Gästinlägg

Tack General Micael Bydén, och nu Rättning Mittåt!


Jstam

Jag har bjudit in en ny gäst som jag tidigare har delar en del texter av. Micke Jstam som dessutom är familj faktiskt, skriver ofta mycket bra texter och driver även Flaskhalsen på Facebook.

Över till Mickes inlägg:

bar2

veteran

Tack General Micael Bydén, och nu Rättning Mittåt!

Under 2017 har vi upplevt en av de största IT-kriserna i nationens historia, om inte det enskilt största haveriet av både rättssäkerhet och personlig integritet som skådats i någon nations historia. Och det slutade visst aldrig…

Transportstyrelsen lade ut, utan sakliga beslut eller garantier om säkerhet, våra körkort, personuppgifter, läkarintyg för vissa förare och även data om piloter och deras hälsotillstånd på det så kallade ”molnet”.

Vad är ett ”moln” egentligen? Det är i verkligheten inget annat än ett kluster av sammankopplade hårddiskar för fysisk lagring av data på en server på en annan geografisk placering än den huvudmannen ansvarig för datauppgifterna är baserad på. För att förklara det på enklast möjliga sätt är det som om du som läser detta lagrade all data på en hårddisk på en webbserver på okänd plats. Dessa nätverk kallades tidigare för ”Extranet” då de fungerar som ”intranät” men är länkade till fysisk lagring på annan ort. D.v.s. externt från din egen plats.

Efter denna uppenbarelse, som statsministern och justitieministern förnekade näst intill all kännedom om, så framkom även att landets patientjournaler lagras i Rumänien, Fortifikationsförvaltningen (de som hanterar lokalfrågor för försvaret) lagrar samtliga ritningar på försvarsanläggningar i Kina. Det fortsätter med polisens anhörigregister som ligger på en server i Kanada och ytterligare känsliga register på allehanda platser runt om i världen.

Ingen vet riktigt vart eller varför och ingen har koll på avtalen eller om det finns grundläggande skydd mot intrång av obehöriga. Underligt nog accepterar allmänheten idag lättvindigt att alla fingeravtrycksinloggningar förvaras på en eller flera servrar i USA eller andra molntjänster på Irland t.ex. Allt i enorma datahallar som ägs eller förvaltas av IBM, CGI, Microsoft eller andra jättar med sin huvudsakliga verksamhet i USA varför allting spåras, sparas och studeras ingående av NSA, CIA och flertalet andra akronymbaserade institutioner med tidvis dubiösa intressen och syften. För att inte nämna FSB, GRU och andra östasiatiska motsvarigheter.

Döm om min förvåning när jag häromdagen fick ett tackbrev av den svenske överbefälhavaren, General Micael Bydén, för min utlandstjänstgöring.

Jag tillhör nämligen den växande skaran av utlandsveteraner som tjänstgjort vid något eller flera tillfällen på krigsdrabbade platser runt om i vår värld. Jag är inte ensam men idag är vi närmare 74,000 personer med denna erfarenhet. Några mer lyckligt lottade än andra men vi har alla sett och upplevt något vi önskar ännu färre skulle behöva vare sig se, uppleva eller ens behöva tänka på.

Nu lever vi inte i en perfekt värld men vi kan i alla fall försöka göra något bättre ifrån oss. Eller kan vi det i ordens rätta bemärkelse? Jag ställer frågan med viss skepsis då jag nu fått se fel och brister i systemhanteringen ifrån vår egen försvarsmakt som skulle skrämma den mest luttrade hacker och till och med få s.k. ”script kiddies” (wanna-be-hackers som kan kopiera och klistra lite kod på en hemsida) från de glada dagarna på Yahoo chat-tiden långt innan Facebook blev en institution i sig att höja på ögonbrynen i den totala avsaknaden av säkerhet på försvarsmaktens egen hemsida.

När jag fick tack-brevet gick jag även in och la till mitt intresse för försvarsmakten. Det vore ju en skam som kandidat för SD att inte göra sin plikt tänkte jag och fyllde således i alla frågor plikttroget.

Först får man ange sitt telefonnummer och en massa andra personliga detaljer. Efter en sida eller två kommer man fram till en sida där man ska bekräfta de sista siffrorna i sitt telefonnummer. Så långt förefaller ju allt ok.

På nästföljande sida får jag nästan kväljningar för den oerhörda bristen av säkerhet. Nu måste jag ange ett telefonnummer till vilket jag ska skicka en engångskod för att logga in och gå vidare. Av vilken anledning duger inte det nummer jag både angivit och bekräftat på två sidor föregående detta tänker jag och drar mig till minnes en pop-over som talar om att allt sköts av Microsoft. Ett enormt bolag med säte i USA, huvudserver på Irland och nära samarbete med alla ovanstående bokstavskombinationer.

