Blogginlägg

Sveriges internationella säkerhets­skydds­avtal

Sveriges internationella överenskommelser.

• En nyhet i nya säker­hets­skydds­lagen är att den ska skydda in­form­at­ion som om­fattas av avtal om säker­hets­skydd som Sverige har ingått med andra stater och mellan­folk­liga organ­isat­ioner. Vad betyder det? Läs mer

Missbruk av försvarssekretessen

Collage av Kriminalvårdens personaltidning Omkrim.

• Myndigheter hänvisar till försvars­sekretess­en (15 kap 2 § OSL) för att inte behöva lämna ut uppgifter om sin personal. Ett återkommande tema är att man är en del av totalförsvaret och att personalen kan hotas. Med exempel från Kriminalvården och Göteborgs Energi AB visar jag att försvarssekretessen har missbrukats. Den har endast använts för att vägra lämna ut handlingar. Jag visar också att myndigheter kan revidera sin bedömning och praxis kan ändras. Läs mer

Nya krav på företagens säkerhetsskydd

Bilden är ritad i

Säkerhetsskyddets pentagram. Företagens skyldigheter och myndigheters uppgifter för företagens säkerhetsskydd, när företagen till någon del i den egna verksamheten bedriver verksamhet som är av betydelse för Sveriges säkerhet. Siffrorna hänvisar till den beskrivande texten nedan. Klicka på bilden för att se den i full storlek.

Bilden är ritad i Omnigraffle

Företag omfattades redan av den gamla säkerhetsskyddslagen (1996:627), om verksamheten var av betydelse för rikets säkerhet eller särskilt behövde skyddas mot terrorism. I den nya säkerhetsskyddslagen (2019:585) är företagens skyldigheter fler och tydligare.

Läs mer

Nedräkning för nya säkerhetsskyddslagen

• I dag är det 310 dagar kvar till den 1 april 2019 då nya säkerhetsskyddslagen börjar gälla. Du kan följa utvecklingen på min nya webbplats https://säkerhetsskydd.mrpoyz.net. Jag kommer att uppdatera den med status och länkar till dokument när de publiceras. Läs mer

Inte brottsligt e-posta hemlig information till Ryssland

En polischef som jobbar hemma behöver skriva ut en Excel-fil med information om 474 polisanställda inom den särskilda polistaktiken (SPT) i södra Sverige. Terrorattentatet på Drottninggatan hade inträffat, så det var mycket bråttom att skriva ut filen för att kunna inventera vilken personal som skulle kunna tjänstgöra. För att kunna skriva ut filen e-postar polischefen filen till sin frus e-postadress. Hon skriver ut Excel-filen på en skrivare i bostaden och raderar sedan e-postet.

E-postadressen går till det ryska internetföretaget Mail.Ru.

Läs mer

Krav på godkända säkerhets­funktioner i IT-system

Tabell med Säkerhetspolisens och Försvarsmaktens säkerhetsfunktioner.

För att uppnå rätt säkerhet för ett IT-system behöver man på något sätt ställa säkerhetskrav på systemet, men även systemets omgivning och hur systemet ska hanteras när det är i drift. Det finns inga gemensamma detaljerade krav på IT-säkerhet för svenska myndigheter. Alla uppfinner hjulet på nytt även om det går att läsa ut gemensamma drag, t ex i vilka analyser som görs och vilka säkerhetsfunktioner som finns i systemen.

Hur ser det då ut för IT-system som ska hantera hemlig information som rör rikets säkerhet?

Läs mer

Men och skada – same same but different

Men eller Skada?

• Begreppet men används i dag när information ska klassificeras i nivåer efter hur betydelsefull informationen är för rikets säkerhet. Begreppet men används också i straffbestämmelser för brott mot Sveriges säkerhet. Men begreppet men är problematiskt och med den nya säkerhetsskyddslagen kommer begreppet att överges. Eller? Läs mer

När har man kontroll över ett nätverk?

Fyra typexempel på elektronisk kommunikation med kablar och när kommunikationen står under kontroll.

