2019-12-16 07:00
Från Kim Hakkarainen
Myndigheter hänvisar till försvarssekretessen (15 kap 2 § OSL) för att inte behöva lämna ut uppgifter om sin personal. Ett återkommande tema är att man är en del av totalförsvaret och att personalen kan hotas. Med exempel från Kriminalvården och … Fortsätt läsa →
2019-05-13 07:00
Från Kim Hakkarainen
På vägen till kontoret lyssnade jag på Säkerhetspodcasten. Avsnittet handlade om den nya säkerhetsskyddslagen, men jag märkte snabbt att de inte hade koll. Det finns flera fel och tveksamheter i avsnittet. Jag tar upp fem här. Påståendet att säkerhetsskyddsklassificering främst … Fortsätt läsa →
2018-10-29 07:00
Från Kim Hakkarainen
Företag omfattas redan i dag av den nu gällande säkerhetsskyddslagen (1996:627), om verksamheten är av betydelse för rikets säkerhet eller särskilt behöver skyddas mot terrorism. I den nya säkerhetsskyddslagen (2019:585) som börjar gälla den 1 april 2019 är företagens skyldigheter fler … Fortsätt läsa →
2018-07-09 13:00
Från Kim Hakkarainen
I ett tidigare blogginlägg gav jag en lättare introduktion till godkända säkerhetsfunktioner med fokus på några assuransfrågor. Nu kommer fortsättningen. Hur bra är KSF 3.1 och vilka svårigheter finns att uppfylla kraven? Evalueringsmetodik saknas Hur granskning av ett IT-system ska … Fortsätt läsa →
2018-05-26 15:10
Från Kim Hakkarainen
I dag är det 310 dagar kvar till den 1 april 2019 då nya säkerhetsskyddslagen börjar gälla. Du kan följa utvecklingen på min nya webbplats https://säkerhetsskydd.mrpoyz.net. Jag kommer att uppdatera den med status och länkar till dokument när de publiceras.
2018-04-30 11:27
Från Kim Hakkarainen
En polischef som jobbar hemma behöver skriva ut en Excel-fil med information om 474 polisanställda inom den särskilda polistaktiken (SPT) i södra Sverige. Terrorattentatet på Drottninggatan hade inträffat, så det var mycket bråttom att skriva ut filen för att kunna … Fortsätt läsa →
2018-04-09 07:00
Från Kim Hakkarainen
För att uppnå rätt säkerhet för ett IT-system behöver man på något sätt ställa säkerhetskrav på systemet, men även systemets omgivning och hur systemet ska hanteras när det är i drift. Det finns inga gemensamma detaljerade krav på IT-säkerhet för svenska myndigheter. … Fortsätt läsa →
2018-02-19 07:00
Från Kim Hakkarainen
Begreppet men används i dag när information ska klassificeras i nivåer efter hur betydelsefull informationen är för rikets säkerhet. Begreppet men används också i straffbestämmelser för brott mot Sveriges säkerhet. Men begreppet men är problematiskt och med den nya säkerhetsskyddslagen kommer begreppet att … Fortsätt läsa →
2017-09-19 06:42
Från Kim Hakkarainen
Kryptering är en teknik som används för att skydda information mot insyn och förvanskning, t ex när information överförs eller lagras. Information som omfattas av sekretess och som rör rikets säkerhet måste skyddas mot andra staters signalspaning. Det är fråga … Fortsätt läsa →
2017-07-26 07:00
Från Kim Hakkarainen
Vilken slags information som Transportstyrelsen hanterar och som berörs av myndighetens outsourcing är i dag inte fullt ut klarlagt offentligt. Säkerhetspolisens förundersökning fokuserar på ett fåtal typer av uppgifter. Gärningsbeskrivningen i förhörsprotokollet med den tidigare generaldirektören tar endast upp sekretessen … Fortsätt läsa →
2017-07-10 07:00
Från Kim Hakkarainen
