Sveriges Radio kritiseras för bristande säkerhetsrutiner

Då ämnet kan väcka lite känslor är det bra att påminna sig själv om SweClockers förhållningsregler och policy när det kommer till politik. Behöver du fräscha upp minnet finns regler och sådant här:

• Forumregler

• SweClockers regler och policy om politik

Fokusera på sakfrågan i tråden, så blir alla nöjda och glada.

Jag vet inte om gemene man förstår hur otroligt allvarligt detta är. Det är alltså personer som, utan erforderlig säkerhetsprövning, haft fysisk tillgång till en del av kärnstrukturen inom det svenska totalförsvaret. Var avgränsningen samt exakt vilken tillgång till andra integrerande system dessa haft tillgång till verkar inte framgå eller vara publikt (ännu).
Att det sedan, som grädden på moset, laddats upp detaljerad information på godtyckling molntjänst om både system, skalskydd och byggnader är helt horribelt.
Blir hyggligt förbannad när man får reda på sådant här i.o.m att man verkar i en angränsande bransch. Sedan den totala likgiltigheten inför uppdraget man åtagit sig är i en klass för sig.
Gör om, gör rätt, och sparka ansvariga!

Okej, så utomstående kan ha fått information om hur VMA-systemet är uppbyggt, även på detaljnivå.

Om jag tar på mig IT-säkerhetshatten, är det verkligen ett problem då? Det borde bara vara ett problem om systemet är uppbyggt på ett undermåligt sätt så att det är känsligt för påverkan utifrån. Ett system borde ju bara betraktas som säkert på riktigt om det är säkert även om en angripare vet alla detaljer om hur systemet är uppbyggt.

Känns som man kan sätta sitt grafikkort på att ingen kommer få sparken och ingen kommer avgå. Jag upplever att den totala bristen på ansvar bland ledare i vårat samhälle är en kraftigt bidragande del till mängden fullkomlig inkompetens vi ser. Lex "sladden i hårddisken".

Undrar just vart dessa 3,2 miljarder SR får årligen går till?

Uppenbarligen inte till grundläggande IT-säkerhet. 🤐

Framgått i framförallt DNs granskningar.
Problemet är dessa konsulter haft fysiskt tillgång och därmed kan man inte heller säga att andra integrerande system inte har exponerats och/eller avbildats i en form eller annan.

"Ett system borde ju bara betraktas som säkert på riktigt om det är säkert även om en angripare vet alla detaljer om hur systemet är uppbyggt."

Precis, här har de haft fria tyglar och access-brickor till hela lokalen som, om jag kommer ihåg rätt, klassas som skyddsobjekt.
Hittade en artikel utan betalvägg: https://www.dn.se/sverige/extern-konsult-byggde-om-srs-hemlig...
Edit: slänger in denna också: https://omni.se/ryska-ittekniker-arbetade-pa-sveriges-radio-u...

Precis det som det gör, sekundära platser där VMA relokeras i form av primärbyggnader som förstörts har röjts och lagrats utomlands exempelvis. Med den imormationen kan man alltså inte ens skicka ut gaslarm eller andra varningar överhuvudtaget till befolkningen längre.

Fullständigt jävla kaos och horribelt. Folks huvuden måste rulla.

Om du ställer dig den frågan kan du per omgående ta av dig hatten. Det här är EXTREMT dåligt. Om ett kreti och pleti-företag bara ska börsnoteras så får man genomgå rigoörsa säkerhetstester och dokumentering där man ofta tar hjälp av utomstående konsulter för att försäkra sig om att man både hade har rutiner, förbättrar dessa och konternuerligt följer upp dessa.

Att någon helt utomstående har fått komma längst in på ett ställe som SR är anmärkningsvärt för att grovt bagatellisera det. Anna sitter dessutom och gissar då hon inte kan ha en aning om hur säkert det här systemet är då det inte ens testats säkerhetsmässigt, eller om dokumentationen som funnits aldrig lämnat molntjänsten.

Nivån på hur detta har skötts ligger på något du hade förväntat dig av ett mindre företag som sysslar med internetsladdar i hårddisken som skyddas av hemliga kommandorörelser.

I händelse av krig kan VMA utebli helt eftersom någon har kapat eller stört ut systemet. Samma skulle kunna ske med en stor markbrand där folk inte evakuerar i tid för att VMA uteblev. Allt som är kopplat till rikets säkerhet är av högsta prioritet och är det något som säkerhetspolisen borde ta tag i är det hur hela den här soppan lyckades upphandlas helt utanför någons kontroll och vem som har godkänt det hela.

