Bonnier/DN har publicerat en hel omfattande artikel, Så lurade det systemet, fritt tillgänglig från bakom deras paywall i 24 timmar. Ni hittar artikeln här.
Läsvärt, intressant och inte lite skrämmande med 20 år gamla konton med full behörighet och lösenord som “sommar”.
Vad de misstänkta och åtalade, inklusive nekande Gottfrid Svartholm Warg, alltså misstänks för är att tagit sig in i SPAR-registret med alla svenskars, inklusive personer med skyddad identitet, addressuppgifter. Första intrånget skedde pinsamt nog genom att man lyckades använda riksdagens konto i SPAR genom att lura systemet för lösenordsåterställning, och sedan rullade man upp allt mer av systemet genom kunskaper om systemets konstruktion (källkod?) man kom över vid ett tidigare dataintrång hos Logica 2010.
Vad som är skrämmande är alltså hur riktigt usel säkerhet helt centrala svenska myndighetssystem visar sig ha.
Passa på att läsa artikeln innan betalmuren stängs.
21 kommentarer
Tack för tipset. För tekniknörderi är det som står om Logica- och Nordeahacken hos qnrq.se mest intressant, enligt min ringa mening. Till en början var det ju också enda vettiga källan, innan Computer Sweden vaknade. Sedan har ju Wikileaks släppt rättegångshandlingar och en hemlig teknisk analys finns också på nätet, har jag sett. Det var förresten mer än bara intrång i Infotorg/SPAR. Stordatorer med databaser för Skatteverket och Polisen värda att nämna.
Paywallen har redan stängts :-/
Too late….
Det verkar som att svenska tidningar inte vill ha några läsare….
Den väggen stängdes i alla fall snabbt!
Pappersversionen av DN slåss för sin överlevnad?
Nätet har alltid varit gratis och fritt tillgängligt så det blir svårt ta betalt för det.
Tom Avpixlat vill ha in bidrag. Kanske behöver de en bra författare som kan skänka dem pengar som Expo( som ger en syn på samhället från en annan vinkel) Bägge tar dock fasta på det som är dåligt och inte fungerar! I bästa fall kanske för att få ett bättre samhälle.
Google hann i alla fall cacha artikeln. Sorry Dagens Nyheter. 😉
http://webcache.googleusercontent.com/search?q=cache:PAu8kjxBSksJ:www.dagensnyheter.se/shared/311f9713-6ac1-4d6d-9ac8-a3413056699e+&cd=1&hl=sv&ct=clnk&gl=se
Tack för länken!
Vill man läsa om mer detaljer kan man råka ramla förbi wikileaks.
Jag har många kunder i offentliga sektorn samt inom finansvärlden, och man tror ju spontant att de ska ha bättre IT-säkerhetstänk än andra, men man blir lika besviken varje gång. Det verkar hänga till 99 % på om de har lyckats rekrytera kunnig IT-personal eller inte, och kraven uppifrån/utifrån verkar nästan obefintliga.
Iofs görs ofta granskningar utförda av "säkerhetsfokuserade organisationer", men det verkar som om fynden från dessa enbart är rådgivande, och inte alls obligatoriska att införa.
De har tydligen outsourcat hela registret – låt mig gissa: det står en fet disclaimer i avtalet som friskriver både Bisnode och Logica från ansvar vid intrång, säkerhetsbrister och andra brister i datasystemet…
skulle det hjälpa om man skapade någon slags CO ansvarig för it-säkerhet vars innehavare faktiskt måste ha nått hum om just IT-säkerhet?
@KnownUnknowns
Jag vet inte riktigt hur du menar – du menar någon inom SKV som är ansvarig? Det faller liksom på att man avskaffat tjänstemannaansvaret – så även om det finns någon inom SKV som är ansvarig så kommer inte ansvar utkrävas.
Inom iaf mjukvarubranchen (men jag antar att det gäller hela IT-branchen) så är det brukligt att man gör mer eller mindre långtgående friskrivningar i avtalen – och där vore det faktiskt på sin plats att ha någon ansvarig i köporganisationen rent generellt efter som man annars slänger ansvarsfrågan mellan stolarna.
http://is.gd/Fhu55W
Nu är jag ju ingen anhängare av nyliberalism, så jag har liten förståelse för att staten måste lägga ut SPAR-registret och det digitala säkerhetsarbetet på det privata företaget Bisnode (ägare: Ratos 70%, Bonniers 30%), som i sin tur lägger ut dessa på en underentreprenör – Logica.