Transportstyrelsens tidigare generaldirektör har erkänt sig skyldig till brottet vårdslöshet med hemlig uppgift, ett av brotten mot Sveriges säkerhet. Brottsrubriceringen innebär att det är fråga om sekretessbelagd information som om den uppenbaras för främmande makt kan medföra men för Sveriges … Fortsätt läsa →
2017-06-26 07:00
Från Kim Hakkarainen
I ett projekt har jag tagit fram en modell över tänkt arbetssätt för informationssäkerhetsarbete i Försvarsmakten. Modellen består av tre delar; förebygga, hantera och förbättra. Varje del är i sin tur indelad i fyra områden. Modellen som är anpassad för Försvarsmakten … Fortsätt läsa →
2017-05-29 07:00
Från Kim Hakkarainen
En hemlig handling från FRA på SVT webbplats, hemliga uppgifter i medier om ”ryska påsken” och citat i Svenska Dagbladet från en hemlig specialorientering i Försvarsmaktens säkerhetstjänst. I de tre fallen har JK och domstolarna kommit fram till att det varit ok. … Fortsätt läsa →
2017-04-26 07:00
Från Kim Hakkarainen
Vad är det egentligen som omfattas av försvarssekretess? Det är en fråga som alla som fått till uppgift att genomföra en säkerhetsanalys eller menbedömning ställt sig. Genom att metodiskt använda de beskrivna tio typfallen kan man mer rationellt och med större precision bedöma vilka uppgifter … Fortsätt läsa →
2017-04-12 07:00
Från Kim Hakkarainen
På MUST säkerhetskontor finns en avdelning för krypto och IT-säkerhet som arbetar med den tekniska delen av informationssäkerheten. Just nu söker MUST kryptologer och experter inom IT-säkerhet, mjukvara och hårdvara till avdelningen. Vill du vara med och skydda Sveriges säkerhet? Blivande … Fortsätt läsa →
2017-01-16 07:00
Från Kim Hakkarainen
Informationssäkerhetsarbetet mellan två tajta myndigheter som Försvarsmakten och Försvarets materielverk (FMV) är säkert i harmoni, tror ni. Försvarsmakten är djupt beroende av FMV då verket bl a genomför upphandlingar och hanterar logistiktjänster åt Försvarsmakten. Upphandlingarna och logistiktjänsterna är så klart … Fortsätt läsa →
2016-11-14 07:00
Från Kim Hakkarainen
Juridisk litteratur om säkerhetsskydd är det ont om. När jag såg att Stefan Ryding-Berg, tidigare Försvarsmaktens chefsjurist, hade skrivit en bok i ämnet blev jag glad. Äntligen, tänkte jag, en erfaren jurist som kan förklara och fylla ut området och … Fortsätt läsa →
2016-08-11 07:00
Från Kim Hakkarainen
Information, som ur något konfidentialitetsperspektiv har ett värde för en organisation och som inte längre behövs, måste skyddas så att någon obehörig inte kan ta del av den. Sista steget i livscykeln för information är förstöring, om den inte har tagits om … Fortsätt läsa →
2016-05-30 07:00
Från Kim Hakkarainen
Informationssäkerheten på nio myndigheter har granskats av Riksrevisionen. Resultatet? Den samlade slutsatsen är att arbetet ligger på en nivå som är märkbart under vad som är tillräckligt. Många myndigheter har svårt att få till ett ändamålsenligt informationssäkerhetsarbete och den bild … Fortsätt läsa →
2016-02-01 07:00
Från Kim Hakkarainen
Kan det finnas definierade skyddsnivåer som gäller både för säkerhetsskyddet och annan informationssäkerhet? Jag menar att det är möjligt, men inte för all information och inte för alla skyddsåtgärder. Säkerhetsskyddet är inte ett statiskt skydd Skyddsåtgärder för uppgifter som omfattas … Fortsätt läsa →
2016-01-18 07:00
Från Kim Hakkarainen
