måndag, augusti 25, 2008

FRA-butiken arbetar på timlön och dess byråkrater har skrivit sina kunders inköpslista

Det verkar finnas hur många vinklar som helst på FRA-frågan. Även om jag förordar en utbyggd välfärdsstat tycker jag det är bra med en sund skepsis mot den stora staten och förekomsten av för många eller för stora statliga myndigheter.

1. Frågan
En fråga som ganska ofta återkommer är varför FRA ska få nya uppgifter (yttre hot istället för yttre militära hot), mer resurser (200 miljoner) och ökade befogenheter (signalspaning i kabel).

2. Teorin
Nu lanserar jag en delvis ny teori. Svaret på varför FRA ska få nya uppgifter beror på att FRA-byråkratin arbetar på timlön (tidstaxa). Förenklat kan man säga följande.

1. Myndigheter kan ha ett fast anslag som genom ett politiskt beslut höjs eller sänks från år till år, eller

2. Myndigheter kan ha en del som är fast anslag och en del av anslaget som variera beroende på hur mycket myndigheten gör. Myndigheten kan därmed höja sina intäkter under året om de raggar många "kunder". När man har stora fasta kostnader, t.ex. en gigantisk superdator med beräkningshastigheten 182 Teraflops, så måste man ragga många kunder så att verksamheten går runt.

3. Flera kunder
FRA-chefen Ingvar Åkesson beskriver ofta sina uppdragsgivare som kunder i FRA-butiken:

"De kunder om FRA har är beslutade av regeringen och utgörs just idag av regeringen själv i form av Utrikesdepartementet och Försvarsdepartement , Försvarsmakten med bl a Insatsstaben INS och den militära underrättelse- och säkerhetstjänsten MUST, Rikspolisstyrelsen med bl a Säkerhetspolisen SÄPO, och Kriminalunderrättelsetjänsten KUT. Vidare ingår Försvarets materielverk FMV och Försvarets forskningsinstitut FOI. Till detta kan komma den nya Myndigheten för samhällssäkerhet och beredskap MSB."

Mikael Odenberg - såg du att Ingvar Åkesson nämnde polisen?

Av 11 § i förordningen (2007:937) med instruktion för Försvarets radioanstalt står det att "Försvarets radioanstalt får ta ut avgifter för genomförande av IT-säkerhetsanalyser och annan uppdragsverksamhet. Myndigheten beslutar eller meddelar föreskrifter om avgifternas storlek."
FRA tillhör alltså den andra kategorin av myndigheter som har en variabel inkomst och det ligger därmed i myndighetens intresse att den får fler kunder, för då får man mer resurser och då kan man göra mer och få fler kunder, osv.

Vem är det som bestämmer vem som är kunden? Det är tjänstemännen hos regeringen som skriver propositionerna som därefter blir lag. Jag är osäker om de ansvariga ministrarna läser vad tjänstemännen skriver. Innan Ingvar Åkesson blev generaldirektör och myndighetschef för FRA så var han expeditions- och rättschef vid försvarsdepartementet. Där var han sakkunnig i utredningen SOU 2003:30, slutbetänkandet med titeln "Försvarets radioanstalt – en översyn" (se sidan 1). Där hade han till sin hjälp en kollega från försvarsdepartementet, rättssakkunnige Michaela Dràb. När Ingvar Åkesson flyttade från försvarsdepartementet tog han med Michaela Dràb till FRA där hon nu är chefsjurist. Se FRA:s eget organisationsschema. Ingvar Åkessons och Michaela Dràbs utredning SOU 2003:30 slutade så småningom i prop. 2006/07:63 som är förarbetet till FRA-lagen. Ingvar Åkesson och Michaela Dràb har alltså skrivit den lag som de sedan ska förverkliga. Det kanske inte är helt ovanligt i Sverige, men de kan ibland få lite konstiga konsekvenser.

