Björn Linderoth

Kriminalvården har cirka 9000 anställda varav 350 arbetar på huvudkontoret i Norrköping. På IT-avdelningen arbetar 60 fast anställda och ca 25 konsulter. 15-tal av dessa jobbar med utveckling. Ingen är enbart programmerare utan snarare systemvetare eftersom man har hand om hela processen från planeringsstadiet ner till kodningen. Verksamheten är uppdelad i olika avdelningar där en ansvarar för utveckling, en för driften och en för kundsupport. Datasystemet är ständigt i drift eftersom man har samlat alla servrar till Norrköping. All data finns i en enda databas. De datorer som finns ute på de 135 platser runt om i landet där Kriminalvården finns är rena terminaler av typen tunna klienter. Totalt omfattar systemet 5500-6000 terminaler samt 250 servrar. IT-stödet inom Kriminalvården började byggas ut i början av 90-talet. Vid den tiden fanns nästan inget IT-stöd alls i verksamheten.

Nätverket är uppbyggt utifrån att tillgängligheten ska vara noggrant kontrollerad. Det finns inget trådlöst nätverk kopplat till systemet. Möjligheten att nå systemet från Internet är begränsad till att man kan nå sin användarkatalog, kan läsa sin e-post och nå internwebben och detta gäller bara den som har ett särskilt konto för detta. Det hela är konstruerat som en krypterad VPN-lösning. Man tillåter inte ens att leverantörer har en remotekoppling för att kunna sköta underhåll utan de får komma till huvudkontoret och sköta nödvändiga

installationer därifrån. Det enda undantaget från denna regel är den israeliska leverantören av elektroniska fotbojor. Eventuellt kommer det lösningar för andra konsulter för att det ska kunna arbetas på distans.

Regler och lösenord

Personalen blir vid anställning informerade om de regler som gäller för användningen av datasystemet. Dessa regler omfattar e-post, surfning, behörighet och lösenordshantering. Det poängteras tydligt att lösenordet är personligt och att detta inte får delas med någon annan. Att dela ett lösenord betraktas som dataintrång och tas, som andra brott mot reglerna upp av personalansvarsnämnden och kan leda till avsked. Björn Linderoth gav ett exempel på en incident i samband med Anna Lind-mordet där någon av nyfikenhet hade varit och sökt i registret där personen inte hade behörighet till. Detta resulterade i en varning.

För att undvika att någon påstår att de aldrig har fått reda på reglerna, delas reglerna ut skriftligen och skrivs under av den nyanställde. Genom detta intygar denne att han läst och förstått reglerna.

Skulle man tappa bort ett lösenord skickas ett nytt lösenord till en i förhand bestämd mottagare på den aktuella avdelningen som sedan meddelar det nya lösenordet till den som har tappat bort sitt.

All hantering av systemet loggas. Dessa loggar sparas sedan för att det, om det skulle vara nödvändigt, ska vara möjligt att gå tillbaka och se vem som gjorde vad. Därför har också alla anställda personliga konton även de som administrerar systemet. Rotkonton används bara till de uppgifter som inte går att lösa på annat sätt. Även vikarier tilldelas personliga konton för den tiden som de arbetar. Dessa konton är dock begränsade till de mest elementära

funktionerna.

pass slutet som det är. Eftersom systemet inte är tillgängligt via någon webbportal utan kräver tillgång till en fysisk terminal som i sin tur bara finns på kontoren är risken att en obehörig skulle komma över lösenorden mycket liten. Lösenorden är dessutom krypterade. Ett annat viktigt skydd är förståelsen för hur men framförallt varför man ska hantera lösenord på ett strikt sätt.

