Gigantyczny skandal w Szwecji – tajne rządowe bazy przekazane do „chmury”
Szwedzki rząd miał problem z obsługą IT kluczowych systemów – w związku z potrzebą obniżenia kosztów postanowił zwolnić pracowników a obsługę baz danych przekazać zewnętrznej firmie z innego kraju. I teraz ma setki problemów…
Już od ładnych paru lat podstawowym rozwiązaniem problemów związanych z wysokim kosztem utrzymania systemów IT dla wielu managerów są słowa – klucze takie jak outsourcing i chmura. Niestety nie zawsze decyzja o oddaniu kontroli nad systemami stronie trzeciej okazuje się być dobrym pomysłem, o czym boleśnie przekonała się szefowa szwedzkiej Agencji Transportu, a krótko potem wszyscy Szwedzi, których dane znajdowały się w tajnych rządowych bazach.
Presja czasu
W styczniu tego roku z pracą – w trybie nagłym – pożegnała się szefowa szwedzkiej Agencji Transportu, prowadzącej rejestr wszystkich pojazdów w Szwecji i ich właścicieli. Niedawno została także ukarana grzywną w wysokości kilkudziesięciu tysięcy PLN (mniej niż jej miesięczna pensja) za niedbalstwo związane z ochroną tajnych informacji. To naprowadziło dziennikarzy szwedzkich mediów na trop chyba jeden z najciekawszych afer w obszarze outsourcingu i przekazywania poufnych danych do innych krajów.
Agencja Transportu miała problem – zbyt wysokie koszty obsługi posiadanych baz danych. Aby go rozwiązać, zaczęła zwalniać pracowników, jednocześnie w trybie pilnym szukając firmy, która mogła przejąć wsparcie systemów. Kontrakt wygrał IBM. Czas naglił, zatem ominięto zwyczajowe kontrole bezpieczeństwa i jeszcze w kwietniu 2015 dane przekazano do Czech, gdzie IBM ma swoje centrum usług. Dopiero po wielu miesiącach okazało się, że pracownicy IBMa nie przeszli niezbędnej weryfikacji przez szwedzkie służby, ponieważ nie było na to czasu. A o co całe zamieszanie? A o dane, które zostały przekazane…
Co trafiło do Czech
Baza szwedzkich pojazdów i ich właścicieli (wraz z ich zdjęciami) to kopalnia informacji. W skład przekazanych informacji weszła między innymi baza danych zawierająca pełny rejestr wszystkich osób skazanych oraz druga, przechowująca dane osób podejrzanych, które często nawet nie wiedzą, że są obiektem policyjnego śledztwa. To jednak nie wszystko, ponieważ w przekazanych bazach znajdowały się także takie informacje jak:
- spis obiektów infrastruktury drogowej, kolejowej i lotniczej w Szwecji,
- spis wszystkich szwedzkich pojazdów wojskowych,
- nazwiska i adresy szwedzkich pilotów wojskowych, którzy jednocześnie posiadają cywilne licencje lotnicze,
- dane osobowe osób objętych programem ochrony świadków,
- dane osobowe osób działających pod przybraną tożsamością w związku z pracą w służbach specjalnych.
Szwedzki samolot
Jakby tego było mało, to wsparcie sieci i firewalli przekazano w ręce serbskiej filii firmy NCR. Obsługiwała ona połączenia między bazami przekazanymi IBMowi a 34 rządowymi szwedzkimi agencjami, mającymi prawo z nich korzystać. Na szczęście ruch w tej sieci jest szyfrowany, zatem serbski kontrahent mógł jedynie obserwować liczbę pakietów i ich kierunek, nie mogąc zapoznawać się z ich zawartością.