4. FRA-butiken ska få sälja fler saker
I prop. 2006/07:63 (sidan 38) framgår det bl.a. att den nya lagen avser att "bredda mandatet för försvarsunderrättelseverksamheten till att omfatta flera typer av hot än i dag". FRA får som jag nämnt tidigare, spana mot "yttre hot" som inte bara rör internationell terrorism eller annan stats agerande mot Sverige, utan även IT-beroende, försörjningskriser, ekologiska obalanser, miljöhot, etniska eller religiösa konflikter, stora flykting- och migrationsrörelser samt ekonomiska utmaningar i form av valuta- och räntespekulationer. (sidan 17 och 36)

5. Slutsatsen
FRA-butiken arbetar på timlön och dess byråkrater har i ett tidigare skede skrivit sina kunders inköpslista. Ju längre inköpslistan är, desto mer resurser får FRA-butiken. Butiken behöver mycket resurser eftersom de har en dyr och gigantisk superdator som ägarna inte riktigt vet vad de ska använda till.

Detta är ju egentligen ett klassiskt problem för alla organisationer, inklusive företag och "butiker". Alla chefer vill ha ett större bord, fler anställda, en häftigare dator och möjligheter att resa utomlands för att köpa och sälja saker. Det tråkiga i detta fall är att priset blir ett intrång i vanliga svenskars brevhemlighet, det journalistiska källskyddet samt sekretessen mellan klienter och advokater.

6. Ordspråket
"Den som gapar efter mycket mister ofta hela stycket"

7. Lite kompletterande referenser om finansiering av FRA
I SOU 2003:30 sidan 60: "FRA är i dag i huvudsak anslagsfinansierad. Utredningen skall enligt utredningsdirektiven även pröva lämpligheten av att öka graden av avgiftsfinansiering liksom formerna för en sådan avgiftsfinansiering. Utredningen skall i övrigt överväga behovet av författningsändringar och lämna förslag till nödvändiga sådana."

Myndigheten FRA skriver om sig själv: "FRA uppfattar att myndighetens anslagsfinansierade
verksamhet i huvudsak styrs av den inriktning av verksamheten som de olika uppdragsgivarna ger i enlighet med regeringens instruktion." (sidan 65)

"Med hänsyn till att det finns ett allmänt intresse av att FRA:s signalspaningsverksamhet upprätthålls, krävs att en kärnverksamhet grundad på en av regeringen styrd anslagsfinansiering upprätthålls vid FRA. Vissa delar av verksamheten vid FRA bör emellertid i framtiden kunna vara avgiftsfinansierade." (sidan 139)

"De vanligaste formerna för avgifter är s.k. saktaxa och tidstaxa. En avgift kan också utformas som tariffer med en fast och en rörlig del eller baseras på omsättning, volym m.m. Saktaxa innebär att en fast avgift är fastställd i förväg för en tjänst eller ett uppdrag. Flertalet offentligrättsliga avgifter som berör enskilda tas ut i form av saktaxor. En saktaxa kan emellertid i allmänhet användas endast om kostnaderna för en prestation inte varierar för mycket. Tidstaxa är, som redan har framhållits (se avsnitt 11.1), den form av avgift som tillämpas av FRA dels vid debitering enligt löpande räkning, dels som grund för ett offererat pris. Utredningen har inte funnit anledning att föreslå att den form för avgiftsfinansiering som FRA för närvarande tillämpar skall ändras." (sidan 151)

38 kommentarer:

Hans J sa...

Med risk för att bli tjatig, vilken jag får ta:

Du skriver under punkt 1:

"(signalspaning i kabel)."

Vad är det för signal som spanas efter?

Jag kan kan gå med på att man kan 'informations'-spana i kabel, men signal?

Så vad menar du med "signal"?

Tomas Mattsson sa...

Ja, det ser ut som att FRA bland annat har tänkt sig (Åkesson) att bedriva konsultverksamhet inom IT-säkerhet. Det tycker jag tydligt framgår vid sökning i utredningen SOU 2003:30 på begreppet "dataintrång".

Andra intressanta sökbegrepp:
"IT-relaterade"
"virusspridning"
"intrång"

Det jag undrar över är om politikerna verkligen har förstått att det finns en teknik som löser (för att använda ett begrepp) virusproblemet. Den tekniken heter vitlistning.

Om man skulle använda vitlistning istället för svartlistning faller Åkessons affärsidé. Det jag säger är inget skämt!

Mark Klamberg sa...

