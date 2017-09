Ekot och P4 Stockholm avslöjade för två veckor sedan hur rikspolischefen Dan Eliasson 2015 beslutade att göra ett undantag från säkerhetsskyddsförordningen så att ett privat företag skulle få så kallad fjärråtkomst till polisens lönesystem. Detta utan att använda sig av kryptering godkänd av försvaret, något som krävs enligt förordningen.

Bakgrunden är att det våren 2015 stod klart för polisen att den inte längre klarade av att sköta personal- och lönehanteringen själv. Myndigheten behövde hjälp av ett privat företag, det kanadensiska CGI, som äger personal- och lönesystemet Palasso. Annars riskerade hela löneproduktionen att haverera. Lösningen var att ge CGI åtkomst till polisens lönesystem från företagets egna lokaler utanför polisen.

Eftersom det rör sig om hemliga uppgifter som har bäring på rikets säkerhet måste informationen, mellan polisen och företaget krypteras enligt ett system godkänt av Försvarsmakten.

Polisen konstaterar i beslutet från 2015 att:

"Enligt Säkerhetsskyddsförordningen (1996:633) 13 § får hemliga uppgifter endast krypteras med krypteringssystem godkänt av Försvarsmakten."

Och att:



”Att inte använda sig av ett krypteringssystem godkänt av Försvarsmakten innebär en risk att signalskyddet inte är tillräckligt säkert för den information som ska kommuniceras...”

Men för att spara pengar och tid så beslutade rikspolischefen Dan Eliasson, våren 2015 att man skulle göra ett undantag från säkerhetskyddsförordningen – och alltså strunta i försvarets krypteringslösning.

Men något sådant undantag från förordningen har rikspolischefen inte rätt att besluta om. Det säger Pia Gruvö, chef för IT-säkerhet på Militära underättelse- och säkerhetstjänsten, MUST.

– Nej.

Det är inget som man kan missförstå ?

– Nej det är mycket tydligt.

De enda som kan besluta om att göra avsteg från förordningen är regeringen, enligt Pia Gruvö.

Själv har Rikspolischefen Dan Eliasson inte velat kännas vid att han beslutat om dispens från förordningen, trots att det står i beslutet han själv fattat.

– När man läser det här beslutet i dag, i ljuset av det som skett på Transportstyrelsen, så kan man ju se att det skulle ha formulerats bättre. Det är olyckligt och det beklagar jag, säger han in en intervju med Ekot.

Han har vidhållit att han inte brutit mot Säkerhetsskyddsförordningen.

– Vi har inte agerat i strid med Säkerhetsskyddsförordningen. Vår uppfattning är att vi har valt ett alternativt tillvägagångssätt i stället för försvarskrypto.

Polisen har hävdat att de inte behöver försvarets godkännande eftersom kommunikationen mellan Polismyndigheten och företaget CGI sker via ett nätverk som är inom polisens kontroll.

Men Ekot har avslöjat att företaget CGI, enligt ett avtal, kan komma åt polisen lönesystem via en helt vanligt internetuppkoppling. Det här framgår av ett avtal mellan polisen och CGI som skrevs under så sent som i våras. Där står det:

”Leverantörens befintliga anslutning till internet från denna lokal används för anslutning mot Kundens miljö.”

Rikspolischefen Dan Eliasson står fast vid att kommunikationen mellan CGI och polisen står under polisens kontroll.

– Ja, det är vår bedömning, att det sker i system i system som vi har kontroll över, säger Eliasson.

It -experten Kim Hakkarainen, med förflutet på Militära Underrättelse- och Säkerhetstjänsten, Must, har gått igenom avtalet. Han håller inte med:

– Det går inte att säga att Polismyndigheten kan ha kontroll över kommunikationen om den går via internet. Det är omöjligt, säger Kim Hakkarainen. Då innebär det att de uppgifterna ska krypteras med ett av försvarets godkända kryptosystem, säger Kim Hakkarainen.