Piratpartiets mötesplattform


< DöljPiratpartiets höstmöte 2013
Mötesklocka   
 
 
Ämnesverktyg Sök i det här ämnet Visningsalternativ

Mötet har avslagit motionen.

Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster

Avslöjandena om att utländska säkerhetstjänster har bakdörrar i internettjänster som ligger i deras länder gör att det finns idag ett starkt och omedelbart behov av att få vetskap vilka tjänster man kan lita på. Dels så behövs det för samhället då offentliga sektor behandlar känsliga personuppgifter om oss men även för oss svenskar då är det viktig att vi vet om hur våra data behandlas.




För offentliga sektorns så är det många mydigheter som outsourcar eller flytta sina tjänster till molnen och där sparar känsliga data. Det behövs att det finns någon som då kan kontrollera att dessa företag som levererar tjänsterna faktiskt följer sina avtal och inte skickar data vidare till utländska spiontjänster som kan använda det för att avslöja statshemligheter eller industrispionage.


Nyligen avslöjades att USA hållt på med industrispionage mot Brasilien och frågan är om de inte gjort det mot många andra länder. Kina och USA har båda avslöjats hålla på med rent spioneri och nu tänker även England satsa på detta.



Olika data är olika känsliga så därför behövs olika höga grader av säkerhetsklassning. Allt ifrån hemliga militära data till känsliga personuppgifter som sjukhusjournaler, vanliga personuppgifter och allmänna data som får spridas fritt. Säkerhetsklassning i flera nivåerna behövs.


För att säkerställa att inte varje offentlig myndighet måste göra en egen säkerhetsbedömning av varje säkerhetstjänst och med kravet att spara data på ett säkert sätt så finns behov av en samordning av säkerhetsundersökningar av molntjänster och andra webbtjänster. Kostnaden att gå igenom en tjänst och garantera att den verklighen uppfyller kraven är kostsam och det blir inte billigare bättre om 100 olika kommuner tvingas göra 100 oberoende kontroller av exakt samma tjänst.


Datainspektionen (DI) eller annan myndighet bör få i uppgift att ta fram ett system för kunna säkerhetsklasa och att säkerhetsklassa molntjänster och andra onlinetjänster som säljer sina produkter till svenska offentliga sektorn. Offentlig sektor kan då kräva säkerhetsklassning vid offentliga upphandlingar av tjänster. Företag som vill bli klassade för att kunna sälja tjänster kan då begära att bli säkerhetsklassade av myndigheten. Inom offentliga sektorn skall det då krävas att de säkerhetsklassar sina tjänster och de data de behandlar så de uppfyller lagens mål.




Jag yrkar att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.




Anders S Lindbäck


Motionerat av:
Användarnamn på mötet:AndersLindbäck

Så funkar det!

Här finns lite information om hur det fungerar och vid sidan av och nedanför presenteras motionen och alla ursprungliga yrkanden, tilläggsyrkanden och motyrkanden som lagts på den.

Ursprungligt yrkande

Detta är de yrkanden som skickats in tillsammans med motionen. Exempel: Yrkande A -- Alla mötesdeltagare ska bjudas på något att äta..

Tilläggsyrkande

Detta är yrkanden som under mötets gång läggs som tillägg till motionen, utöver dess ursprungliga yrkande. Denna typ av yrkanden kan, om de bifalls, genomföras samtidigt som andra bifallna yrkanden. Exempel: Yrkande B -- Att alla mötesdeltagare ska även bjudas på något att dricka. Exempel Yrkande C -- Att alla mötesdeltagare ska erbjudas val mellan Pepsi och Coca-Cola.

Motyrkande

Detta är yrkanden som under mötets gång läggs för att ändra på ett ursprungligt yrkande eller tilläggsyrkande. Det går också att lägga motyrkande på ett annat motyrkande. Denna typ av yrkanden, kan om de bifalls, ersätta det yrkade de lagts emot. En antingen/eller situation. Man röstar om motyrkanden separat och yrkandet och motyrkandet ställs mot varandra, och "vinnaren" går vidare. Exempel: Yrkande D (mot yrkande A) -- Att mötespresidiet ska samla in en mat- och dryck-avgift för det som äts och dricks av alla mötesdeltagare under möten som motsvarar den verkliga kostnaden.