To nie koniec historii
Nie był to niestety jedyny incydent związany z ochroną wyżej wymienionych danych. Dostęp do jawnej części bazy pojazdów mogą mieć wszystkie podmioty, które o to poproszą – firmy marketingowe często korzystają z tych danych, by spamować posiadaczy samochodów swoimi ofertami. W marcu tego roku jednak w bazie przekazanej zewnętrznym podmiotom znalazły się także dane z części niejawnej – w tym osób objętych programem ochrony świadków. Co zrobiła Agencja Transportu? W kolejnej wiadomości wysłała listę rekordów, które odbiorcy powinni ze swoich baz usunąć. Listę, zawierającą ponownie dane osobowe wszystkich świadków objętych programem ochrony. A lista wysłana została zwykłym emailem… Ministerstwo odpowiedzialne za Agencję Transportu oświadczyło, że trwają intensywne prace nad przywróceniem pełnej ochrony danych. Może uda się je sfinalizować jeszcze w tym roku.
Podobne wpisy
- Principal Program Manager, Microsoft Cloud for Industry w Microsoft, Michał Furmankiewicz, gościem RK o 21:00
- Jak złodzieje wykradali pieniądze graczy z serwisu bukmacherskiego efortuna.pl
- Nawet najlepszy administrator nie poradzi sobie bez odpowiednich narzędzi
- Bezpieczna podróż do chmury z McAfee MVISION Cloud
- IBM Cloud Pak 4 Integration – bezpieczne tworzenie integracji między rozproszonymi systemami
Czy to jeszcze jest panstwo?!?
A wy myslicie ze gdzie jest w tej chwili nasz jednolity plik kontrolny? W azure w Irlandii.
czy w Irlandii to nie wiem, ale że MSFT to przechowuje i przetwarza to wiem z wiarygodnego zrodla (devs erp odp. za JPK). I jakoś tak ostatnio amerykancki biznes zaczal mowic o inwestowaniu w PL. Majac pelny przeglad tego co sie u nas dzieje w duzych i srednich firmach (z danych zbieranych 12 i 6 miesiecy) mozna planowac „inwestycje” z minimalnym ryzykiem. ale kogo to u nas obchodzi.
Źródło lub dowód
JPK lezy na Azure tyle, że w wersji szyfrowanej więc przynajmniej na dzień dzisiejszy wiele z nim hindusi nie zrobią.
Pliki leżą na Azure tylko do czasu pobrania do centrum danych MF, które jest zlokalizowane w Polsce http://www.cpd.mf.gov.pl/aktualnosci
Azure jest użyty tylko do radzenia sobie ze skalą ruchu. Docelowo JPK będzie wysyłało kilka milionów podmiotów, przyjęcie takiego ruchu na klasę w ciągu mniej więcej doby to swego rodzaju wyzwanie. Użyto chmury że względu na koszty.
Słyszałem że w Sosnowcu a jak wiadomo Sosnowiec to kolonia karna
Plik JPK zaraz po przesłaniu do chmury jest weryfikowany. Aby to wykonać poprawnie musi zostać odszyfrowany. Proponuję zapoznać się z wywiadem z pracownikiem MS w tej sprawie – stwierdził on, że osoby mające dostęp do danych mają odpowiednie uprawnienia, certyfikaty i każdy dostęp jest rejestrowany. A więc dostęp jest i musi być.
Obsługi tak istotnych danych po prostu się nie outsource’uje. Szwedzi już o tym wiedzą. Polacy są mądrzy po szkodzie.
Drogi kolego, ani Ty, ani ja, ani nikt z MF nie wie jak to de facto wygląda po drugiej stronie. Zapewniam Cię, że w naprawdę dużej korporacji, osoba która negocjuje kontrakt również tego nie wie.
A może jednak w Radomiu? ;)
qqq to jak to sie ma do GIODO ? takie dane tylko na terytorium Państwa
Już same słowa „outsorcing”, „chmura” i „przekazywanie poufnych danych do innych krajów” budzą strach przy tak ważnych/wrażliwych danych jak dane osobowe, w tym dane wywiadowcze.
.
