Gigantyczny skandal w Szwecji – tajne rządowe bazy przekazane do „chmury”

dodał 22 lipca 2017 o 23:43 w kategorii Prywatność, Wpadki  z tagami:
Gigantyczny skandal w Szwecji – tajne rządowe bazy przekazane do „chmury”

Szwedzki rząd miał problem z obsługą IT kluczowych systemów – w związku z potrzebą obniżenia kosztów postanowił zwolnić pracowników a obsługę baz danych przekazać zewnętrznej firmie z innego kraju. I teraz ma setki problemów…

Już od ładnych paru lat podstawowym rozwiązaniem problemów związanych z wysokim kosztem utrzymania systemów IT dla wielu managerów są słowa – klucze takie jak outsourcing i chmura. Niestety nie zawsze decyzja o oddaniu kontroli nad systemami stronie trzeciej okazuje się być dobrym pomysłem, o czym boleśnie przekonała się szefowa  szwedzkiej Agencji Transportu, a krótko potem wszyscy Szwedzi, których dane znajdowały się w tajnych rządowych bazach.

Presja czasu

W styczniu tego roku z pracą – w trybie nagłym – pożegnała się szefowa szwedzkiej Agencji Transportu, prowadzącej rejestr wszystkich pojazdów w Szwecji i ich właścicieli. Niedawno została także ukarana grzywną w wysokości kilkudziesięciu tysięcy PLN (mniej niż jej miesięczna pensja) za niedbalstwo związane z ochroną tajnych informacji. To naprowadziło dziennikarzy szwedzkich mediów na trop chyba jeden z najciekawszych afer w obszarze outsourcingu i przekazywania poufnych danych do innych krajów.

Agencja Transportu miała problem – zbyt wysokie koszty obsługi posiadanych baz danych. Aby go rozwiązać, zaczęła zwalniać pracowników, jednocześnie w trybie pilnym szukając firmy, która mogła przejąć wsparcie systemów. Kontrakt wygrał IBM. Czas naglił, zatem ominięto zwyczajowe kontrole bezpieczeństwa i jeszcze w kwietniu 2015 dane przekazano do Czech, gdzie IBM ma swoje centrum usług. Dopiero po wielu miesiącach okazało się, że pracownicy IBMa nie przeszli niezbędnej weryfikacji przez szwedzkie służby, ponieważ nie było na to czasu. A o co całe zamieszanie? A o dane, które zostały przekazane…

Co trafiło do Czech

Baza szwedzkich pojazdów i ich właścicieli (wraz z ich zdjęciami) to kopalnia informacji. W skład przekazanych informacji weszła między innymi baza danych zawierająca pełny rejestr wszystkich osób skazanych oraz druga, przechowująca dane osób podejrzanych, które często nawet nie wiedzą, że są obiektem policyjnego śledztwa. To jednak nie wszystko, ponieważ w przekazanych bazach znajdowały się także takie informacje jak:

  • spis obiektów infrastruktury drogowej, kolejowej i lotniczej w Szwecji,
  • spis wszystkich szwedzkich pojazdów wojskowych,
  • nazwiska i adresy szwedzkich pilotów wojskowych, którzy jednocześnie posiadają cywilne licencje lotnicze,
  • dane osobowe osób objętych programem ochrony świadków,
  • dane osobowe osób działających pod przybraną tożsamością w związku z pracą w służbach specjalnych.

Szwedzki samolot

Jakby tego było mało, to wsparcie sieci i firewalli przekazano w ręce serbskiej filii firmy NCR. Obsługiwała ona połączenia między bazami przekazanymi IBMowi a 34 rządowymi szwedzkimi agencjami, mającymi prawo z nich korzystać. Na szczęście ruch w tej sieci jest szyfrowany, zatem serbski kontrahent mógł jedynie obserwować liczbę pakietów i ich kierunek, nie mogąc zapoznawać się z ich zawartością.

To nie koniec historii

Nie był to niestety jedyny incydent związany z ochroną wyżej wymienionych danych. Dostęp do jawnej części bazy pojazdów mogą mieć wszystkie podmioty, które o to poproszą – firmy marketingowe często korzystają z tych danych, by spamować posiadaczy samochodów swoimi ofertami. W marcu tego roku jednak w bazie przekazanej zewnętrznym podmiotom znalazły się także dane z części niejawnej – w tym osób objętych programem ochrony świadków. Co zrobiła Agencja Transportu? W kolejnej wiadomości wysłała listę rekordów, które odbiorcy powinni ze swoich baz usunąć. Listę, zawierającą ponownie dane osobowe wszystkich świadków objętych programem ochrony. A lista wysłana została zwykłym emailem… Ministerstwo odpowiedzialne za Agencję Transportu oświadczyło, że trwają intensywne prace nad przywróceniem pełnej ochrony danych. Może uda się je sfinalizować jeszcze w tym roku.