onsdag 10 juli 2013

Bradley Mannings rättegång (Wikileaks)

Bradley Manning hade inte bara tillgång till hemligstämplad information utan även tillräckliga rättigheter på sin egen dator att installera program (framgår dock inte om programmet krävde installation eller var en s k "portable"). Så, efter 250 timmars (?) nedladdning hade han laddat ner 250 000 dokument och åtalas för att ha läckt totalt 700 000 dokument till Wikileaks rörande USAs inblandning i Irak och Afganistan.

En organisations "policies" baseras på organisationens egna krav på att skydda sin information i kombination med de "regulations" (SAS70, SOX, HIPPA, ISO m fl) och legala krav som ställs på verksamheten. Dessa policies utgår från en icke-teknisk syn på informationen som verksamheten hanterar och ska inte titta på "hur" utan på "vad" som ska kontrolleras. Som exempel så kan "policyn" säga "alla datorer måste ha ett uppdaterat skydd som skadlig programvara (virus och spionprogram)", inte "alla datorer måste ha installerat och löpande uppdatera Norton Antivirus"

Kraven från dessa "policies" omsätts sedan lösningar som kan vara tekniska (programvara, hårdvara, konfiguration osv), utbildningsmässiga (allt går inte att lösa med teknik), organisationsdefinitioner... Med andra ord, det som krävs för att möta de krav som en "policy" ställer. I samband med att lösningen definieras och implementeras ska man även fastställa hur man kan påvisa att lösningen efterföljer kraven, ex vis via rapportering.

Så, förutom det faktum att Manning sett till att Wikileaks fått tillgång till all denna information (vilket i sig säkerligen är ett brott mot hans anställningsavtal och mot USAs lag från ett sekretesshänseende), vad är det som sticker ut i artkeln nedan?

Ett axplock:

  • Varför har Manning haft tillgång till 700 000 dokument? Behövde han tillgång till alla dessa? Man ska dock inte glömma bort att "tillgång till" inte är detsamma som att "få titta på", i alla fall inte enligt Svensk Lag (https://lagen.nu/1962:700#K4P9c)
  • Varför hade Manning rätt att installera vilka program han ville på sin dator? Det verkar som atr han var "lokal administratör" vilket en person som har en sådan tjänst ej bör vara.
  • Varför hade Manning rätt att ansluta extern legringsmedia till sin dator (framgår dock inte hur man fått informationen från sin arbetsdator till Wikileaks så denna frågar antar att han använt USB media för att få ut informationen från arbetsplatsen och laddat upp den till Wikileaks ex vis på sin hemdator)?
  • Varför finns det ingen kontroll på server- eller nätverksnivå som reagerade på att en enskild dator "läste" 1000 dokument i timmen? 
Det föreligger ingen tvekan om att Manning gjort sig skyldig till brott (av något slag). Dock så blir det intressant att se om det i media kommer rapporteras någonting huruvida de som gett honom tillgång till all information och dem som inte har nödvändig teknisk lösning på plats för att bevaka att den här typen av trafik sker kommer åtalas också.



http://www.nyteknik.se/nyheter/article3727075.ece