6 september, 2017

Rikspolischefen anklagad för att bryta mot Säkerhetsskyddsförordningen

Myndigheters informationssäkerhet har varit på tapeten den senaste tiden. När SR Ekot under tisdagen kunde avslöja att rikspolischef Dan Eliasson har begått brott mot säkerhetsskyddsförordningen tog den diskussionen återigen ny fart.


Nya uppgifter från Ekot avslöjar att rikspolischef Dan Eliasson har godkänt att outsourcingpartnern CGI har fått åtkomst till säkerhetsklassad data utan att använda Försvarsmaktens krypteringslösning vid överföringen. Eliasson ska enligt uppgift ha gett ett privat företag tillgång till hemlig information i Polisens personal- och lönesystem utan att följa Försvarsmaktens lagstadgade kryptolösning.

Uppgifterna ska innehålla information som namn, personnummer, löner och scheman, men även uppgifter om de anställdas familjer och anhöriga. Tillsammans bildar informationen en kartläggning av polisens arbete, vilket förstås är att betrakta som oerhört känsligt.

Valde annan kryptolösning för att spara pengar och tid

Fram till 2015 driftades myndighetens personal- och lönesystem av polisens interna IT-avdelning. När de kom fram till att de inte längre klarade av att sköta funktionen på egen hand valde de istället att outsourcade den till CGI och deras personal- och lönesystem Palasso.

Eftersom Polismyndigheten hanterar hemlig information som har bäring på rikets säkerhet ställdes särskilda krypteringskrav, utformade av Försvarsmaktens militära underrättelse- och säkerhetstjänst (MUST). Enligt Säkerhetsförordningen ska all data mellan Polisen och utomstående parter, i det här fallet CGI, krypteras efter MUST:s fastställda kryptolösning.

Nu har det alltså uppdagats att rikspolischef Dan Eliasson undgick Säkerhetsskyddsförordningen och Försvarsmaktens krypteringsmetod i syfte att spara pengar och tid. Det är ett beslut Dan Eliasson inte är berättigad att ta, utan det får endast tas av Regeringen.

Polismyndigheten förnekar brott

Som svar på anklagelserna uppger Polismyndigheten att de inte har begått något brott. I en text på deras hemsida kallar de incidenten för ett missförstånd och menar att de enbart har utnyttjat utrymmet i förordningen.

”Det har blivit ett missförstånd kring grunderna för beslutet att inte använda kryptolösningen från Försvarsmakten. Det finns utrymme att använda andra säkra lösningar när det, som i detta fall, gäller it-nätverk som kontrolleras av oss själva.”

Vidare skriver de:

”Om hemliga uppgifter sänds i datanät som polisen har kontroll över behöver försvarsmaktskrypto inte användas utan andra kryptosystem får användas, i enlighet med Säkerhetsskyddsförordningens §13”.

Dan Eliasson har personligen avböjt att kommentera händelsen.