• Kryptering är en teknik som används för att skydda information mot insyn och förvanskning, t ex när information överförs eller lagras. Information som omfattas av sekretess och som rör rikets säkerhet måste skyddas mot andra staters signalspaning. Det är fråga om utländska statliga organisationer med mycket stor förmåga att inhämta signaler och få fram underrättelseinformation. Information som kan skada Sveriges intressen i fred och ytterst landets förmåga att i krig försvara sig mot andra stater. Läs mer

Transportstyrelsen och informationen

13 utdrag ur Säkerhetspolisens förhörsprotokoll.

• Vilken slags information som Transportstyrelsen hanterar och som berörs av myndighetens outsourcing är i dag inte fullt ut klarlagt offentligt. Säkerhetspolisens förundersökning fokuserar på ett fåtal typer av uppgifter. Gärningsbeskrivningen i förhörsprotokollet med den tidigare generaldirektören tar endast upp sekretessen i 18 kap 5 § OSL, som handlar om skydd för kvalificerade skyddsidentiteter. Att Transportstyrelsen har till uppgift att förse kvalificerade skyddsidentiteter med körkort framgår av lagstiftningen. Det är offentliga uppgifter. Läs mer

Outsourcingen och Sveriges säkerhet

Transportstyrelsens tidigare generaldirektör har erkänt sig skyldig till brottet vårdslöshet med hemlig uppgift, ett av brotten mot Sveriges säkerhet. Brottsrubriceringen innebär att det är fråga om sekretessbelagd information som om den uppenbaras för främmande makt kan medföra men för Sveriges säkerhet.

Utdrag från strafföreläggandet. Hämtad från DN.

Läs mer

Förslag på arbetssätt för informations­­säkerhet i Försvarsmakten

I ett projekt har jag tagit fram en modell över tänkt arbetssätt för informations­säkerhets­arbete i Försvarsmakten. Modellen består av tre delar; förebygga, hantera och förbättra. Varje del är i sin tur indelad i fyra områden. Modellen som är anpassad för Försvarsmakten är baserad på SS-ISO/IEC 27001:2014 och Natos modell för indelning av IT-säkerhetsförmågor. I modellen används verb för att uttrycka att den uppmuntrar mänskliga handlingar i arbetet.

Klicka på bilden för att se den i full storlek.

Läs mer

JK och försvarssekretessen

En hemlig handling från FRA på SVT webbplats, hemliga uppgifter i medier om ”ryska påsken” och citat i Svenska Dagbladet från en hemlig specialorientering i Försvarsmaktens säkerhetstjänst. I de tre fallen har JK och domstolarna kommit fram till att det varit ok. Läs mer

Tio typfall av försvarssekretess

Vad är det egentligen som omfattas av försvarssekretess? Det är en fråga som alla som fått till uppgift att genomföra en säkerhetsanalys eller menbedömning ställt sig. Genom att metodiskt använda de beskrivna tio typfallen kan man mer rationellt och med större precision bedöma vilka uppgifter som omfattas av försvarssekretess.

Läs mer

FMV och Försvarsmaktens informations­klassificering

Men eller Skada?

• Informationssäkerhets­arbetet mellan två tajta myndigheter som Försvarsmakten och Försvarets materielverk (FMV) är säkert i harmoni, tror ni. Försvarsmakten är djupt beroende av FMV då verket bl a genomför upphandlingar och hanterar logistiktjänster åt Försvarsmakten. Upphandlingarna och logistik­tjänsterna är så klart beroende av en omfattande informations­hantering och därmed informations­säkerhet. En basal förutsättning för informations­säkerhet är informations­klassificering – och det finns stora skillnader mellan de två myndigheterna. Läs mer

Recension av en bok om säkerhetsskydd

Omslaget till boken Säkerhetskydd av Stefan Ryding-Berg.

• Juridisk litteratur om säkerhetsskydd är det ont om. När jag såg att Stefan Ryding-Berg, tidigare Försvars­maktens chefs­jurist, hade skrivit en bok i ämnet blev jag glad. Äntligen, tänkte jag, en erfaren jurist som kan förklara och fylla ut området och komplettera förarbetena till säkerhetsskydds­lagen. Så fel jag hade. Läs mer

Förstöring av hemliga pappers­handlingar – och hur de kan återskapas

Bilden visar ofullständigt förbrända pappershandlingar. Fragment av papper med läsbar text, ibland hela meningar, finns i behållaren där man har eldat

Information, som ur något konfidentialitetsperspektiv har ett värde för en organisation och som inte längre behövs, måste skyddas så att någon obehörig inte kan ta del av den. Sista steget i livscykeln för information är förstöring, om den inte har tagits om hand för att bevaras till eftervärlden.

