Rikspolischefen frångick säkerhetsskydds­förordningen

3:30 min

Ekot och P4 Stockholm kan avslöja att rikspolischefen Dan Eliasson beslutat att ge ett privat företag åtkomst till hemlig och känslig information från Polismyndighetens personal- och lönesystem, på ett sätt som bryter mot säkerhetsskyddsförordningen.

Så får det inte gå till, säger Pia Gruvö, chef för IT-säkerhet på Militära underrättelse- och säkerhetstjänsten, MUST.

– Det var ju olyckligt säger jag, helt enkelt.

Hur allvarligt är det?

– Man riskerar då att uppgifterna kan komma någon annan till del.
 
Polisens personal-och lönesystem, Palasso, beskrivs som hjärtat i polisens verksamhet. Den som har tillgång till systemet får en unik inblick i hur polisen arbetar.

Förutom namn, personnummer och löner på alla anställda finns där också uppgifter om närmaste anhöriga och till och med barn. Man kan se vart enskilda poliser rest, olika meriter och scheman.

Personal- och lönesystemet har funnits hos polisen sedan slutet på 1990-talet. Eftersom det innehåller hemliga uppgifter med bäring på rikets säkerhet, sköts driften internt i särskilda lokaler.

Men våren 2015 stod det klart för polisen att den inte längre klarade av att sköta personal- och lönehanteringen själv. Myndigheten behövde hjälp av ett privat företag, det kanadensiska CGI, som äger Palasso. Annars riskerade hela löneproduktionen att haverera.

Lösningen var att ge CGI åtkomst till polisens lönesystem från företagets egna lokaler utanför polisen.

Eftersom det rör sig om hemliga uppgifter som har bäring på rikets säkerhet måste informationen, mellan polisen och företaget krypteras enligt ett system godkänt av Försvarsmakten. Detta framgår tydligt i säkerhetsskyddsförordningen.

Men för att spara pengar och tid så beslutade rikspolischefen Dan Eliasson, våren 2015 att man skulle göra ett undantag från säkerhetskyddsförordningen – och alltså strunta i försvarets krypteringslösning.

Men något sådant undantag från förordningen har rikspolischefen inte rätt att besluta om, säger Pia Gruvö, chef för IT-säkerhet på Militära underättelse- och säkerhetstjänsten, MUST.

– Nej.

Det är inget som man kan missförstå ?

– Nej det är mycket tydligt.

Hon drar även en parallell till den uppmärksammade it-skandalen på Transportstyrelsen:

– Det bryter ju mot säkerhetsskyddsförordning och vad som kan hända där det har vi ju sett nyligen då, säger Pia Gruvö.

Hur menar du?

– Det var ju någon generaldirektör som fick avgå för brott mot säkerhetsskyddsförordningen.

De enda som kan besluta om att göra avsteg från förordningen är regeringen, enligt Pia Gruvö.

Men något sånt formellt beslut har inte fattats av regeringen, hävdar regeringskansliet när Ekot och P4 Stockholm kontaktar det.

Rikspolischefen Dan Eliasson vill inte ställa upp på en intervju och svara på frågor kring det här. Men det är tydligt att han tagit beslutet om att frångå säkerhetsskyddsförordningen trots att han varit medveten om riskerna.

I beslutet daterat april 2015 som Dan Eliasson skrivit under framgår bland annat:


”Att inte använda sig av ett krypteringssystem godkänt av Försvarsmakten innebär en risk att signalskyddet inte är tillräckligt säkert för den information som ska kommuniceras...”

Efter att vi i flera veckors tid ställt frågor om beslutet så meddelar polisen på tisdagseftermiddagen att man inte kommer svara på några frågor och att, citat:

”Vi känner oss trygga med att polisens tekniska lösningar är utformade och införda i enlighet med gällande regelverk”.

Vilken information som skickats mellan polisen och CGI vill polisen inte svara på. Inte heller vilken krypteringslösning man använder i stället för försvarets.

Även företaget CGI avböjer att kommentera, med motiveringen att de inte kan prata om sina kunders verksamhet.

Sent på tisdagskvällen kom polisen med ett nytt uttalande där man hävdar att man inte brutit mot säkerhetskyddsförordningen:

"Med anledning av dagens medieuppgifter att polisen ska ha hanterat uppgifter i strid mot säkerhetsskyddsförordningen vill Polismyndigheten vara tydlig med att Polismyndigheten har agerat i enlighet med säkerhetsskyddsförordningen.

Försvarsmaktskrypto måste användas om hemliga uppgifter sänds i datanät utanför polisens kontroll. Om hemliga uppgifter sänds i datanät som polisen har kontroll över behöver försvarsmaktskrypto inte användas utan andra kryptosystem får användas, i enlighet med Säkerhetsskyddsförordningens §13".

Men i Rikspolischefens beslut om att göra ett undantag från förordningen från april 2015 beskrivs ingående att det handlar om att skicka hemlig information utanför polismyndigheten och att man är mycket medveten om att det enligt förordningen då skulle krävas ett krypteringssystem som är godkänt av försvaret. 

Det är därför det krävs ett beslut om att göra ett undantag från förordningen. 

Det framgår att för att support och förvaltning och polismyndighetens löneproduktion ska säkras  så krävs att CGI, som äger, förvaltar och utvecklar Palasso får åtkomst till polisens Palasso från sina lokaler.

Det sägs i beslutet att informationen som skickas mellan Palasso och den externa leverantören CGI har bäring på rikets säkerhet, och att informationen klassas som hemliga uppgifter.

Och polisen i konstaterar i beslutet från 2015 att: 

"Enligt Säkerhetsskyddsförordningen (1996:633) 13 § får hemliga uppgifter endast krypteras med krypteringssystem godkänt av Försvarsmakten."

"Härmed beslutas att utnyttja befintliga tekniker som idag används för kommunikation inom polisen och att ge dispens från att använda en krypteringslösning som är godkänd av försvarsmakten"