Motivering till yrkanden

Den som lägger ett yrkande kan välja att motivera detta. För att se motiveringen för ett yrkande klickar du på den blå informationsknappen under yrkandet. Endast yrkanden som har motiverats kommer att ha en sådan knapp.

Dra tillbaka yrkande

Du kan dra tillbaka ett yrkande som du själv har lagt klicka på den lilla knappen 'Dra tillbaka yrkande', som syns under ditt yrkande. När du dragit tillbaka ditt yrkande kommer det att fällas ihop, och tydligt visa att det är tillbakadraget.

Lyfta yrkande

Ett tillbakadraget yrkande tas inte upp i omröstningarna, därför finns möjligheten att lyfta ett tillbakadraget yrkande för den som skulle vilja rösta om ett yrkande som dragits tillbaka. För att lyfta ett yrkande måste du först klicka på det, så det fälls ut och du kan läsa själva yrkandetexten. Under den texten finns en knapp för att lyfta yrkandet. Genom att klicka på den knappen lyfter du yrkandet, samtidigt som du tar över ägandet av yrkandet. Dvs yrkandet kommer hädanefter att presenteras som lagt av dig, och du kommer också vara den som kan dra tillbaka eller jämka yrkandet.

Jämka dig

Om du tycker att någon annan lagt ett bättre yrkande än ditt eget och du vill stödja det yrkandet istället kan du jämka dig med det. Du kan jämka dig med yrkanden som ligger inom samma gruppering som ditt yrkande, och en knapp som säger 'Jämka dig med' kommer att synas vid varje sådant yrkande. När du klickar på den knappen kommer ditt eget yrkande att dras tillbaka och en notering visas om att det jämkats, samt vilket yrkande det jämkats med. Har du lagt flera yrkanden inom samma gruppering kommer du att tillfrågas vilket av dem du vill jämka bort.

Huvudinlägg

I denna ruta har du möjlighet att visa ditt huvudinlägg. Detta är det debattinlägg som du vill lyfta upp extra mycket i denna motions/propositions diskusison. Du kan själv byta och skriva ett nytt huvudinlägg, men glöm inte att dina nuvarande gillande i så fall försvinner.

Gilla/ogilla yrkanden

Du kan gilla och ogilla yrkanden, det innebär att ditt användarnamn kommer att synas i en lista som visas när man vilar med pekaren ovanpå en ikon ovanför yrkandet. Du kan även sluta gilla och sluta ogilla ett yrkande. Vad du kan göra syns i form av olika ikoner och texter, du kan bara sluta gilla om du tidigare gillat ett yrkande tex. Du kan även när du gillar eller ogillar, motivera dig om du vill. Om du inte vill motivera dig, klicka på avbryt så registeras ditt gillande eller ogillande utan motivering.

Gilla inlägg i diskussionen

Du kan visa att du gillar ett diskussionsinlägg genom att klicka på knappen längst till höger i raden av knappar längst ner i inlägget. När du klickar på den får du upp en ruta som ber dig bekräfta att du vill gilla inlägget. Efter att du tryckt ok kommer ditt namn att dyka upp i en ruta längst ner i inlägget, tillsammans med namnet på alla andra som också gillar samma inlägg. Är du den första som gillar inlägget skapas rutan då. Observera att det bara går att gilla inlägg skrivna av andra än dig själv.

Hur vi röstar

Röstningen görs i flera omgångar för att vaska fram de alternativ som flest möjliga kan känna sig nöjda med och så att man kan sålla fram vilket av flera likartade förslag som har mest stöd. I tidsplanen är planerat 3-4 röstningsomgångar under mötets sista två veckor.




Mötet har avslagit motionen.



Yrkanden

Tillbakadraget yrkande B20-Y01 (Bortröstad)
Av: AndersLindbäck


Mötet har avslagit motionen.