Kriminalvården är på gång att införa ett system med elektroniska id-handlingar som ska användas dels för att få tillträde till lokaler men det ska även ersätta inloggningen i systemet. Tidigare har man också biometrisk inloggning. Det visade sig dock vara ett tämligen

tungadministrerat system eftersom det krävs att man lägger in fingeravtryck från flera av handens fingrar. Därigenom blir det väldigt mycket data som måste läggas in i systemet. Dessutom finns det ett motstånd mot att lagra sådana data. Det går i och för sig att lösa genom att man inte lagrar data i en databas utan på ett personligt kort som den anställde har hand om själv. Jämförelsen sker då inte mellan en central databas och det inskannade fingret utan mellan kortets data och fingret.

I framtiden kommer systemet troligen även används för att överföra information från olika larm- och övervakningssystem som finns på de olika anstalterna.

Kriminalvården saknar en chef med ansvar för informationssäkerhet. Man har koncentrerat sig på att systemet är säkert men man har hitintills inte haft någon med särskilt ansvar för datainnehållet i systemet. Detta kommer dock att åtgärdas i och med att en sådan chef tillsätts.

Historien har visat att hotbilden mot datasystem förändras. Därför är det viktigt att försöka se de nya hot som kommer. Förutom att läsa de nyheter om hot och lösningar som kommer genom media samarbetar Kriminalvården med polisen och andra myndigheter i

hotbildsanalyser för att kontinuerligt kunna uppdatera sig om nya hot och värdera hur allvarliga dessa är. Det görs också säkerhetsrevisioner via externa konsulter. Framförallt prövas förmågan att motstå dataintrång på detta sätt. En av de som anlitats som konsulter inom detta område är FRA.

Hårdvara

De privata datorer som är uppkopplade mot systemet är det med hjälp av citrixklienter. Detta omöjliggör nedladdning från Internet in i systemet eftersom citrixklienten förvandlar datorn till en tunn klient som bryter kontakten med den lokala hårddisken. Detta stoppar skadlig kod att ta sig in i systemet eftersom om det händelsevis skulle finnas sådan på den lokala

hårddisken kan den inte ta sig därifrån till systemet. Angrepp med skadlig kod från Internet skadar därmed bara den egna datorn. Citrixlösningar gör också att det inte går att föra data från program på den privata datorn till systemet.

De terminaler som finns ute på anstalterna är tunna linuxklienter och har därmed ingen egen hårddisk. All data i systemet lagras i Norrköping. Dessa har ingen anslutning för någon extern utrustning som USB-minnen eller kameror och liknande.

Risken att drabbas av dataförlust på grund av ett hårddiskhaveri anser Björn Linderoth vara liten. Inte för att man har någon fastställd utbytesplan utan därför att teknikutvecklingen går så snabbt att utrustningen ändå är utbytt innan det finns risk för att utrustningen havererar och orsakar dataförluster.

Man är noga med att sköta de säkerhetsuppdateringar programvaruleverantörerna skickar ut, men inget installeras i systemet utan att vara ordentligt testat. Man ser gärna också att man har fått rapporter från annat håll att det verkligen fungerar innan man genomför

uppdateringen. När det gäller uppgraderingar av applikationer sker dessa endast efter noggrann planering. Däremot händer det att lagändringar medför att man måste göra

förändringar i sina program.

För att ta vara på den erfarenhet av driftstörningar som uppstår under driften har man infört ett incidentrapportsystem där alla typer av IT-avbrott fylls i samt hur man åtgärdade det. Systemet är generellt för alla användare inom Kriminalvården vilket medför att alla fält i rapportformuläret inte alltid är relevanta.

Björn Linderoth menar att det är mycket viktigt att ta till vara nya idéer som nyanställda har med sig. Han uppfattar inte att det skulle finnas någon så-här-har-vi-alltid-gjort-och-ska- fortsätta-att-göra-mentalitet på avdelningen. Istället menar han att ett viktigt motiv bakom nyanställningar är just att få in nya idéer.

