SVT slutar driva sina dokumenthanteringsservrar internt via Lotus Notes, utan lägger istället ut allt på NSA:s molntjänster. (IDG)
Som bekant är Microsoft en av de bolag som öppnat upp sina molntjänster för fri insyn för NSA:s del via det av Edward Snowden avslöjade PRISM-systemet och SVT placerar nu sina interna dokument hos Microsoft via Microsoft 365.
SVT:s informationssäkerhetsansvarige ser inte det som ett problem att man låter NSA få tillgång till alla deras dokument i molnet, utan oroar sig mer för att EU ska läsa vad som pågår på SVT. Citat från IDG:
“Om jag tittar på mig ser jag inte NSA som det största hotet utan i stället EU-direktiv om trafikdatalagring som ger myndigheterna åtkomst till digitala spår.”
Dock mumlar informationssäkerhetsansvarige något om att NSA och FRA utgör ett hot mot dem, men väljer ändå att lägga ut dokumenten för att läsas av NSA.
“De externa hoten från FRA och NSA har ett stort publicistiskt värde som kan påverka oss väldigt mycket”
Så var det med den saken. Man ska framöver ställa sig frågan hur välkomna, uppskattade och trygga SVT:s utrikeskorrenspontenter kommer känna sig när de besöker diverse oroshärdar, när alla dokument som upprättas blir fritt läsbara för NSA?
Låt mig gissa att Microsofts säljare intygat att Microsoft inte alls har öppnat sina system åt NSA? Och att SVT “måste våga lita på sina leverantörer när de intygar detta”. I själva verket är Microsoft naturligtvis i sina avtal med NSA förbjudna att någonsin medge att avtalen existerar.
Det krävs tydligen inte så mycket för att vara informationssäkerhetsansvarig hos SVT. När milleniets hittils största skandal och integritetskränkning avslöjats, så väljer SVT att inte säkra sina dokument internt inom de egna väggarna, utan rusar med armarna utsträckta i famnen på NSA. Kom ihåg det om du någonsin kommunicerar med SVT, om det så är muntligt. Uppgifter om dig kan hamna i något dokument någonstans ändå.
Via informationsutbytet FRA-NSA får nu svenska staten och regeringen förhandsinformation om vad t ex Uppdrag Granskning har för sig, men också insyn i arbetet med reportage inför eller under valrörelsen.
18 kommentarer
Det här låter som ett väsentligt inlägg som borde intressera journalister (så ta och rätta till stavningen i rubriken!). Kanske kramar politikerna Radiotjänsts perversa avgiftsordningar bara för att det ger dem större möjligheter att hålla koll på vad folk tittar på och ringa in folk som har åsikter och tendenser de ogillar och skicka uppgifterna till jänkarna. För journalisterna bör det som du säger vara en mycket stor nackdel att NSA har tillgång till deras interna dokument.
Det enkla svaret är väl att säkerhet och integritet väger lätt mot ekonomiska faktorer:
"Och sedan har kostnaden betydelse, det får inte kosta mer, och helst ska det kosta mindre"
Antar att du stavat fel i rubriken med flit!? Vad är du egentligen rädd för? Du skriver ju ändå helt öppet…
Stavat fel pga slarv.
När språkpolisen ändå är här. Hittills stavas med två l. 🙂
Hm……. de skall ha någon intern server för det extra känsliga enligt IDGs artikel. Men det är liksom ändå tveksamt.
Det kan också vara så att SVT inte bedömer att de klarar av att hålla säkerheten + hantering för alla dokumemt de har idag. Fast mest rimligt är det nog att mycket handlar om kostnader. Säkerhet har en kostnad. Även om avtalet skulle vara bra med hänsyn till PUL osv så är ju lävkt information borta, den går inte att radera om något kopierat den.
I övrigt håller jag med dig.
Men moln någon annanstans finns alltid risken för fysisk åtkomst. Eller ändring av data (tampering).
Kanske en sänkning av jobbiga program och teman hos SVT då man inte kan göra sånt på politisk väg i Sverige?
Bra att de använder PGP i alla fall. Journalister får lära sig hålla allt lokalt och kryptera järnet.
Nämen, SÅ kan de väl inte göra? De är ju demokratins högsta beskyddare. Inte kommer de att bete sig som den värsta diktaturen heller? Dessutom, har man rent mjöl i påsen, finns väl ingenting att frukta?