Pappershandlingar brukar vanligtvis förstöras genom tuggning i dokumentförstörare eller genom att eldas upp. Om förstöringen inte är tillräckligt väl genomförd kan den ”förstörda” informationen helt eller delvis återskapas. Något som kan vara en katastrof för verksamheten.

Läs mer

Reflektioner om informations­säkerhets­arbetet på nio myndigheter och cybersäkerhet i Försvarsmakten

• Informationssäkerheten på nio myndigheter har granskats av Riksrevisionen. Resultatet? Den samlade slutsatsen är att arbetet ligger på en nivå som är märkbart under vad som är tillräckligt. Många myndigheter har svårt att få till ett ändamålsenligt informationssäkerhetsarbete och den bild som framträder bedöms, enligt Riksrevisionen, gälla för flertalet myndigheter i statsförvaltningen. Läs mer

Den nya statliga IT-incident­rapporteringen är bra för Sverige

• Från och med den 1 april ska IT-incidenter hos statliga myndigheter rapporteras. Det är en helt ny ordning som innebär att de flesta myndigheter ska rapportera till MSB, Säkerhetspolisen eller Försvarsmakten, beroende på vad incidenterna handlar om. Häng med ner i paragrafträsket för att se vad som gäller. Läs mer

Överger MSB 27001?

• MSB tar bort den hårda kopplingen till standarderna SS-ISO/IEC 27001:2006 och SS-ISO/IEC 27002:2005 i förslaget till nya föreskrifter om statliga myndigheters informationssäkerhet. Betyder det att MSB överger standarderna? Hur ska det då gå för myndigheternas informationssäkerhet? Läs mer

Sekretesstider och säkerhets­skydds­åtgärdernas effektivitet

Tidslinje med sekretesstider för försvarssekretessen.

• Från och med den 1 september 2015 har sekretesstiden förlängts från 70 till 95 år för uppgifter som omfattas av försvarssekretess och som rör underrättelseverksamhet. Sekretesstiderna är intressanta då de anger under hur lång tid uppgifterna måste skyddas mot ett röjande. Sekretesstiderna är därför en dimensionerande faktor i en myndighets informationssäkerhetsarbete. Läs mer

Ordet cybersäkerhet

Foto av sida i Svenska Akademins ordlista: Cyberpunkare, cybersrymd, cybersex, cyberspace, cybervärld och cyborg.

• Cybersäkerhet smygs in lite varstans i Försvarsmakten. Det låter coolt och fräscht, men är oftast bara IT-säkerhet i svengelsk språkdräkt. Då ord har en fundamental betydelse för människors kommunikation kan icke-definierade begrepp få negativ påverkan på informationssäkerheten. Läs mer

Det hemliga regelverket för S-und

En av hanteringsmarkeringarna för S-und. Hanteringsmarkeringarnas innehåll, färg (gröna) och form (rektangulära) är numera offentliga.

• Särskilda underrättelse­uppgifter och särskilda underrättelse­handlingar (S-und) är information som förekommer i försvars­underrättelse- och säkerhetsunderrättelse­verksamhet. Det är ett exempel på statens mest skyddsvärda informations­tillgångar. Existensen av S-und har fram till november 2011 varit en uppgift som omfattats av försvars­sekretess. Läs mer

En ny säkerhetsskyddslag

• Förslaget till ny säkerhetsskyddslag (SOU 2015:25) innehåller flera nyheter vad gäller informationssäkerhet, bl a en indelning av information i fyra informationssäkerhetsklasser. Läs mer

Det civila försvaret klarar inte av säkerhetsskyddet i försvars­planeringen

När försvarsplaneringen kommer i gång behöver aktörerna delge varandra information och tillsammans ta fram dokument. Informationen kommer i vissa delar omfattas av försvarssekretess. Är de civila och privata aktörerna redo att hantera sådan information? Knappast!

