Flickus flackus flum

Jacobs tankar om och med kvalitet

Archive for August 2017

Varför man inte kan outsourca känsliga data

written by jacob, on Aug 7, 2017 7:59:39 PM.

I Transportstyrelseskandalens efterdyningar är det många som aningslöst har uttalat sig om att det inte är något fel med att outsourca känsliga data. Värst av alla är nog Ann Kindberg-Batra, som har sagt att Det spelar väl ingen roll var servern står. Det är så naivt och okunnigt att man baxnar.

Det finns olika nivåer av känsliga data. Den högsta nivån är rena statshemligheter, av vilka Transportstyrelsens databas innehöll en del. Därunder finns persondata av känslig natur och affärshemligheter - både egna och andras. I den genomgång jag gör nu kommer jag att fokusera på statshemligheter, men det jag säger har bäring på andra känsliga data, även om man med de senare ibland kan acceptera kompromisser, där faktorer som kostnad och kompetens kan vägas in i beslutet om outsourcing.

Vi kan dela in hanteringen av en myndighets IT-tjänster i 3 olika fall. I det första har myndigheten alla datorer i en egen datahall, i det andra har myndigheten köpt tjänsten från en i Sverige lokaliserad leverantör. Data finns i en svensk datahall. I det tredje fallet har myndigheten köpt tjänsten från en leverantör som förvarar data i en datahall i utlandet.

Om vi börjar med det tredje fallet så uppstår genast några svårigheter:

  • Personalen som ska befatta sig med data måste säkerhetsklassas. Om det ska ske enligt svensk lag och svenska regler, hur får vi tillgång till information om personen i det land där vederbörande bor? En säkerhetsklassning använder sig av icke publik information. Om säkerhetsklassningen ska ske i samarbete med landets myndigheter, hur vet vi att deras klassning görs på ett ur svenskt perspektiv rimligt sätt?
  • Om det sker ett intrång, eller någon bryter mot avtalade säkerhetsbestämmelser, så ska brottet lagföras i det land där data lagras. Det innebär att det ska utredas av polis i det landet. Dessa personer saknar behörighet att befatta sig med svenska statshemligheter och är därför helt olämpade att genomföra utredningen. De utreder dessutom enligt en rättstradition som kan vara väldigt olik den svenska. I vissa länder är dessutom korruptionsnivån betydligt högre än i Sverige.
  • Svenska staten har inte kontroll över den lagstiftning som gäller i utlandet, och lagstiftning förändras över tid. Outsourcingavtal gäller ofta i tiotals år, och det som gällde vid avtalets början kan vara helt förändrat efter bara några år. Till exempel kan ett främmande land tvinga en leverantör att i hemlighet tillhandahålla trafik och data till landets underrättelsetjänst. Vi vet att USA redan idag har ett sådant regelverk på plats. Att svenska myndigheter skulle övervaka den utländska lagstiftningen kring outsourcing vore extremt dyrt och därför helt orealistiskt.

All outsourcing, oavsett om den är inhemsk eller utländsk, är förenad med ett antal infrastrukturproblem.

  • I min datahall styr jag vem som har access - oavsett om det är egen personal eller konsulter. I din datahall styr du över vem som har access. Förr eller senare kommer du att släppa in någon i strid med gällande avtal. Hur troligt är det att du berättar för mig när du har gjort bort dig?
  • I min datahall har jag kontroll över infrastruktur, som nätverk, routers och brandväggar. Jag kan gå in och följa kablar, jag kan koppla in diagnostikverktyg och jag kan köra levande tester på systemet. I din datahall gör du det arbetet och väljer vad du berättar för mig. Vad du ska berätta för mig styrs av ett Service Level Agreement, och jag har ingen möjlighet att förutse allt jag någon gång vill att du ska tala om för mig. Det som inte finns med får jag aldrig reda på.
  • Om det sker en incident i min datahall så bestämmer jag hur den ska utredas, och med vilka resurser. Jag kan löpande kontrollera och styra utredningsarbete och skyddsåtgärder. I din datahall är det du som väljer hur en incident utreds. Om incidenten direkt rör mig kanske jag får rapporter, men du har alltid möjligheten att mörka. Risken att tappa kontraktet i förtid finns alltid. Ju värre incident, dess större anledning att mörka.
  • I min datahall kan jag alltid strukturera om, lägga till nya tjänster och optimera för aktuell användning. I din datahall är jag styrd till det kontraktet säger. Vill jag göra förändringar måste avtalet förhandlas om. Vill jag lägga till omfattande tjänster måste jag gå ut i ny upphandling, och kanske få ytterligare en leverantör.
  • I min datahall gäller statsförvaltningens regelverk. Det innehåller redan bestämmelser om hantering av sekretessbelagda uppgifter, och kan enkelt utvidgas på området IT-säkerhet. I din datahall har jag allmän lagstiftning, vårt avtal, och dina interna bestämmelser som skydd. Om du är en kommersiell aktör så är dina interna bestämmelser en kompromiss - tillräckligt säkert för att locka kunder, men inte så säkert att det kostar en massa pengar.
  • I min datahall har jag kontroll över alla systemaspekter. Version av operativsystem, säkerhetsuppgraderingar och prioriteringar mellan olika arbetsuppgifter. I din datorhall bestämmer du prioriteringarna. Du har säkert fler kunder, och det är långt ifrån säkert att jag är högst prioriterad.

