____________________________________________________________________________
  ____________________________________________________________________________

      -uXu-                   DEN SVENSKA RAPPORTEN                  -uXu-

                        Information För Entusiaster Nr. 07
                                  (del 2 av 3)
 
                              Släppt Juli 31, 1992
                                    Innehåll:

                                    Ed's Ord
                               Säkrare i Riksdagen
                       Budgetnej till Nyanställningar på DI
                              Olagligt Vårdregister
                                 Paketerat Virus
                         Myndigheterna Struntar i Datalagen
                    Myndigheterna Vägrar Visa sina Dataregister
                      "Fundamentalt med Registerförteckning"
                    Lagen Följs Inte - Brister Nästan Överallt
                             Bombrecept i Databaser
                                Apple Mot Pirater
                               Kreditbesked Synas
                         Registerproblem för Ny Myndighet
                      Kraftiga Reaktioner mot Datalagsslarv
                           Polisen som var För Nyfiken
                       Statens Kravlista Ska Göra PCn Säker
                           "Lika Säkert som Terminaler"
                           Norsk Trollkarl Räddar Data
                              Norton Värre än Virus
                                  Vanliga Skador
                       Microsoft Avslöjar Programpiratliga
                      Goda Råd om Registrering av Anställda
                                  Så Arbetar KGB
                              Datoriserad Hälerihärva

         _____________________________________________________________


                      av TC, Editor Den Svenska Rapporten

  ____________________________________________________________________________
  ____________________________________________________________________________

ED'S ORD:                                                                  DSR

   DSR - Nyhetsutskicket om Datasäkerhet och närliggande information.
   Vi specialiserar oss på datasäkerhet och försöker få en så täckande
   samling av nyheter och rapporter som möjligt gällande dessa områden.
   Därför vill vi gärna se Dig som reporter för DSR då vi inte kan täcka
   hela Sverige från endast ett par län/kommuner. Läs vidare för mer
   information.

   Den Svenska Rapporten accepterar utomstående källor ännu.  Vem som helst
   kan skriva för/lämna information till DSR. Skribenten/Lämnaren blir adderad
   som informations-lämnare, eller författare till artikeln. Full diskretion
   om författaren/lämnaren så önskar. Artiklar/Information kan lämnas på de
   system som finns listade i slutet av varje nummer av DSR.

   Värt att notera: Alla [Ed's Note] inom artiklarna är skrivna av infor-
   mationslämnaren själv, och ej av mig.

   Detta nummer är en återblick över händelser som vi missat att skriva in,
   eller bara inte fått plats med vid tidpunkten. Därav det speciella format
   som endast denna del har fått.
                                                             TC, DSR Editor
  ____________________________________________________________________________
  ____________________________________________________________________________

SÄKRARE I RIKSDAGEN:                                                DSR (1/92)

    Riksdagens datasystem moderniseras för närmare tio miljoner kronor.
Pengarna ska användas för "angelägna förbättringar av datasäkerheten",
enligt anvisningarna i budgeten.

    -Vi har i huvudsak fått igenom vad vi begärt, säger Anders Malmros,
riksdagens ADB-Säkerhetschef.

    De tio miljonerna ska bland annat användas till att skaffa ett
mindre säkerhetsomgärdat PC-system, totalt avskilt från riksdagens
ordinarie Vax-baserade datasystem.

    -Vi har ju bland utskotten de som behandlar klassificerat material.
Det har de inte kunnat göra i det ordinarie systemet, förklarar Anders
Malmros. Tanken är att varje utskott ska få en dator med löstagbar
hårddisk. Efter avslutat arbete ska de kunna ta ut den ur det avskilda
PC-systemet och låsa in den i ett kassaskåp. Cirka två miljoner kronor
ska satsas på en speciell utvecklingsdator, också den fristående från
det ordinarie systemet. Beloppet rymmer också ett backup-system med
högre tillförlitlighet än dagens. Omkring 1000 terminaler och ett femtio-
tal persondatorer är inkopplade till riksdagens Vax-system.

    -Men nu kommer det att bli allt fler PC i ganska snabbt tempo, säger
Anders Malmros. Detta bildar bakgrunden till att man nu tänker använda
200 000 kronor av budgetpengarna till att skydda riksdagens PC mot data-
virus. Omkring 300 av riksdagsledamöterna har också fått en persondator
att ha i hemmet också. Från dessa kan de koppla in sig i riksdagens Vax-
system. Runt en halv miljon av budgetpengarna ska användas till att för-
bättra avlyssningsskyddet vid dessa förbindelser. Exakt vad dessa för-
bättringar består i vill Anders Malmros däremot inte berätta.

  ____________________________________________________________________________
  ____________________________________________________________________________

BUDGETNEJ TILL NYANSTÄLLNINGAR PÅ DI:                               DSR (1/92)

    Det blev nobben i budgeten för Datainspektionens krav på nyanställningar
för att möta det växande antalet ärenden. "Det finns inte tillräckligt starka
skäl", menar justitieminister Gun Helssvik (m).

    För tjänstemännen på Datainspektionen (DI) blev regeringens budget dyster
läsning. Inspektionens vädjan om att få utöka personalstyrkan med tre nya
handläggare för att klara den ständigt växande mängden ärenden fick kalla
handen. Justitieminister Gun Hellsvik (m) hänvisar i regeringens budget-
proposition till "det generella kravet på återhållsamhet".

    -Rimligen kommer det här att medföra att vi måste se över vår verksamhets-
plan, säger datainspektionens generaldirektör Stina Wahlström till Computer
Sweden. Tillsynsverksameheten kan komma att ta stryk av det här, det är min
bedömning, fortsätter hon.

    DIs verksamhet sträcker sig över två huvudområden. Dels att pröva alla
ansökningar om att lägga upp nya personregister och dels att bedriva till-
synsverksamhet. Det senare består innebär att man aktivt går ut för att på
plats undersöka om myndigheter och företag sköter sina personregister i
enlighet med datalagen.

    Nödrop

    DIs anslagsäskande till regeringen liknar mer än något annat ett skrik
på hjälp. Här berättas bland annat hur man hittills försökt att möta den
ökade ärendetillströmningen med rationaliseringsåtgärder. Men trots detta
växer antalet oavgjorda ärenden, skriver DI. Den pågående datalagsutredningens
kommande förslag till ny datalag kommer sannolikt att medföra delvis för-
enklade rutiner av de tillståndsärenden DI handlägger. Men detta kommer inte
att minska arbetsbelastningen på DI under 1992, utan först senare, framhåller
Datainspektionen.

    Den åsikten delas dock inte av justitieministern som slår fast att det
i årets budget "inte finns utrymme för att inrätta några nya tjänster vid
datainspektionen." Stina Wahlström är besviken över regeringens beslut.
Eftersom DIs verksamhet finansieras genom avgifter skulle ju inte ny-
anställningarna kostat statskassan något, menar hon.

  ____________________________________________________________________________
  ____________________________________________________________________________

OLAGLIGT VÅRDREGISTER:                                              DSR (1/92)

    Den privata vårdcentralen Medivård i Oskarshamn måste lämna en
fullständig redogörelse till Datainspektionen om varför man registrerar
patienter utan tillstånd. I oktober förra året anmäldes Medivård till
Datainspektionen. Datainspektionen ser ser mycket allvarligt på Medivårds
brott mot sekretessen och har beslutat om ett antal säkerhetsföreskrifter
som vårdcentralen måste följa. Medivårds VD Erik Björn-Rasmussen tillbaka-
visar kritiken om bristande respekt för integritetsfrågorna och säger att
problemet beror på ett missförstånd.

  ____________________________________________________________________________
  ____________________________________________________________________________

PAKETERAT VIRUS:                                                    DSR (1/92)

    I en studie gjord av National Computer Security Association anges att
ända upp till nio procent av alla virusinfektioner har källan i färdiga
produkter och demonstrationsdisketter. Novell, till exempel, fick under
förra årets sista vecka skicka en varning till 3 800 kunder. 5,25 tums-
disketterna med deras Network Support Encyclopedia Standard Volume
innehöll viruset Stoned III. Enligt Novell ska viruset dock inte kunna
infektera servrar utan endast persondatorer.

