Flickus flackus flum

Jacobs tankar om och med kvalitet

Entries tagged “transportstyrelsen”

Varför man inte kan outsourca känsliga data

written by jacob, on Aug 7, 2017 7:59:39 PM.

I Transportstyrelseskandalens efterdyningar är det många som aningslöst har uttalat sig om att det inte är något fel med att outsourca känsliga data. Värst av alla är nog Ann Kindberg-Batra, som har sagt att Det spelar väl ingen roll var servern står. Det är så naivt och okunnigt att man baxnar.

Det finns olika nivåer av känsliga data. Den högsta nivån är rena statshemligheter, av vilka Transportstyrelsens databas innehöll en del. Därunder finns persondata av känslig natur och affärshemligheter - både egna och andras. I den genomgång jag gör nu kommer jag att fokusera på statshemligheter, men det jag säger har bäring på andra känsliga data, även om man med de senare ibland kan acceptera kompromisser, där faktorer som kostnad och kompetens kan vägas in i beslutet om outsourcing.

Vi kan dela in hanteringen av en myndighets IT-tjänster i 3 olika fall. I det första har myndigheten alla datorer i en egen datahall, i det andra har myndigheten köpt tjänsten från en i Sverige lokaliserad leverantör. Data finns i en svensk datahall. I det tredje fallet har myndigheten köpt tjänsten från en leverantör som förvarar data i en datahall i utlandet.

Om vi börjar med det tredje fallet så uppstår genast några svårigheter:

  • Personalen som ska befatta sig med data måste säkerhetsklassas. Om det ska ske enligt svensk lag och svenska regler, hur får vi tillgång till information om personen i det land där vederbörande bor? En säkerhetsklassning använder sig av icke publik information. Om säkerhetsklassningen ska ske i samarbete med landets myndigheter, hur vet vi att deras klassning görs på ett ur svenskt perspektiv rimligt sätt?
  • Om det sker ett intrång, eller någon bryter mot avtalade säkerhetsbestämmelser, så ska brottet lagföras i det land där data lagras. Det innebär att det ska utredas av polis i det landet. Dessa personer saknar behörighet att befatta sig med svenska statshemligheter och är därför helt olämpade att genomföra utredningen. De utreder dessutom enligt en rättstradition som kan vara väldigt olik den svenska. I vissa länder är dessutom korruptionsnivån betydligt högre än i Sverige.
  • Svenska staten har inte kontroll över den lagstiftning som gäller i utlandet, och lagstiftning förändras över tid. Outsourcingavtal gäller ofta i tiotals år, och det som gällde vid avtalets början kan vara helt förändrat efter bara några år. Till exempel kan ett främmande land tvinga en leverantör att i hemlighet tillhandahålla trafik och data till landets underrättelsetjänst. Vi vet att USA redan idag har ett sådant regelverk på plats. Att svenska myndigheter skulle övervaka den utländska lagstiftningen kring outsourcing vore extremt dyrt och därför helt orealistiskt.

All outsourcing, oavsett om den är inhemsk eller utländsk, är förenad med ett antal infrastrukturproblem.

  • I min datahall styr jag vem som har access - oavsett om det är egen personal eller konsulter. I din datahall styr du över vem som har access. Förr eller senare kommer du att släppa in någon i strid med gällande avtal. Hur troligt är det att du berättar för mig när du har gjort bort dig?
  • I min datahall har jag kontroll över infrastruktur, som nätverk, routers och brandväggar. Jag kan gå in och följa kablar, jag kan koppla in diagnostikverktyg och jag kan köra levande tester på systemet. I din datahall gör du det arbetet och väljer vad du berättar för mig. Vad du ska berätta för mig styrs av ett Service Level Agreement, och jag har ingen möjlighet att förutse allt jag någon gång vill att du ska tala om för mig. Det som inte finns med får jag aldrig reda på.
  • Om det sker en incident i min datahall så bestämmer jag hur den ska utredas, och med vilka resurser. Jag kan löpande kontrollera och styra utredningsarbete och skyddsåtgärder. I din datahall är det du som väljer hur en incident utreds. Om incidenten direkt rör mig kanske jag får rapporter, men du har alltid möjligheten att mörka. Risken att tappa kontraktet i förtid finns alltid. Ju värre incident, dess större anledning att mörka.
  • I min datahall kan jag alltid strukturera om, lägga till nya tjänster och optimera för aktuell användning. I din datahall är jag styrd till det kontraktet säger. Vill jag göra förändringar måste avtalet förhandlas om. Vill jag lägga till omfattande tjänster måste jag gå ut i ny upphandling, och kanske få ytterligare en leverantör.
  • I min datahall gäller statsförvaltningens regelverk. Det innehåller redan bestämmelser om hantering av sekretessbelagda uppgifter, och kan enkelt utvidgas på området IT-säkerhet. I din datahall har jag allmän lagstiftning, vårt avtal, och dina interna bestämmelser som skydd. Om du är en kommersiell aktör så är dina interna bestämmelser en kompromiss - tillräckligt säkert för att locka kunder, men inte så säkert att det kostar en massa pengar.
  • I min datahall har jag kontroll över alla systemaspekter. Version av operativsystem, säkerhetsuppgraderingar och prioriteringar mellan olika arbetsuppgifter. I din datorhall bestämmer du prioriteringarna. Du har säkert fler kunder, och det är långt ifrån säkert att jag är högst prioriterad.

