Trafikverket

Därför är sexuellt övergreppsmaterial på barn en säkerhetsfråga

När företag och organisationer beslutar sig för att bidra till att bekämpa sexuella övergrepp på barn och spridning av bilder och filmer av övergrepp berör det en rad olika avdelningar på företaget, exempelvis ledningsgrupp, HR-avdelningen, IT och legal. Men det är också en fråga för säkerhetsavdelningen. IT-säkerhetsspecialist Conny Jäverdal på Trafikverket berättar om hur de arbetar med frågan.

Sedan 2012 har Trafikverket programvaran NetClean ProActive installerad på myndighetens arbetsdatorer för att detektera om någon hanterar sexuellt övergreppsmaterial på barn. IT-säkerhetsspecialist Conny Jäverdal har sedan start varit ansvarig för installationen.

Beslutet att installera ett detektionsverktyg drevs ursprungligen av HR-avdelningen på Trafikverket, dåvarande Vägverket. I grunden är den tyngst vägande anledningen en moralisk fråga. Det handlar om att som myndighet ta ansvar för att skydda barn och göra vad man kan för att bekämpa sexuella övergrepp på barn. Trafikverket ser det också som viktigt att de, som en stor myndighet, föregår med gott exempel.

Men även om inköpet och beslutet drevs som en HR-fråga, hanteras det som en säkerhetsfråga.  Conny Jäverdal menar att finns en säkerhetsaspekt på allt som man gör på nätet, och att det finns ett antal viktiga säkerhetsrisker kopplade till frågan.

Här berättar han utifrån Trafikverkets synvinkel om de riskfaktorer som är viktiga att tänka igenom:

En lagstiftningsfråga och efterlevnad av policy

Att säkerställa att företagets utrustning inte används för olagliga handlingar är både en lagstiftningsfråga och en policyfråga.

Företag och organisationer har en skyldighet att anmäla brott som sker på arbetsplatsen. Därmed blir det också viktigt att förhindra så långt det går att brotten sker, och säkerställa att man kan upptäcka eventuella brott.

Det handlar samtidigt om efterlevnad av policy. Trafikverket har, utöver vad som är brottsligt, gjort etiska och moraliska ställningstaganden med regler för vad man får och inte får göra på arbetsplatsen eller med dess utrustning. Givetvis är det inte acceptabelt att personal hanterar den här typen av material med myndighetens utrustning vare på sin arbetstid eller fritid.

Ett riskbeteende

Att hantera och inneha sexuellt övergreppsmaterial på barn är ett beteende som innebär en risk i sig. Personen är tvungen att ljuga både för arbetsgivaren och resten av omgivningen. Det är lätt att inse att sådan brottslig verksamhet lätt kan göra att man överträder även andra lagar och regler.

Risk för olika typer av attacker

Okontrollerade webbplatser och okontrollerade media innebär en förhöjd risk för organisationen. Oavsett om personen surfar från sin dator eller från sin mobil så exponerar personen sin enhet på ett sätt som gör att den går att spåra tillbaka till Trafikverket. Det kan initiera flera olika typer av attacker, som belastningsattacker, spam eller liknande. Det finns givetvis också en risk för att personer drar in malware när de försöker ladda ner någonting annat. Samma sak gäller för okontrollerade USB-stickor.

Utpressningsförsök

Personer som hanterar den här typen av olagligt material hamnar i en situation där de är sårbara för hot och utpressning. Beroende på vad personen har för funktion inom organisationen, och vilken information han eller hon kan pressas till att lämna ifrån sig, kan det innebära en stor säkerhetsrisk.  

Att någon riskerar att utsättas för materialet

Slutligen finns det en risk att andra personer utsätts för materialet av misstag. Det är kanske inte den största riskfaktorn, men den finns där och genom att skydda organisationen mot den här typen av material, skyddar vi också våra medarbetare.

Conny Jäverdal är IT-säkerhetsspecialist på Vägverket och Trafikverket, och har arbetat med säkerhetsfrågor sedan 80-talet. Sedan starten 2012 har han ansvarat för NetClean ProActive-installationen på Vägverket. Som IT-säkerhetsspecialist var det naturligt att han började arbeta med installationen, eftersom larm från NetClean ProActive är sekretessärenden på samma sätt som andra IT-säkerhetsutredningar.