    Också från spelföretaget Konami har det skeppats disketter med virus,
även i det här fallet en version av Stoned III. Stoned III är ett "gömt"
virus som undgår upptäckt vid vanlig viruskontroll och det kan vara mycket
svårt att bli av med. Sådana här virus har ökat kraftigt under det senaste
året och orsakat problem för programleverantörerna. Under förra året har
100 förekomster av virus i programpaket rapporterats till McAfee Associates,
som tillverkar antivirusprogrammet Viruscan.

  ____________________________________________________________________________
  ____________________________________________________________________________

MYNDIGHETERNA STRUNTAR I DATALAGEN:                                 DSR (1/92)

    Bild: En kvinna trycker på en tangent på ett tangentbord och en
          text på skärmen (inklippt) säger "tillträde förbjudet".
    Text: Stopp där! Det är ofta omöjligt att kontrollera vad
          myndigheterna vet om oss.

    Okunnighet och slarv stoppar insyn i registren

    Många myndigheter har så dålig kontroll över sina register att de
bryter mot lagen.

    -På många ställen vet de som ska handlägga frågorna uppenbarligen
ingenting om lagstiftningen, säger Rolf Andersson som har lett en under-
sökning av situationen. Datainspektionen ser mycket allvarligt på bisterna:

    -Själva fundamentet i datalagen är att varje människa ska kunna få
tillgång till alla registeruppgifter om sig själv och korrigera dessa om
de är felaktiga, säger informationsdirektör Leif Stenström.

  ____________________________________________________________________________
  ____________________________________________________________________________

MYNDIGHETERNA VÄGRAR VISA SINA DATAREGISTER:                        DSR (1/92)

    Bild: En hand som hålls upp som 'stop'.
    Text: Stopp. Myndigheterna släpper inte gärna in främlingar i de
          offentliga dataregistren.

    Många myndigheter har så dålig kontroll över sina dataregister att
de bryter mot lagen. Det framgår av en kartläggning som dataadministrativa
linjen vid Högskolan i Västerås/Eskilstuna utfört. Förvirring om vem som
är registeransvarig och brister i registerförteckningar hör till de
vanligaste synderna.

    -På många myndigheter vet de som ska handlägga de frågorna uppenbarligen
ingenting om lagstiftningen på det här området, säger lektor Rolf Andersson
på Högskolan i Västerås/Eskilstuna. Under ett kursavsnitt som heter Datorn
i samhället har han i två års tid skickat ut studenterna på dataadministra-
tiva linjen till olika myndigheter för att undersöka hur skötseln av data-
register stämmer med gällande lagar. Resultatet, som hittills sammanställts
i ett tjugofemtal rapporter, är med få undantag nedslående.

    Myndigheternas brist på kunskap om gällande regler, gör det ofta
oerhört tidskrävande och ibland helt omöjligt för en enskild människa att
ta del av uppgifter om sig själv i ett dataregister, även om det är uppenbart
att han har lagen på sin sida. Den "goda offentlighetsstruktur" som
myndigheterna är skyldiga att upprätthålla kring sina dataregister är i
praktiken inte alls så särskilt god. Det är en slutsats som Rolf Andersson
kan dra utifrån sina studenters rapporter.

    Uppgiften som studenterna fått har varit att plocka fram uppenbart
offentliga uppgifter ur myndigheternas dataregister med stöd av gällande
lagstiftning; datalagen, tryckfrihetsförordningen och sekretesslagen. Till
de mer grundläggande syftena i dessa lagar hör bland annat att säkerställa
varje människas rätt att kunna kontrollera vad för information en myndighet
har om en själv och att den är korrekt och riktig.

    Aktuell förteckning

    Ett oavvisligt krav i lagstiftningen är att varje myndighet ska kunna
tillhandahålla en aktuell förteckning över samtliga dataregister som man
förfogar över. Lagen kräver också att det ska finnas en registeransvarig -
en tjänsteman som ansvarar för att alla som frågar efter förteckningen
snabbt ska få tillgång till den.

    -Men i rapporterna visar det sig att förteckningen inte är aktuell.
Inte sällan har tjänstemannen inte kunnat tillhandahålla någon förteckning
överhuvudtaget, konstaterar Rolf Andersson. I vissa fall har studenterna
till och med fått förklara för dem vad en registerförteckning är något,
tillägger han.

    Studenternas rapporter innehåller ibland smått gripande skildringar
om vad som hänt ute på myndigheterna i jakten på uppgifter ur de offentliga
dataregisterna. Här finns redogörelser av hur man i sökandet efter den
registeransvarige bollats fram och tillbaks fram mellan olika tjänstemän
i till synes ändlösa kretslopp. Inte sällan är det först sedan de idkat
högläsning ur de aktuella lagparagraferna som tjänstemännen motvilligt gått
med på att lämnat i från sig ens en registerförteckning.

    -Det verkar som om det ofta finns en motvilja i själva bemötandet. Vi
har inte tid i dag. Kom igen imorgon, är ett vanligt svar. Men när man gör
det så finns inte den tjänstemannen som har sagt det på plats, konstaterar
Rolf Andersson. Man måste vara beredd att stå på sig. Och ha gott om tid,
om man vill ha ut uppgifter ur dataregistren, summerar Rolf Andersson.

  ____________________________________________________________________________
  ____________________________________________________________________________

"FUNDAMENTALT MED REGISTERFÖRTECKNING":                             DSR (1/92)

    "Myndigheter är skyldiga att ha en aktuell registerförteckning till-
gänglig." Lagen är glasklar på den punkten, understryker Leif Stenström,
informationsdirektör på datainspektionen.

    Om det är så att en myndighet inte har en förteckning över sina data-
register så är det allvarligt, menar Leif Stenström på datainspektionen.

    -Jag brukar säga att själva fundamentet i datalagen är att varje
människa ska kunna få tillgång till alla registeruppgifter om sig själv
och korrigera dessa om de är felaktiga, säger Leif Stenström, som fortsätter:
Och själva förutsättningen för detta är just att de som registrerar håller
ordning på sina register. Ett elementärt krav blir då att myndigheten kan
tillhandahålla en lista på vilka register som finns, säger han.

    Vem är det som har ansvaret för att göra någonting åt bristerna på
det här området?

    -Det är inte i första hand datainspektionen som ska gå ut och se efter
att lagen följs. Varje myndighet är faktiskt skyldig att känna till lagarna
och att följa dem, säger Leif Stenström. I datainspektionens uppgifter
ingår att kontrollera efterlevnaden av datalagen. Strategin är att under-
söka hur dataregistren sköts i sektor för sektor. Det är dock tämligen
sällsynt att de brister som påträffas resulterar i ett rättsligt efterspel.
Inspektionen nöjer sig i de flesta fall med påpekanden.

    -Vi skulle kunna bötfälla direkt, eller låta åklagare ta ställning till
saken. Men vi har tyckt att om man inte känner till reglerna så ska vi inte
ta i med hårdhanskarna från första början, säger Leif Stenström. Exempelvis
har kommuner och högskolor specialundersöks och informerats om vilka regler
som gäller. Vad gäller högskolorna beskriver Stenström lagefterlevnaden som
"till en början bedrövlig".

  ____________________________________________________________________________
  ____________________________________________________________________________

LAGEN FÖLJS INTE - BRISTER NÄSTAN ÖVERALLT:                         DSR (1/92)

    Här följer några noteringar ur den kartläggning som högskolan i 
Västerås/Eskilstuna utfört.

    * Skattemyndigheter: En lokal skattemyndighet ansåg sig inte vara
      skyldig att ha någon registerförteckning enligt sekretesslagen.
      Rätten att ta del av registeruppgifter anonymt fick studenterna
      först efter att ha idkat högläsning av lagen inne på myndigheten.