Från och med den 1 april ska IT-incidenter hos statliga myndigheter rapporteras. Det är en helt ny ordning som innebär att de flesta myndigheter ska rapportera till MSB, Säkerhetspolisen eller Försvarsmakten, beroende på vad incidenterna handlar om. Häng med ner … Fortsätt läsa →
2015-12-07 08:00
Från Kim Hakkarainen
MSB tar bort den hårda kopplingen till standarderna SS-ISO/IEC 27001:2006 och SS-ISO/IEC 27002:2005 i förslaget till nya föreskrifter om statliga myndigheters informationssäkerhet. Betyder det att MSB överger standarderna? Hur ska det då gå för myndigheternas informationssäkerhet? I de nu gällande … Fortsätt läsa →
2015-09-01 07:00
Från Kim Hakkarainen
Från och med den 1 september 2015 har sekretesstiden förlängts från 70 till 95 år för uppgifter som omfattas av försvarssekretess och som rör underrättelseverksamhet. Sekretesstiderna är intressanta då de anger under hur lång tid uppgifterna måste skyddas mot ett … Fortsätt läsa →
2015-08-10 07:00
Från Kim Hakkarainen
Cybersäkerhet smygs in lite varstans i Försvarsmakten. Det låter coolt och fräscht, men är oftast bara IT-säkerhet i svengelsk språkdräkt. Då ord har en fundamental betydelse för människors kommunikation kan icke-definierade begrepp få negativ påverkan på informationssäkerheten. Ett motiv för … Fortsätt läsa →
2015-04-13 07:00
Från Kim Hakkarainen
Särskilda underrättelseuppgifter och särskilda underrättelsehandlingar (S-und) är information som förekommer i försvarsunderrättelse- och säkerhetsunderrättelseverksamhet. Det är ett exempel på statens mest skyddsvärda informationstillgångar. Existensen av S-und har fram till november 2011 varit en uppgift som omfattats av försvarssekretess. S-und … Fortsätt läsa →
2015-03-18 07:00
Från Kim Hakkarainen
Förslaget till ny säkerhetsskyddslag (SOU 2015:25) innehåller flera nyheter vad gäller informationssäkerhet, bl a en indelning av information i fyra informationssäkerhetsklasser. Begreppet hemliga uppgifter föreslås ersättas med säkerhetsskyddsklassificerade uppgifter. Där ingår information som är av betydelse för Sveriges säkerhet eller information … Fortsätt läsa →
2015-01-20 07:00
Från Kim Hakkarainen
När försvarsplaneringen kommer i gång behöver aktörerna delge varandra information och tillsammans ta fram dokument. Informationen kommer i vissa delar omfattas av försvarssekretess. Är de civila och privata aktörerna redo att hantera sådan information? Knappast! MSB rapport om det civila … Fortsätt läsa →
2014-12-01 07:00
Från Kim Hakkarainen
Om en månad upphör beslut om skyddsobjekt som fattats med stöd av äldre bestämmelser. Det rör sig om byggnader, andra anläggningar och områden samt militära fartyg och luftfartyg som förklarats som skyddsobjekt före den 1 juli 2010. Vad händer då … Fortsätt läsa →
2014-11-10 07:00
Från Kim Hakkarainen
Det är mycket bra att DN i artikelserien Det sårbara digitala samhället har granskat IT-säkerheten och pekat på några av de brister som omger oss i allt från bredbandsmodem, webbkameror, skrivare, arbetsplatsdatorer, styrsystem för vattenkraftverk, webbplatser och bloggar, fastigheters styrsystem … Fortsätt läsa →
2014-08-26 07:00
Från Kim Hakkarainen
I dag startar den årliga konferensen om informationssäkerhet för offentlig sektor. 450 personer deltar under två dagar för att bl a lyssna på företrädare för Försvarsmakten, Försvarets radioanstalt, Post och telestyrelsen, Försvarets materielverk, Försvarets forskningsinstitut, Rikskriminalpolisen, Säkerhetspolisen, Regeringskansliet och Myndigheten … Fortsätt läsa →
