Förstöring av hemliga pappershandlingar – och hur de kan återskapas

Exempel på ofullständig förstöring av pappershandlingar. Fragment av papper med läsbar text, ibland hela meningar.

Exempel på ofullständig förbränning av pappershandlingar. Fragment av papper med läsbar text, ibland hela meningar, finns i behållaren där man har eldat.

Information, som ur något konfidentialitetsperspektiv har ett värde för en organisation och som inte längre behövs, måste skyddas så att någon obehörig inte kan ta del av den. Sista steget i livscykeln för information är förstöring, om den inte har tagits om hand för att bevaras till eftervärlden.

Pappershandlingar brukar vanligtvis förstöras genom tuggning i dokumentförstörare eller genom att eldas upp. Om förstöringen inte är tillräckligt väl genomförd kan den ”förstörda” informationen helt eller delvis återskapas. Något som kan vara en katastrof för verksamheten.

Standarder

De 114 säkerhetsåtgärderna i informationssäkerhetsstandarden SS-ISO/IEC 27001:2014 ställer inga explicita krav på förstöring av information i pappersform. Som del av vägledningen att införa säkerhetsåtgärden ”inventering av tillgång” nämns förstöring som en del av livscykeln för information (8.1.1 i SS-ISO/IEC 27002:2014). Vägledningen för säkerhetsåtgärderna för avveckling av lagringsmedier (8.3.2 i SS-ISO/IEC 27002:2014) skulle också kunna användas för pappershandlingar. Är det här ett problem? Nej, det är det inte. Arbetssättet som SS-ISO/IEC 27001:2014 anger innebär att en organisation i sitt strukturerade informationssäkerhetsarbete ändå kan identifiera behovet av säkerhetsåtgärder och införa formella rutiner för kontrollerad förstöring av pappershandlingar.

Europastandarden EN 15713:2009 innehåller rekommendationer för ledning och uppföljning av utkontrakterad mekanisk förstöring av information. I standarden finns en tabell med materielspecifika storlekar på restprodukter. Den största restprodukten för förstöring av pappershandlingar i tabellen är 25 x 200 mm. Det är som att riva en A4 i 12 bitar. Tabellens minsta storlek på restprodukter för pappershandlingar är 4 x 90 mm. Sådana bitar går att pussla ihop för hand. Standarden, som även är svensk standard enligt SS-EN 15713:2009, är enligt min mening inte tillräcklig för att säkerställa konfidentialiten för information i pappersform.

Flera tillverkare av dokumentförstörare hänvisar till den tyska standarden DIN 66399. Standarden verkar innehålla stöd att utifrån en generisk klassificering av information välja säkerhetsnivåer för destruktion av bl a papper. Standarden betyder inte något för svenska förhållanden, men den skulle kunna användas för att översätta en organisations krav när man ska upphandla dokumentförstörare.

Krav i Sverige

Försvarsmakten och Säkerhetspolisen har var för sig ställt kravet att hemliga handlingar (rikets säkerhet) i skrift eller bild ska förstöras ”så att åtkomst och återskapande av uppgifterna omöjliggörs”.

I Försvarsmakten gäller att restprodukterna efter förstöring av pappershandlingar i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högra får utgöras av spån med en bredd av högst 1,2 mm och en längd av högst 15 mm. Alternativt får spånen vara kvadratiska med en storlek på högst 2 x 2 mm. För hemliga handlingar i informationssäkerhetsklassen HEMLIG/RESTRICTED får restprodukterna utgöras av spån med en bredd av högst 2,5 mm och en längd av högst 30 mm, alternativt av kvadratiska spån som högst är 4 x 4 mm.

Andra myndigheter får själva bestämma hur hemliga pappershandlingar får förstöras, så länge de uppfyller kraven att åtkomst och återskapande av uppgifterna omöjliggörs. För förstöring av kryptonycklar i pappersform gäller dock Försvarsmaktens krav på förstöring av pappershandlingar i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre. Kryptonycklar för signalskydd kan bestå av en pappersremsa med en maskinläsbar streckkod.

Är det möjligt att rekonstruera förstörda pappershandlingar?