    * Polismyndigheter: I flera fall var förteckningen över vilka data-
      register polismyndigheten förfogade över flera år gammal, i ett
      fall ända från 1982. Så kallade besöksterminaler för allmänheten
      saknades. I ett fall krävdes studenterna legitimation och fick
      genomgå förhör innan poliserna högst motvilligt lämnade ut en
      kopia av registerförteckningen.

    * Högskolor: I ett fall, högskolan i Västerås, förnekades bestämt
      att man förde några dataregister överhuvudtaget. De register som
      fanns fördes i en "ordbehandlare", inte i en "dator", var ett
      besked som studenterna fick. I övrigt mycket ofullständiga
      registerförteckningar och stor förvirring om vem som är register-
      ansvarig.

    * Folkbokföringen: Studenterna fick bara se uppgifter om sig själva,
      vilket det inte finns något juridiskt stöd för alls. Dessutom hän-
      visades studenterna till en presentationsterminal som visade sig
      inte vara installerad till datasystemet.

    * Länsarbetsnämnd: När uppgifterna ur ett speciellt register efter-
      frågades, förklarade handläggarna vid länsabetsnämnden i Eskilstuna
      att hela registret "försvunnit" i samband med ett datorbyte.

    * Försäkringskassa: I flera fall uppgavs bestämt att alla uppgifter
      utan undantag i samtliga dataregister var sekretessbelagda.

    * Kronofogde och tingsrätt: Får i de flesta fall godkänt. Här finns,
      enligt undersökarna, goda rutiner för hantering av offentlighets-
      och sekretessfrågor.

  ____________________________________________________________________________
  ____________________________________________________________________________

BOMBRECEPT I DATABASER:                                             DSR (1/92)

    Genom att ta sig in i en illegal databas fick tre extremister från
organisationen Vitt ariskt motstånd (VAM) detaljerade instruktioner om
avancerad bombtillverkning, uppger tidningen Expressen. VAM kontaktade
en dataexpert tre veckor före bombattentatet mot centralstationen i
Stockholm. Med hans hjälp kom de in i en databas med information som
ursprungligen kommer från den engelska polisen. En hacker knäckte koderna
till polisens datasystem och kunde därmed kopiera den känsliga informationen.
Enligt uppgifter till Expressen finns det idag en stor mängd illegala data-
baser med information om vapen och sprängämnen.

  ____________________________________________________________________________
  ____________________________________________________________________________

APPLE MOT PIRATER:                                                  DSR (1/92)

    Apple har anslutit sig till Business Software Alliance (BSA). Under
året kommer BSA att lansera ett kommunikationsprogram till datoråterför-
säljare samt distributörer och återförsäljare av program. Programmet ska
informera om vilka lagar och regler som gäller för upphovsrätt. På BSA
säger man att Apples goda kännedom om marknadsföring kommer att vara till
god hjälp i det arbetet.

  ____________________________________________________________________________
  ____________________________________________________________________________

KREDITBESKED SYNAS:                                                 DSR (2/92)

    Datainspektionen har beslutat låta åklagare utreda omständigheterna
bakom fall där en kvinna blivit utsatt för en otillåten kreditupplysnings-
kontroll. Det kan röra sig om ett brott mot kredit- och upplysningslagen,
menar datainspektionen. På ett företag, som via terminal är uppkopplat till
Upplyssningscentralen (UC), beställdes en så kallad företagsupplysning på
kvinnans privata ekonomiska förhållanden, vilket är förbjudet.

    Kredit- och upplysningslagen tillåter enbart att kreditupplysnings-
uppgifter som rör enskilda privatpersoner lämnas ut till någon som behöver
dem för att kunna utföra en kreditbedömning när någon vill låna pengar.
Till skillnad från företag har en enskild privatperson i sådana fall alltid
rätt att veta vem som begärt att få ut uppgifterna. Anledningen till att
företag inte har den rätten är att man i affärssammanhang ska kunna undersöka
en motparts ekonomi.

    Men när kvinnan i det nu anmälda fallet ville ha reda vem som begärt
upplysningar om henne, blev hon avvisad. Datainspektionen är mycket kritisk
mot agerandet. Det fanns inget fullgott skäl att lämna ut uppgifterna om
kvinnan överhuvudtaget. Att sedan inte berätta vem som begärt att få ut
uppgifterna, gör inte saken bättre.

  ____________________________________________________________________________
  ____________________________________________________________________________

REGISTERPROBLEM FÖR NY MYNDIGHET:                                   DSR (2/92)

    Vad händer med personregistren när myndigheter privatiseras, slås
samman eller läggs ner? Frågan aktualiseras efter ett utredningsförslag
att slå samman Trafiksäkerhetsverket och Vägverket.

    Kanske som ett tecken i tiden då kärva ekonomiska vindar blåser,
har Datainspektionen nu för första fått ta sig en funderare över vad som
händer personregistren när myndighet läggs ner eller slås samman.

    -Vi letade bakåt för att se om vi kunde hitta stöd för våra ståndpunkter
i tidigare material. Men vi fann inget, berättar Ingela Halvorsen på
Datainspektionen. Bakgrunden till det hela är ett förslag från en statlig
utredning om att slå ihop Trafiksäkerhetsverket och Vägverket till en helt
ny myndighet med namnet Vägtrafikverket. I ett remissvar till utredningen
påpekar Datainspektionen att det inte bara går att utan vidare flytta över
redan befintliga personregister till den nya myndigheten. Innan exempelvis
Trafiksäkerhetsverkets bilregister kan flyttas över till det nya Vägtrafik-
verket, så måste först Datainspektionen göra en förnyad prövning av om också
den nya myndigheten ska få föra registret.

    Måste anmäla

    Men det räcker inte med detta. Bestämmelserna i datalagen kräver också
att Trafiksäkerhetsverket anmäler till Datainspektionen att de, i samband
med en eventuell sammanslagning, upphör att föra bilregistret. Samma sak
måste gälla för samtliga tillståndspliktiga personregister som kan komma
att flyttas över till det nya Vägrafikverket, fastslår Datainspektionen
i sitt remissyttrande.

    -Det beror på att det ju inte säkert att förutsättningarna för register-
tillståndet är likadana på den nya myndigheten, förklarar Ingela Halvorsen.

  ____________________________________________________________________________
  ____________________________________________________________________________

KRAFTIGA REAKTIONER MOT DATALAGSSLARV:                              DSR (2/92)

    Efter Computer Swedens avslöjande

    Computer Swedens artiklar om hur myndigheterna struntar i datalagen
har fått stor uppmärksamhet. Högskolelektor Rolf Andersson som tog fram
uppgifterna har haft bråda dagar. Riksdagens revisorer, Datainspektionen,
Polishögskolan, radio och tidningar, är alla på jakt efter mer detaljer.

    "Är vi verkligen så dåliga på att följa lagen", frågade sig en lärare
på Polishögskolan, som ringde upp och ville ha de rapporter som studenterna
på den dataadministrativa linjen gjort för att använda i sin undersökning.
Telefonerna gick varma hos Rolf Andersson på Högskolan i Eskilstuna/Västerås,
efter avslöjandet i Computer Sweden om myndigheter som har så dålig kontroll
över sina dataregister att de bryter mot lagen.

    -Man blir ju överraskad över den stora uppmärksamhet det blev av det
här, säger Rolf Andersson. Det var hans studenter på dataadministrativa
linjen som under två år kartlade hur myndigheternas skötsel av dataregistren
stämde överens med gällande lagstiftning.

    Dystert resultat

    Studenterna fick i uppgift att hämta fram registeruppgifter med stöd
av tryckfrihetsförordningen, sekretesslagen och datalagen. Resultatet blev
med mycket få undandtag nedslående. Genomgående rådde stor förvirring på
myndigheterna om vem som var ansvarig för registren. Det fanns inte sällan
en markant ovilja att lämna uppgifter ur de offentliga registren över-
huvudtaget. Men mest flagrant var kanske ändå de stora bristerna när det
gällde de så kallade registerförteckningarna. Hos många undersökta
myndigheter var dessa flera år gamla. Hos andra fanns de inte alls.