Varför kan inte staten ha det digitala säkerhetskunnandet och SPAR-registret i "huset"?
En inte alltför långsökt parallell kan man ju finna hos Försvarsmakten, som inte heller hade det "digitala kunnandet" i "huset" och lurades att introducera PRIO.
PRIOs införande kan dock läggas vid fötterna hos det befäl som ansvarade för upphandlingen(kommer inte exakt vem i nuläget). I allt annat håller jag med dig, det är tamejfan nästan skamligt hur svenska myndigheter verkar vara totalt inkompetenta när det gäller it-säkerhet!
Ja, det där är en allt bra fråga. Men den kan bero på att det finns rätt många IT-kunniga, men liksom i övriga sektorer och fält så finns det få som är riktigt bra?
Men det är galet att man lagt ut registret över oss sådär i privata händer. Ska det vara statligt så behöver det väl vara inom staten eller?
Det här är dock ändå en rätt märklig historia och det är bra att den kryper fram.
Jag kan rekommendera alla här att även läsa en artikeln skriven av en IT-forskare – som då skriver från ett mer socialt håll (IT:s användning styrs ju även av kulturella mönster) om varför hela den här härvän är gravt oroväckande (och är nog extra intressant för er som är kunder hos Nordea). http://cybernormer.se/2013/04/18/hacken-identifierar-felen-men-lar-vi-oss/
Två saker till: 1. Att det blir som det blir kan också ha förutom outsourcingen att göra med att Skatteverket betalar rätt dåliga löner. De är precis så ekonomiska som de måste vara. Så det gör väl att i dagens samhälle så lockar de inte direkt de som har bra koll på IT-säkerheten. Kan ju bidra.
2. Skatteverket som myndighet är ju fyllt med juridik och ekonomikunniga personer. Men… och det är nog ett stort men… det återspeglar inte nödvändigtvis verkligheten. Det grundläggande dilemmat kvarstår ju då att bara för att det står i ett avtal att något skall hållas (ex: IT-säkerhet) så innebär inte det att det görs så i verkligheten. Sen kan man undra hur i h-e Bisnode fick ett såpass bra avtal utan krav på säkerhet. Det blir ju rentav löjligt när man i Sverige sprungit runt under kalla kriget och kört med "en svensk tiger" och varit rädda för ryssen -> dvs haft ett högt säkerhetstänkande på sitt sätt för att sen när Järnridån föll mer eller mindre sprida personuppgifter från statligt håll sådär inbjudande fritt.
Gissar på att Bisnode skrev avtal på det glada nittiotalet, när allt statligt ägt skulle utsättas för någon slags marknad(om det inte redan var det) samt att en hel del misstänksamma avtal ingicks(SJ t ex).
Jobbat i branschen som har PAR som leverantör och kan baserat på egen erfarenhet säga att det finns många bolag som sitter på en massa känslig data de köpt rakt av från SPAR som inte hanteras på det sätt den borde.
Men det farliga med digitalt lagrad information är alltid att det räcker att en kopia på hela databasen kommer ut en gång, så är skadan mer eller mindre oreparerbar då anden aldrig med säkerhet går att få in i flaskan mer. Såvida man nu inte vill ändra alla hemliga identiteter varje gång något läcker vilket jag utgår från är uteslutet.
Där har alltså kopimisterna rätt: Kopior är överlägna, och därför skall allt kopieras.
Jag har personligen varit involverad i en del projekt åt kommuner och landsting. Det finns många teknikfientliga gamla gubbar och kärringar som fullständigt skiter i allt vad säkerhet är. I slutet av projekten känner man sig missnöjd och att "det här är inget jag kan stå för" eftersom grundförutsättningarna blivit omgjorda av höga chefer som har noll it-kompetens. Värst av allt är att skattebetalarna finansierar dessa system samt dårarnas inkompetens. Är det en slump att vi har tusentals olika patientjournalsystem i Sverige exempelvis?
+1. Jobbat på ett ställe där VD vägrade att byta lösenord då det var för jobbigt att memorera ett nytt. Sänds sådana signaler från toppen så blir kulturen därefter…
Japp, har också varit med om detta ett par ggr. Värsta exemplet på just lösenord var att alla på en myndighet skulle ha samma lösenord eftersom det skulle underlätta för kollegorna att läsa andras mail när de var borta. Helst skulle ingen ha något lösenord alls.