Taka wtopa świadczy o tym jak bardzo wygodnie, beztrosko i nieświadomie żyje się ludziom odpowiedzialnym za bezpieczeństwo wewnętrzne swojego państwa w Bogatej Europie. Europejczycy są takimi spasionymi tłustymi kocurami, leżącymi wygodnie na kanapie w błogim samozadowoleniu i poczuciu – fałszywego przecież! – bezpieczeństwa. Świadczy to o zatraceniu instynktu!
W tym samym czasie naradzają się lub są importowane niebezpieczne ekstremizmy, a głupki-Europejczycy nie widzą zagrożenia. I nie są to tylko bynajmniej uchodźcy o muzułmańskiej proweniencji, mam też na myśli skrajną prawicę (cała Europa, w tym Polska) i w mniejszym stopniu skrajną lewicę (Grecja, Włochy, Niemcy, Turcja).
.
W życiu, w życiu bym nie pozwolił aby ważne bazy danych wypłynęły poza obszar mojego państwa, a gdyby ktoś mi powiedział coś o chmurze, to bym go zwolnił dyscyplinarnie!
.
Żeby nie było że w Polsce jest lepiej, bo nie jest. U nas jest już prawdziwy hard core.
My nie musimy outsorcingować swoich ważnych dla bezpieczeństwa państwa baz danych, bo mamy w rządzie niebezpiecznego człowieka demolującego bezpieczeństwo RP: http://wyborcza.pl/1,75398,19364644,nocny-atak-macierewicza.html
O tym że udostępniano i kopiowano bazy danych SKW, zapewne wiecie ale przypominam: http://www.polityka.pl/tygodnikpolityka/kraj/1683912,1,tajne-akta-ministra-obrony-narodowej.read
O „liście/raporcie Macierewicza” już nawet się nie rozpisuję, bo to osobna sprawa za którą ten człowiek powinien dostać dożywocie – tak by było w normalnym kraju, ale nie w Polsce.
Polecam książkę Tomasz Piątka, to ważna pozycja dla zainteresowanych bezpieczeństwem naszego państwa: http://lubimyczytac.pl/ksiazka/4738714/macierewicz-i-jego-tajemnice
.
Bezpieczeństwo Polski już dawno jest rozłożone na łopatki. W porównaniu z poziomem z czasów PRLu, to jest teraz po prostu dramat! Cieszę się że AW trzyma ciągle poziom i nie dopuszcza oszołomstwa do siebie. W ABW jest już gorzej – to silnie upolityczniona służba. Jesienią mają się te służby połączyć w jedną i chyba zrobi się nieciekawie: http://wyborcza.pl/7,75398,21478761,najpierw-sady-potem-czystka-w-sluzbach-a-jesienia-wielka-operacja.html
Nie jesteś normalny.
Duży Pies napisał dość szorstko o otaczającej nas rzeczywistości. Bez wątpienia jest bliżej rzeczywistości, niż braku normalności którą mu zarzucasz.
Nie należy obrażać drugiej strony, jeśli zwyczajnie jej nie rozumiesz. To jest przejawem braku kultury i tolerancji zarazem.
Świetny wpis obrazujący walkę informacyjną / pchanie własnej agendy – to w komentarzu na mojej ulubionej stronie ^^
Z przyjemnością rozjadę walcem:
'W tym samym czasie naradzają się lub są importowane niebezpieczne ekstremizmy, a głupki-Europejczycy nie widzą zagrożenia. I nie są to tylko bynajmniej uchodźcy o muzułmańskiej proweniencji, mam też na myśli skrajną prawicę (cała Europa, w tym Polska) i w mniejszym stopniu skrajną lewicę (Grecja, Włochy, Niemcy, Turcja).’
Raport Europolu tego nie potwierdza:
http://www.tvn24.pl/wiadomosci-z-kraju,3/zagrozenie-terrorystyczne-w-europie-raport-europolu,752307.html
„Z zestawienia Europejskiego Urzędu Policji wynika, że 99 zamachów dopuścili się różnego rodzaju separatyści, 27 – organizacje skrajnie lewicowe, 1 – skrajna prawica, w dwóch – nieustaleni sprawcy. Trzynastu zaś zamachów dopuścili się dżihadyści.”