2014-06-18 23:01
Från Kim Hakkarainen
Försvarsmaktens handbok i informationssäkerhet har uppdaterats. H SÄK Infosäk, ändring 1 går att ladda ner som PDF från Försvarsmaktens myndighetswebbplats. Ändringar har främst skett i kapitel 11 som handlar om åtgärder vid förlust och röjande av uppgift eller handling. Handboken … Fortsätt läsa →
2014-04-30 09:32
Från Kim Hakkarainen
Det är något underligt med sekretess för uppgifter om poliser. I en dom från Kammarrätten i Jönköpings län bedömer rätten att sammanställningar av e-postadresser till personal inom Polismyndigheten i Jönköpings län omfattas av försvarssekretess (15 kap 2 § OSL). Jag … Fortsätt läsa →
2014-04-11 07:00
Från Kim Hakkarainen
Då och då hör jag att man i säkerhetsarbetet ska använda sunt förnuft. Oftast är det ett svar på en fråga från en villrådig människa som söker råd i hur hen ska agera i en viss situation. Vems sunda förnuft? … Fortsätt läsa →
2014-03-17 07:00
Från Kim Hakkarainen
Sekretessbedömning är ett svårt område. Det handlar om att förstå vilken information som kan skada ett intresse och i sådana fall vilken sekretessbestämmelse som gäller för informationen. Den som sekretessbedömmer måste ha kunskap om den verksamhet som informationen handlar om … Fortsätt läsa →
2014-01-13 07:00
Från Kim Hakkarainen
Dagens Nyheter hade förra veckan några nyheter om dataintrång. Jag fick en e-post från en journalist med frågan om jag kände till intrången. Specifikt efterfrågades uppgifter om vilka som drabbats och vilken information som stulits. E-posten avslutades med ”du har naturligtvis … Fortsätt läsa →
2013-12-03 07:00
Från Kim Hakkarainen
Under ett inbrott stals vapen och ammunition ur ett säkerhetsskåp. Inbrottet underlättades av att reservnycklarna till skåpet var felaktigt förvarade. Även hemliga handlingar förvarades i säkerhetsskåpet men lämnades kvar av inbrottstjuven. Frågan om det var vårdslöshet med hemlig uppgift prövades … Fortsätt läsa →
2013-11-05 07:00
Från Kim Hakkarainen
Enligt Dagens Nyheter ska en server som används för patientjournaler under åtta månader varit exponerad mot Internet. När felet rättades till upptäcktes, enligt DN, obehörig trafik mot servern. På servern fanns även program installerade för att att genomföra sårbarhetsskanningar och … Fortsätt läsa →
2013-10-30 07:01
Från Kim Hakkarainen
Jag blev nyligen intervjuad av forskarna Nina Lewau och Jacob Löfvenberg på FOI. De arbetar med projektet Pålitliga IT-plattformar för Försvarsmaktens forskning och teknikutveckling. Detta blogginlägg är baserat på intervjun och innehåller några av mina personliga funderingar på området. Att välja … Fortsätt läsa →
2013-10-30 07:00
Från Kim Hakkarainen
FOI har gett ut flera rapporter som rör informationssäkerhet. Du hittar några här som finns nedladdningsbara som PDF från FOI webbplats. Litteraturstudie av tekniker för pålitliga IT-plattformar. Hot-, risk- och sårbarhetsanalys – Grunden för IT-säkerhet inom Försvarsmakten. Behov av stöd … Fortsätt läsa →
2013-10-20 17:32
Från Kim Hakkarainen
Jag har länge fått höra att en kryptonyckel inte är en allmän handling. Någon förklaring till varför det skulle vara så känner jag inte till. Jag påstår att det inte stämmer. Kryptonycklar är allmänna handlingar som omfattas av sekretess, men … Fortsätt läsa →
2013-10-08 07:00
Från Kim Hakkarainen