    -Detta är inte acceptabelt, fastslår Ulf G. Berg, jurist och ställ-
företrädande generaldirektör på datainspektionen. Ulf G. Berg understryker
att myndigheterna faktiskt är skyldiga att känna till och följa lagen.
Förklaringen till de kunskapsbrister som finns menar Ulf G. Berg står att
finna i en ökad decentralisering av registeransvaret. Förr när allt kördes
i ett fåtal stora, centrala datasystem sköttes de registerjuridiska frågorna
av experter. I dag när de lokala systemen blivit fler krävs det också att
tjänstemän utan specialkunskaper ska kunna datalagen på sina fem fingrar.

    Kunskapsbrister

    Rolf Andersson menar dock att dessa argument inte räcker som ursäkt
för de kunskapsbrister som finns.

    -Meningen med lagen är att den ska följas, säger han. I en direktsänd
lokalradiodebatt där Rolf Andersson medverkade medgav en representant för
polismyndigheten i Västerås att polisen varit dåliga på att sköta register-
förteckningar och offentlighetsfrågor i sina dataregister.

    Riksdagen undersöker

    Eva Bergstrand, utför på uppdrag av Riksdagens revisorer också en
undersökning om offentlighet och integritet i myndigheternas dataregister.
Med stort intresse har hon tagit del av rapporterna från Högskolan i
Eskilstuna/Västerås.

    -Man kan fråga sig hur stor kunskapen är i dag om dessa lagar och
förordningar hos de som ska handlägga de här frågorna. Även om det finns
god kunskap om datalagen så är den inte lika bra överallt, säger Eva
Bergstrand.

  ____________________________________________________________________________
  ____________________________________________________________________________

POLISEN SOM VAR FÖR NYFIKEN:                                        DSR (2/92)

    I Huddinge tingsrätt:

    I tingsrätten i Huddinge döms småtjuvar, fyllerister och annat folk.
Idag står det en polisassistent inför skranket. Han är här för att han har
spanat på sina kvinnliga kollegor med hjälp av polisens dataregister.

    Polismannen jobbar i ett polisdistrikt i södra Stockholm. I hans jobb
ingick att förse andra polismän med uppgifter ur olika register. Uppgifterna
hämtas bland annat ur polisens brottsregister, passregistret och Dafas
namn- och adressregister. Arbetsinstruktionen säger att poliserna endast får
göra sökningar i samband med "tjänsteärenden". Frågan är nu om det ingick
i assistentens uppgifter att ta fram upplysningar om sig själv, kvinnliga
kollegor och gamla flickvänner.


    Drar taktiken

    Försvarsadvokat Leif Silbersky och den 36-årige polisassistenten drar
taktiken en sista gång. Åklagare Annika Jansson bläddrar igenom papperna och
lägger dem i en snygg bunt.

    -Jag ville bara lära mig hur registrena fungerade, säger assistenten.
     Han kände till att alla sökningar registreras i en logg.

    -Jag har inte försökt dölja något.

    Åklagare Jansson tar nu fram logglistan och går obönhörligt igenom
assistentens sökningar, punkt för punkt.

    -Varför gjorde du en sökning på dig själv i passregistret den 1 april,
     1990?

    -Kommer inte ihåg, ville väl se om mitt nya pass hade registrerats,
     säger assistenten.

    -Varför sökte du i adressregistret efter din kollega X, den 26 april?

    -Minns inte riktigt, kanske ville jag ha tag på hennes adress.

    -Varför letade du i brottsregistret och inkomstregistret efter kvinnan
     Y?

    -Törs jag inte svara på. Det var så länge sedan.


    Kvinnliga kollegor

    Assistenten gjorde totalt 51 privata sökningar. Elva på kvinnliga
kollegor, 19 på sig själv, 18 på en kvinnlig bekant, två på en manlig
kollega och en på sonen. Assistenten menar att han lika gärna hade kunnat
begära uppgifterna från en kollega:

    -Då hade jag inte suttit här idag, säger han.

    En kriminalkommissarie kallas in för att vittna om hur assistenten
upptäcktes.

    -Det surrade rykten om att assistenten gjorde en massa onödiga sökningar.
Jag sökte upp honom. Han var medveten om att det han gjorde var olämpligt.
Sedan anmälde jag honom.

    I slutpläderingen menar åklagare Jansson att:

    * Assistenten hade fått klara instruktioner och att det inte ingick
      i arbetsuppgifterna att göra sökningar på gamla flickvänner och
      kvinnliga kollegor.

    * Eftersom han ändå gjorde mer än 50 liknande sökningar per dag
      behövde han inte göra sökningarna i övningssyfte.

    Hon yrkar på dagsböter.

    Så är det försvarets tur. Försvarsadvokat Silbersky underkänner inte
helt förvånande åklagarens bevisföring.

    -Min klient har handlat i god tro. Varför skulle min klient medvetet
begå brott när han visste att allt han gjorde registrerades?


    Silberskys försvar

    Silbersky menar också att:

    * Assistenten inte hade sålt eller lämnat uppgifterna.

    * Assistenten inte hade skrivit på något papper som sa att han inte
      fick ta fram uppgifterna.

    * Gränsdragninen för vad som ingår i arbetsuppgifterna är oklar.

    * Ingen på polisen egentligen vet vad som är rätt eller fel.

    -Och vad fick min klient ut av detta? undrar Silbersky. Pengar? Glädje?

    Så töms rättsalen. Försvarsadvokat Silbersky och åklagare Jansson
skyndar vidare till nya mål. Polisassistenten skyndar tillbaka till
jobbet på roteln. Domen faller i början av mars. Tills dess får vi leva
i ovisshet. Om det sitter en annan polisassistent någon annanstans och
spanar in dig - just nu - vet vi heller inte så mycket om.

  ____________________________________________________________________________
  ____________________________________________________________________________

STATENS KRAVLISTA SKA GÖRA PCn SÄKER:                               DSR (2/92)

    Statens myndigheter kastar hansken och kommer med en utmaning till
PC-leverantörerna: Ge oss en PC som på ett säkert sätt klarar att hantera
känslig information som terminal i ett centralt nätverk. Flera stora
statliga myndigheter har redan nu enats runt en kravlista som ska användas
i framtida PC-upphandlingar.

    -Det här är en kraftig utmaning för den svenska leverantörskåren, säger
Leif Löwinder, organisationsdirektör på Statskontoret. Han är med i arbetet
att ta fram en lista med säkerhetskrav för persondatorer som ska användas
i nätverk, exempelvis mot en stordator. Tanken är sedan att landets myn-
digheter alltid ska kräva av leverantörerna att dessa säkerhetskrav är upp-
fyllda innan det kan bli tal om att köpa några persondatorer.

    Kortläsare för aktiva kort som innehåller identifikation och behörighet,
standardiserade inloggningsrutiner som kan integreras med redan befintliga
behörighetssystem, en gemensam krypteringsstandard, är några exempel på vad
som finns med i kravlistan. (Du kan läsa hela listan härintill.)

    Svårknäckt nöt

    En hård nöt för PC-leverantörerna att knäcka blir också att samtliga
säkerhetsfunktioner i kravlistan måste kunna tillämpas på olika system och
på redan inköpta persondatorer. Redan nu har ett par av de stora myndigheterna
anslutit sig till säkerhetskraven, nämligen Rikspolisstyrelsen, Riksför-
säkringsverket och Riksskatteverket. Även Statskontoret och Datainspektionen
ingår i den gemensamma arbetsgrupp som bildats för att mejsla fram PC-
kravlistan. De tre myndigheterna representerar omkring 120 000 arbetsplatser
som teoretiskt skulle kunna förses med varsin persondator. Enbart polisen
och rättsväsendet skulle potentiellt kunna använda upp mot 10 000, respektive
20 000 persondatorer, framhåller Jöran Wester, avdelningsdirektör på Riks-
polisstyrelsens databyrå.