Patrząc na własne podwórko mieliśmy licząc te bardziej medialne wydarzenia:
– Brunona K. z którym do końca nie wiadomo o co chodzi…
– bomber z Wrocławia – motyw tak sobie opisany albo kasa albo inspiracja dżihadystami
– anarchiści i bomba w Warszawie – atak na Policję jako przedstawicieli władzy
Dodajmy do tego atak atak na biuro poselskie PiS w Łodzi, które jest jedynym chyba tak tragicznym wydarzeniem inspirowanym z pobudek politycznych w ostatnich latach w Polsce
https://pl.wikipedia.org/wiki/Atak_na_biuro_poselskie_PiS_w_%C5%81odzi
A co do stwierdzenia „w mniejszym stopniu skrajną lewicę” to odsyłam do ostatnich występów lewicy w Hamburgu podczas szczytu G20.
'W życiu, w życiu bym nie pozwolił aby ważne bazy danych wypłynęły poza obszar mojego państwa, a gdyby ktoś mi powiedział coś o chmurze, to bym go zwolnił dyscyplinarnie!’
Kolektywna obrona NATO działa między innymi dzięki wymianie w bezpieczny sposób tak wrażliwych informacji. Zdanie-wypełniacz mający się nijak do realnego problemu…
'Polecam książkę Tomasz Piątka, to ważna pozycja dla zainteresowanych bezpieczeństwem naszego państwa: http://lubimyczytac.pl/ksiazka/4738714/macierewicz-i-jego-tajemnice’
Z jednej strony nazywasz obecnego Ministra Obrony niebezpiecznym człowiekiem zarzucając mu bardzo poważne czyny (piszesz: dożywocie), a z drugiej polecasz książkę kogoś o kim powszechnie wiadomo, że jest uzależniony od narkotyków (heroina). Wiarygodność do sześcianu.
'Bezpieczeństwo Polski już dawno jest rozłożone na łopatki. W porównaniu z poziomem z czasów PRLu, to jest teraz po prostu dramat!’
Faktycznie jednostki światowego mocarstwa USA stacjonujące na Polskiej ziemi, należenie do NATO (sojuszu obronnego) jest na bank mniej bezpieczną sytuacją niż za PRLu gdzie cały nasz system bezpieczeństwa / wywiadu był podporządkowany sowietom planującym agresję na zachód, a odpowiedzią zachodu miało być przeoranie Polski atakiem nuklearnym. To pozwolisz, ze ja wolę jednak teraźniejszy dramat, kiedy koszty takiego ataku ze strony tym razem Rosji są dużo większe…
Pozdrawiam całą ekipę z3s.pl ^^
„polecasz książkę kogoś o kim powszechnie wiadomo, że jest uzależniony od narkotyków (heroina). Wiarygodność do sześcianu.”
Tomasz Piątek jest wolny od narkotyków od paru lat. Nigdy tego nie ukrywał że brał w przeszłości narkotyki. PiSia horda lubi mu wypominać przeszłość i deprecjonować jego pracę jaką wykonał nad naświetleniem osoby naszego ministra obrony i jego powiązań. Jakby dawny nałóg Tomka miał jakiekolwiek znaczenie dla faktów opisanych w jego książce…
Zwyczajnie kłamiesz!
Reszty twoich rewelacji nie komentuję bo szkoda mi niedzieli na dalsze odpisywanie ci. Nie myśl sobie że mi brakuje argumentów, szkoda mi czasu na odpisywanie internetowym trollom i manipulantom, życie jest za krótkie.
Osobiście widziałem jak wygląda to uwolnienie. Posiedział, pogadał, a potem zanurzył się w kibelku na działę. Oh, naiwny, naiwny, naiwny.
„„Z zestawienia Europejskiego Urzędu Policji wynika, że 99 zamachów dopuścili się różnego rodzaju separatyści, 27 – organizacje skrajnie lewicowe, 1 – skrajna prawica, w dwóch – nieustaleni sprawcy. Trzynastu zaś zamachów dopuścili się dżihadyści.”