Notera att detta är också konsulter från stater där påverkansoperationer mot Sverige har pågått sedan decennier tillbaka. Så uttalanden från SRs ansvarige i stil med "det behövdes ingen säkerhetsprövning" är inte deras sak att avgöra, det är SÄPO som avgör vid anmälan och registerkontrollen. Därav mitt uttalande om den totala likgiltigheten inför deras ansvarsområde och uppdragets avgränsning.

Verkar som att vi kommenterar olika saker. Sweclockers-artikeln handlade primärt om att dokumentation och källkod för ett tekniskt system läckt ut. Det var också det jag kommenterade över. Visst är det allvarligt om den typen dokumentation läcker, men om säkerheten äventyras på grund av att den dokumentation läcker så var det inte mycket till säkerhet till att börja med. Det var det som var hela min poäng.

Det finns en annan artikel i serien angående konsulter som fått fria tyglar att jobba med SR:s skyddade produktionsplats, och på det sättet haft möjlighet att göra nästan vad som helst. Det är betydligt mer allvarligt, och också det som du och @Opatagio primärt kommenterar. Att flytta en lokal och bygga upp en ny gör man inte i en handvändning.

Men det är två olika nyheter, dock en del av samma artikelserie från DN. Får skylla på att det är lite luddigt om den här artikeln handlar specifikt om den potentiella läckan av dokumentation och kod, eller om SR:s rutiner i allmänhet. Rubriken säger en sak, artikeln i sig en annan.

Skamligt skött att bara släppa in utan säkerhetsgranskning av konsulter och bolag. Kan vi inte bara ta våra försvarsplaner och skeppa över till högstbjudande främmande makt när vi ändå håller på?`

Ibland undrar man vad det är för tomtar som får vara med vid beslutstagandet för detta är inte okej! 😡

Kontentan, enligt SR, är alltså att DN hittat en kråkfjäder och bygger ett helt hönshus av den.

Nej så funkar det inte. Myndigheter gör egna bedömningar av vilka områden, dokument och system osv i ens verksamhet som ska omfattas eller inte omfattas av säkerhetsskydd. Det finns lagar kring hur en sån bedömning ska göras. Därefter kommer frågor kring ev. säkerhetsprövning av personal. I en sådan prövning kan SÄPO sedan säga bu eller bä.

VD'n är ju också i "lite" blåsväder då hon sa att de kommer rapportera neutralt i händelse av krig i landet och inte vara del av försvaret som riksdagens uppdrag till dem är.

https://cornucopia.se/2022/07/cilla-benko-vi-kommer-inte-ga-m...

Kommer behövas en rejälstädning inom SR är en sak om säkert, just nu är de enbart en stor säkerhetsrisk för landet.

Påminner rätt så mycket om skandalen när vi gav Ryssland all vår info om säkerhetsklassat folk, bärigheten på broar osv via Serbien för ett par år sedan. Var väl via transportstyrelsen i det fallet? Inte några lärdomar som drogs där verkar det som.

Hela SR behöver göras om i grunden känner jag. Eller kanske helt enkelt läggas ned, och SVT får ta över de viktiga delarna/sändningarna.

Allt från detta till att folk sitter och ljuger ihop vad personer sagt enligt egen agenda i översättningar, utan någon kontroll. Sjukt dysfuntionellt. Dagis.

Kontentan skulle jag säga är att stackars Anna som vad jag minns är rätt nytillträdd kanske inte skulle gått ut och uttalat sig tvärsäkert om något som skedde långt innan hon kom dit, eller att komma med förtäckta hot om SÄPO mot granskande journalistik, något de själva ägnar sig en hel del åt.

Jag tror hon är extremt pressad och stressad men jag hade varit väldigt försiktig med att uttala mig på det sättet hon gjort även om hon givetvis vill bagatellisera det hela för att det inte ska verka som ett område hon själv är ansvarig för har begått grova misstag.

Där ligger problemet - det kommer inte hända någonting och ansvariga kommer att få fortsätta i vilket fall. Public service i det här landet är ett dyrt skämt där vi verkligen inte får vad vi betalar för.

Refererar du till någonting i DNs artiklar? De ligger bakom en betalvägg så det blir lite svårt för oss som inte prenumererar att läsa dem (någon får hemskt gärna saxa in texterna). Svaret på SRs hemsida känns tämligen tydligt, rutiner klargörs och ett flertal felaktigheter i DNs artiklar korrigeras. Det är lite syrligt men knappast pressat eller stressat.

Och ingen kommer få ta ansvar/konsekvenser. Som vanligt inom Public service.

Här handlar det ju om att ord står mot ord. Jag vet inte. DN är en skittidning som ofta ägnar sig åt click bait och sensationsjoufnalistik men de kan ju vara något på spåren här. Som sagt jag vet inte. Men det lär väl uppdagas vad det lider.