    Persondatorn blir allt vanligare som terminal i stora datasystem. Orsaken
är enkel. Det blir ofta billigare med persondator än en terminalarbetsplats.
Och persondatorn kan med små medel användas till mycket fler saker än en
terminalarbetsplats. Men som terminal mot ett centralt datorsystem kan person-
datorn ur datasäkerhetssynpunkt vara en farlig apparat. Till skillnad från
terminalen kan den lagra, bearbeta, ta emot och sända information helt utanför
det centrala systemets kontroll. För många myndigheter har detta blivit en
återhållande faktor när det gäller att använda persondatorer som terminaler
mot centrala system.

    De tre myndigheterna tillämpar i dag en delvis annorlunda politik när
det gäller persondatorer. Hos Rikspolisstyrelsen råder totalförbud mot att
koppla in persondatorer mot det centrala stordatorsystemet.

    -Vi anser inte att vi i dagsläget skulle kunna garantera säkerheten
för den information som finns i våra system, säger Jöran Wester.

    Begränsning

    Riksförsäkringsverket använder persondatorer i lokala nätverk, som i sin
tur är kopplade till system i stordatormiljö. Men när persondatorn körs mot
stordatorn fungerar den enbart som terminal, utan någon förmåga att lagra
eller bearbeta data utanför stordatorns system, säger RFVs ADB-säkerhetschef
Sam Söderquist. Samma begränsing i persondatorns funktionalitet tillämpas
även hos Riksskatteverket, berättar Anders Ekström, avdelningsdelningsdirektör
på RSVs tekniska avdelning. Samtidigt finns vetskapen att PC-utvecklingen
kommer att fortsätta. Klarar inte myndigheterna av att på ett säkert sätt
integrera persondatorn i sina befintliga system, kommer man oundvikligen att
hamna på efterkälken, fruktar Sam Söderquist.

    -Vi kan inte bara passivt sitta med armarna i kors och vänta på att
någon annan ska lösa frågorna åt oss, säger Sam Söderquist när han ska
redogöra för bakgrunden till listan med säkerhetskrav till PC-leverantörerna.
Vi siktar på att få fram en färdig kravspecifikation till sommaren. En första
upphandlingsomgång kan bli aktuell under hösten, säger Leif Löwinder på
stsatskontoret.

  ____________________________________________________________________________
  ____________________________________________________________________________

"LIKA SÄKERT SOM TERMINALER":                                       DSR (2/92)

    Det är en diger kravlista som myndigheterna satt ihop för den säkra PCn.
Tanken är att den dator som fyller dessa krav ska kunna användas som terminal
i centrala nätverk. Förhoppningen är också att kravlistan ska bilda grund till
en gemensam säkerhetsstandard för datakommunikation mellan myndigheter och
mellan företag och myndigheter.

    -Det finns leverantörer som redan idag säger att de uppfyller samtliga
dessa krav. Men då förutsätts det att en leverantör kontrollerar samtliga
miljöer i ett sådant system, säger Jöran Wester på Rikspolisstyrelsens data-
byrå. Men det omvälvande med de här kraven är att de ska kunna tillämpas på
olika system. Redan befintliga persondatorer på myndigheterna ska också kunna
utrustas så att de uppfyller de här säkerhetskraven, klargör Jöran Wester.

    * PCn ska kunna förses med kortläsarsystem för standardiserade aktiva
      kort. Dessa ska användas för identifiering och behörighetskontroll.
      De intelligenta korten ska också vara kopplade till ett standardiserat
      programvara för kryptering av all information som lagras på person-
      datorns hårddisk eller skickas från ett system till ett annat. Krypter-
      ingen gör det också möjligt att förvara information i persondatorn
      skyddad från obehöriga och dessutom hindra att otillåten information
      matas in i persondatorn.

    Grundkrav för säkerhet

    Dessa krav anses vara en grundförsättning för att på säkert sätt kunna
hantera skyddad information med en PC som terminal i ett nätverk.

    * En gemensam standardiserad inloggningsmetod mot alla datormiljöer.
      Detta måste också kunna infogas tillsammans med redan befintliga
      behörighetskontrollsystem. Detta krav anses vara en förutsättning
      för att myndigheter ska kunna hämta information från varandras
      system från en PC.

    * Systemet ska knyta an till nationellt och internationellt standard-
      iseringsarbete (inom bland annat Tele Trust) for elektroniska signa-
      turer. Detta för att myndigheterna i en framtid på ett säkert sätt
      ska kunna kommunicera med juridiskt bindande elektroniska dokument.

    * En praktisk lösning av de omfattande adress och katalogtjänster som
      blir resultatet av de kraftigt förbättrade möjligheterna för data-
      kommunikation mellan myndigheterna. Här tänker man en central och
      väl skyddad katalogfunktion, som alla myndigheter lätt kan nå.

    * Lättarbetade och enkla säkerhetsloggar och uppföljningsrutiner som
      uppfyller de krav datalagen ställer.

    * Administrativa rutiner för en praktisk och enkel hantering av ovan-
      stående säkerhetskoncept.

  ____________________________________________________________________________
  ____________________________________________________________________________

NORSK TROLLKARL RÄDDAR DATA:                                        DSR (2/92)

    Bild: Gunnar Bakken, VD på Ibas, framför en båt.
    Text: Säkerhetskontrollerad. "99 procent av alla hårddiskar vi
          hanterar innehåller information som kräver sekretess, därför
          är hela personalen säkerhetskontrollerad", säger Gunnar
          Bakken, VD på Ibas.


    I Kongsvinger, tio mil öster om Oslo, ligger ett litet företag som kan
konsten att ta fram data som alla trott försvunnit för alltid. Norska
Instrumenbyrået AS (Ibas) är skräcken för ekobrottslingar men räddaren i
nöden för företag med kraschade hårddiskar och förlorad information.

    Alla som har färdats sträckan Stockholm-Oslo med bil har passerat Ibas.
Företagets nybyggda lokaler ligger väl synligt, mitt i Kongsvinger, några
kilometer från den svenska gränsen. Men det är få som vet att innanför Ibas
väggar finns en av Europas största laboratoriemiljöer för datalagring. Ibas
reparerar och konfigurerar om hårddiskar, men det som gör företaget unikt
är specialtjänsterna radering och rekonstruktion av data. På det området är
det svårt att hitta någon motsvarighet. Faktum är att Ibas ligger i front-
linjen nör det gäller att dra upp riktlinjer och standarder för hur den
verksamheten ska gå till.

    -Vi har väl inga direkta konkurrenter, säger Gunnar Bakken, VD och en
av Ibas grundare. Därför har vi varit tvungna att själva jobba med problem-
ställningarna och ta fram standarder för hur hårddisken ska hanteras när
det är information på den.

    När det gäller rekonstruktion och radering av data har Ibas kunder över
hela världen. Militära myndigheter, banker, försäkringsbolag och andra stora
organisationer med stort datorberoende är deras kunder. Försäkringsbolagen
är en av de riktigt stora kundgrupperna. Det kan bli betydligt billigare för
försäkringsbolagen att skicka en brand- eller vattenskadad hårddisk med
värdefull information till Ibas än att täcka försäkringstagarens kostnader
för datarekonstruktion.

    Katastrofutryckningar

    Flera gånger har Ibas fått göra katastrofutryckningar. Gunnar Bakken
minns speciellt en:

    -Tre hårt pressade personer från ett holländskt transportföretag med
5000 kunder över hela världen kom upp till oss i Kongsvinger. Företagets
hårddisk hade kraschat när man skulle ta backup på all data. På disken fanns
all information om var de 5000 kundernas laster fanns, det handlade om
tusenvis ton per kund, och vart de skulle.

    -Det tog oss fyra dygn att ta fram data. Vi lyckades rädda 85 procent
av rådata. Med hjälp av den kunde vi ta fram 94,5 procent av informationen.
Den här räddningsinsatsen kostade det holländska företaget 100 000 norska
kronor. men inte alla katastrofutryckningar är av samma storlek. En del
jobb kostar bara några tusenlappar. Ett typfall brukar gå på 18 000 kronor.

