Förstöring av hemliga pappers­handlingar – och hur de kan återskapas

Information, som ur något konfidentialitetsperspektiv har ett värde för en organisation och som inte längre behövs, måste skyddas så att någon obehörig inte kan ta del av den. Sista steget i livscykeln för information är förstöring, om den inte har tagits om hand för att bevaras till eftervärlden.

Pappershandlingar brukar vanligtvis förstöras genom tuggning i dokumentförstörare eller genom att eldas upp. Om förstöringen inte är tillräckligt väl genomförd kan den ”förstörda” informationen helt eller delvis återskapas. Något som kan vara en katastrof för verksamheten.

Exempel på ofullständig förbränning av pappershandlingar. Fragment av papper med läsbar text, ibland hela meningar, finns i behållaren där man har eldat.

Standarder

De 114 säkerhetsåtgärderna i informationssäkerhetsstandarden SS-ISO/IEC 27001:2014 ställer inga explicita krav på förstöring av information i pappersform. Som del av vägledningen att införa säkerhetsåtgärden ”inventering av tillgång” nämns förstöring som en del av livscykeln för information (8.1.1 i SS-ISO/IEC 27002:2014). Vägledningen för säkerhetsåtgärderna för avveckling av lagringsmedier (8.3.2 i SS-ISO/IEC 27002:2014) skulle också kunna användas för pappershandlingar. Är det här ett problem? Nej, det är det inte. Arbetssättet som SS-ISO/IEC 27001:2014 anger innebär att en organisation i sitt strukturerade informationssäkerhetsarbete ändå kan identifiera behovet av säkerhetsåtgärder och införa formella rutiner för kontrollerad förstöring av pappershandlingar.

Europastandarden EN 15713:2009 innehåller rekommendationer för ledning och uppföljning av utkontrakterad mekanisk förstöring av information. I standarden finns en tabell med materielspecifika storlekar på restprodukter. Den största restprodukten för förstöring av pappershandlingar i tabellen är 25 x 200 mm. Det är som att riva en A4 i 12 bitar. Tabellens minsta storlek på restprodukter för pappershandlingar är 4 x 90 mm. Sådana bitar går att pussla ihop för hand. Standarden, som även är svensk standard enligt SS-EN 15713:2009, är enligt min mening inte tillräcklig för att säkerställa konfidentialiten för information i pappersform.

Flera tillverkare av dokumentförstörare hänvisar till den tyska standarden DIN 66399. Standarden verkar innehålla stöd att utifrån en generisk klassificering av information välja säkerhetsnivåer för destruktion av bl a papper. Standarden betyder inte något för svenska förhållanden, men den skulle kunna användas för att översätta en organisations krav när man ska upphandla dokumentförstörare.

Krav i Sverige

Försvarsmakten och Säkerhetspolisen har var för sig ställt kravet att hemliga handlingar (rikets säkerhet) i skrift eller bild ska förstöras ”så att åtkomst och återskapande av uppgifterna omöjliggörs”.

I Försvarsmakten gäller att restprodukterna efter förstöring av pappershandlingar i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högra får utgöras av spån med en bredd av högst 1,2 mm och en längd av högst 15 mm. Alternativt får spånen vara kvadratiska med en storlek på högst 2 x 2 mm. För hemliga handlingar i informationssäkerhetsklassen HEMLIG/RESTRICTED får restprodukterna utgöras av spån med en bredd av högst 2,5 mm och en längd av högst 30 mm, alternativt av kvadratiska spån som högst är 4 x 4 mm.

Andra myndigheter får själva bestämma hur hemliga pappershandlingar får förstöras, så länge de uppfyller kraven att åtkomst och återskapande av uppgifterna omöjliggörs. För förstöring av kryptonycklar i pappersform gäller dock Försvarsmaktens krav på förstöring av pappershandlingar i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre. Kryptonycklar för signalskydd kan bestå av en pappersremsa med en maskinläsbar streckkod.

Är det möjligt att rekonstruera förstörda pappershandlingar?

Den amerikanska forskningsmyndigheten Defense Advanced Research Projects Agency (DARPA) utlyste 2011 en offentlig tävling där deltagarna skulle finna svaren på fem frågor genom att återskapa restprodukter från handskrivna pappershandlingar. Tävlingen DARPA Shredder Challenge som pågick under drygt fem veckor var indelad i fem delar med stigande svårighetsgrad. Restprodukterna, som hade förstörts i dokumentförstörare, var inskannade och kunde laddas ner i form av TIFF-filer. Det var inte nödvändigt att rekonstruera handlingarna i sin helhet, utan endast i den utsträckning det behövdes för att svara på frågorna.

Beskrivning

Tre sidor handskrivet pappershandling (bild till vänster) förstördes i dokumentförstörare. Restprodukterna i storleken ca 3 x 8 mm blandades, skannades in med upplösningen 400 DPI och kunde laddas ner som TIFF-filer (bild i mitten, beskuren). Exempel på det vinnande lagets resultat. Stora delar, men inte hela, pappershandlingen rekonstruerades (bild till höger). Klicka på bilden för att se den i full storlek.

Det vinnande laget använde en kombination av datoriserade bildbehandlingsalgoritmer och mänsklig observation för att flytta bitarna till sina slutliga positioner. De minsta restprodukterna i tävlingen var ca 3 x 8 mm stora. Utifrån tävlingens resultat är min bedömning att det är möjligt att återskapa förstörda hemliga handlingar i informationssäkerhetsklassen HEMLIG/RESTRICTED. Försvarsmaktens interna krav på restprodukternas storlek för sådana handlingar (2,5 x 30 mm) uppfyller sannolikt inte kravet att hemliga handlingar i skrift eller bild ska förstöras ”så att åtkomst och återskapande av uppgifterna omöjliggörs”. Jag har ingen kunskap om var gränsen går för när det kan finnas någon teknisk möjlighet att rekonstruera en förstörd pappershandling. Har du sådan kunskap får du gärna tipsa mig.