Huvudinlägg

Nedan visas de huvudlinlägg som är gjorda på motionen. Varje mötesdeltagare får göra ett (1) huvudinlägg per motion/proposition. De sorteras efter hur många gånger varje inlägg har blivit gillat av andra mötesdeltagare. Du kan själv byta och skriva ett nytt huvudinlägg, men glöm inte att dina nuvarande gillande i så fall försvinner.
Skapa huvudinlägg
  (#2) Gammal
Grim Schjetne Inte uppkopplad
 
Inlägg: 1
Reg.datum: Nov 2013

Länk: #290140
Standard Re: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster - 2013-11-04, 11:38

Man kan inte klassa mjukvara i form av tjänst (i marknadsförningsmaterial kallat molntjänster) som säkert, då tjänsteleverantören är fri att när som helst, utan att meddela användaren, ändra utförandet eller ge obehöriga insyn i datan.

Lösningen på problemet ligger i fri programvara, där myndigheten själv får kontroll över mjukvaran, kör den på sin egen hårdvara och själv ansvarar för att den används på ett försvarligt sätt. Känslig mjukvara, t.ex. kryptografisk sådan, måste även granskas noga och offentligt, något som är lämpligt att delegera till universitetens forskningsgrupper inom IT-säkerhet.
   

Övriga kommentarer och motionshistorik

Nedan visas alla inlägg som inte är huvudinlägg tillsammans med historik för motionen/propositionen.


Henrik Brändéns avatar
2013-10-07, 22:03 #3
Inte uppkopplad
Sv: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster -
Vi beslöt på höstmötet 2011 behandla sakpolitik så att medlemsmötet antar ställningstaganden, som sedan ställs samman i en lista, och används av styrelsen för att skriva sakpolitiska program. De ställningstaganden som tagits under de senaste tre mötena har alla skett genom yrkanden på formen

att
medlemsmötet antar ställningstagandet: "Staten ska ge datainspektionen eller annan myndighet i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster."

Så länge yrkanden ser ut på det sättet blir det tydligt exakt vilken text som ska föras in i listan över ställningstaganden, och den som upprättar listan behöver inte göra några egna tolkningar av saken. Jag skulle därför vädja till motionären att justera sitt yrkande till den formen.
Rasmus Haglunds avatar
2013-10-08, 19:24 #4
Inte uppkopplad
Jag ogillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Jag kan inte se hur detta ska gå till rent tekniskt.
Om datainspektionen ska säkerhetsklassa en molntjänst, hur skulle processen kunna se ut? Hur ska datainspektionen veta om molntjänsten i hemlighet samarbetar med någon annan, t ex ett annat land?
Hur ska datainspektionen kunna veta om en programmerare lagt in en bakdörr för att en myndighet i ett annat land ska kunna få tillgång till all information?

Jag tror att säkerhetsklassningen skulle fungera som ett falskt löfte om att en tjänst är säker.

Jag gillar tanken, men jag behöver hjälp att förstå hur det skulle kunna fungera innan jag gillar motionen.
AndersLindbäcks avatar
2013-10-08, 20:29 #5
Inte uppkopplad
Re: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster -
Citat:
Ursprungligen postat av Rasmus Haglund Visa inlägg
Jag ogillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Jag kan inte se hur detta ska gå till rent tekniskt.
Om datainspektionen ska säkerhetsklassa en molntjänst, hur skulle processen kunna se ut? Hur ska datainspektionen veta om molntjänsten i hemlighet samarbetar med någon annan, t ex ett annat land?
Hur ska datainspektionen kunna veta om en programmerare lagt in en bakdörr för att en myndighet i ett annat land ska kunna få tillgång till all information?

Jag tror att säkerhetsklassningen skulle fungera som ett falskt löfte om att en tjänst är säker.

Jag gillar tanken, men jag behöver hjälp att förstå hur det skulle kunna fungera innan jag gillar motionen.
Den kommer göra den på samma sätt som idag. Dvs de undersökningar som de gör gällande att offentliga sektorn uppfyller PUL. För du vet väl redan idag exakt hur detta går till ?

Eller kanske det bara magiskt fungerar utan att du behöver känna till det ? Jag är ingen expert på detta men jag vet att det sker och överlåter åt andra att grubbla på detaljerna för att se till att det görs helt korrekt.

De typer av problem du tar upp är sådant som kommer påverka säkerhetsklassningen. T.ex. så tror jag då inte att moln i USA kommer
ha minst chans att få hög säkerhetsklass pga alla de lagar om att NSA
har rätt att läsa alla data.