För att göra vad man kan för att så långt det är möjligt för att förhindra katastrofala haverier eller driftstopp genomför man riskanalyser och utvärderar de risker man hittar. En åtgärd man har vidtagit som följd av en sådan analys är att man har byggt en reservdatahall i en annan lokalitet i Norrköping för att undvika konsekvensen av att datahallen på huvudkontoret skulle bli totalt utslagen. En risk som har blivit uppvärderad under den tiden som IT-verksamheten har varit igång är risken för strömavbrott. I början av nittiotalet bedömdes risken som försumbar men nu är den så stor att avbrottsfri kraft är helt nödvändig.

För att täcka upp de stopp som ändå inträffar finns manuella rutiner för de ärenden som inte kan vänta. In- och utskrivningar av interner på anstalterna är en sådan uppgift som måste kunna hanteras även om det inte finns någon ström.

Avbrott

Reservel är inte heller helt okomplicerat. För det första måste man kontrollera att en terminal verkligen är ansluten till den avbrottsfria kraften eftersom man i regel inte bygger hela elsystemet avbrottsfritt utan bara de viktigaste delarna. För det andra måste man också kolla att det fungerar som det ska om strömmen går. Detta ska man göra under någorlunda

kontrollerade former så att man inte upptäcker det genom att systemet slutar fungera vid ett riktigt strömavbrott.

Förutom rena tekniska tester genomförs allt emellanåt scenarioövningar i form av rollspel för att den vägen testa om de uppgjorda katastrofplanerna fungerar i praktiken. På detta sätt har en del brister uppdagats som man sedan har åtgärdat bland annat genom att man har ändrat i de föreskrifter och handböcker man har för hur systemet ska hanteras.

Föreskrifter och tekniken kan vara hur säker som helst men om inte användarna följer

föreskrifterna är det ändå inte till någon nytta. Det är cheferna ute på anstalterna som ansvarar för att de anställda får rätt behörighet, att systemet används enligt föreskrifterna och att oanvända konton blir borttagna. Här finns ett problem i att dessa chefer i alltför stor utsträckning skjuter över problemet på IT-avdelningen eller att man inte alls förstår

problemet. Detta beror till viss del på dålig kunskap i datasäkerhet men eftersom man i stor utsträckning inte ser det som ett problem bryr man sig heller inte om att skaffa sig mer kunskap och man har därför ett moment 22.

Testning

Som ett led i testandet av systemet har man genomfört ett stort informationssäkerhetstest enligt en standardiserad metod. Detta test visade på ett antal brister just inom samarbetet mellan IT-avdelningen och avdelningscheferna. Björn Linderoth hoppas att detta resultat ska hjälpa dessa chefer att se att de måste vidga sin syn på IT-säkerhet. Från IT-avdelningens sida har man gått igenom de punkter man inte fått godkänt på och delat upp dem för att kunna besluta hur de ska åtgärdas.

nödvändigt att använda dem. Det program som Kriminalvården använder för att göra sin backupkopiering kontrollerar en gjord backup genom att provläsa den efteråt. På så sätt vet man att skrivningen lyckades. Ett annat problem är att gamla backuper inte alltid är läsbara därför att de nya programversionerna inte stöder det filformatet från de gamla versionerna på ett korrekt sätt. Av den anledningen sparas installationsmedia för alla gamla

programversioner för att om inget annat är möjligt att man ska kunna ominstallera den gamla versionen och på så sätt komma åt data. Dessutom görs totalbackuper av hårddiskarna och genom detta kan man återskapa en identisk installation av en gammal maskin om det skulle behövas.

Lösenord

Kriminalvården har strikta regler för hur man ska skapa lösenord. Det finns krav på hur långa de ska vara, att de ska innehålla blandade tecken, att de ej återanvänds och att de ska bytas ut regelbundet.

Björn Linderoth menar att det finns en risk med säkerhetsregler att man tror att kan

kontrollera fram datasäkerhet. Att striktare regler och hårdare kontroller automatiskt medför bättre säkerhet. Han hävdade att, förutom att för hård säkerhet helt enkelt hindrar

användandet för mycket och därför är opraktiskt, det i stället kan leda till lojalitetsproblem. Den man inte litar på kommer inte sträva efter att agera säkert utan, medvetet eller omedvetet tar större risker.