Ett historiskt exempel på återskapande av förstörda pappershandlingar är ockupationen av USA:s ambassad i Teheran 1979. Handlingarna inkluderade bl a hemliga telegram och rapporter från det amerikanska utrikesdepartementet och CIA. Pappershandlingarna rekonstruerades för hand och fram till 1995 ska 77 volymer ha publicerats.

En annan känd och pågående rekonstruktion sker i Tyskland där man försöker återskapa Stasis förstörda handlingar. Det ska finnas 16 000 säckar med handlingar som väntar på att rekonstrueras för hand eller maskinellt. Fraunhoferinstitutet har tagit fram en maskin som digitaliserar fragmentens fram- och baksidor och digitalt pusslar ihop läsbara dokument. På bilder ser det ut som att handlingarna är rivna för hand och att restprodukterna därför är stora. Institutet uppges utveckla tekniken och arbetar med att ta fram en ny maskin med större kapacitet och högre automationsgrad.

Forskning

Forskningsrapporten ”Reconstruction of Shredded Paper Documents by Feature Matching” av Peng Li, Xi Fang, Lianglu Pan, Yi Piao, och Mengjun Jiao.

Rapporten som PDF

Det finns forskning om problemet att återskapa förstörda pappershandlingar med hjälp av digital bildbehandling och mönsterigenkänning. Tyska forskare har arbetat med frågan sedan i mitten av 1990-talet. Ett annat exempel är forskare i Kina som 2013 framgångsrikt, om än under ideala förhållanden, återskapade dubbelsidiga pappersdokument. Den praktiska tillämpningen utanför en kontrollerad laborationsmiljö är svårare då text och bild är förskjutna på restprodukterna, som också kan vara olika stora. De kinesiska forskarna bedömde ändå att tekniken kommer att mogna. Förmågan kommer sannolikt att bli bättre.

≈ ≈ ≈

Frågor om IT-säkerhet (eller cybersäkerhet som det felaktigt ibland kallas i Försvarsmakten) har fått stor uppmärksamhet. Vi får inte glömma bort att informationen även finns i analog form – utanför datorerna. Den tekniska utvecklingen medför sårbarheter även i den analoga informationshanteringen. Att rekonstruera pyttesmå restprodukter av förstörda pappershandlingar sågs tidigare som en omöjlighet. Något som nu är möjligt. Den potentiella nyttan för en underrättelsetjänst skulle vara enorm om den på industriell skala lyckas att återskapa förstörda pappersdokument. En sådan inhämtningsförmåga skulle också vara en dold och väl bevarad hemlighet som ytterst få skulle ha kunskap om.

Den tekniska möjligheten att rekonstruera förstörda hemliga pappershandlingar kan vara svår att förstå. Restprodukterna är ju pyttesmå. Men bara för att en människa uppfattar det som en omöjlighet, behöver det inte vara tekniskt omöjligt för en maskin.

Det vanligaste torde dock vara att man förstör pappershandlingar på ett felaktigt sätt så att restprodukterna är för stora. Ett exempel är dokumentförstörare med förrådsbeteckning X7185-000004 i Försvarsmakten. Den får användas för HEMLIG/RESTRICTED, men inte för någon högre informationssäkerhetsklass. Om den obetänksamme av misstag använder den för förstöring av pappershandlingar i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre kommer det ge restprodukter som går att rekonstruera. Något som kan vara en katastrof för verksamheten.

Källor:

  • 2 kap 22 § Försvarsmaktens föreskrifter (FFS 2015:2) om säkerhetsskydd (PDF).
  • 3 kap 18 § Säkerhetspolisens föreskrifter (PMFS 2015:3) och allmänna råd om säkerhetsskydd (PDF).
  • 2 kap 16 § Försvarsmaktens interna bestämmelser (FIB 2015:2) om säkerhetsskydd och skydd av viss materiel (PDF).
  • Sidorna 97-98 i Handbok totalförsvarets signalskyddstjänst, grundläggande regler för signalskyddstjänsten (H TST Grunder) (PDF).
  • Svensk Standard SS-EN 15713:2009 Säker destruktion av konfidentiellt material – Policy.
  • DIN 66399-1 Office machines – Destruction of data carriers – Part 1: Principles and definitions.
  • ”What you should know! – Information about the new DIN 66399 for destruction of data carriers”, broschyr från tillverkaren Ideal (PDF).
  • ”Iran hostage crisis” på Wikipedia.
  • ”Documents seized from the U.S. Embassy in Tehran” på Wikisource.
  • DARPA Shredder Challenge (arkiverad webbplats).
  • Nyheten ”Shredder Challenge solved” på phys.org.
  • ”DARPA Shredder Challenge 2011” på Wikipedia.
  • Den tyska myndigheten BStU:s information om rekonstruktion av pappershandlingar.
  • Fraunhoferinstitutet om rekonstruktion av sönderrivna Stasidokument.
  • Fraunhoferinstitutets broschyr om automatiserad rekonstruktion av förstörda dokument (PDF).
  • Artikeln ”Piecing Together the Dark Legacy of East Germany’s Secret Police” hos Wired.
  • Forskningsrapporten ”Reconstruction of Shredded Paper Documents by Feature Matching” av Peng Li, Xi Fang, Lianglu Pan, Yi Piao, och Mengjun Jiao (PDF).

/Kim Hakkarainen

Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.