Hans J,
Det är inte jag som hittat på frasen "signalspaning i kabel" i lagstiftningen. Jag kallar det massavlyssning. Du får vända dig till FRA-chefen Ingvar Åkesson för att få din fråga besvarad.

Hans J sa...

@Mark:

AHA, ok, då är du "oskyldig" :-)

Finns det någon annan som kan hjälpa en förvirrad?

Vad är det för "signal" som spanas efter när man "signalspanar" i kabel?

Jag vill gärna veta för jag tror att detta är en väsentlig upplysning i debatten.

Mark Klamberg sa...

Förlåt Hans J,
Jag skulle gett ett bättre svar. Det handlar framförallt om kommunikation som använder fiberoptiska kablar. Våra mail och telefonsamtal färdas alltså digitalt som ljus i dessa kablar. Detta kan vid olika punkter på kabeln omvandlas till läsbar eller hörbar information.

Sen finns det naturligtvis kopparkablar också, det är ungefär samma princip men jag antar att det är elektroniska impulser istället för ljus som färdas i kabeln. Ungefär.

Hans J sa...

@Mark:
Jag tycker mycket bra om din blogg. Faktiskt en av de absolut bästa överhuvudtaget.

Jag själv har arbetat väldigt mycket med IT... Med IP, med routrar...

Därför undrar jag vad det är för "signal" som spanas på i kablar? Där går väl IP-paket?

zeke sa...

Vet ej om det passar in i denna diskussion, vill bara tipsa om en oroande frågeställning hos Conjoiner: finns det mer internettrafik över radiolänk i etern idag än vad man brukar anta, och har FRA fri lekstuga med denna trafik?
http://conjoiner.bloggsida.se/2008/08/25/fri-tillgang-till-ofiltrerad-trafik-redan-idag/

Mark Klamberg sa...

Hans J,
Roligt att du gillar min blogg och jag uppskattar alla kommentarer. De hjälper mig faktiskt att förstå denna fråga, på samma sätt som mina studenters frågor i lektionssalen hjälper mig i min forskning. Jag har uppfattat e-post färdas uppdelade i flera ip-paket. Jag vet inte hur det är med telefonsamtal, men det kanske någon annan vet.

Mark Klamberg sa...

Tomas,
Du får gärna på ett enkelt sätt förklara skillnaden mellan vit- respektive svartlistning. Det vet jag inte, men är intresserad. Om jag finner det av värde ska jag föra det vidare till de politiker som jag är i kontakt med eller kanske arbeta in i det i mina texter.

Tomas Mattsson sa...

Mark,

Ja visst, det är mycket enkelt.

De IT-säkerhetsprogram (AV=antivirus) som idag dominerar marknaden bygger på signaturfilsprincipen. Det innebär att skadlig kod svartlistas allteftersom den upptäcks av säkerhetsföretagen. IT-säkerhetsprogrammen uppdateras hela tiden med de utökade listorna och hindrar svartlistad kod från att installeras på användarens dator. Problemet är bara att tillkommande skadlig kod är kontinuerlig och oändlig, och därför ligger alltid dessa IT-säkerhetsprogram steget efter när det gäller uppdateringen av svartlistan. Av det skälet kan svartlistning aldrig definieras som IT-säkerhet, utan ska ses som en illusion av IT-säkerhet.

Vitlistning fungerar omvänt. Man upprättar helt enkelt en lista över godkända program som tillåts exekvera på användarens dator. Därmed behöver man inte bekymra sig över floran av tillkommande skadlig kod. Problemet är löst.

De flesta delar av samhället bygger på vitlistning, inte på svartlistning. En golfklubb lägger inte upp en matrikel över sina ickemedlemmar – det skulle bli ganska många. De listar sina medlemmar istället.

Därtill vill jag säga, att svartlistning är ett klockrent exempel på dubbeltänk, eftersom användarna tror att de köper säkerhet.

Mark Klamberg sa...

Tomas,
Jag förstår. Finns det någon hemsida där detta beskrivs på ett enkelt sätt och vars länk man kan spara? Det här kan vara en bra aspekt att ta upp i folkpartiets referensgrupp om FRA. Jag sitter inte med i denna, men jag kan alltid vidareförmedla din tanke.