Så, Ann Kindberg-Batra, det spelar enormt stor roll var servern står. Rent tekniskt, för åtkomst till tjänsterna, så är det ingen skillnad, men under vems jurisdiktion systemen och tjänsterna tillhandahålls, och under vems kontroll arbetet på systemen utförs spelar all roll i världen.

Om vi inte får in kompetenta personer som förstår det här både på hög nivå i statsförvaltningen och på det politiska planet kommer Sverige att ha enorma IT-problem under överskådlig tid.

Betydande framsteg mot Daesh i Syrien

written by jacob, on Aug 6, 2017 11:10:00 PM.

Medan Irak laddar upp för nästa steg i kampanjen mot Daesh har både SDF och den Syriska regimen gjort stora framsteg.

Raqqa

SDF har framför allt haft framgångar i södra Raqqa, i stadsdelarna närmast floden Eufrates. I går lyckades man sluta gapet mellan trupperna som anfaller från väster och de som anfaller från öster. Det är ett mycket stort framsteg, för det gör att man nu har tillgång till en bred, fyrfilig, väg mellan den östa och västra sidan av staden. Tidigare fick all logistik göra en omväg på c:a en mil, vilket tar tid, sliter på fordon och personal, samt drar mycket bränsle. Bland annat distribuerar man varm, lagad mat till 17 000 man varje dag. Att man öppnat en front i söder gör också att man har en mycket större valfrihet kring var man sätter in sina styrkor. Med förbindelsevägen blir det lätt att omdisponera och kraftsamla på valfri punkt längs frontlinjen.

Daesh har nu kontroll över ett område som är nästan kvadratiskt och som är 1,5 km i fyrkant. Till det kommer en zon på c:a 250 meter på varje sida om fyrkanten, där strider pågår. Koalitionen uppskattar att det finns 2000 Daesh-krigare kvar i Raqqa, men jag tror att det är en överskattning. Med så många krigare på ett så litet område borde vi se mer av koncentrerade motanfall och större täthet med trupper längs fronten. Det borde också vara fler självmordsanfall, för det är mycket påfrestande att bara sitta och vänta på att anfallen ska komma till ditt kvarter.

Aleppo-fronten

Regimstyrkorna har tagit sig fram till Eufrates södra bank, och avancerar längs floden mot Deir Ezzor, där regimstyrkor fortfarande är belägrade av Daesh. Eufrates dalgång har en lång rad av byar och mindre städer, så avancemanget går ganska långsamt. Det lär ta minst en månad för styrkorna att nå Deir Ezzor.

Palmyra-fronten

Den här veckan intog regimstyrkorna staden as Suknah, som ligger mellan Palmyra och Deir Ezzor. Det är den enda staden längs vägen, och den ligger vid en korsning mitt ute i öknen. Staden har varit under Daesh kontroll sedan 2014. Regimstyrkorna kommer att ha ett val efter att man helt har säkrat as Suknah - antingen fortsätter man norrut, för att ansluta till Aleppo-frontens styrkor, och skära av förbindelselinjerna för Daesh i ett stort ökenområde, som sträcker sig nästan ända till staden Homs, mellan Aleppo och Damaskus - eller så fortsätter man österut, för att undsätta styrkorna i Deir Ezzor, och ta kontrollen över en större del av Eufrates. I båda fallen kan man räkna med en ganska snabb framryckning. Det är stora ökenområden med begränsade möjligheter för fordon och personal att gömma sig för de syriska och ryska flygstridskrafterna. Det är inte orimligt att man kan vara i Deir Ezzor på 2 veckor.