Att hemliga uppgifter (rikets säkerhet) inte får överföras okrypterat över Internet eller på telefon är självklart. Kryptering är ett skydd mot avlyssning. Krav på att ett kryptosystem ska vara godkänt av Försvarsmakten finns i säkerhetsskyddsförordningen. Men kravet gäller inte alla. … Fortsätt läsa →
2013-10-03 15:44
Från Kim Hakkarainen
Försvarsmakten har på beställning lämnat en perspektivstudie till Försvarsdepartementet. [1] Studien behandlar bl a teknikutveckling inom IT-området, sociala medier, informationsoperationer och ”cyber”. Här är några av mina reflektioner om bl a ny offensiv IT-angreppsförmåga. Om du är intresserad av området … Fortsätt läsa →
2013-09-26 16:11
Från Kim Hakkarainen
Att hålla kolla på allt som händer är inte lätt. Det finns tusentals webbplatser, bloggar och diskussionsforum. För att underlätta min egen omvärldsbevakning har jag sedan länge använt RSS. Under det senaste året har jag utvecklat IB, ett system för … Fortsätt läsa →
2013-09-17 06:00
Från Kim Hakkarainen
Operationssekretess (OPSEC) används i Försvarsmakten. Ett problemfyllt ord som vad gäller offentlighet och sekretess inte betyder någonting. Begreppet hänger inte ihop med den modell som används för informationsklassificering i Försvarsmakten. En anställd har ingen tystnadsplikt för uppgifter som kan komma … Fortsätt läsa →
2013-09-09 06:00
Från Kim Hakkarainen
I förra veckan kunde vi på Instagram se ett foto på utrikesministern där han håller en sekretessmarkerad handling i handen. Ett illustrativt exempel på hur en hemlig handling oavsiktligt exponeras. Detta är inte första gången något sådant händer. 2009 fotograferades … Fortsätt läsa →
2013-09-05 06:00
Från Kim Hakkarainen
Kan ISO 27001 användas för informationssäkerhet för hemliga uppgifter (rikets säkerhet)? Jag tror det. Fördelarna borde överväga, men frågan är inte helt okomplicerad. Krav på ledningssystem för informationssäkerhet finns i den internationella standarden ISO/IEC 27001:2005. Standarden gäller som svensk standard … Fortsätt läsa →
2013-08-28 06:00
Från Kim Hakkarainen
En av de viktigaste skyddsåtgärderna i den administrativa informationssäkerheten är inventering av hemliga handlingar (sådana som rör rikets säkerhet). [1] Inventering av hemliga handlingar genomförs för att kontrollera om de är i behåll eller om de har förlorats. Slarvas det med inventeringen … Fortsätt läsa →
2013-08-21 07:00
Från Kim Hakkarainen
”Styrning av säkerheten vid det amerikanska försvarsdepartementet är osammanhängande, inkonsekvent, överlappande, fragmentarisk och okoordinerad”, så kan en rapport från dess generalinspektionen sammanfattas. En annan aktuell rapport om IT-säkerhet vid det amerikanska utrikesdepartementet visar på svåra missförhållanden. Amerikanska försvarsdepartementet Utredarna vid … Fortsätt läsa →
2013-08-16 18:03
Från Kim Hakkarainen
Apple får inte tillstånd att flygfotografera Oslo i 3D (Aftenposten, MacWorld, BBC). Skälet uppges vara att fotograferingen har en sådant detaljrikedom att den kan ge kunskap om säkerhetsåtgärder för skyddsobjekt (”skjermingsverdige objekter” på norska). Geografisk information över ett lands territorium … Fortsätt läsa →
2013-07-31 07:00
Från Kim Hakkarainen
Med anledning av prövningen om ansvar för Bradley Manning kom det ett underligt tweet från Sveriges Radio: ”Manning frikänns från den grövsta åtalspunkten. Riskerar iaf strängt straff. Whistleblowers skyddas hos #Radioleaks radioleaks.se” Förvånat undrade jag om Sveriges Radio verkligen var … Fortsätt läsa →