    -Det händer också att sekreterare gråtandes kommer hit med en diskett
i handen. På den ligger viktig information som man inte kommer åt. Deras
chef har sagt till dem att de måste fixa det här annars kan de se sig om
efter ett annat jobb, säger Gunnar Bakken.

    Löser ekobrott

    Ibas rycker också ut när information ska utplånas från en hårddisk.
Det vill man göra om känslig information ligger på en disk som inte längre
ska användas.

    -Många tänker nog inte på vem som får den använda hårddisken när
leverantören tar den i utbyte mot en ny. Där kan ligga information som man
tror är borta i och med att man formaterat om hårddisken, säger Gunnar Bakken.
Men fullständig utplåning av data kräver en speciell procedur. De flesta vet
nog att det inte räcker med att skriva del *.* för att radera filer. Det
räcker inte heller med att formatera om hårddisken. Det går att få fram
informationen ändå.

    Förklaringen är att när man skriver över gammal data finns det kvar
små rester som bildar ett signalmönster. Det räcker med en mycket liten rest
av data för att man ska få fram informationen igen. Ibas kunskaper inom detta
område har delvis gjort det lättare för norska polisen att utreda ekobrott.
Det är inte ovanligt att ekobrottslingar försöker dölja sina brott genom att
radera eller ändra i datafiler. Med Ibas hjälp kan polisen plocka fram de
raderade filerna eller den ändrade informationen. Teoretiskt sett kan man
faktiskt plocka fram nästan hur många lager av raderad information som helst.

  ____________________________________________________________________________
  ____________________________________________________________________________

NORTON VÄRRE ÄN VIRUS:                                              DSR (2/92)

    Förlust av data beror ofta på att man använt hjälpprogram som Norton
Utilities på fel sätt. Datavirus däremot, är ett klart överdrivet problem,
enligt Ibas. På mer än en tredjedel av alla hårddiskar som Ibas får in är
det Norton Utilities och PC Tools som har ställt till med problem. Det
är inte hjälpprogrammen i sig det är fel på, snarare sättet att använda dem.

    -Om det är problem med hårddisken ska man inte gå in med Norton
Utilities. Då kan man ställa till med ännu mer problem, säger Gunnar Bakken.
En del nya billiga hårddiskar har svajig elektronik. Det yttrar sig som att
PCn fungerar bra en dag, men dåligt en annan. Om man då går in med Norton
och skriver in data på nytt kan hela disken förstöras. Det pratas mycket om
att datavirus ställer till med problem på hårddiskar, men det är inget som
Ibas har märkt.

    -Det är ett klart överdrivet fenomen.

  ____________________________________________________________________________
  ____________________________________________________________________________

VANLIGA SKADOR:                                                     DSR (2/92)

    De vanligaste orsakerna till att hårddiskar skadas:

    Fysiska skador:

    * Krasch av läshuvuden                        15%
    * Mekaniska fel                               15%
    * Brand, vatten och andra skador               8%
    * Sticktion (läshuvudet fastnar på skivytan)   5%

      Summa                                       43%

    Dataskador:

    * Hjälpprogram har använts fel                38%
    * Defekt systeminformation                     8%
    * Disken har formaterats                       6%
    * Fel i backup-systemet                        5%
    * Oförklarliga fel, virus                      0%

      Summa                                       57%

  ____________________________________________________________________________
  ____________________________________________________________________________

MICROSOFT AVSLÖJAR PROGRAMPIRATLIGA:                                DSR (6/92)

    Microsoft har avslöjat en stor programpiratliga som verkat i Fjärran
Östern. Tillsammans med myndigheter i Taiwan, Hong Kong och Kina sprängdes
ligan som tros ha distribuerat 75 000 piratkopior av Microsoftprodukter.
Bland annat upptäcktes svenska versioner av Ms-Dos 5.0 i den omfattande
kopieringsproduktion av såväl program som handböcker som piraterna ägnat
sig åt. Även Microsofts hologram hade kopierats.

  ____________________________________________________________________________
  ____________________________________________________________________________

GODA RÅD OM REGISTRERING AV ANSTÄLLDA:                              DSR (6/92)

    Datainspektionens nya skrift "Personregister i arbetslivet" är mera
tänkt som allmänna råd än som bindande regler. De allmänna råden är tänkta
att ge tips på hur och vad arbetsgivaren får registrera. Reglerna gäller
både för arbetsgivare på den privata som på den offentliga sidan och om-
fattar än så länge bara tillståndsfria personregister.

    Men datainspektionen är inte främmande för att låta de allmänna råden
ligga till grund även för de föreskrifter som senare ska gälla också för
tillståndspliktiga register. Datainspektionen konstaterar att det än så
länge finns få exempel, där arbetsgivare har missbrukat rätten att data-
registrera sina anställda. Därför vill datainspektionen vara ute i god tid
och kartlägga riskerna och ge förslag till hur tekniken bör användas.

    Eftersom datatekniken ger arbetsgivarna nya möjligheter att kontrollera
sina anställda, är tanken den att de allmänna råden ska visa hur datalagrade
uppgifter bör och ska hanteras i arbetslivet. Till exempel datoriserade
kassaterminaler, telefonväxlar, datoriserade system för materialhantering,
planering, in- och utpassering, kontroll av behörighet och produktion.

    Personalen bör informeras

    Arbetsgivare som har eller tänker inrätta personregister med uppgifter
om sina anställda, bör ha följande praktiska råd från datainspektionen i
minnet:

    1. Analysera först riskerna för otillbörligt intrång i arbetstagarnas
       personliga integritet innan registret inrättas.

    2. Ändamålet med och uppgifterna som ska ingår i registret bör preciseras.

    3. Uppgifterna bör i första hand hämtas från de anställda själva.
       Om inte bör arbetsgivaren informera den anställda varifrån uppgifterna
       hämtats och för vilket ändamål.

    4. Uppgifterna i registret ska användas för det ändamål som det är tänkt.
       Annars måste den registrerade lämna tillstånd.

    5. Gallring bör ske senast två år efter anställningens slut.

    6. Arbetsgivaren är skyldig att informera de som har tillgång till
       uppgifterna i ett register att de omfattas av tystnadsplikt.

    7. Arbetsgivaren är också skyldig att vidta de åtgärder som krävs
       för att skydda uppgifterna från insyn.

    8. Arbetsgivaren bör informera sina anställda vilka register och uppgifter
       han för samt registrens huvudsakliga ändamål och innehåll.

  ____________________________________________________________________________
  ____________________________________________________________________________

SÅ ARBETAR KGB:                                                     DSR (O/89)

    [Artikel skriven av Lars Sjöqvist och publicerad 1989. (c) förmodligen.
    Inskriven av Anonym 1992. Klagomål hänvisas till /dev/null. Rättigheten
    att publicera denna artikel i DSR finns ej. Men det är en annan fråga.]


    Bild:  Bild på Igor Nikiforov när han lämnar den Ungerska Ambassaden
           till fots på Strandvägen i Stockholm, Sverige.
    Text:  Den enda tillgängliga bilden på KGB-chefen Igor L. Nikiforov. 
           Här med hustrun Nonna.


    Bild:  Bild på det Sovjetiska generalkonsulatet i Göteborg.
    Text:  På det sovjetiska generalkonsulatet i Göteborg arbetar åtminstone
           sju personer med industrispionage.


    Den sovjetiska supermaktens spionmaskin KGB (Komitet Gosudarstvenno Beso-
pasnosti) är en gigantisk apparat med över 2,3 miljoner anställda och
tentakler över hela världen. Som en gigantisk bläckfisk suger KGB upp viktig
information från register och databaser.

    Spionaget styrs via sex centrala styrelser och tio olika geografiska
distrikt. Styrelsen T (technick) leder det sovjetiska industrispionaget i
väst och är idag den i särklass största och mäktigaste avdelningen inom KGB.
När studenten Marcus Hess och fyra andra västtyska hackers vävades som KGB-
agenter, så skedde det av ledningen i styrelse T. Ett av teknikbyråns huvudmål
är nämligen att stjäla värdefull och strategisk viktig information från
fienden i väst. "Kapitalisterna kommer själva att sälja det rep som vi skall
hänga dem med", hävdade den ryske revoulutionsledaren Vladimir Ilitj Lenin
entusiastiskt fyra år efter oktoberrevoulutionen. 