Porównujesz nieporównywalne. Za „atak terrorystyczny” Europol uznaje np. rzucenie butelką z benzyną w konsulat Turecki przez Kurdów w Niemczech. Co zdaje się stanowi większość z 99 przypadków…
jesteś jakimś totalnym ? Bez polityki nie możesz ?
Pies szczeka prawidłowo! Będzie mi Ciebie brakować jak już dopełnią reformę „służb” uwzględniając wszystkich po 1990 :).
Cieszy, że są jeszcze ludzie którzy trzeźwo patrzą na suche fakty zamiast zamiatać rzeczywistość pod dywan. Dzięki za komentarz.
Tomasz Piątek w swojej książce próbuje zdyskredytować Antka bazując w ok. 80% na linkach do stron WWW. Porównując jego „dzieło” do cyklu „Resortowych dzieci” ma się to naprawdę biednie i delikatnie mówiąc miernie. Przypisy w/w pozycji stanowią odnośniki do akt/artykułów itp. i bazują na dokumentach wytworzonych przez osoby znane z imienia i nazwiska, a nie jak w większości przypadków ksiązki p. Piątka pseudonimów. Poza tym jak zobaczyłem „diagram powiązań” to mnie z butów wyrwało. Ktoś to bierze na poważnie. Poza tym polecam, do zapoznania się wywiad z p. Piątkiem dostępny na youtubie, w którym próbuje w sposób idiotyczny i absurdalny wytłumaczyć słuchaczom/widzom dlaczego jest uzależniony itp. Zbyt długo siedzę w tym o czyn w/w Pan mówi być brać jego słowa na poważnie. Sam się facet pogrążą, a tym samym traci na wiarygodności. Na koniec mała prośba, że jeśli przytacza się jakieś książki, to niech będą to pewne i sprawdzone pozycje, a nie propagandowe dzieła. Pozdrawiam.
A i zapraszamy do eUrzędu prowadzonego przez twój Bank, do komunikacji poufnej z Administracją rządową i samorządową, o 500+ …
W Szwecji nazywa się to „Gigantyczny Skandal”, w Polsce „Urząd”.
W Szwecji nazywa to się „gigantyczny skandal” w Polsce „urząd”.
CaptainSweden.jpg
bo chyba już tylko tyle w temacie tego kraju zostaje…
A kto lepiej zabezpieczy? Globalna firma z wielkimi nakładami na bezpieczeństwo czy nasz pan Zenek, który stawia firewalle czy patchuje Windowsa albo Unixa?
Ale zabezpieczy przed kim? Przed domorosłymi hackerami, czy rządami innych państw, które te dane sobie po prostu wezmą?
Na pewno świetnie obronią się przed Anakatą i lepiej kryjącym się hakerom jego pokroju :)
Nie wiesz jak faktycznie wygląda ta „globalna firma” i ich cały client innovation center od środka. W PL również jest, we Wrocławiu i Katowicach. Proponuję się zatrudnić, najlepiej do działu Windows lub UNIX i zobaczyć na własne oczy.
Polski samolot Kaspiana Turdor. Pozdrawiam serdecznie Kaspiana!
You go girl. Sweden Yes!
Z jednej strony nawet sprzataczka musi przejsc weryfikacje aby uzyskac poziom dostepu do objektow w ktorych sprzata a z drugiej strony takie klocki.W szwecji panuje ogolny burdel tyle ze wszystko zamiata sie pod dywan.To jak puscic baka i usmeichac sie szeroko i robic glupie miny.A wzieli zewnetrza firme bo poziom ksztalcenia it jest na poziomie dna.Sa oczywiscie osoby ktore znaja sie na swojej robocie ale wiekszosci nie pozwolilbym nawet dotknac komputera.To samo jesli chodzi o procedury bezpieczenstwa.Sa miejsca gdzie te procedury dzialaja i nie sa to wcale rzadowe instytucje.To jak ruletka.Poziom wyksztalconych spada.Szkoly naciagaja wyniki.Ostatni przyklad gdzie rozpoczynajac studia jezykowe wyszlo na jaw ze osoby ktore powinny juz miec jakis poziom tego uczonego jezyka maja problemy z podstawami.