Så, Ann Kindberg-Batra, det spelar enormt stor roll var servern står. Rent tekniskt, för åtkomst till tjänsterna, så är det ingen skillnad, men under vems jurisdiktion systemen och tjänsterna tillhandahålls, och under vems kontroll arbetet på systemen utförs spelar all roll i världen.

Om vi inte får in kompetenta personer som förstår det här både på hög nivå i statsförvaltningen och på det politiska planet kommer Sverige att ha enorma IT-problem under överskådlig tid.

Ansvariga ministrar begriper inte sitt område

written by jacob, on Jul 25, 2017 5:35:52 PM.

Grunden till hela Transportstyrelsehärvan ligger i beslutet om att outsourca systemet. Det beslutet fattades av myndigheten som en konsekvens av den budget som den borgerliga regeringen gav myndigheten 2012. Det i sin tur var resultatet av en policy, där myndigheter i större utsträckning ska använda sig av standardprogramvara och outsourcing. Ansvarig minister, om jag är rätt informerad, var Annie Lööf.

Det är i sig inget fel i att outsourca IT-system, men man måste begripa vad man gör, och vad det får för konsekvenser. I det här fallet så har man beslutat sig för att outsourca ett system som innehåller statshemligheter. Något som man uppenbarligen aldrig ska ägna sig åt.

Det kanske är för mycket begärt att Annie Lööf ska begripa att man måste hålla statshemligheter så nära bröstet man någonsin kan, men det är hennes skyldighet att hålla sig med medarbetare som förstår det. Nu är departementsledningarna, som driver budgetprocessen, politiskt tillsatta och det finns väl inga centerpartister som förstår säkerhetsfrågor. Vi kan skönja ett systemfel, där den politiska processen inte säkerställer att vi får rätt kompetens i rikets högsta ledning.

Att det är ett systemfel kan vi se på grund av att Anna Johanssons departement inte upptäckte att Transportstyrelsen var på väg att outsourca statshemligheter. Budgetprocessen är årlig och statssekreterarna nagelfar varje rad i budgeten. Någon borde ha begripit vad Transportstyrelsens uppdrag är och vilken information de förvaltar. Den socialdemokratiska regeringen hade alltså inte heller rätt kompetens på rätt plats.

Det här hade inte behövt bli den fullständiga katastrof som det blev, om Transportstyrelsen hade följt reglerna för statlig förvaltning. Generaldirektören ska framför allt lastas för att hon inte konsulterade sin verksjurist innan hon bestämde sig för att bryta mot lagen. Jag har själv suttit i en medelstor statlig IT-upphandling och minns hur noga vi var med att kolla alla detaljer med vår jurist. Transportstyrelsens styrelse ska lastas för att man ignorerade larmet från internrevisorn. Revisorer har man av en anledning, och det är mycket klandervärt att styrelsen inte har reagerat.

Det är uppenbart att kompetensen kring IT-frågor i allmänhet och säkerhetsfrågor i synnerhet är usel, såväl i statsförvaltningen som i samtliga riksdagspartier. SD har sluppit visa färg i regeringsställning, men deras track record från partikansliet visar tydligt att de på inget sätt är bättre än sina riksdagskollegor.

Slutsatsen blir att IT-frågorna har en så stor betydelse för samhället att det behövs ett parti med speciell kompetens på området i riksdagen. Ett parti som får resurser att granska och nagelfara de förslag som kommer från regeringen, och den förvaltning som regeringen driver. Det partiet är Piratpartiet. Med sina 2 mandat i EU-parlamentet under förra mandatperioden visade partiet hur man genom att granska förslag och publicera konsekvenserna av dessa kunde påverka den politiska processen. Christian Engström och Amelia Andersdotter vara inte bara understödda av sina assistenter, de hade till sin hjälp ett stort antal aktivister, där många har djupa kunskaper kring digitala frågor. Den största framgången var att få med sig en majoritet i parlamentet i att fälla ACTA-avtalet, men påverkan var stor på en mängd andra områden.

Rösta in Piratpartiet i riksdagen 2018. Sverige behöver den kunskap som partiet besitter.