Stängningen av ”gamla postvagnen”
Under hösten 2022 inledde styrelsen en översyn av SJK IT-struktur och -hantering. Först gjordes en översyn av SJK domäner, där vi konstaterade att säkerheten kring dessa var bristfällig. Domänerna var spridda på flera registratorer och endast skyddade av svaga lösenord. Samtliga domäner inklusive ”postvagnen.com”, som pekade på SJK postvagnsforum, fördes samman under en registrator och är idag endast åtkomliga via giltigt Bank ID.
Därefter kom turen till översyn av postvagnsforumet.
Föreningen är ansvarig för att det som skrivs håller sig inom lagens råmärken. Ytterst ansvarig är styrelsen. Till sin hjälp har styrelsen moderatorer vars uppgift är att övervaka det som skrivs i forumet.
Kring ”gamla Postvagnen” kunde styrelsen konstatera att:
- En pseudonym X1000 visade sig ha behörighet att ändra moderatorers beslut.
- X1000 tog sig med tiden allt större frihet med ”gamla Postvagnen” och verkade dessutom ha hög administrativ behörighet på SJK-servern.
- X1000 har vid åtskilliga tillfällen gått in och aktivt ändrat moderatorers beslut kring tvivelaktiga inlägg, vilket omöjliggjort konsekvens i deras arbete.
Styrelsen stod nu inför följande realitet
- En SJK utomstående person hade den högsta administrativa rättigheten till ”Postvagnen”.
- Någon inom SJK hade vid tidigare tillfälle engagerat denne person som ”tekniker” kring ”gamla Postvagnen” och det med absolut högsta behörighet.
- Endast en liten grupp inom SJK visade sig känna till denne persons identitet.
- Gruppen undanhöll personens identitet för nuvarande styrelse.
- Alla kontakter mellan nuvarande styrelse och den utomstående personen som satt på makten över SJK forum ”Postvagnen” var då tvungna att gå genom gruppen som ensamma satt inne med kontaktuppgifter till personen.
- Utöver kontrollen av ”gamla Postvagnen” visade sig denna person även ha administrativ hög behörighet till den server där både ”gamla Postvagnen” och SJK webbplats kördes.
Styrelsen beslöt då att
- Bryta pekningen av domänen ”Postvagnen.com” till applikationen ”Postvagnen”
- Temporärt peka ”Postvagnen.com” mot en tillfällig informationssida
- Bygga upp en ny ”Postvagn”, denna gång under SJK kontroll
Styrelsen hade ingen möjlighet att lägga upp en informationssida i ”Postvagnen” som informerade om vad som var på gång, vi saknade helt enkelt behörighet. Risken att bli utelåsta från vårt webbställe var också en identifierad risk om information gick ut i förtid. Det enda vi kunde göra var att i tysthet peka om domänen ”postvagnen.com” samt att begära hos serverhostingföretaget att få samtliga administrativa konton för servern som SJK använde frysta.
Det är absolut inte ”best practice” att bara bryta en pekare, detta beroende på domännamnssystemets eftersläpning. Följden blev den fladdrighet som tog sig uttryck i att man under en tidsperiod av ca 24 timmar ibland kom in och ibland inte. Efter ca 24 timmar var hela DNS-systemet uppdaterat och pekade korrekt på SJK informationssida. Alla borde då fått den efterlysta informationen om ”postvagnens” stängning. Tyvärr gjorde vi här ett misstag: Vi tänkte inte på att de flesta användare nyttjar genvägar som datorn lagrar när man surfar. Dessa pekade naturligtvis på ”gamla postvagnens” IP nummer, och ett felmeddelande genererades.
Efter att medlemmar hört av sig och berättat att dom ansåg att SJK brutit mot både Personuppgiftslagen och GDPR genom att deras mejladresser spridits i massmejl från X1000 och en avhoppad SJK moderator tog vi kontakt med Integritetsskyddsmyndigheten IMY. IMY:s absoluta råd var att polisanmäla händelsen och bifoga polisanmälan till vår anmälan till IMY. SJK har däremot inte polisanmält forumet ”Stambanan”. Självklart skall Svenska Järnvägsklubben inte lägga sig i om någon startar ett debattforum inom järnvägsområdet.
Huvuddelen av innehållet i de gamla postvagnsdatabaserna finns tillgängligt för alla att läsa, välj ARKIV 2008 – 2023 längst ner till höger på sidan i nuvarande Postvagn.
Gunnar Ekeving, vice ordförande i SJK