2013-07-29 07:00
Från Kim Hakkarainen
Med en ”fantastisk sårbarhet” menar jag en allvarlig sårbarhet mot informationssäkerheten som man inte hört talas om tidigare och som man häpnar över första gången man hör talas om den. Informationssäkerheten är inte alltid utformad att skydda mot attacker som … Fortsätt läsa →
2013-07-23 07:30
Från Kim Hakkarainen
FOI har släppt en kort rapport om användningen av sociala medier i Försvarsmakten. Rapporten handlar om en enkätundersökning som gjorts för att ta reda på anställdas vanor och uppfattningar om sociala medier. En av de frågeställningar som rapporten ska svara … Fortsätt läsa →
2013-07-18 07:00
Från Kim Hakkarainen
Uppgifter om den norska regeringens ”krigshovedkvarter” har funnits tillgängliga på internet. Adress, telefonnummer och antal som arbetar där har spridits genom en statlig tjänst till söktjänster. Norska NRK uppmärksammade det 2010 och tidningen Aftenposten gjorde en uppföljande artikel 2012. Då … Fortsätt läsa →
2013-07-11 04:16
Från Kim Hakkarainen
Den gulmarkerade meningen låter ju bra och logisk. Problemet är att den inte stämmer. När jag först läste meningen studsade jag på att endast sekretessbestämmelser som saknar rekvisit skulle vara sådana som utgör ”kvalificerad sekretess” (röd understrykning i den gulmarkerade meningen … Fortsätt läsa →
2013-07-02 16:12
Från Kim Hakkarainen
Inte förrän nu har det funnits en dedicerad handbok om informationssäkerhet i Försvarsmakten. Nya Handbok för Försvarsmaktens säkerhetstjänst, Informationssäkerhet (H SÄK Infosäk) är unik i Sverige. Ingen annan myndighet har tagit fram något liknande som motsvarar handbokens bredd och djup. H SÄK … Fortsätt läsa →
2013-06-26 14:30
Från Kim Hakkarainen
”På detta sätt må ni berätta” inleder Officerstidningen i nummer nr 4/2013 en artikel om meddelarfrihet. Artikeln är vinklad och innehåller sakfel. Den ger inte tillräcklig upplysning om vad som gäller för en anställd i Försvarsmakten som funderar på att … Fortsätt läsa →
2013-06-17 05:46
Från Kim Hakkarainen
Ingen kan väl ha undgått rapportering i medier om hur Kina sägs stå bakom IT-attacker mot främst USA men även Sverige. Detta är inget nytt utan bara en fortsättning på tidigare underrättelseinhämtning med mänskliga källor. Jag har läst boken Tiger … Fortsätt läsa →
2013-06-12 11:58
Från Kim Hakkarainen
Ett lagringsmedium (t ex en hårddisk) som ingår i ett IT-system som är avsett för behandling av uppgifter som omfattas av sekretess och som rör rikets säkerhet måste livscykelhanteras. Det handlar om att upprätthålla kontinuerlig kontroll över lagringsmediet från det tillfälle … Fortsätt läsa →
2013-06-06 15:08
Från Kim Hakkarainen
När en uppgift som omfattas av sekretess och som rör rikets säkerhet befaras vara röjd sker det en utredning för att avgöra vilket men som uppgiften kan ha medfört samt omständigheterna kring röjandet, en sk menbedömning. Bilden nedan visar hur men- … Fortsätt läsa →
2013-05-27 14:00
Från Kim Hakkarainen
I medier och på nätet ges uttryck för att det råder en absolut frihet att meddela uppgifter till medier. Journalister och ansvariga utgivare är inte sena med att påtala att meddelarfrihet, källors anonymitetsskydd och myndigheternas efterforskningsförbud minsann är grundlagsfästa. Det … Fortsätt läsa →