Företag som då inte uppfyller sin säkerhetsklassning och då ljuger vid offentlig upphandling kan man då självklart ge stora bötesbelopp till som säkerhetsklausuler i upphandlingen.
JorgenLs avatar
2013-10-11, 21:24 #6
Inte uppkopplad
Jag ogillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Den säkerhetsklassningen kan jag göra här och nu, det behövs knappast ett speciellt uppdrag.

"Molntjänster är osäkra och det går inte att lita på att vare sig att data inte kommer på drift eller att man kommer att kunna komma åt sin data när man behöver den"

Så, klart...

Man allvarligt talat, en klassning av molntjänster är mera en fråga om att utvärdera leverantörer, inte tjänster, eftersom själva konceptet innebär att köparen inte ska bry sig om vilken teknisk lösning som används i molnet, och det är ett sisyfosarbete att göra detta på ett generell plan utan att göra det utifrån ett specifikt behov.

Detta görs lämpligen i en normal analys inför en upphandling där man granskar baserat på en specifik användning, och behöver offentlig sektor hjälp med detta så är det isåfall sannolikt effektivare att förstärka tex statskontoret med expertis på området för den statliga sidan för att stödja statliga myndigheter i analys inför upphandlig. På den kommunala sidan borde kanske snarare Sveriges Kommuner och Landsting ha motsvarande stödfunktion.

Jag tror helt enkelt inte på iden att det går att göra en generell säkerhetsklassning i motionens mening, det finns för många tjänster, de förändras hela tiden, och en klassning måste ta hänsyn till hur man avser att använda tjänsten.


Följande medlemmar gillar debattinlägget:
jenny.s
2013-10-12, 16:23 #7
Inte uppkopplad
Sv: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster -
Anser inte att det är datainspektionensuppgift att klassa eller utveckla system.
Använder inte de flesta iphååne?
är inte då icloud amerikanskt och går under deras lagstiftning?

varför ska svenska skattepengar gå till detta?
yrkar avslag
2013-10-13, 08:31 #8
Inte uppkopplad
Jag ogillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Ogillar yrkandet i sin nuvarande form.

DI är inte moget för att skapa en genell säkerhetsklassning som ska användas av andra myndigheter eller företag.

Det är visserligen väldigt viktigt att vara säker på hur information används. Som motförslag bör vi kräva att molntjänster INTE får användas av myndigheter som hanterar känslig information. Exempelvis använder både DI, FK och andra Google Analytics eller liknande för att spåra sina användare - även på deras säkra sidor.
JorgenLs avatar
2013-10-14, 01:32 #9
Inte uppkopplad
Sv: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster -
Citat:
Ursprungligen postat av Peter Johansson Visa inlägg
Anser inte att det är datainspektionensuppgift att klassa eller utveckla system.
Använder inte de flesta iphååne?
är inte då icloud amerikanskt och går under deras lagstiftning?

varför ska svenska skattepengar gå till detta?
yrkar avslag
Peter, jag skulle gissa på att förslagsställaren mera menar förvaltningssystem, personalsystem, inköpssystem etc. som ligger i molnet, inte iCloud...
Mattias Lennartssons avatar
2013-10-16, 13:13 #10
Inte uppkopplad
Jag gillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Det är är en mycket bra idé. Man kan exempelvis ställa krav på att leverantören inte har tillgång till klartext. Det är fullt möjligt redan idag. Det går också att ställa krav på att lagring sker i Sverige och följer svensk lag (PUL).

Datainspektionein är en passande myndighet för detta. Jag har pratat långa samtal med deras datasäkerhetsexperter som gång på gång upprepat att de inte får rekommendera olika lösningar. De vet vad som är bra, men får bara granska redan existerande installationer för att se om lagen efterlevs i ett specifikt fall. Skulle de få rekommendera leverantörer skulle detta skapa en efterfrågan för säkrare lösningar där andra underrättelsetjänster ej har insyn.

Som det är idag måste man lite på leverantörens ord, ingen myndighet ser över hur uppgifter hanteras i praktiken.