Känner mig naiv i dag.
Det är fascinerande att se att ju större uppgivenheten inför existerande maktförhållanden blir, som svt:s uppgivenhet inför Realpolitiken av en informationsdammsugande överhet – som skulle kosta pengar att manövrera sig fri ifrån – ju mera vinklas journalistiken in på abstrakta mänskliga rättigheter, på att se "den mänskliga sidan" och på en uppdelning av goda och onda efter rent moralistiska kriterier.
Kanske kan man se det från den andra sidan som att där "mänskliga värden" marknadsförs, där regerar egentligen en knallhård Realpolitik.
De flesta människor bryr sig inte om NSA eller någon annan övervakar dem. Har inte märkt att vanliga människor eller företag ändrat sina IT vanor sen hela grejen med Snowden blev aktuell. Att vanliga människor inte ändrar sig kan jag förstå, men att företag inte skärper säkerheten är oroande. Är ju inte bra om viktig bolagsinfo hamnar i NSAs händer, som sedan kan föra den vidare till amerikanska bolag som konkurrerar med svenska bolag… Kan låta konspiratoriskt, men man kan aldrig veta vad NSA har för sig.
Jag är förvånad att de vågar göra det efter all debatt. Eller så har de helt enkelt ingen aning. Det är ju inte de bästa IT-cheferna som går till statliga bolag.
Ett mycket märkligt beslut. Men sen är det mesta kring SVT märkligt och onaturligt. Bara det faktum att man gömmer hela verksamheten i någon skum stiftelseform gör mig lite skeptisk till deras verksamhet.
Det räcker med att IT ses som en "jobbig kostnad" på det aktuella bolaget. Tror inte det har så mycket att göra med statlig eller privat regi. Plånboken styr, råder kvartalsekonomi skiter man oftast blankt i sekundäreffekter och vad data i fel händer kan ställa till med. Ofta förstår sig management/de som budgeterar sig inte ens på det eller vilka risker det innebär. Självklart tar man då den billigare centraliserade molnlösningen, som kanske dessutom har bättre upptid än den lokala servern ett gäng rätt dyra IT-tomtar måste sköta (dyra, kan bli sjuka, m.m.).
Komiskt. Främmande makt ok men det egna EU är horfullt. Vilka tomtar.
Nulli secundus
Bwahaha, +1 på den… Eller vänta, skulle det kanske egentligen varit ett "t" istället för ett "r"? R blir bättre tycker jag!
Med Office 365 kan man:
Ställa en hybridserver i källaren som gör att alla mail skickas in och ut från sverige.
Kryptera kopplingen mellan 365 och denna server.
Kryptera kopplingen mellan klient och 365.
Data är sedan krypterat på disk även vid vila och
Inlåst i containrar, med vakter utanför.
När man skickar mail så kan man säkra mailen med policys som säger att dom inte får vidarebefordras, skrivas ut skärmdumpas, ETC.
Det går även att få det att krypteras mot de som inte har någon säker lösning för mail.
ETC ETC ETC….
Vad gäller dokument så kan man skydda dom med WARM (irm) med egen nyckel om man så önskar.
Sätta bäst före datum för hur länge dokumenten ska få öppnas.
Bestämma vem som får öppna, skriva ut ETC även om man kommer över filen.
Logga all access mot filerna. (även om snowden 2 sitter i Ryssland o försöker öppna dom så kan vi se i loggen att han inte lyckats)
ETC ETC ETC….
Så i det stora hela så får man i många fall en bättre säkerhet i en molnlösning levererad av iaf Microsoft, än vad man kan få hemma av någon lokal "it jätte"
Men det får man ju inga klick på anonserna av att skriva.
(språkpoliser hänvisas till mobilens rättstavningsfunktion)
Det du skriver är till föga hjälp när NSA har en bakdörr. Eller hur!?
Men OK, om argumentet är att det är lika dåligt som andra alternativ så visst. Betyder det att man inte ska påpeka brister då?
Det finns säkert IRM-system som är open source och förmodat bakdörrsbefriade, så i teorin kan man få säkerhet även i molnet genom att inget lagras i klartext där. Fast i praktiken blir kraven på att alla skall följa säkerhetsreglerna så höga och reglerna så krångliga att säkerheten blir låg ändå. Om allt finns lagrat lokalt slipper man många av de problemen.