Tomas Mattsson sa...

Mark,

Möjligen den här på Wikipedia: http://en.wikipedia.org/wiki/Whitelist#Anti_virus_whitelists

tor sa...

För att återknyta till Hans kritik av uttrycket "signalspaning i kabel" skulle man kunna jämföra det med "ljudsignalspaning i ett av Fredrik Reinfeldts tal", när man egentligen inte har några problem att höra vad han säger utan bara är intresserad av vilka nyheter han kommer att presentera. Det handlar om att tolka och sovra information man redan har tillgång till snarare än att positionsbestämma Reinfeldt, lista ut att signalernas ursprung är stämbandsvibrationer som fortplantats i hals och munhåla, för att därefter skicka de inspelade och avlyssnade signalerna vidare till analys av vad som egentligen sagts. Man hamnar alltså på fel abstraktionsnivå.

På samma sätt som ljudvågor är ordens informationsbärare är elektriska signaler det för data i kabel. Men eftersom både talade ord och datapaket följer en viss standard så kan man med fördel ignorera de lägre abstraktionsnivåerna. Ifall datatrafik i en kabel inte följde en given standard/protokoll för informationsöverföring vore det mer motiverat att tala om signalspaning eftersom man då skulle behöva analysera signalerna för att få tillgång till innehållet.

Vad gäller it-säkerhet är det viktigt att förstå att avlyssning inte kan förhindra intrång från att ske, det kan endast vara till hjälp för att kartlägga vissa hots ursprung och spridning. Om en del av FRAs budget istället fick bekosta förebyggande åtgärder skulle man troligen få mycket mer för pengarna.

Hans J sa...

Jag skrev några ord om "signal"-spaning i kabel på "Opassande":s blogg men jag tar den här också. Jag ber om ursäkt för om det är för "pedagogiskt" upplagt. Avsikten är bara att vara tydlig.

...

Jag vill hävda att SIGNALSPANING i kabel inte ens är möjlig. Det är FEL ord.

FRA använder avsiktligt fel ord!

Det är AVLYSSNING som det är fråga om och inget annat när det sker i kabel.

Om emailtrafik går genom etern kan man i och för sig säga SIGNALspaning med då för att beteckna inställningen av det “radioprogram” som sedan emailen går i. När man sedan AVLYSSNAR denna så är det naturligtvis AVLYSSNING.

En jämförelse:

I en vanlig gammal radio kan man växla mellan olika program och sändare. Beroende på var man befinner sig får man in olika sändare olika starkt.

När man då vrider på stationsinställningsratten så hör man att man “signalspanar”:
Oiii-Oiii-Oiii-knaster-”Sveriges Radio Program 1-Nyheter”.
vi väljer att INTE AVLYSSNA denna nyhetssändning utan
Oiii-Oiii-Oiii-knaster-”Rakt över disk med Clabbe”
Denna väljer vi att AVLYSSNA. Låter bra!
De olika SIGNALERNA går alltså parallellt. Det vill säga samtidigt på olika frekvenser!

I kabelfallet så finns BARA EN “SIGNAL”. Det är då helt missvisande att tala om SIGNALspaning.
“Program sänds” istället seriellt i kabel. Man ställer in vad man ska lyssna på och AVLYSSNAR direkt.

Anledningen till den här sammanblandningen ligger i att FRA gärna vill AVLYSSNA lite här och där. Nu har FRA tidigare sysslat med enbart signalspaning (i luften alltså) och då väljer man att använda detta ord för att få det att låta naturligt att FRA skulle ha med kablar att göra.

Ville man räkna kor på ängarna hade man kallat detta för SIGNAL-spaning istället för KO-räkning.

Det är alltså ett trixande med orden för att kunna genomföra någonting HELT ANNAT än det de tidigare sysslat med. Den nya lagen skulle alltså “slinka med” lite sådär osynligt ni vet…

Mattias sa...

Hej Mark,
Det är alltid spännande att läsa din blogg. Jag har inte gjort det så länge men det är sällan jag blivit mindre än imponerad. Tack!

Vitlista sa...

Mark, intressant blog om ett intressant ämne!