Följande medlemmar gillar debattinlägget:
AndersLindbäck
Mattias Lennartssons avatar
2013-10-16, 13:18 #11
Inte uppkopplad
Sv: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster -
Citat:
Ursprungligen postat av Rasmus Haglund Visa inlägg
Jag ogillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Jag kan inte se hur detta ska gå till rent tekniskt.
Om datainspektionen ska säkerhetsklassa en molntjänst, hur skulle processen kunna se ut? Hur ska datainspektionen veta om molntjänsten i hemlighet samarbetar med någon annan, t ex ett annat land?
Hur ska datainspektionen kunna veta om en programmerare lagt in en bakdörr för att en myndighet i ett annat land ska kunna få tillgång till all information?

Jag tror att säkerhetsklassningen skulle fungera som ett falskt löfte om att en tjänst är säker.

Jag gillar tanken, men jag behöver hjälp att förstå hur det skulle kunna fungera innan jag gillar motionen.

Naturligtvis finns gränser för hur mycket granskning som kan göras. Det går inte att säkerställa till 100% att det inte finns bakdörrar eller samarbeten, men jämför det men dagens situation då du enbart har tillgång till leverantörens löften och officiella beskrivning.
TeirdeZs avatar
2013-10-17, 21:07 #12
Inte uppkopplad
Jag ogillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Det är inte framför allt Datainspektionen som behöver bättre befogenheter att hantera den här typen av frågor. Vi behöver en europeisk industripolitik och ett tydligt industriellt ledarskap.

Vi har faktiskt redan världsledande forskning och innovation på området säkra, privatlivsskyddande system i EU - problemet är att våra regeringar, landsting, osv inte satsar på upphandling i området. Vi skapar heller ingen lagstiftning som tillåter den privata sektorn att göra sådana satsningar i någon större utsträckning.

Svensk e-förvaltning är ett utmärkt exempel på hur dumskallarnas tyranni kan motverka kanske 10-15 års storskaliga satsningar på privatlivsskyddande, säkra system.
Kristofer Petterssons avatar
2013-10-18, 11:35 #13
Inte uppkopplad
Jag gillar yrkande B20-Y01:
att att Piratpartiet driver frågan att staten ger t.ex. datainspektionen i uppgift att ta fram system för att säkerhetsklassa onlinetjänster och datorprogram och att föra ett register över vilka som då är säkerhetsklassade med målet att förenkla den offentliga sektorns upphandling av IT-tjänster.
Jag gillar verkligen statligt subventionerade system för kvalitetsmärkning som instrument för att öka marknadskvalitén!
AndersLindbäcks avatar
2013-11-04, 14:46 #14
Inte uppkopplad
Sv: Re: Motion B20: Sakpolitik: IT-säkerhet: System för säkerhetsklassning av molntjänster -
Citat:
Ursprungligen postat av Grim Schjetne Visa inlägg
Man kan inte klassa mjukvara i form av tjänst (i marknadsförningsmaterial kallat molntjänster) som säkert, då tjänsteleverantören är fri att när som helst, utan att meddela användaren, ändra utförandet eller ge obehöriga insyn i datan.

Lösningen på problemet ligger i fri programvara, där myndigheten själv får kontroll över mjukvaran, kör den på sin egen hårdvara och själv ansvarar för att den används på ett försvarligt sätt. Känslig mjukvara, t.ex. kryptografisk sådan, måste även granskas noga och offentligt, något som är lämpligt att delegera till universitetens forskningsgrupper inom IT-säkerhet.
Självklart kan man klassa molntjänster. En klassificiering som "helt osäker förvara inga data" här är även det en säkerhetsklassifiering.

Min förhoppning är då självklart att man genom denna säkerhetsklassifiering skall få myndigheter att förstå att de flesta molntjänster är helt osäkra och därmed inte bör användas och då köra egna moln.

En säker molntjänst vore då en som t.ex. en statlig myndighet drev åt andra mindre myndigheter, som då inte har varken det tekniska kunnande eller orken att själv sätta upp egna server.

Fö så är många molntjänster idag gjorda med öppen källkod. Även Microsoft använder det till en rejäl del av sina molntjänster då Linux kommit att bli defacto standard för molnet. När det gäller myndigherna själva och att driva sin verksamhet med öppen källkod så har redan PP tagit ställningstagandet att all verksamhet skall byta till det till år 2025 så det behöver inte sägas på fler ställen.
 
Ämnesverktyg Sök i det här ämnet
Sök i det här ämnet:

Avancerad sökning
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
vBulletin Skin developed by: vBStyles.com