    När drömmen aldrig slog in bildades i stället KGB för att med hjälp av
våld, mutor och spionage hämta in värdefull information från västvärlden.
Året var 1954. Under Josef Stalins tid hette organisationen "tjekan", en
hemlig polis som mest sysslade med blodiga upprensningar inom kommunist-
partiet. Idag har Sovjets väldiga underrättelsetjänst helt ändrat strategi.
En plan för avancerat dataspionage utvecklades redan 1964, långt före USA:s
exportembargo på känslig högteknologi till öst. Därför har nu Sovjet nu
t.ex. en superhemlig telefonlinje mellan Wien och Budapest. Via den slussas
mängder av hemlig datainformation från väst till öst. Uppgifterna har
samlats in genom infiltration med agenter i en mängd europeiska hög-
teknologiska företag. Under 1984-85 avslöjades flera KGB-agenter som tagit
sig in i västtyska IBM och som dataprogrammerare hos den stora tyska
militärindustrin Messerscmitt-Bloehm-Bolekow. 

    VÄRVAR HACKERS

    När den spionaffären avslöjats fick KGB som en skänk från ovan kontakt med
hackergruppen i Hannover och Berlin. Inom västtyska underrättelsetjänsten BND
är man inte särskilt förvånad över KGB:s lyckade värvningsförsök.

    -Här i väst stöter vi ofta bort duktiga hackers som kan göra stor nytta
inom kontraspionaget. Vi ser ner på deras verksamhet och uppsakattar inte den
enorma kunskap många visar upp när de knäcker lösenord och koder till nästan
hundraprocentigt säkra datanät och system. Tänk om de här ungdomarna jobbade
åt oss. Då kunde det internationella datanätet klarat många sovjetiska
sabotage.

    Inom svenska Säpo finns ungefär samma tankegångar. Avdelningsdirektör
Roland Frenzel vid säkerhetspolisens datasektion ger sin syn på svenska
hackers i en intervju:

    -De flesta verkar vara smått galna idealister som till varje pris vill
visa att de är duktigare än den programmerare som byggt upp ett säkerhets-
system. Att knäcka koder och lösenord har blivit nått av en sport.Men många
av de här skickliga ungdomarna skulle vi och industrin ha nytta av. Deras
intresse har gjort dem till riktiga datafreaks och det är kanske svårt att
få många av dem att anpassa sig på en vanlig arbetsplats.

    -Istället skulle svenska hackers kunna hjälpa till att göra våra svenska
dataterminaler säkrare, säger avdelningsdirektör Frenzel. Eftersom de är så
duktiga att eliminera hinder och ta sig in i systemen borde de ju också vara
som gjutna för att skapa ett högklassigt skydd.

    Enligt Frenzel har Säpo många gånger fått indikationer på att ovälkomna
försökt nästla sig in i känsliga svenska databaser.

    -Men vi har inte lyckats får reda på om det är "normal" hackerverksamhet 
eller riktade angrepp från någon främmande underrättelsetjänst. Vi är mycket
medvetna om de risker som finns och vi kan inte vara helt säkra på att inte
nån hacker redan värvats som agent. Inom Säpo tror man dock inte att chanserna
är särskilt stora att någon lyckats skaffa hemliga upplysningar via de svenska
universitetens datanät. 

    -Vi har inte ett lika välutvecklat och öppet datanät som i Västtyskland
och USA, säger Roland Frenzel. I takt med att universitetem ansluts till stora
internationella nät blir dock datorerna känsligare för sabotage.

    INDUSTRISPIONER

    Det vimlar till exempel av stipendiater från öststaterna vid våra tekniska
högskolor. Många av dem har skyldighet att lämna information till KGB. Nära
10 000 sovjetiska forskare sänds varje år till Sverige och de andra industri-
länderna i väst på studiebesök eller för att vara med i symposier, kongresser
och längre forskningsprojekt. Många av dessa forskare är, enligt författaren
och sovjetexperten Charlie Nordblom, regelrätta agenter från KGB eller
sovjetiska militära underrättelsetjänsten GRU (Glavnoje Razvedivatelnoje
Upravlenije). GRU-agenterna har i regel officersgrad och beställningsuppdrag
att spionera t.ex på JAS-projektet och andra svenska försvarshemligheter.
Ryssarna gör allt för att dammsuga Sverige och övriga skandinavien på användbar 
teknologi. Därför kunde Charlie Nordblom i sin bok "Industrispionage" visa hur 
höga ryska KGB-officerare smög omkring på en datamässa i Sollentuna.

    Andra kanske sitter på ett forskarbibliotek eller på Patent- och
Registreringsverket och lusläser tekniska böcker och protokoll. Denna jättelika
insamling av information är förklaringen till varför KGB:s styrka och övriga
Sverige är så stor. Enligt färska uppgifter finns det circa 220 officiella
sovjetiska representanter verksamma i Sverige. En tredjedel eller minst 70
stycken av dessa är professionella underrättelseofficerare, 50 inom KGB och
cirka 20 inom GRU. Av de här specialutbildade sovjetiska agenterna ägnar sig
minst 25 åt industrispionage. Vi har alltså 25 eller fler renodlade sovjetiska
industrispioner på svensk mark! 

    -De diplomater som är underrättelseofficerare har 6-7 års utbildning
bakom sig i Sovjet, avslöjar en Säpo-källa i boken "Spionage i Sverige" av
Michael Rosquist. Dessutom har de goda språkkunskaper och lätt för folk att
ta folk. De är "öronmörkta" för den här verksamheten.

    KARTLÄGGER SVENSKAR

    Sovjetiska avhoppare hävdar att varje underrättelseofficer sköter två-tre
agenter. Om han dessutom själv lyckas värva en värdefull agent under sin 
Sverigetid, så har han stora chanser att få en ännu bättre placering eller 
bli befordrad inom KGB. Sammanlagt 120 officerare stationerade i Sverige sedan 
1939 har rapporterat in minst varsin lyckad agentvärvning till Moskva. Allra
bäst har det lyckats för underrättelseofficerarna inom GRU. De värvar agenter
i både svenska försvaret och militärindustrin. I KGB:s högkvarter i Moskva
kartläggs de svenskar och övriga nordbor som kan tänkas vara mottagliga för
ett värvningsförsök. Datorerna spottar ut personakt efter personakt med data
om nyckelfigurernas vanor, familjeförhållande, politiska hemvist och ekonomi.
När tiden anses mogen kontaktas de tilltänka offren och smörjs med sprit,
supe'er på lyxkrogar, pengar och smicker. Det är denna känsliga fas som kallas
"kultiveringen". I tredje och sista steget, "kapningen", knyts offret 
ohjälpligt fast till KGB. Fällan slår igen bakom honom och han tvingas förse
sina uppdragsgivare med t.ex. superhemliga tekniska upplysningar. Organisatör
av hela den här verksamheten är KGB:s chef i Sverige. Sedan årsskiftet 1987-
1988 heter han Leonidovitj Nikiforov. Han har tidigare varit stationerad i 
Finland och KGB:s politiska sektion i Reykjavik. Här i Sverige är hans 
officiella titel ambassadråd.

    SPIONCENTRAL

    Under sin tid i Sverige har Nikiforov varit en mycket diskret och tillbaka-
dragen person. Att verka men inte synas är hans paroll. Därför finns det endast
ett fotografi av honom. Det togs av en Expresen-fotograf och visar KGB-chefen
utanför ryska ambassaden tillsammans med sin fru Nonna. [Ed.s note: Det är 
den Ungerska Ambassaden på Strandvägen]. Charlie Nordblom beskriver i sin bok
"Industrispionage" den sovjetiska beskickningen och spioncentralen på
Görwellsgatan 31 i Stockholm:

    "Ambassaden ligger högt ovanför Riddarfjärdens vatten. Här arbetar ett 80-
tal personer. När sydvästen sveper in över Smedsudden och Kungsholmen vajar den
imponerande antennskogen på ambassadens tak svävligt i vinden. Här finns alla
typer av antenner; långvågs- och kortvågsantenner för mottagning av signaler
från mobiltelefoner och antenner som kan uppsnappa den länkande tele- och 
datatrafiken."