En viktig åtgärd för att undvika detta är att inte tvinga användaren att logga på fler gånger än nödvändigt. Helst ska användaren inte behöva göra mer än en påloggning för att kunna utföra sitt arbete. Så har Kriminalvården också ordnat sitt system förutom de allra känsligaste systemen där detta inte ger tillräcklig säkerhet. Men eftersom det är mycket speciella system och att det bara berör ett fåtal användare finns inget problem med förståelsen för att detta är nödvändigt.

För att hindra avlyssning av datatrafiken är all trafik inom Kriminalvården krypterad. Man har dessutom regeln att man inte får skicka klientdata på det öppna Internet. I de fall som man måste skicka klientdata till andra myndigheter får detta alltså inte mailas. Det pågår ett arbete med att införa säker e-post även mellan olika myndigheter.

För att inte det ska finnas gamla konton som inte är i bruk i systemet loggas de konton som inte används. Dessa listor skickas sedan ut till avdelningscheferna för att de ska avföra dessa konton i annat fall görs detta automatiskt efter en viss tid.

Klienterna loggas automatiskt av efter att användaren har varit inaktiv en viss tid.

Säkerhetsproblem

Björn Linderoth beskrev ett möjligt intrångsscenario via frivården. Det gick ut på att någon skulle missbruka en terminal genom att utnyttja att dessa inte är lika kontrollerade som övriga i systemet. En terminal på exempelvis huvudkontoret är i princip oåtkomlig eftersom dessa är inlåsta och det kontrolleras noggrant vem som går in och ut på huvudkontoret. Motivet till ett sådant missbruk skulle i så fall vara att ändra registreringen av internerna till någons vinning. Björn Linderoth bedömde dock detta som en mycket liten risk. Dels för att all aktivitet på kontona loggas noggrant. Ska man komma åt den data som måste ändras blir man tvungen att göra någon form av dataintrång eller plantera in någon form av avlyssningsutrustning. Sådant tar tid och uppehåller man en terminal så länge som det krävs för att lyckas med detta blir någon annan med största sannolikhet misstänksam.

Problemet med spam hanterar man genom att anlita ett externt spamfiltreringsföretag. Björn Linderoth bedömde inte det som ett problem att man hade utlokaliserat denna tjänst eftersom det företag man anlitat var ett väletablerat företag inom branschen och att det problem som

skulle kunna finnas nämligen att känslig data kommer i orätta händer redan är hanterat genom att sådana data ej får skickas som e-post.

Ett annat datasäkerhetsproblem är att användarna utnyttjar datorerna för eget bruk. Här har man inom Kriminalvården sagt så att viss egen användning är tillåten men det får inte inkräkta på arbetet och användaren får finna sig i att arbetsgivaren kontrollerar vad som görs. Med anledning av incidenten i Stockholm där hemlig data kom på avvägar genom vårdslös användning av ett USB-minne sa Björn Linderoth att deras USB-minne har en inbyggd funktion för kryptering men att det är den enskildes ansvar att utnyttja den. Dessutom får inte några data lämna huset okrypterad. Detta gör att om någon skulle glömma ett USB-minne någonstans är data i så fall obrukbar.

De feta klienter som finns i systemet är samtliga utrustade med antivirusprogram som kontrollerar den data som förs in i systemet utifrån. Man är noga med att endast utnyttja särskilda datorer för detta ändamål. Genom denna rigorösa policy har man hitintills sluppit virusangrepp.

Vad det gäller den framtida utvecklingen och med den de följande nya hot ser Björn

Linderoth ett ökat behov av distansarbete som den största utmaningen eftersom man då måste öppna upp systemet mer och därmed också ökar antalet möjliga angreppsvägar.