Jag knappar in samma telefonnummer som tidigare och får således en kod per SMS. Jag anger koden och den loggar in mig per automatik då sista siffran är inknappad. Verifikation av att jag angivit rätt kod går inte att göra för man tilltror oss inte att trycka på enter-tangenten själva tydligen.

Jag går nu vidare och fyller vanan och svenskheten trogen i min bakgrund, fysiska status, utbildningsbakgrund. Ägnar gott och väl en timme åt att hitta vem som tagit över mitt ”hemma-regementes” förvaltning och arvsuppgifter. Gott, äntligen färdig, profilen till 100% ifylld och färdig.

Ingen gång under hela resans gång har jag fått ange mitt personligt valda lösenord för inloggning utan det angavs bara en gång i början av proceduren.

När jag stänger webbläsaren efter att ha loggat ut sakligt så tänker jag inte mer på det hela utom att det var en bristfällig hantering av verifikationen i min personliga uppfattning. En uppfattning som präglas av 25 års erfarenhet av IT och IT-relaterade tjänster både inom mjuk- och hårdvara. Det är även mitt huvudämne för pågående studier. Projektledning inom IT med en viss specialisering mot system av en viss art. Ofta just använda för stora företags samlade informationssystem och drifts-behov.

Efter något dygn eller så, under dagen idag, går jag tillbaka in på hemsidan för att se om det kommit några nyheter eller ett svar på min återkoppling till försvarsmakten om just bristerna jag sett med systemet.

Jag börjar med att logga in, anger e-postadress och mitt absurt långa lösenord som innehåller mer specialtecken än jag vill minnas själv. Sedan tas jag återigen till denna sida där man efterfrågar en kod för inloggning. Koden ska skickas till en telefon med SMS eller genom ett telefonsamtal och detta anges vara en ”säker dubbel inloggning”.

Hela min profil är borta. Ingenting finns kvar som jag ägnade en timme åt att fylla i. Profilen är 0% färdig står det i grön text stirrande på skärmen. Efter viss möda och återupprättande ”återuppstår” mina uppgifter på något magiskt sätt och allting är åter 100% färdigt.

Jag kontaktar rekryteringslinjen per telefon och frågar vem jag ska tala med för ingen har besvarat min återkoppling om min föregående upplevelse. Då får jag höra att min profil är färdig i 7 av 10 delar. Inte alls de 100% som jag ser på skärmen.

Här kan man fråga sig. Varför har vi personliga lösenord när dessa lagras och sänds i klartext via nätet? Den stora majoriteten av befolkningen använder lösenordslagring i webbläsaren eller andra metoder för att komma ihåg alla ställen man har olika lösenord. Eller så används samma lösenord på flera platser vilket är ett rätt osäkert sätt att gå runt med daglig hantering av IT.

En ändå större frågeställning blir då, varför denna dubbla procedur och hur kan detta medge någon form av säkerhet alls då data lagras på en server utanför myndighetens kontroll och framför allt sköts av ett företag som historiskt sett producerat fler buggar i nästföljande OS and vad de senaste fem OS:en hade sammantaget.

Vilken utökad säkerhet utgör egentligen en SMS-baserad sexsiffrig kod i jämförelse med mina sedvanliga N*M tecken långa lösenord? Vad händer om någon stjäl min mobiltelefon? Både mitt mobilnummer, e-postadress och annat är ju i stora drag offentlig uppgift idag såsom myndigheterna kringgått datasäkerheten i sin eviga iver att spara pengar och automatisera bortom alla rimliga nivåer av förväntad säkerhet.

Varför är fortfarande personnummer en offentlig handling när vi vet att redan för 30 år sedan samkördes så många dataregister att en genomsnittlig 18-åring fanns upptagen i ca 180-200 register och hade insyn i alla utom två registerbaser. Nämligen polisens och försvarsmaktens.

Här ett antal obesvarade frågor som uppstått under dessa fåtal dagar

Har försvarsmakten ändrat sin policy och börjat släppa upp säkerheten med denna typ av inloggningsprocedur? För det är nämligen på direkt order utav MUST (Militära Underrättelse och Säkerhetstjänstens) uttryckliga order denna metod tillämpas idag.

Eller är det dags att börja omstrukturera försvaret för att öka säkerhetstänket hos personalen?

Saknar vi idag så mycket kompetens inom landet att vi inte är kapabla att utveckla ett eget system att ens lagra de mest basala datauppgifterna om vår egen personal i rikets tjänst?

// Micke Jstam

Kategorier:Gästinlägg

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut /  Ändra )

Google+-foto

Du kommenterar med ditt Google+-konto. Logga ut /  Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut /  Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut /  Ändra )

Ansluter till %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.