    I ambassadens övervåning arbetar en liten exklusiv grupp KGB- och GRU-
officerare med att spåra, avlyssna och banda telefonsamtal och datatrafik
mellan olika svenska företag. Gruppen leder också spionaget från handels-
och representationen ute på Lidingö, Matreco i Södertälje och generalkonsulatet
på S:t Sigfridsgatan 1 i Göteborg. I det jättelika göteborgskonsulatet på
6000 kvadaratmeter arbetar i dag sju diplomater med 14 sovjetiska tjänstemän
som saknar diplomtisk status. Uppskattningsvis en tredjedel av dem är syssel-
satta med intensivt industrispionage mot bland andra Volvo och SKF.
Tidigare var det varven i Göteborg som intresserade de ryska spionerna mest.
I fyra års tid försökte en GRU-kapten värva agenter och informatörer bland de
anställda på Arendaksvarvet. Det var ett CAD/CAM program som användes vid 
datoriserad konstruktion av isgående tankers som ryssarna var ute efter.
Idag är det istället Saab:s superdator i Linköping som finns över på ryssarnas
önskelista. Det är Sveriges enda Cray-dator och den köptes med specialtillstånd
från USA för konstruktionsarbeten på flugplansmodellen JAS. Superdatorn omgärdas
med ett effektivt säkerhetssystem till skillnad från många andra industri-
datorer.

    SNAPPAR KODER 

    När svenska företag kommunicerar med databaser i utlandet händer det,
enligt en Säpo-källa, att de kör både lösenord och identifieringskod i
klartext. På så sätt kan ryssarna via signalspaning snappa upp både datorns
nummer, identitet och operationsystem. [Ed's note: Ja, det står så.]
Enligt Säpo är den här typen av intrång mycket vanliga. För att skydda svenska
näringslivet mot datorstölder och minska företagens sårbarhet sker en intensiv
upplysningskampanj från bland annat Näringslivets Beredskapsbyrå, Näringslivets
Säkerhetsdelegation och stockholmsföretaget Research & Inquiries, som special-
iserat sig på att upplysa om och varna för sovjetiskt industrispionage.
Också Sveriges Industriförbund bedriver upplysning i datasäkerhet genom Data-
inspektionens förre generaldirektör Jan Freese. Han säger till Datormagazin:

    -KGB har visat allt större intresse för svensk högteknologi. I stället för
att lägga ner miljoner på forskning och utveckling kanske man vill använda
sig av andra genvägar. Vi måste hela tiden vara på vår vakt. Jag utesluter 
därför inte t.ex att svenska hackers kan utnyttjas för att skaffa information.
Men det här är något man helst inte talar om. Jan Freese säger till slut att
han gärna skulle åta sig att bygga ett idiotsäkert datasystem, som inga hackers
eller spioner kan nästla sig in i. 

    GLASNOST

    -Problemet är bara att jag troligen inte skulle lyckas ta mig in själv
utan mycket stora problem. Det talas så mycket om nya fantastiska säkerhets-
system, men inget system gåt att använda utan bakdörrar. Dörrar som duktiga
hackers kan tasig igenom.  Enligt författaren Charlie Nordblom är det inte nån
risk att sovjetspionaget ska avta i takt med att glasnost väller in över öst:

    -Perestrojkan förutsätter tillgång till västerländsk högteknologi. Därför
kommer industrispionaget mot väst att öka. Fler och fler militärer skolas just
nu om för att hjälpa sitt land att kapa åt sig västs åtråvärda teknologi.
Därför har säkerhetspolisen varnat för den sovjetiska offensiven i bland annat
England, Norge och USA. I Sverige verkar det därimot som om ryssarna får allt
större rörelsefrihet. Den sovjetiska kolonin i vårt land har aldrig varit så
talrik som nu.

                     :::: Information Lämnad av Anonym ::::
  ____________________________________________________________________________
  ____________________________________________________________________________

TV TV4 NYHETER [1992] - DATORISERAD HÄLERIHÄRVA:                    DSR (?/92)

    Nyhetsuppläsare: Bengt Magnusson

    Och Göteborgspolisen har avslöjat en stor häleriliga med 100-tals
medlemmar. De har skött sina affärer via privata databaser. 

    [Reportage börjar. Kameran zoomar ut ett golv fyllt med vapen]

    RE: I samband med en vanlig stöldutredning visade sig ett system av 
        datoriserade Gula Sidorna.

    [Bertil Svensson, kriminalkommisarie. Närbild]

    BS: Man har enkelt annonserat i den här respektive databasen, att nu har man 
        ett, vissa varor till salu. 

    [Bilden zoomar en en grön-monokrom skärm]

    BS: Nu frågar man till exempelvis: "Är det nån' som har tårgas eller en 
        elpistol att sälja?". Och så en annan: för övrigt säljer jag prima 
        hagelbössor.

    [Reporterns röst, närbild av ett tangentbord med knappande person]

    Sex olika databaser med över trehundra uppkopplade abonnenter i Göteborg
och Stockholm har hittils avslöjats. I Jakobsberg utanför Stockholm har två
personer häktats misstänkta för häleri via datorn.

    [Kameran zoomar in ett utskrivet E-mail, och sveper sakta över det från
    vänster till höger. Reporterns röst]

    Det här är ett beslagtaget samtal mellan två medlemmar i Göteborg och det
handlar om stöld av ficktelefoner.

    [Reporterns röst. Bild på en person som sitter framför en dator]

    De uppkopplade medlemmarna har antingen kunnat göra affärer sins emellan,
eller så har en central systemtekniker kunnat göra all-anrop.

    [Närbild av Bertil Svensson. Läser ur några papper]

    BS: Säljer 10000 liter bensin. Då frågar man efter priset. 7000 svenska 
        kronor. Det förefaller ju billigt och bra. Och sedan; vill köpa 
        Browning och Walter.

    RE: Det är vapen alltså.

    BS: Det är vapen ja.
        Och sedan frågar man sedan flera gånger efter tårgas, och det är ju 
        tydligen väldigt gångbart i dom här gängen att man skall ha tag i
        tårgas.

    [Kameran sveper över mängder med vapen. Reporten snackar]

    Via datorerna har mängder av stulna vapen, som k-pistar, pistoler och
AK4:or utbjudits till försäljning och hittat köpare. Detta är såklart
allvarligt. Allvarligt är det också att hela organisationen varit fullkommligt
okänd.

    [Närbild av Bertil Svensson]

    BS: Det kom som, för mig, som en hel överrasking. Jag hade ingen ANING
        om det va'. Man trodde inte det var sant när man fick fram det, ut-
        skrifterna här, att det förekom sånt.

                     :::: Information Lämnad av Anonym ::::
  ____________________________________________________________________________
  ____________________________________________________________________________

     DSR tar gärna emot nya sponsor/support System. Om du har speciellt
  intresse för Rapporten, och vill stödja DSR -- Lämna ditt BBS nummer -- och
  annan information på THE STASH Bulletin Board System.
  ____________________________________________________________________________
  ____________________________________________________________________________

  Anonymous :: +45-###-#####    --------     Sedes Diaboli :: +46-###-#####
     16.8 kbps DSR DK                            v.32bis DSR Information

                                   THE STASH
                       - Svenska Rapporten Support BBS -
                         Den Svenska Rapporten #1 Node
                        14.4k bps, 170+ Megs, Dygnet Runt
  ____________________________________________________________________________
  ____________________________________________________________________________

                     Detta Avslutar Detta DSR Numret Nr. 07
                                  (del 2 av 3)

                              Släppt Juli 31, 1992

                                     av TC
                         Editor av Den Svenska Rapporten
  ____________________________________________________________________________
  ____________________________________________________________________________