Den amerikanska forskningsmyndigheten Defense Advanced Research Projects Agency (DARPA) utlyste 2011 en offentlig tävling där deltagarna skulle finna svaren på fem frågor genom att återskapa restprodukter från handskrivna pappershandlingar. Tävlingen DARPA Shredder Challenge som pågick under drygt fem veckor var indelad i fem delar med stigande svårighetsgrad. Restprodukterna, som hade förstörts i dokumentförstörare, var inskannade och kunde laddas ner i form av TIFF-filer. Det var inte nödvändigt att rekonstruera handlingarna i sin helhet, utan endast i den utsträckning det behövdes för att svara på frågorna.

Tre sidor handskrivet pappershandling (bild till vänster) förstördes i dokumentförstörare. Restprodukterna i storleken ca 3 x 8 mm blandades, skannades in med upplösningen 400 DPI och kunde laddas ner som TIFF-filer (bild i mitten, beskuren). Exempel på det vinnande lagets resultat. Stora delar, men inte hela, pappershandlingen rekonstruerades (bild till höger). Klicka på bilden för att se den i ett större format.

Tre sidor handskrivet pappershandling (bild till vänster) förstördes i dokumentförstörare. Restprodukterna i storleken ca 3 x 8 mm blandades, skannades in med upplösningen 400 DPI och kunde laddas ner som TIFF-filer (bild i mitten, beskuren). Exempel på det vinnande lagets resultat. Stora delar, men inte hela, pappershandlingen rekonstruerades (bild till höger). Klicka på bilden för att se den i ett större format.

Det vinnande laget använde en kombination av datoriserade bildbehandlingsalgoritmer och mänsklig observation för att flytta bitarna till sina slutliga positioner. De minsta restprodukterna i tävlingen var ca 3 x 8 mm stora. Utifrån tävlingens resultat är min bedömning att det är möjligt att återskapa förstörda hemliga handlingar i informationssäkerhetsklassen HEMLIG/RESTRICTED. Försvarsmaktens interna krav på restprodukternas storlek för sådana handlingar (2,5 x 30 mm) uppfyller sannolikt inte kravet att hemliga handlingar i skrift eller bild ska förstöras ”så att åtkomst och återskapande av uppgifterna omöjliggörs”. Jag har ingen kunskap om var gränsen går för när det kan finnas någon teknisk möjlighet att rekonstruera en förstörd pappershandling. Har du sådan kunskap får du gärna tipsa mig.

Ett historiskt exempel på återskapande av förstörda pappershandlingar är ockupationen av USA:s ambassad i Teheran 1979. Handlingarna inkluderade bl a hemliga telegram och rapporter från det amerikanska utrikesdepartementet och CIA. Pappershandlingarna rekonstruerades för hand och fram till 1995 ska 77 volymer ha publicerats.

En annan känd och pågående rekonstruktion sker i Tyskland där man försöker återskapa Stasis förstörda handlingar. Det ska finnas 16 000 säckar med handlingar som väntar på att rekonstrueras för hand eller maskinellt. Fraunhoferinstitutet har tagit fram en maskin som digitaliserar fragmentens fram- och baksidor och digitalt pusslar ihop läsbara dokument. På bilder ser det ut som att handlingarna är rivna för hand och att restprodukterna därför är stora. Institutet uppges utveckla tekniken och arbetar med att ta fram en ny maskin med större kapacitet och högre automationsgrad.

Forskning

160810_forskningsrapport

Forskningsrapporten ”Reconstruction of Shredded Paper Documents by Feature Matching” av Peng Li, Xi Fang, Lianglu Pan, Yi Piao, och Mengjun Jiao (PDF).

Det finns forskning om problemet att återskapa förstörda pappershandlingar med hjälp av digital bildbehandling och mönsterigenkänning. Tyska forskare har arbetat med frågan sedan i mitten av 1990-talet. Ett annat exempel är forskare i Kina som 2013 framgångsrikt, om än under ideala förhållanden, återskapade dubbelsidiga pappersdokument. Den praktiska tillämpningen utanför en kontrollerad laborationsmiljö är svårare då text och bild är förskjutna på restprodukterna, som också kan vara olika stora. De kinesiska forskarna bedömde ändå att tekniken kommer att mogna. Förmågan kommer sannolikt att bli bättre.

≈ ≈ ≈

Frågor om IT-säkerhet (eller cybersäkerhet som det felaktigt ibland kallas i Försvarsmakten) har fått stor uppmärksamhet. Vi får inte glömma bort att informationen även finns i analog form – utanför datorerna. Den tekniska utvecklingen medför sårbarheter även i den analoga informationshanteringen. Att rekonstruera pyttesmå restprodukter av förstörda pappershandlingar sågs tidigare som en omöjlighet. Något som nu är möjligt. Den potentiella nyttan för en underrättelsetjänst skulle vara enorm om den på industriell skala lyckas att återskapa förstörda pappersdokument. En sådan inhämtningsförmåga skulle också vara en dold och väl bevarad hemlighet som ytterst få skulle ha kunskap om.

