Per Hellqvist om IT-säkerhet och sånt

 Den som tror att alla stränga blickar, avtagande av skor och slängandet av barnvälling skyddar dig mot attentat kan ta och tänka om. Flygplatssäkerheten är vad säkerhetsgurun Bruce Schneier kallar en “säkerhetsteater“. Det innebär att man vidtagit åtgärder som ser bra ut för oroliga besökare, men som egentligen inte tillför särskilt mycket säkerhet. Man kan kalla det för att man silar elefanter men sväljer mygg. Eller färist om man så vill.

 

I en artikel i dagens Dagens Nyheter så får vi en inblick i hur illa det står till. Sönderstressade stackars Securitas-vakter missar bombattrapper från utsända kvalitetskontrollanter samtidigt som Lilla Leah (8 månader) inte får sin mat genom kontrollen på grund av att det klassas som vätska.

 

Jag vet varför begränsningarna i mängden vätska finns, oroa dig inte. Man kan spränga stora hål i flygplan även med små mängder explosiv vätska. Och det ÄR ingen bra idé att låta överförfriskade charterturister ta med sig vapen på planet. Det är inte det denna post handlar om.

 

Vad jag, och Bruce Schneier, menar är att det inte finns något sätt att hindra terrorister från att spränga plan om de vill det. Så enkelt är det. Och flygsäkerhetsmyndigheterna världen över vet om det. Säkerhetskontrollen finns där för att du ska känna dig tryggare.

 

Den begränsning som finns i mängden vätska är ett exempel. Du får inte ha med dig vätskor i flaskor  som är större än 100 ml. Det spelar ingen roll hur lite det är i flaskan. Den får inte rymma mer än 100 ml.  Tydligen har man kommit fram till att den samlade sprängverkan från mer än så är extra (sic) förödande. Du får heller inte packa dem i en påse som rymmer mer än 1 liter. Att man sedan fritt kan köpa 100 stycken 500 ml pet-flaskor på andra sidan säkerhetskontrollen är bara skrattretande (och irriterande för dem som måste slänga sin dyra parfym bara för att flaskan är för stor). Det finns absolut ingenting som hindrar en grupp terrorister från att fylla upp ett anta  100 ml stora flaskor med flytande sprängmedel och ta dem igenom säkerhetskontrollen. Det finns absolut ingenting som hindrar dem från att därefter gå in på pressbyrån och köpa ett par flaskor, tömma ut innehållet och fylla på med sprängmedlet.

 

Det finns också gott om andra vägar terrorister kan ta för att nå sitt mål. Insiders och väskor slänga över staket är en troligare och enklare väg att gå om man vill få in saker på flygplatser. (Det är ingen fara att jag skriver detta, terroristerna vet redan om det)

 

Så, vad gör vi då? Ska vi helt strunta i det? Nej, såklart inte. Det är som tidigare sagt ingen bra idé att låta folk ta med sig blankvapen och Ebola-virus på planet. Vad som måste ske är att det skjuts till mer pengar och att kontrollen av kontrollen skärps (Jämför Quis custodiet ipsos custodes?). Patruller med tränade bombhundar är bättre än trötta ögon på röntgenskärmen och ökar säkerheten markant.Nollgräns för vätskor är mer logiskt än kryphål.

 

Nollgräns för handbagage och väldigt tighta, halvt genomskinliga kläder är än mer logiskt om man ska stoppa oönskade artefakter på flyg. Men så kan vi inte ha det. Alltså måste vi med flit sänka säkerheten.

 

I USA uppmanas resenärer vara vaksamma resenärer och rapportera in märkliga medpassagerare till säkerhetspersonal under parollen “If you see something – Say something!“. Det är såklart en bra idé, då många ögon ser mer, men risken finns att det kommer drabbar många oskyldiga som helt enkelt är flygrädda.

 

Terrorhotet är dessutom extremt litet. Det dör långt fler personer i världen varje år genom att de satt lösgodis i halsen eller fått elchocker från hårtorkar. Men terrorhotet är mycket mer skrämmande – och meningslöst. Man blir alldeles tom när de inträffar. Hur kan någon göra så mot andra människor? Läs mig rätt – jag är på intet sätt för terrorism och jag förespråkar heller inte på något sätt att vi ska göra det enklare för terrorister. Vad jag menar är att säkerhetsteater är farligt i sig. Vi slappnar av. Säkerhetspersonalen slappnar av då de själva tror att kollegorna är vaksamma (fast om de tänker på samma sätt kommer ingen vara på tårna).

 

Vet inte riktigt hur jag ska avsluta denna postning för att få dig att känna att det finns hopp, för det finns det inte. Det kommer alltid finnas en risk för attentat. Det kommer alltid finnas möjligheter att få igenom förbjudna substanser och artefakter. Jag hoppas bara att du inte är flygrädd. Eller blev det nu…

Taggar: Allmänt

Kommentarer

13 kommentarer to “Flygplatssäkerheten är en säkerhetsteater”

  1. secmaker on November 25th, 2011 11:20

    Håller med om både dina och Bruces synpunkter, men jag har svårt för att bli upprörd över att en bombattrapp passerar säkerhetskontrollerna. Den är ju per definition ofarlig.

  2. admin on November 25th, 2011 11:24

    Hoppas på ironi i din kommentar. Om en bombattrapp, som innehåller vätska, kan passera igenom säkerhetskontrollen _flera_gånger_ vid olika terminaler – hur kan man då tro att de kommer upptäcka riktiga bomber? Attrappen var ju dessutom en så kallad Kalle Anka-bomb (dvs, den var inte helt maskerad) vilket gör det än mer anmärkningsvärt.