MSB rapport om det civila försvaret inför den försvarspolitiska inriktningspropositionen 2015 innehåller sällsynt intressanta delar om informationssäkerhet i Sverige.

Läs mer

När nyårsklockan ringer upphör skyddsobjekten

Skyddsobjektsskylt med en klocka som visar kl 1200.

• Om en månad upphör beslut om skyddsobjekt som fattats med stöd av äldre bestämmelser. Det rör sig om byggnader, andra anläggningar och områden samt militära fartyg och luftfartyg som förklarats som skyddsobjekt före den 1 juli 2010. Vad händer då om myndigheterna inte hinner med att före årskiftet besluta om skyddsobjekt enligt den nya skyddslagen? Läs mer

Tre utredningar som påverkar samhällets informations­säkerhets­arbete

I dag startar den årliga konferensen om informationssäkerhet för offentlig sektor. 450 personer deltar under två dagar för att bl a lyssna på företrädare för Försvarsmakten, Försvarets radioanstalt, Post och telestyrelsen, Försvarets materielverk, Försvarets forskningsinstitut, Rikskriminalpolisen, Säkerhetspolisen, Regeringskansliet och Myndigheten för samhällsskydd och beredskap. Målet med konferensen är att bredda kunskapen inom området och bidra till att stärka samhällets informationssäkerhet genom att belysa viktiga frågor.

Konferensen är ett bra tillfälle att påminnas om tre statliga utredningar som ska presenteras före årsskiftet. Resultaten från dessa kommer under lång tid framöver att påverka informationssäkerhetsarbetet i offentlig sektor.

Läs mer

H SÄK Infosäk har uppdaterats

Omslag till handboken.

• Försvarsmaktens handbok i informationssäkerhet har uppdaterats. H SÄK Infosäk, ändring 1 går att ladda ner som PDF från Försvarsmaktens myndighetswebbplats. Ändringar har främst skett i kapitel 11 som handlar om åtgärder vid förlust och röjande av uppgift eller handling. Handboken har också ändrats pga en ny arbetsordning för Försvarsmakten. Väsentliga ändringar är markerade med kantstreck. Läs mer

Försvarshemliga poliser i Jönköping

Totalförsvar är verksamhet som behövs för att förbereda Sverige för krig.

• Det är något underligt med sekretess för uppgifter om poliser. I en dom från Kammarrätten i Jönköpings län bedömer rätten att sammanställningar av e-postadresser till personal inom Polismyndigheten i Jönköpings län omfattas av försvarssekretess (15 kap 2 § OSL). Jag menar att det är fel. Det riskerar att urholka försvarssekretessen och det säkerhetsskydd som ska finnas för sådana uppgifter. Läs mer

Sunt förnuft är inte sunt

Då och då hör jag att man i säkerhetsarbetet ska använda sunt förnuft. Oftast är det ett svar på en fråga från en villrådig människa som söker råd i hur hen ska agera i en viss situation.

Inget ersätter sunt förnuft. Säkerhetstjänstens huvudsyfte är att förhindra KÄNSLIG information eller materiel från att nå obehöriga. Reglementen, handböcker, och instrukltioner är till för att stödja den enskilda i att så inte ska ske. Det är upp till den enskildae att utveckla ett SUNT FÖRNUFT vad avser säkerhetstjänst.
Läs mer

Handbok i sekretessbedömning

Omslag till Försvarsmaktens handbok i sekretessbedömning.

• Sekretessbedömning är ett svårt område. Det handlar om att förstå vilken information som kan skada ett intresse och i sådana fall vilken sekretessbestämmelse som gäller för informationen. Den som sekretessbedömmer måste ha kunskap om den verksamhet som informationen handlar om och kunskap om sekretessbestämmelser. Sedan krävs det förmåga att föra ett resonemang om informationen, verksamheten och sekretessbestämmelsen för att avgöra om sekretessen gäller för informationen. Det räcker inte att påstå att en viss information ”är känslig”. Läs mer

Slarv med hemliga uppgifter sällan brottsligt

• Under ett inbrott stals vapen och ammunition ur ett säkerhetsskåp. Inbrottet underlättades av att reservnycklarna till skåpet var felaktigt förvarade. Även hemliga handlingar förvarades i säkerhetsskåpet men lämnades kvar av inbrottstjuven. Frågan om det var vårdslöshet med hemlig uppgift prövades av Högsta domstolen. Domstolen kom fram till att de åtalade inte var skyldiga då det inte var klarlagt att inbrottstjuven tagit del av de hemliga handlingarna. Läs mer

Sjuk informationssäkerhet?

Risk för rikets säkerhet står det på förstasidorna på Dagens Nyheters digitala edition.

• Enligt Dagens Nyheter ska en server som används för patientjournaler under åtta månader varit exponerad mot Internet. När felet rättades till upptäcktes, enligt DN, obehörig trafik mot servern. På servern fanns även program installerade för att att genomföra sårbarhetsskanningar och för att avlyssna nätverkstrafik. Läs mer

Vad är ett pålitligt IT-system?

Schematisk bild över förhållanden mellan analyser och säkerhetskrav i en säkerhetsmålsättning för ett IT-system i Försvarsmakten.

• Jag blev nyligen intervjuad av forskarna Nina Lewau och Jacob Löfvenberg på FOI. De arbetar med projektet Pålitliga IT-plattformar för Försvarsmaktens forskning och teknikutveckling. Detta blogginlägg är baserat på intervjun och innehåller några av mina personliga funderingar på området. Läs mer

Kryptonycklar som allmänna handlingar

• Jag har länge fått höra att en kryptonyckel inte är en allmän handling. Någon förklaring till varför det skulle vara så känner jag inte till. Jag påstår att det inte stämmer. Kryptonycklar är allmänna handlingar som omfattas av sekretess, men hanteras inte som andra allmänna handlingar. Läs mer

Godkänd kryptering – inte för alla

Foto: Holger Ellgaard

• Att hemliga uppgifter (rikets säkerhet) inte får överföras okrypterat över Internet eller på telefon är självklart. Kryptering är ett skydd mot avlyssning. Krav på att ett kryptosystem ska vara godkänt av Försvarsmakten finns i säkerhetsskyddsförordningen. Men kravet gäller inte alla. I Regeringskansliet är det till och med ok att tala om hemliga uppgifter (rikets säkerhet) i en okrypterad telefon. Läs mer

Ny offensiv IT-angrepps­förmåga och kritik mot Försvars­maktens perspektiv­studie 2013

• Försvarsmakten har på beställning lämnat en perspektivstudie till Försvarsdepartementet. Studien behandlar bl a teknikutveckling inom IT-området, sociala medier, informationsoperationer och ”cyber”. Här är några av mina reflektioner om bl a ny offensiv IT-angreppsförmåga. Om du är intresserad av området rekommenderar jag läsning av sidorna 26-27 i studien och sidorna 31-35 i bilaga 1 till studien. Läs mer

Operations­sekretess är pseudo­sekretess

• Operationssekretess (OPSEC) används i Försvarsmakten. Ett problemfyllt ord som vad gäller offentlighet och sekretess inte betyder någonting. Begreppet hänger inte ihop med den modell som används för informations­klassificering i Försvarsmakten. En anställd har ingen tystnadsplikt för uppgifter som kan komma i fråga för operations­sekretess då stöd för sekretessen saknas i lag. Läs mer

Vad ska vi göra när Carl Bildt visar hemliga handlingar på Instagram?

Foto:

I förra veckan kunde vi på Instagram se ett foto på utrikesministern där han håller en sekretessmarkerad handling i handen. Ett illustrativt exempel på hur en hemlig handling oavsiktligt exponeras.

Foto: Göran Hägglund

I förra veckan kunde vi på Instagram se ett foto på utrikesministern där han håller en sekretessmarkerad handling i handen. Ett illustrativt exempel på hur en hemlig handling oavsiktligt exponeras.

Läs mer

ISO 27001 och rikets säkerhet

• Kan ISO 27001 användas för informationssäkerhet för hemliga uppgifter (rikets säkerhet)? Jag tror det. Fördelarna borde överväga, men frågan är inte helt okomplicerad. Läs mer

Spretig inventering av hemliga handlingar

• En av de viktigaste skyddsåtgärderna i den administrativa informationssäkerheten är inventering av hemliga handlingar (sådana som rör rikets säkerhet). Inventering av hemliga handlingar genomförs för att kontrollera om de är i behåll eller om de har förlorats. Slarvas det med inventeringen leder det till stora svårigheter att senare få ordning på de hemliga handlingarna. När det gått flera år är det svårt att få klarhet i vad som har hänt. Läs mer

Amerikansk statlig säkerhets­ledning i fritt fall

”Styrning av säkerheten vid det amerikanska försvarsdepartementet är osammanhängande, inkonsekvent, överlappande, fragmentarisk och okoordinerad”, så kan en rapport från dess generalinspektionen sammanfattas. En annan aktuell rapport om IT-säkerhet vid det amerikanska utrikesdepartementet visar på svåra missförhållanden. Läs mer

SR ställer sig över grundlagen

• Med anledning av prövningen om ansvar för Bradley Manning kom det ett underligt tweet från Sveriges Radio: ”Manning frikänns från den grövsta åtalspunkten. Riskerar iaf strängt straff. Whistleblowers skyddas hos #Radioleaks radioleaks.se” Läs mer

Fantastiska sårbarheter

• Med en ”fantastisk sårbarhet” menar jag en allvarlig sårbarhet mot informationssäkerheten som man inte hört talas om tidigare och som man häpnar över första gången man hör talas om den. Informationssäkerheten är inte alltid utformad att skydda mot attacker som utnyttjar en sådan sårbarhet. Läs mer

Sociala medier och Försvarsmakten

• FOI har släppt en kort rapport om användningen av sociala medier i Försvarsmakten. Rapporten handlar om en enkätundersökning som gjorts för att ta reda på anställdas vanor och uppfattningar om sociala medier. En av de frågeställningar som rapporten ska svara på var ”Hur medvetna är Försvarsmaktsanställda om de risker och regler som finns i samband med sociala medier”. En intressant frågeställning för mig då jag har arbetat med området. Läs mer

Ny handbok om informationssäkerhet

• Inte förrän nu har det funnits en dedicerad handbok om informationssäkerhet i Försvarsmakten. Nya Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk) är unik i Sverige. Ingen annan myndighet har tagit fram något liknande som motsvarar handbokens bredd och djup. Läs mer

Officerstidningen sprider fel om sekretess

På detta sätt må ni berätta

• ”På detta sätt må ni berätta” inleder Officerstidningen i nummer nr 4/2013 en artikel om meddelarfrihet. Artikeln är vinklad och innehåller sakfel. Den ger inte tillräcklig upplysning om vad som gäller för en anställd i Försvarsmakten som funderar på att lämna uppgifter som omfattas av sekretess och som rör rikets säkerhet till t ex en tidningsredaktion. Officerstidningen undanhåller sina läsare väsentlig information om meddelarfrihet och rikets säkerhet. Läs mer

Tiger Trap – En bok om Kinas spioneri mot USA

• Ingen kan ha undgått rapportering i medier om hur Kina sägs stå bakom IT-attacker mot främst USA men även Sverige. Detta är inget nytt utan bara en fortsättning på tidigare underrättelse­inhämtning med mänskliga källor. Jag har läst boken Tiger Trap – America’s Secret Spy War With China av David Wise som handlar om Kinas spioneri mot USA. Läs mer

Rikets säkerhet kräver livs­cykel­hantering av lagrings­medier

• Ett lagringsmedium (t ex en hårddisk) som ingår i ett IT-system som är avsett för behandling av uppgifter som omfattas av sekretess och som rör rikets säkerhet måste livscykelhanteras. Det handlar om att upprätthålla kontinuerlig kontroll över lagringsmediet från det tillfälle den är avsedd att användas till dess att den är förstörd. Läs mer

Menbedömningar i Försvars­makten

• När en uppgift som omfattas av sekretess och som rör rikets säkerhet befaras vara röjd sker det en utredning för att avgöra vilket men som uppgiften kan ha medfört samt omständigheterna kring röjandet, en sk menbedömning. Läs mer

Att efterforska källor

• I medier och på nätet ges uttryck för att det råder en absolut frihet att meddela uppgifter till medier. Journalister och ansvariga utgivare är inte sena med att påtala att meddelar­frihet, källors anonymitets­skydd och myndigheternas efter­forsknings­förbud minsann är grundlags­fästa. Det är lätt att invaggas i tron att det är ok att lämna alla uppgifter som omfattas av någon sekretess enligt offentlighets- och sekretesslagen (OSL) till t ex en tidnings­redaktion. Det är inte så svart och vitt. Det finns även grundlags­fästa undantag från rätten att meddela och offentlig­göra uppgifter. Inte heller är anonymitets­skyddet och efter­forsknings­förbudet absoluta. Läs mer

Sverige behöver ”For Swedish Eyes Only”

• Det finns sekretessbelagda uppgifter som andra stater inte ska få insyn i. En skydds­åtgärd är att märka handlingar så att det framgår att en handling innehåller uppgifter som inte ska röjas till andra stater. I dag saknas svenska bestämmelser för en sådan märkning. Det finns därför en risk att sådana uppgifter oavsiktligt röjs. Den vanliga sekretess­markeringen är inte tillräcklig. Läs mer

Flashback CryptoCard RB-1

• Jag skulle kolla en webbsida på Försvarsmaktens webb­plats men fick istället en inloggning till administrations­gränssnittet. Flashback! I början av 2000-talet arbetade jag som teknik­konsult på ett större företag. Där utvecklade jag ett webbaserat administrations­verktyg för webbplatsen. För inloggningen användes engångs­lösenord som genererades med en lösenordsdosa, en CryptoCard RB-1. Jag utvecklade systemet för behörighets­kontroll, inklusive initialisering av dosorna och inloggningen i webb­gräns­snittet. Läs mer

Vad heter sekretessklassificerad på engelska?

• En fd kollega frågade på LinkedIn vad sekretessklassificerad heter på engelska. Företaget han arbetar på kallar all information som inte omfattas av försvarssekretess för Sensitive but unclassified. Även om varje land har sina benämningar och även om det i Sverige saknas en enhetlig terminologi på området borde det finnas en adekvat engelskspråkig benämning för information som omfattas av sekretess, men som inte som ska ges ett säkerhetsskydd. Läs mer

Myter om försvarssekretess i riksdagen

Jag läser på kontur.nu att bristen på kunskap och information är ett problem i riksdagens försvars­utskott.

”Ett annat förhållande för försvarsutskottet som är allt annat än tillfreds[s]tällande om man vill ha de kvalificerade beslut som krävs från utskottet är att många uppgifter som utskottets ledamöter borde få ta del är hemlig­stämplade […] Allt för ofta händer det att de militärer som är inbjudna för att göra en dragning i utskottet meddelar att den information någon ledamot frågar om är hemlig­stämplad, att utskottet inte [har] rätt att få veta.”

Läs mer

Kommentar till Nils Funckes frågor om informations­säkerhet

Nils Funcke, journalist och expert i yttrande­frihets­frågor har med anledning av Saudi­affären ställt frågor om bl a informations­säkerhet i en debatt­artikel i Expressen. Han har, liksom jag, läst den nedlagda förundersökningen avseende de sekretess­belagda handlingar från FOI som lämnades till Sveriges Radio. Frågorna som rör informations­säkerhet samman­fattar han i ett inlägg på sin egen blogg:

2. Hur har regeringen och FOI (Försvarets forskningsinstitut) hanterat sekretessfrågorna? Hur stämmer överenskommelserna som ingåtts med offentlighets- och sekretesslagstiftningen? Hur får svenska myndigheter använda begrepp som “secret” som FOI använder i sin sekretesstämpel? Har FOI ingått något sekretessavtal med saudierna och hur se det i så fall ut?

Då detta är ett område som jag behärskar tänkte jag genom en kommentar på Nils Funckes webbplats bringa klarhet i frågorna. Tyvärr valde han att inte publicera min kommentar. Jag själv­publicerar därför här istället, kompletterat med bilder som ursprungligen inte fanns med.

Läs mer



Något om informationssäkerhet blogg.mrpoyz.net
Ansvarig utgivare: Kim Hakkarainen