Länk till information om vitlistning och personer som kan förklara mer får du här Vitlistor. Kolla in det whitepaper som ligger där.

Vitlistning skulle förhindra myndigheter och diktatorer att plantera spionprogram på medborgarnas datorer, hemska tanke ;)

hanns j: "Därför undrar jag vad det är för "signal" som spanas på i kablar? Där går väl IP-paket?"

Det finns olika typer av signaler i kablarna. Långt ner i OSI-modellen hittar du magnetfält och elektriska signaler som går att avlyssna. Svårare med fiber där man måste bryta förbindelsen och stoppa in hårdvara. Men med signal tror jag att man menar en session högre upp i OSI, IP/TCP, som man lyssnar på.

Mark Klamberg sa...

Signaturerna Vitlista och Tomas,
Det här med vitlistor var spännande. Jag har några frågor.

1. När jag ska använda en ny applikation så frågar datorn mig om jag vill tillåta applikationen. Är inte detta samma som vitlistning? Måste man inte alltid godkänna när något laddas ner? Jag förstår att svaret är nej, men vill bara höra det en gång till så att jag är säker. Varför frågar datorn ibland men inte alltid om jag vill ladda ner? Är det svartlistningen?

2. Jag har förstått att spionorganisationer och virusspridare tycker det är bra med svartlistning istället för vitlistning. Min fråga är följande. Finns det någon seriös kritik mot vitlistning, t.ex. blir det fler moment för användaren när program ska laddas ner? med andra ord man måste godkänna istället för automatisk nedladdning vilket är ette xtra arbetsmoment. Påverkar det pop-up funktioner?

Mark Klamberg sa...

Signaturerna Vitlista och Tomas,
Jag försöker att dra de politiska konsekvenserna av den tekniska information ni gett mig. Det är då det blir riktigt intressant (tycker jag).

1. Jag förstår att vitlistning gör att argumentet om att FRA behövs för IT-säkerhet minskar i tyngd. Stämmer det?

2. Signaturen vitlistning hänvisade till företaget Subset som har en antiviruslösning som bygger på vitlistning. Behövs det ett politiskt beslut som ändrar något regelverk för att underlätta vitlistning eller räcker det med att det glada budskapet sprids via marknadskrafterna och annat? Jag tror ju på marknaden som drivkraft för utveckling.

Hans J sa...

@Vitlista:

Ja dom menar en "session högre upp" - nämligen Layer 4 "Transport layer" - men att kalla AVLYSSNING av denna för SIGNALspaning är ju helt FELAKTIGT! Detta görs ju i varje dator som har internet. Inte säger man att vi alla sitter med signalspaningsutrustning i våra datorer?

Min syn på saken är att FRA och förespråkare av AVLYSSNING kallar detta för någonting annat för att det ska slinka med i "paketet". Sedan låtsas man lögnaktigt att motståndare till denna AVLYSSNING är emot det som rättligen är signalspaning. Detta är ett övergrepp i debatten!

Som att sockra lite i medicinen... och sedan säga att vill man inte ha sockret så är man emot medicinen.

Mark Klamberg sa...

Vitlista och Hans J,
Jag följer er diskussion där ni bl.a. använder begreppet "Layer 4". Det är inga problem att ni använder svåra ord, men min ambition är att alla ska förstå diskussionen. Kan ni fortsättningsvis kort (en eller två ord) förklara begrepp när ni använder dessa?

Hans J sa...

@Mark:
Jag ska tom försöka komma ikväll ;-)

Bli inte förvånad om det kommer ett par tusen...

Anonym sa...

Rekommenderar dagens ledare i Aftonbladet.

/Lasse E

Mark Klamberg sa...

Hans J,
Du är mycket välkommen!

Tomas Mattsson sa...

Mark,

Jag skulle vilja säga så här: Vitlistning är en realitet som bland många andra tunga argument motiverar att FRA-lagen rivs upp och en ny utredning tillsätts som ersätter utredningen SOU 2003:30.

Nicklas sa...

Mark, ska försöka klargöra lite saker så gott jag kan.

"1. När jag ska använda en ny applikation så frågar datorn mig om jag vill tillåta applikationen."