  3. Sanna on November 25th, 2011 11:30

    Jag kommer nog inom kort att tappa min Vaio eller min Ipad där man står och försöker bolla med alla upppackade grejer i samband med säkerhetskontrollen. Har man dessutom kavaj, skor och påse med vätskori händerna ökar kravet på jongleringskunskaper än mer.. Vad sa du, ska datorn vara påslagen också? Alright..

  4. admin on November 25th, 2011 11:47

    Ja, det är inte lätt. Jag blir förvånad över mängden datorer, telefoner och paddor som glöms bort. Jag anar att det sker lite mer ofta när en uppgraderad version finns tillgänglig (iPad 3), men förmodligen sker det i ren brådska. Man kan ju bara hoppas att informationen på dem är krypterad. Annars blir det dubbelt elände.

  5. secmaker on November 25th, 2011 12:11

    @admin: Nej, ingen ironi. En av säkerhetssystemens främsta uppgifter är att skilja äkta hot från falska, t ex flytande sprängmedel i en behållare från annan vätska. Fanns där inga tecken på sprängmedel eller andra farliga vätskor så fanns inte någon anledning att ingripa.

  6. admin on November 25th, 2011 12:17

    Så du driver tesen att attrappen (med vätska i) verkligen upptäcktes av säkerhetspersonal, men avfärdades utan vidare åtgärd då man på något magiskt sätt lyckades se på röntgenbilden att den var ofarlig, trots att den var “bomblik”?

    I övrigt håller jag med om att säkerhetssystemens främsta uppgift är att skilja äkta hot från falska. Falsklarm är ingen höjdare.

    Däremot behövs tester av systemet och övningar för att hålla system och personal på tårna. Och faller testet faller säkerheten. I detta fall föll testet.

  7. Karin W on November 25th, 2011 18:34

    Intressant läsning! Precis det här funderade jag över på Säkerhet 2010 i min presentaion “Den upplevda säkerheten – ett fullgott skydd”. Hur långt räcker en upplevd säkerhet, går den att räkna hem? Det går säkert att räkna hem en upplevd säkerhet, åtminstone så länge inget händer :). Men är vi beredda att ta konsekvenserna efteråt? Det finns även en svensk doktorsavhandling, skriven av Per Oscarsson, i detta ämne som är mycket intressant. Kul att se att de här frågorna får utrymme, samtidigt som det är lite skrämmande att veta att en hel del bara är attrapper… Eller som Bruce Schneier säger: “Security is both a feeling and a reality. And they’re not the same.”

  8. admin on November 25th, 2011 18:39

    Bra där! :-) Den upplevda säkerheten räcker faktiskt hela vägen! …så länge inget går snett.

    Man kan ha feta kedjor på grinden gjorda av socker och sprejade med silverfärg. Det kommer hålla tills någon rycker i dem eller det börjar regna.

    Det är ALLTID bättre med en äkta känsla av osäkerhet än en falsk känsla av säkerhet. Det är bättre att känna till svagheter och sårbarheter så man kan förbereda sig på vad som kan hända.

  9. FPK on November 25th, 2011 18:51

    Det är svårt att kontra med det du säger när man själv inte kan prata om vad vi gör och hur vi gör i säkerhetskontrollen…

  10. admin on November 25th, 2011 18:57

    Mejla mig gärna på per_hellqvist@symantec.com. Jag är mycket intresserad av hur saker ligger till och vill INTE gå ut med fel information. Det gagnar vare sig mig eller läsarna till bloggen. Du är självklart anonym och jag kommer inte skriva om det du skriver utan att få det godkänt av dig. Jag kommer garanterat uppdatera blogginlägget om det visar sig att jag har fel i mina antaganden och påståenden :-)

  11. Björn Rydh on November 25th, 2011 22:38

    Skulle väldigt gärna vilja se hur attrappen så ut på röntgenbilden.
    Det kan mycket väl vara som @secmaker är inne på. Var attrappen bara en liten flaska med vatten är jag inte förvånad att den passerade.
    “Säkerhetskontrollerna” är en mycket dyr teaterföreställning.

  12. admin on November 25th, 2011 22:56

    Notera att jag inte är emot säkerhetskontrollerna. Jag säger bara att det inte räcker.

    Så här kan en IED-attrapp se ut: http://www.securesearchinc.com/shop/product.php?productid=17688&cat=318&page=1

    Och det är såklart inte bara i Sverige som det missas. I säkerhetsparanoians hemland missas det en hel del: http://www.homelandstupidity.us/2007/10/25/tsa-screeners-fail-most-bomb-tests/

    och här: http://articles.cnn.com/2008-01-28/us/tsa.bombtest_1_airport-screeners-airport-security-fake-bombs?_s=PM:US

  13. secmaker on November 26th, 2011 23:10

    @admin: Jag driver ingen tes, jag inser bara att jag inte har tillräckligt med fakta i målet för att bli upprörd. Och jag vill inte spekulera.

    I sak: Jag är generellt tveksam till att använda attrapper som prober för att testa säkerhetssystem. Proben måste ha minst en egenskap som systemet ovillkorligen ska reagera på för att testen ska vara av värde. Problemet är att proben då sannolikt inte är en attrapp utan en faktisk farlighet, må vara av begränsad art.

    Är det så i detta fall är ordvalet i rapporteringen olyckligt.

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.