Varför är Bildts Gmail ett säkerhetsproblem?

av Stefan Pettersson

I lördags gick Aftonbladet ut med nyheten att utrikesminister Carl Bildt använder en privat Gmail-adress för officiell kommunikation:

Enligt uppgift till Aftonbladet har Bildt uppmanat höga tjänstemän inom utrikesförvaltningen att kontakta honom på Gmail-adressen i stället för hans officiella via Utrikesdepartementet. Kommunikationssättet ska vara utbrett bland svenska ambassa­dörer trots att systemet är ifrågasatt.

– Gmail är inte säkert. Informationen ligger lagrad på servrar i andra länder. Det är ett amerikanskt företag som inte tvekar att lämna ut material till säkerhetstjänster, säger Joakim von Braun, it-säkerhetsexpert.

Flera källor uppger att Bildt föredrar att kommunicera via sin Ipad, men det har inte varit problemfritt.

Fotografi av Aftonbladets framsida

Både molntjänster och BYOD alltså? Hualigen.

Låt oss först och främst konstatera att säkerhetsproblemen med gmail.com i stort också gäller riksdagen.se (eller var hans formella mail nu ligger), den viktiga skillnaden är att man saknar kontroll över Gmail; det är svårt eller omöjligt för Riksdagens säkerhetsfolk att övervaka, kontrollera eller anpassa säkerheten hos Google.

Vilka säkerhetsproblem riskerar Bildt i praktiken?

Först och främst, (1) med tillgång till Bildts Gmail-konto kan man förstås läsa allt som har skickats och tagits emot. Enligt utsago så ska inget omfattas av sekretess och det kanske stämmer. Bildt är ju en rätt van politiker och har säkerligen koll på vad han skickar, frågan är om de som skickar mail till honom har det.

(2) Någon som får åtkomst till Bildts Gmail-konto kan utge sig för att vara honom, det kan förstås få oanade konsekvenser.

(3) Någon som får åtkomst till Bildts Gmail-konto kan ta bort de mail som har skickats och tagits emot eller varför inte, byta lösenord eller avsluta kontot? Så mycket för allmänna handlingar som kan vara offentliga.

(4) Dessutom, som Jocke nämner i artikeln, servrarna som Bildts mail bor i ägs av ett företag i ett annat land och kan därför bli tvungna att lämna ut åtkomst till myndigheter på ett eller annat sätt. Detta var aktuellt nyligen i samband med Petraeus-affären där en CIA-chef kommunicerade med en älskarinna via Gmail och kraftigt underskattade sina motståndares (FBI) kapacitet.

Faktum är att även om Bildt använder precis samma mailtjänst som ”vanliga” människor så är hans konto utsatt för större risk. Dels för att han är en offentlig person och därför har en större hotbild men också för att han är en offentlig person och därför har avsevärt svårare att lyckas med s k social authentication som är vanlig i sådana sammanhang. För självklart är det lättare att ta reda på svaret till den offentliga Bildts ”hemliga fråga” än hans okände namnes i Häggvik. (Ja, det finns en till Carl Bildt, Henric Robert Carl Bildt närmare bestämt.)

Uppdatering samma dag: Såg nu också att Bildt (på ett härligt bildtskt vis) har kommenterat saken på sin blogg. Tyvärr gör han det något amatörmässiga misstaget att likställa säkerhet med skydd mot att information läcker. Det är ju, enligt ovan, bara ett av problemen.

Annonser