Rikspolischefen och it-säkerheten

Nya uppgifter motsäger rikspolischefens svar om it-säkerheten

3:42 min

Ekot kan i dag avslöja uppgifter som går stick i stäv med det rikspolischef Dan Eliasson hävdat – att kommunikation mellan polismyndighetens lönesystem och ett privat företag sker via nätverk som står inom polisens kontroll.

Ekot har nu tagit del av ett avtal mellan polisen och bolaget. I avtalet framgår att företaget kommer åt lönesystemet via en internetuppkoppling.

Kim Hakkarainen, med förflutet på militära underrättelse- och säkerhetstjänsten Must är en av de it-experter som tittat på avtalet.

– Det går inte att säga att Polismyndigheten kan ha kontroll över kommunikationen om den går via internet. Det är omöjligt, säger Kim Hakkarainen.

Ekot och P4 Stockholm avslöjade för två veckor sedan hur rikspolischefen Dan Eliasson 2015 beslutade att göra ett undantag från säkerhetsskyddsförordningen så att det privata företaget CGI skulle få så kallad fjärråtkomst till polisens lönesystem.

Detta utan att använda sig av kryptering godkänd av försvaret, något som krävs enligt förordningen.

Polisen har, efter att detta uppmärksammats av Ekot, hävdat att de inte behöver försvarets godkännande eftersom kommunikationen mellan Polismyndigheten och företaget CGI sker via ett nätverk som är inom polisens kontroll.

Rikspolischefen Dan Eliasson sa själv så här i en intervju med Ekot:

– Om du tittar i säkerhetsskyddsförordningens 13:e bestämmelse så ser du att du kan använda andra möjligheter, om du har kontroll över kommunikationssättet. Och det är det sätt som vi har valt, sade Eliasson den 6 september i Ekot.

Men i ett avtal från april i år framgår det att CGI ska få komma åt lönesystemet, som alltså innehåller hemlig information med bäring på rikets säkerhet, från sina lokaler i Karlstad via ett nätverk som inte kontrolleras av polisen, internet. Det står:

Leverantörens befintliga anslutning till internet från denna lokal används för anslutning mot Kundens miljö.

Ekot har låtit flera it-säkerhetsexperter gå igenom avtalet och tilläggsavtalet mellan polisen och CGI. Kim Hakkarainen, som tidigare arbetat på Militära Underrättelse- och Säkerhetstjänsten, Must, är en av dem.

– Tilläggsvtalet är väldigt tydligt med att kommunikationen går över internet, säger Kim Hakkarainen.

Det är så tydligt alltså?

– Ja, det är extremt tydligt.

I går träffade Ekot rikspolischefen och försökte ställa frågor om det här. Han står fortfarande fast vid att kommunikationen mellan det privata företaget och Polismyndigheten sker inom polisens kontroll.

– Ja, det är vår bedömning att det sker i system som vi har kontroll över. Detaljerna måste tas med den ansvarige it-chefen.

Men här står det ju "leverantörens befintliga anslutning till internet från denna lokal används för anslutning mot kundens miljö". Vi har ju pratat med personer som säger att när det är via internet så är det inte inom polisens kontroll. Vad säger du om det?

- Detaljerna får du ta med it-chefen.

It-chefen Tomas Landeström svarar enbart via mejl. Han berör inte Ekots fråga om att företaget CGI enligt avtalet använder en vanlig internetuppkoppling.

Men han skriver att företaget har åtkomst till polisens it-miljö. Enligt honom sker det dock ingen informationsöverföring.

Men när uppkopplingen går via internet har polisen inte kontroll på det, menar Kim Hakkarainen och flera andra it-säkerhetsexperter utanför och inom Försvarsmakten, som Ekot talat med.

– Så fort någon människa i Karlstad, som hjälper till med förvaltningen, ser de här uppgifter på sin skärm så har uppgifterna sänts över en kabel. Då innebär det att de uppgifterna ska krypteras med ett av försvarets godkända kryptosystem, säger Kim Hakkarainen.

I tilläggsavtalet, som slöts i våras, ges CGI omfattande befogenheter och åtkomst till känsliga delar av polisens lönesystem. Det handlar bland annat om adressregister, scheman och att göra körningar i databasen.

Att inte använda en kryptering som godkänts av Försvarsmakten ökar risken för att någon skulle kunna komma åt uppgifter ur lönesystemet.