Det här är inte vitlistning, utan en bekräftelse för att du som användare vill starta det programmet. En funktion med vitlista skulle kolla att programmet dessutom är "rätt" program. Dvs originalet och t.ex. inte en virussmittad variant.


"Finns det någon seriös kritik mot vitlistning, t.ex. blir det fler moment för användaren när program ska laddas ner?"

Givetvis finns det baksidor med vitlistning, men inga direkt säkerhetsrelaterade. Idag lämpar sig de produkter som finns främst organisationer som kan spara resurser och öka säkerheten, men administrationen är lite för bökig för privatpersoner. Det stora problemet för en privatperson som ska vitlista en applikation är hur han ska besluta hurvida koden är skadlig eller inte. Organisationer använder sig av installationsmedia från pålitliga källor och verifierar alltid programkoden innan installation.


"Jag förstår att vitlistning gör att argumentet om att FRA behövs för IT-säkerhet minskar i tyngd. Stämmer det?"

Nu vill jag inte tala för FRA, men jag håller inte riktigt med dig där. Virussmittade datorer är endast ett litet problem i det stora hela. Jag anser att ett beslut om avlyssning leder till att alla som inte har rent mjöl i påsen kommer att dölja sin trafik genom bl.a. kryptering. Detta har till stor del redan skett, inklusive pedofiler och annat patrask. Det är en utveckling som jag inte gillar.

"Behövs det ett politiskt beslut som ändrar något regelverk för att underlätta vitlistning eller räcker det med att det glada budskapet sprids via marknadskrafterna"

Absolut inga politiska beslut. Det här kommer marknadskrafterna att ta hand om. Det var samma visa för 15 år sedan, när det gällde behovet av ett antivirus. Det tar ett tag för beslutsfattare i bolagen att våga ta beslut.

"Kan ni fortsättningsvis kort (en eller två ord) förklara begrepp när ni använder dessa?"

OSI-modellen beskriver de olika "lager" som finns i datakommunikationen. Längst ner hittar du det fysiska lagret, t.ex. koppartråd. Sedan om man går längre upp så hittar man t.ex. transport för att slutligen på lager 7 hitta applikationerna som presenterar informationen som skickas över kopparen i lager 1.
Det Hans J ifrågasätter här är vilken "signal" man pratar om i begreppet "signalspaning" som ganska diffust.

Tomas Mattsson sa...

Nicklas,

När det gäller möjligheten för privatpersoner att verfiera program som ska läggas till listan av godkända program (vitlistan), så kommer säkerligen marknaden att utveckla de tjänster som behövs för att hantera verifieringen på ett smidigt sätt.

Men om alla datorer i den offentliga förvaltningen, till att börja med, precis som du själv säger: "Idag lämpar sig de produkter som finns främst för organisationer ...", utrustas med vitlistningsteknik faller argumentationen om IT-säkerhet i utredningen SOU 2003:30 i den del som handlar om FRA:s konsultverksamhet gentemot myndigheter.

Svartlistning, och här är jag väldigt säker på min sak!, är ett uttryck för dubbeltänk, eftersom svartlistning är en illusion av IT-säkerhet. Dubbeltänk så tillvida att säkerhetsföretagen vet att de ljuger när de hävdar IT-säkerhet i sina produkter, samtidigt som de är övertygade om att de talar sanning eftersom kunderna på marknaden TROR att de köper IT-säkerhet. Se där, det finns komplikationer i marknaden hitom teorin.

Jag tycker att detta är ETT mycket tungt skäl för att riva upp FRA-lagen och anställa en ny utredning som ersätter utredningen SOU 2003:30.

Nicklas sa...

Thomas,

Håller med om att FRA-lagen borde rivas upp, av många anledningar. Men på vilket sett skulle vitlistningsteknik få argumentationen om IT-säkerhet att falla? Utveckla gärna.

Tomas Mattsson sa...

Nicklas,

Bra att du tycker att FRA-lagen ska rivas upp.

För övrigt se p. 7 i denna blogg och ref. till utredningen SOU 2003:30. I utredningen sök på begreppet "dataintrång" och gör en egen bedömning!

Nicklas sa...

