Låg datasäkerhet hos flera myndigheter

Åtta av nio Sörmlandskommuner, Regionförbundet, länsstyrelsen och landstinget tillhandahåller osäkra webbsidor som läcker information och möjliggör beteendeprofilering.

24 oktober 2017 04:01

Det är den partipolitiskt oberoende ideella föreningen Dataskydd.net som har granskat och betygsatt kommunernas hemsidor.

‒Myndigheterna kan inte skydda oss mot all webbpåverkan men de kan skydda oss från övervakning när vi besöker deras webbplatser, säger föreningens ordförande, Amelia Andersdotter, tidigare EU-parlamentariker för Piratpartiet.

Det är bara Eskilstuna kommuns hemsida som klarar kraven och bedöms som "säker".

Hemsidorna för Gnesta och Oxelösund får det näst sämsta betyget, D, medan Nyköping, Katrineholm, Strängnäs, Flen, Vingåker, Strängnäs, Flen och Trosa får bottenbetyget E.

De länsgemensamma myndigheterna Regionförbundet, länsstyrelsen och landstinget klassificeras som "osäkra" men har inte betygsatts.

‒De skyddar inte besökarens kommunikation och informationssökning vilket gör besökarna sårbara.

Amelia Andersdotter berättar att de spår vi lämnar visar var och vilka vi är samt vilken information vi är intresserade av. Verktygen kan också räkna ut vad du gör på fritiden, vilka sociala kretsar du tillhör, och vilken typ av individ du är.

Vad gör att eskilstuna.se klassas som säker?

‒Eskilstuna har TLS-kryptering och säkert utbyte av information mellan datorsystem, säger Amelia Andersdotter

I praktiken betyder det att Eskilstuna kommun, men inte de övriga, skyddar information om du som besökare söker råd eller läser om exempelvis alkoholmissbruk eller våld i nära relation.

‒En besökare på eskilstuna.se behöver inte själv vidta några åtgärder för att kommunikationen ska vara skyddad från teleoperatörer och internetleverantörer, säger Amelia Andersdotter.

För de åtta övriga kommunerna, landstinget, Regionförbundet och länsstyrelsen ser det alltså annorlunda ut.

‒Om kommunikationen till en webbplats inte är krypterad så syns allt besökaren gör och i vilken ordning. Teleoperatören har fri tillgång till att kartlägga dig, säger Amelia Andersdotter.

Hon berättar att okrypterade uppgifter kan läsas i klartext.

‒Man kan likna det vid att en medborgare går in på myndighetens hemsida och lämnar efter sig ett vykort med en redogörelse om exakt vad de gjort där samt hur, när och hur länge.

Vad kan informationen som läcker användas till?

‒Reklam är ett typiskt användningsområde för beteendekartläggning, kontrollåtgärder en annan, säger Amelia Andersdotter.

Sker det här i praktiken eller är det risken ni varnar för?

‒Det förekommer databaserad beteendekartläggning. Integritetskommittén, (en riksdagsgrupp), fann att myndigheter använder öppna källor för att utvärdera personers trovärdighet när de söker hjälp på förvaltningar. Den informationen du lämnar ifrån dig på webben kommer att användas för beteendeprofilering, säger hon.

En av de allvarligare aspekterna är, menar Amelia Andersdotter, att det är omöjligt att veta hur man ska bete sig på nätet utan att misstänkliggöras.

‒I en rättsstat ska det vara uppenbart hur man slipper bli misstänkliggjord

Amelia Andersdotter berättar att Integritetskommittén i två betänkanden påvisat att Försäkringskassan använder sig av profileringsmetoder för att hitta fuskare.

‒Kommittén beskriver inte vilka praktiker som har identifierats, bara att det är oreglerat och borde undersökas mer.

Den information som de åtta "osäkra Sörmlandskommunerna", Regionförbundet, länsstyrelsen och landstinget tillhandahåller ger ingen ekonomisk vinning. Det handlar snarare om onödiga läckage som med enkla medel skulle kunna tätas.

‒Arbetet med att gå från osäker till säker är enkelt för en webbutvecklare. Som mest kostar det några tusenlappar, det finns även krypteringscertifikat som är gratis.

Vilket råd vill du ge till de myndigheter som inte håller måttet?

‒Att implementera bättre dataskydd. Det är svårt för en kommun att ta bort alla digitala spår men kommunen kan i alla fall se till att inte skapa fler spår än nödvändigt och att de inte sprids mer än nödvändigt.

Kan man som privatperson göra något?

‒Det finns flera insticksprogram man kan använda på sin webbläsare. I slutändan blir det dock larvigt om man ska behöva använda speciell mjukvara för att skydda sig mot sin egen kommun.

Om undersökningen

Inga kommuner fick toppbetygen A eller B. C räknas som "säker" och betyder att kommunen skyddar besökarna mot läckage till internetleverantörer eller andra webbaktörer. D innebär att kommunen påbörjat införandet av ett skydd mot informationsläckage till antingen internetleverantörer eller andra webbaktörer men inte slutfört arbetet. Bottenbetyget E har de kommuner som varken skyddar besökarna mot informationsläckage till internetleverantörer eller till webbaktörer.

Så jobbar vi med nyheter
 Läs mer här!

Ämnen du kan följa