Polskie urzędy (dla jednego pracuję) przenoszą swoje poczty email do Exchange Online w MS w chmurze. Wg mnie to też strzał w kolano.
Admini Ostrzegali …PM-y Olali ? ;-)
Dane niekoniecznie opuściły teren Szwecji. W Czechach IBM ma do takich zadań jednostkę uslugowa (Client Innov Center), dzialajaca w Brnie, ale tam nie ma zadnego DC. Najprawdopodobniej wszystko odbywalo sie poprzez umowe outsourcingowa, której treść powinna być inf. Publiczna. Klient chyba wiedzial, co podpisuje, więc nie wiem, skad ten skandal.
Z tego, że dostęp uzyskały osoby które nie przeszły wymaganej procedurami weryfikacji. Klient złamał swoje własne procedury i to jest skandal, nie o to, że robił to IBM.
Ale czego się spodziewać po kraju, który według UE do 2030 będzie krajem trzeciego świata i będzie rywalizował z Somalią i Bangladeszem. Dla przypomnienia na początku lat 70 Szwecja była w pierwszej piątce najbogatszych krajów świata, za chwilę wypadnie z trzeciej dziesiątki.
No cóż, likwidujmy. Dojdziemy do stanu pana Kononowicza – aż nie będzie już nic…
A co sie dziwic – jesli Koszmarch mial beke z faktu, ze firma kopiaca doly na kable w obrebie siedziby NATO musi miec SC to o czym tu w ogole mowa? Taka swiadomosc przedstawia management firmy szczycacej sie dostarczaniem uslug dla centrum obliczeniowego obserwatorium Atakama i probujacej swoich sil w outsourcingu dla wspomnianego wyzej NATO. Idac tym torem dalej – na podobnym poziomie dziala Szajseko i cala reszta debilnych ustawek. Nie tylko w EU spasione towarzystwo drapie sie po tym co wystaje ze slipek. W PL – takim super preznym, takim WOW jest duuuuuuuuzo gorzej.
Ciekawe że Anakata też miał dostęp do wielu źródeł które są tu wymienione… Outsourcing strong!
A mnie zastanawia jeszcze jedna rzecz. Czemu Agencja Transportu opiekowała się tego typu bazami danych… ?
To tak jak u nas Ministerstwo Rybołówstwa zajmuje się Internetem (sieci ?)
„wsparcie sieci i firewalli przekazano w ręce serbskiej filii firmy NCR. Obsługiwała ona połączenia między bazami … . Na szczęście ruch w tej sieci jest szyfrowany, zatem serbski kontrahent mógł jedynie obserwować liczbę pakietów i ich kierunek, nie mogąc zapoznawać się z ich zawartością.”
Czy wobec możliwości stosowania np. Deep SSL Inspection i innych wynalazków ruch szyfrowany nadal jest bezpieczny? Poza tym zdaje się nie każde szyfrowanie jest wystarczająco bezpieczne (np. wersje SSL i siła szyfrowania). Kto kontroluje infrastrukturę, kontroluje dane. Czy to tylko nieuzasadnione obawy?
Inspekcja SSL opiera się na tym, ze kontrolujesz endpoint – zatem jeśli jesteś tylko MiTM to nie ma jak (nie licząc ataków różnych, które z reguły są już załatane). A tam poza tym używają raczej różnych VPNów pewnie a nie SSLa.
A ja myślę że tam też mają służby specjalne.Które potrafią zrobić deszyfrację .Nie robią jak nie mają co. Ale jak się trafi rodzynek to pewnie nie przepuszczą okazji.Takie firmy na pewno są pod kontrolą.A szyfrowanie dzisiaj to pojęcie względne.