API:t togs fram
9) SR gjorde inte några SAT-tester (site acceptance test), dvs beställaren kontrollerar funktion och kvalitet i det som köpts och utvecklats. Det gjordes FAT-tester (factory acceptance test), dvs leverantörstester, där leverantören ska se över sin lösning innan överlämning
FAT-testerna gjordes av andra konsulter som också gavs åtkomst till det digitala VMA på detaljnivå. Inte heller SUA-upphandlade eller säkerhetsprövade. FAT resulterade i långa restlistor.
FAT-testerna innehöll inga säkerhetstester
FAT-testerna innehöll inga säkerhetstester
10) Det gjordes ingen säkerhetsgranskning av lösningen. Det gjordes inga praktiska säkerhetstester (s.k. pentester). Hur kan någon sätta en server med ett RESTAPI på Internet utan att den säkerhetstestats? Ännu oförståeligare för en *viktig* server med en funktion i totalförsvar
fortsättning i annan 🧵 Har visst nått något maxtak i trådlängd i twitter ;-)
Ett tillägg till frågan om molntjänsten och avtal: Det är för mig inte klart om det ens är SR som är avtalspart mot tjänsteleverantören (vilket SR insinuerar men inte säger rakt ut). Valet av trello för projekthantering gjordes av konsultbolaget för att de var vana med Trello
Av det följer frågan om det tillochmed kan vara så att man använde konsultbolagets licens/konto/avtal för detta. Detta vet vi som sagt inte idag, men det är en rimlig fråga att ställa sig
• • •
Missing some Tweet in this thread? You can try to
force a refresh