Den tekniska möjligheten att rekonstruera förstörda hemliga pappershandlingar kan vara svår att förstå. Restprodukterna är ju pyttesmå. Men bara för att en människa uppfattar det som en omöjlighet, behöver det inte vara tekniskt omöjligt för en maskin.

Det vanligaste torde dock vara att man förstör pappershandlingar på ett felaktigt sätt så att restprodukterna är för stora. Ett exempel är dokumentförstörare med förrådsbeteckning X7185-000004 i Försvarsmakten. Den får användas för HEMLIG/RESTRICTED, men inte för någon högre informationssäkerhetsklass. Om den obetänksamme av misstag använder den för förstöring av pappershandlingar i informationssäkerhetsklass HEMLIG/CONFIDENTIAL eller högre kommer det ge restprodukter som går att rekonstruera. Något som kan vara en katastrof för verksamheten.

Källor:

  • 2 kap 22 § Försvarsmaktens föreskrifter (FFS 2015:2) om säkerhetsskydd (PDF).
  • 3 kap 18 § Säkerhetspolisens föreskrifter (PMFS 2015:3) och allmänna råd om säkerhetsskydd (PDF).
  • 2 kap 16 § Försvarsmaktens interna bestämmelser (FIB 2015:2) om säkerhetsskydd och skydd av viss materiel (PDF).
  • Sidorna 97-98 i Handbok totalförsvarets signalskyddstjänst, grundläggande regler för signalskyddstjänsten (H TST Grunder) (PDF).
  • Svensk Standard SS-EN 15713:2009 Säker destruktion av konfidentiellt material – Policy.
  • DIN 66399-1 Office machines – Destruction of data carriers – Part 1: Principles and definitions.
  • ”What you should know! – Information about the new DIN 66399 for destruction of data carriers”, broschyr från tillverkaren Ideal (PDF).
  • ”Iran hostage crisis” på Wikipedia.
  • ”Documents seized from the U.S. Embassy in Tehran” på Wikisource.
  • DARPA Shredder Challenge (arkiverad webbplats).
  • Nyheten ”Shredder Challenge solved” på phys.org.
  • ”DARPA Shredder Challenge 2011” på Wikipedia.
  • Den tyska myndigheten BStU:s information om rekonstruktion av pappershandlingar.
  • Fraunhoferinstitutet om rekonstruktion av sönderrivna Stasidokument.
  • Fraunhoferinstitutets broschyr om automatiserad rekonstruktion av förstörda dokument (PDF).
  • Artikeln ”Piecing Together the Dark Legacy of East Germany’s Secret Police” hos Wired.
  • Forskningsrapporten ”Reconstruction of Shredded Paper Documents by Feature Matching” av Peng Li, Xi Fang, Lianglu Pan, Yi Piao, och Mengjun Jiao (PDF).

/Kim Hakkarainen

3 kommentarer

Publicerad i Säkerhetsledning, Säkerhetsskydd

3 kommentarer till Förstöring av hemliga pappershandlingar – och hur de kan återskapas

  1. Bra Kim!
    Det tål att påminnas att informationssäkerhet inte bara handlar om information i digital form utan även i pappersform. Dessutom bär vi som människor på en oerhörd massa information i form av kompetens och erfarenheter.

    Det finns faktiskt ett eget ledningssystem för records management som heter ISO 30301 och som har sitt ursprung från arkivsidan. Ledningssystemet i sig ställer krav på processer förknippade med dokumenthanteringens hela livscykel vilket även inkluderar destruering. Däremot finns det ingen standard som reglerar storleken på destruerad information.

  2. Mats

    Tack för ännu ett intressant och läsvärt blogginlägg!
    Bara en detalj: X7185-000004 är inte en korrekt förrådsbeteckning i Försvarsmakten, såna inleds med M eller F. Något hitte-på-nummer av folk i din närhet?

    • Tack Mats!

      X står för ”lokal anskaffning”. I Försvarsmakten finns materiel med förrådsbeteckning som inleds med X. Dokumentförstöraren som jag beskriver är ett exempel på sådan materiel.

      /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *