Bezpiecznie w sieci

Śmiertelnie groźny outsourcing

Źle przeprowadzony outsourcing może okazać się bardzo groźny. Przekonała się o tym szwedzka Agencja Transportu i tamtejsi politycy, po tym kiedy się okazało, że dane wszystkich pojazdów cywilnych i wojskowych w Królestwie Trzech Koron oraz baza osobowa w tym policyjna oraz lokalizacji wrażliwych, łącznie z danymi szwedzkiej OC znalazły się w czeskiej chmurze IBM, zaś transmisję danych obsługuje serbska firma.

Rzadko w państwowej agencji zdarza się tak masywny wyciek danych wrażliwych. Jest to w dodatku wyciek spowodowany ślepym przestrzeganiem przepisów i cięciem kosztów.

Szwedzka Agencja Transportu (Transportstyrelsen), od kilku lat zmagała się z trudnościami finansowymi, związanym iz niedofinansowaniem oraz z koniecznością cięcia kosztów. Nowa dyrektor generalna firmy, Maria Agren postanowiła rozwiązać problem ostatecznie: dane Transportstyrelsen miały zostać przeniesione do chmury. Zwolniono 3/4 działu IT oraz cały dział bezpieczeństwa. Ta właśnie operacja stała się początkiem upadku zarówno dyrektor generalnej, jak i potężnego kryzysu politycznego, z jakim Szwecja ma do czynienia. Nikt bowiem nie był w stanie wytłumaczyć dyrektor generalnej, jakich danych wrażliwych nie wolno przekazywać na zewnątrz, wydane natomiast zostało polecenie, aby przekazać wszystkie dane, jakimi Agencja dysponuje czyli kompletne bazy danych.

Reklama

Jako, że Agencja Transportu jest agendą państwową urządzono przetarg, który i tak wygrała firma dotychczas obsługująca Agencję, czyli IBM. W 2015 roku zapadła decyzja o migracji. Ponieważ fundusze Transportstyrelsen nadal były niewystarczające dla utrzymania infrastruktury IT, zaś Szwedzka Administracja Transportu (Trafikverket), która wcześniej utrzymywała bazy, miała problemy finansowe i musiała zwolnić cały dział IT w ramach oszczędności, "wystąpiła presja czasu" i nikt nie sprawdził, gdzie dane dokładnie zostaną przekazane.

Fotografie z prawa jazdy!

Nie rozpoczęto też nawet procedury sprawdzenia bezpieczeństwa tzw. clearance pracowników IBM przez szwedzki wywiad wewnętrzny Säpo, z którą w Szwecji ma do czynienia każda osoba pracująca w sektorze, gdzie występują jakiekolwiek dane wrażliwe lub takie, które mogłyby być danymi tego typu. W rezultacie w ręce pracowników IBM trafiła pełna i kompletna baza danych zawierająca rekordy dotyczące wszystkich pojazdów na terenie Szwecji, łącznie z wojskowymi i policyjnymi. W przypadku części bazy dotyczącej osób prywatnych znalazły się tam ich dane osobowe, a nawet fotografie z prawa jazdy. Drugą bazą była baza policyjna z rejestrem osób skazanych oraz tych przeciw którym prowadzone są śledztwa. Co prawda dotyczyła ona głównie przestępstw związanych z ruchem drogowym, ale zawierała też powiązania z innymi bazami, co umożliwiłoby łatwe pozyskanie informacji i z nich. Przekazano też część niejawną, gdzie znalazły się informacje o osobach podejrzanych, dane o osobach objętych programem ochrony świadków a nawet dane przykrywkowe czyli osób ze służb pracujących pod przykryciem np. wśród kryminalistów. Trzecią bazą była baza lotników-amatorów Szwecji przy czym jeśli dany lotnik był pilotem wojskowym, określono jego specjalności i miejsce stacjonowania. Baza zawierała też kompletne dane personalne. Następną była baza infrastruktury drogowe, kolejowej i lotniczej, zawierająca dane Obrony Cywilnej m.in. kompletny spis wszystkich schronów, lokalizacji ich i stanu.

Pracownicy IBM ulokowali wszystkie te bazy w swojej serwerowni w Czechach. Ponieważ nie sprawdzono i nie określono hierarchii dostępu, teraz nie można odtworzyć, kto miał do tych baz dostęp. Dodatkowo wsparcie obsługi sieci i firewalli przekazano firmie NCR, która wykorzystała do tego swój oddział w Serbii. Co prawda, pakiety były szyfrowane i ewentualnie serbska firma mogła zapoznać się z logami oraz ruchem, ale nie wiadomo na ile bezpieczny sposób szyfrowania zastosowano. Tymczasem ruch ten dotyczył 34 kluczowych agencji rządowych Szwecji, które korzystały z umieszczonych w czeskiej chmurze baz.

Lista tajna do dzisiaj

Pierwsze zorientowało się Säpo, którego analitycy sporządzili do dziś tajną listę strat. Skandal uznano za tak duży, iż w styczniu 2017 roku zwolniono Marię Agren, bez odprawy czyli dyscyplinarnie. Mimo iż broniła się, że otrzymała "polecenie służbowe jak największego cięcia kosztów" obłożono ją grzywną w wysokości 70 tys. koron (8000 USD) za "nieostrożne obchodzenie się z danymi wrażliwymi". Akurat ta sprawa spowodowała iż zwolnieniem dyrektor generalnej zainteresowały się media i po kilkumiesięcznym śledztwie w ostatnich dniach ujawniły całą sprawę. Okazało się przy tym, że jeden dyrektorów wykonawczych ostro sprzeciwiał się outsourcingowi baz, zaś w trakcie przesłuchania w Säpo stwierdził iż szkody są "nieoszacowane, bowiem wydano klucze do Królestwa".

Jeden z najbardziej znanych szwedzkich ekspertów IT, Johan Wiktorin, powiedział gazecie "Dagens Nyheter" że "standardów bezpieczeństwa nie traktowano poważnie".

- Oznacza to, że nie sprawdzano lojalności ludzi, którzy mieli z nimi kontakt jeszcze po szwedzkiej stronie i nie wiadomo czy im można ufać. W przypadku serbskiej firmy, wiadomo iż służby tego kraju mają bardzo ścisłe związki ze służbami rosyjskimi, zaś co gorsza, zagraniczne służby wywiadowcze mogą uzyskać przez ten ruch bardzo łatwy dostęp do systemów komputerowych państwa szwedzkiego - dodał.

Prokurator Ewamari Häggkvist zauwazyła w Sveriges Radio, iż co prawda nie ma dla szwedzkich instytucji państwowych zakazu umieszczania usług hostingu danych w innych krajach, ale istnieje nakaz przeprowadzania clearance wobec wszystkich, którzy mają z nimi do czynienia - zarówno po stronie szwedzkiej jak i obcej. Ten nakaz "kompletnie zlekceważono".

Warto zauważyć, że swoistym "ostatnim gwoździem do trumny" Transportstyrelsen stałą się informacja, iż już po styczniu 2017 czyli po śledztwie Säpo pracownikom Agencji nakazano, aby spowodowali usunięcie najbardziej wrażliwych rekordów z baz. Listę z tymi rekordami, z dokładnym ich wyszczególnieniem, pracownicy Agencji wysłali e-mailem o niskim priorytecie do kilkudziesięciu osób. Obecnie poza "liczeniem strat" informatycy z wywiadów, Sił Zbrojnych i Säpo pracują nad "pełnym przywróceniem ochrony danych" , choć eksperci bezpieczeństwa IT wątpią, że w ogóle jest to możliwe. Co gorsza, do mediów wyciekł też raport Narodowego Biura Audytu (Riksrevisionen), które po zbadaniu 9 państwowych agencji stwierdziło iż istnieje "wysokie ryzyko" wycieku nich danych, bowiem bezpieczeństwo IT nie ma dostatecznego priorytetu.

Kryzys polityczny

Wyciek danych w Transportstyrelsen już spowodował w Szwecji poważny kryzys polityczny i stał się nie tylko wielkim problemem dla obecnego centrolewicowego rządu, ale też dla jego poprzedników. Mimo wakacji bowiem sprawą zajmuje się Riksdag czyli parlament w Szwecji. Rządzący Socjaldemokracji przypominają, że decyzja o outsourcingu baz została podjęta za czasów rządów prawicowej koalicji partii mieszczańskich kilka lat temu - nie do końca wiec odpowiadają za jej podjęcie, choć na pewno za wykonanie. Sprawa jest jednak na tyle poważna iż we wtorek 25 lipca premier Szwecji Stefan Löfven, spotkał się ze wszystkimi liderami partii politycznych zasiadających w parlamencie dla przedyskutowania tej sprawy i zapoznania ich z raportem Säpo. Z nieoficjalnych informacji mediów szwedzkich wynika iż nastroje po tym spotkaniu były "minorowe". Jak się bowiem okazało z wysłuchania szefa resortu obrony Petera Hultqvista w komisji obrony Riksdagu, Ministerstwo Obrony Szwecji już marcu otrzymało od Säpo informacje, że "coś niedobrego dzieje się z outsourcingiem w Transportstyrelsen", co spowodowało, że zareagował wywiad wojskowy, zaś Siły Zbrojne "podjęły określone działania" czyli prawdopodobnie na własną rękę zmodyfikowały swoje bazy danych. Prawdopodobnie tę samą wiedzę miał już w kwietniu 2016 roku minister spraw wewnętrznych, Anders Ygeman, ale poza działaniami na rzecz swoich resortów obaj ministrowe nie zrobili nic. Ani minister infrastruktury Anna Johansson, która prawdopodobnie pożegna się ze swoim stanowiskiem, ani premier Löfven do stycznia 2017 roku nie wiedzieli o całej sprawie. Premier jest teraz "grillowany" przez opozycję za "absolutny brak przepływu informacji pomiędzy resortami", choć już na początku parlamentarnego śledztwa stało się widoczne, że taki sam brak przepływu informacji istniał też za poprzedniego rządu.

Marek Meissner z Goeteborga

INTERIA.PL
Reklama
Reklama
Reklama
Reklama
Strona główna INTERIA.PL
Polecamy
Finanse / Giełda / Podatki
Bądź na bieżąco!
Odblokuj reklamy i zyskaj nieograniczony dostęp do wszystkich treści w naszym serwisie.
Dzięki wyświetlanym reklamom korzystasz z naszego serwisu całkowicie bezpłatnie, a my możemy spełniać Twoje oczekiwania rozwijając się i poprawiając jakość naszych usług.
Odblokuj biznes.interia.pl lub zobacz instrukcję »
Nie, dziękuję. Wchodzę na Interię »