Tomas,

Efter att ha skummat igenom dokumentet kvarstår min bedömning, att tekniken som baseras på vitlistning för att skydda mot att skadlig kod körs, inte gör att argumenten om IT-säkerhet i utredningen faller.

Varför blir frågor kring IT-säkerhet oviktiga i och med vitlistning? Du får gärna utveckla detta lite mer.

Tomas Mattsson sa...

Nicklas,

Din bedömning kvarstår, då så.

Dagens IT-säkerhetsfrågor utgår, igen, från ett dubbeltänk (svartlistning), så också resonemangen om IT-säkerhet i utredningen SOU 2003:30. Därför bör, av flera skäl, FRA-lagen rivas upp och en ny utredning tillsättas som tar in i sitt resonemang begreppet vitlistning.

Nicklas sa...

Tomas,

Nu är jag inte alls med, IT-säkerhetsfrågor (autentisering, auktorisation, arkivering, verifiering, kryptering, nåbarhet osv) utgår inte från svartlistning.

Citera gärna utredningen och peka på något konkret.

Z sa...

Ursäkta reklam-länken, men från och med nu skriver jag otåliga veckorapporter om vad som hänt på integritets-tillägg-fronten,

om de kommande FRA-tilläggen som skulle vara villkor för FRA-spaningen och ska klubbas igenom "denna höst".

Tomas Mattsson sa...

Nicklas,

IT-säkerhetsfrågor utgår från IT-relaterade hot där svartlistning, ur FRA-synpunkt, är en gynnsam lösning.

ville sa...

Mattsson, hur kommer du fram till :

"IT-säkerhetsfrågor utgår från IT-relaterade hot där svartlistning, ur FRA-synpunkt, är en gynnsam lösning."

Mark Klamberg sa...

Jag uppfattar att FRA-förespråkarna säger att signalspaning i kabel behövs för att kemämpa IT-hot. Då menar flera att vitlisning är ett bättre sätt att bekämpa IT-hot. Vi söker alternativ till signalspaning i kabel så att argumenten för lagen blir svagare. Det är poängen.

Mark Klamberg sa...

Tack för beskrivningen av OSI-modellen. Jag fick en fin skiss av Hans J i samband med mötet den 26 augusti. Jag förstår vad som avses nu.

Nicklas sa...

Mark,

jag tror att vi blandar ihop saker och ting här. Vitlistor är en bra metod för att förhindra skadliga program på datorer. Men signalspaning för att bekämpa IT-hot har mycket med att förhindra intrång, överbelastningsattacker, förfalskning av information, sabotage osv. It-säkerhet helt enkelt.

Tomas Mattsson sa...

ville,

Hur resonerar jag för att komma fram till: "IT-säkerhetsfrågor utgår från IT-relaterade hot där svartlistning, ur FRA-synpunkt, är en gynnsam lösning."?

I min värld existerar IT-säkerhetsfrågor som en funktion av datorers existens. Utan datorer inga IT-säkerhetsfrågor.

Utredningen SOU 2003:30 ger prov på en variantflora av IT-hot som i förstone ter sig skrämmande, men vid närmare eftertanke närmast är att betrakta som diffusa staplar av ord som är ägnade att mer förvirra än skapa klarhet.

Nå, som jag sa inledningsvis, utan datorer inga IT-säkerhetsfrågor. Det ska man alltid hålla i minnet.

Som jag sagt i en tidigare kommentarspostning, så anser jag att man ska börja med att utrusta datorerna i den offentliga förvaltningen med vitlistningsteknik.

Det handlar alltså om att ett komplext problem, som består av ett antal delproblem, struktureras i rätt prioriteringsordning. Och där kommer, enligt min bestämda uppfattning, datorerna först i problemlistan. D.v.s när datorerna i den offentliga förvaltningen är utrustade med vitlistningsteknik är det dags att börja lista de eventuella kvardröjande IT-hoten, och fundera på hur FRA-lagen ska skrivas - om den ens behövs.

Denna prioritering finns inte i utredningen SOU 2003:30 och därför underkänner jag den, ett av flera tunga skäl, och förordar att FRA-lagen rivs upp och att en ny utredning tillsätts.

Tack för en trevlig debatt.