Dessutom är det med största säkerhet så att det finns ett enkelt IRM-system integrerat i SharePoint/O365 medan de som inte har en lika välsmord alternativingång kan tänkas vara krångligare att använda, et voilà, NSA gör entré i bakdörren på SharePoint.
Ja och vem säger att dom (NSA) inte bara ger nån ett grymt CV med finfina referenser som söker jobb på SVT och leker dubbelagent. Detta till en bråkdel av pengarna. Vill dom komma åt informationen så tror jag dom gör det vart den än ligger. Poängen jag vill få fram är att användarna kommer nu kunna säkra sin kommunikation och sina dokument på ett mycket lättare, bättre och säkrare sätt än tidigare så i det stora hela så vinner man mycket i säkerhet genom att välja Office 365 Till och med mot ovan nämnda hemliga dubbelagent kan man säkra den nu. Och om någon accessar filen så får vi det ju loggat plus att vi kan använda våran egen privata nyckel för att låsa IRM skyddet med, på ett väldigt enkelt sätt. Så igen, dom kommer få bättre säkerhet i en användarvänligare lösning som det inte alls är så säkert att NSA kommer åt.
Datat ligger endast lagrat i Irland och Amsterdam så att NSA skulle besudlat deras regeringar samt europeiska internetleverantörer utan att Snowden läckt om det verkar långsökt. Men ja.. det är ju såklart bakdörrar i programvaran så dom hoppar in den vägen?? Men då är det ju underligt att ingen upptäckt de när dom gått igenom källkoden?? https://www.microsoft.com/en-us/sharedsource/default.aspx
Vem styr NSA?
Booz Allen Hamilton
Vem äger Booz Allen Hamilton?
Citat från wikin " Booz Allen Hamilton is majority owned by private equity firm The Carlyle Group"
The Carlyle Group
Vilka har varit delägare av The Carlyle Group?
Saudi Binladin Group
Ur säkerhetssynvinkel är det intressant att det är just Lotus Notes de slutar använda. Det är en av de mer säkra och svårhackade företagsplattformarna. Man har multipla säkerhetslager där man normalt krypterar såväl kommunikationen mellan klient och server, lokala kopior/replikor av databaser och varje enskilt mail/dokument som lagras i databaserna. Den distribuerade arkitekturen med av företaget egengenererade 2048-bitars nycklar gör dessutom att NSA får arbeta ganska så mycket innan de kommer åt någon information.
Tyvärr innebär säkerhet en kostnad som få i dag är villiga att betala för. Det skulle heller inte förvåna mig i fall centraliserade system såsom Microsoft O365 dessutom subventioneras av NSA. Det ligger ju trots allt i deras intresse att så många som möjligt använder system där all information lätt kan kommas åt av deras handläggare.
Jag föreställer mig också att Microsoft O365 erbjuder NSA ett riktigt modernt och användarvänligt gränssnitt för
– Enkel fritextsökning av åsikter och industrihemligheter,
– Möjlighet att sätta tröskelnivåer för larm med hjälp av bayesisk statistik. Det senare innebär att man ger "poäng" för olika ord och när poängen når en viss nivå kan man ge en varning eller ett larm om att den aktuella åsikten, teknologin, patentansökningen eller användaren måste undersökas närmare.
– Klassifikation av användare och företag över hela världen efter ”risknivå”, t ex att ett visst europeiskt företag har kommit på en eller flera banbrytande teknologier som skulle kunna hota amerikanska företag,
– Realtidslarm när nya dokument som rör en viss het teknologi eller kontroversiell åsikt sparas eller uppdateras.
– Snygg visualisation i 3D av vilka personer i världen som kommunicerar med varandra, kopplat till motsvarande information på Facebook, LinkedIn och olika telekomoperatörers statistik,
– Sparar backupkopior av all kommunikation och alla dokument för evigt. Detta material kan sedan användas för att söka efter material som kan användas för utpressning. Landets organisationer har en lång och ärorik tradition kring detta som inleddes av J. Edgar Hoover och sannolikt även inkluderar landets egna ledare – varför det skulle vara ytterst osannolikt att man skulle exkludera resten av världen i denna typ av verksamhet.