Dan eliasson
Foto: Björn Larsson Rosvall/TT
Rikspolischefen och it-säkerheten

Kritik mot Eliasson efter utfrågning om SR:s avslöjande

Johan Hedin (C): Solklart att det skett ett regelbrott
0:45 min

Med anledning av Ekots och P4 Stockholms avslöjanden kring säkerhetsbrister i polisens hantering av sitt personal- och lönesystem frågades rikspolischefen Dan Eliasson och justitieminister Morgan Johansson idag ut av Riksdagens justitieutskott.

Efter utfrågningen är flera av utskottets ledamöter kritiska mot Eliasson och det beslut han fattade 2015.

– Vi får titta på vad Säpo kommer fram till i sin utredning, men för mig är det solklart att det skett ett regelbrott. Jag har svårt att se att en myndighetschef kan sitta kvar om han bryter mot väldigt viktiga säkerhetsregler, säger Johan Hedin (C).

- Här finns det i trettonde paragrafen i säkerhetsskyddsförordningen en tydlighet i att man behöver använda ett kryptosystem som är godkänt av försvarmakten. Det har inte skett i det här fallet och därför är säkerhetspolisens utredning högintressant, säger Andreas Carlson (KD).

- Min bedömning är att trettonde paragrafen i säkerhetsskyddsförordningen är helt klar på vad som gäller och här har Rikspolischefen en annan uppfattning. Den uppfattningen som redogörs för här idag, och som också redogjorts för tidigare stämmer ju inte överens med vad som är känt om ett tidigare beslut, som snarare stämmer med säkerhetsskyddsförordningen. Det låter som en efterhandskonstruktion i mina öron, säger Anti Avsan (M).   

Rikspolischefen Dan Eliasson själv sa såhär efter utfrågningen:

– Jag redogjorde för hur jag ser på rättsläget och så har jag konstaterat att varken jag eller utskottsledamöter eller media kan avgöra vad som är rätt eller fel i det här sammanhanget, utan det är Säpo som är tillsynsmyndighet. Vi får avvakta deras utfall.

Ekot och P4 Stockholm avslöjade för två veckor sedan hur rikspolischefen Dan Eliasson 2015 beslutade att göra ett undantag från säkerhetsskyddsförordningen så att ett privat företag skulle få så kallad fjärråtkomst till polisens lönesystem. Detta utan att använda sig av kryptering godkänd av försvaret, något som krävs enligt förordningen.

Bakgrunden är att det våren 2015 stod klart för polisen att den inte längre klarade av att sköta personal- och lönehanteringen själv. Myndigheten behövde hjälp av ett privat företag, det kanadensiska CGI, som äger personal- och lönesystemet Palasso. Annars riskerade hela löneproduktionen att haverera. Lösningen var att ge CGI åtkomst till polisens lönesystem från företagets egna lokaler utanför polisen.

Eftersom det rör sig om hemliga uppgifter som har bäring på rikets säkerhet måste informationen, mellan polisen och företaget krypteras enligt ett system godkänt av Försvarsmakten.

Polisen konstaterar i beslutet från 2015 att: 

"Enligt Säkerhetsskyddsförordningen (1996:633) 13 § får hemliga uppgifter endast krypteras med krypteringssystem godkänt av Försvarsmakten."

Och att:


”Att inte använda sig av ett krypteringssystem godkänt av Försvarsmakten innebär en risk att signalskyddet inte är tillräckligt säkert för den information som ska kommuniceras...”

Men för att spara pengar och tid så beslutade rikspolischefen Dan Eliasson, våren 2015 att man skulle göra ett undantag från säkerhetskyddsförordningen – och alltså strunta i försvarets krypteringslösning.

Men något sådant undantag från förordningen har rikspolischefen inte rätt att besluta om. Det säger flera experter till Ekot. De enda som kan besluta om att göra avsteg från förordningen är regeringen, enligt dem.

Själv har Rikspolischefen Dan Eliasson i intervjuer med Ekot och P4 Stockholm inte velat kännas vid att han beslutat om dispens från förordningen, trots att det står i beslutet han själv fattat.

– När man läser det här beslutet i dag, i ljuset av det som skett på Transportstyrelsen, så kan man ju se att det skulle ha formulerats bättre. Det är olyckligt och det beklagar jag, säger han in en intervju med Ekot.

Han har vidhållit att han inte brutit mot Säkerhetsskyddsförordningen. 

 – Vi har inte agerat i strid med Säkerhetsskyddsförordningen. Vår uppfattning är att vi har valt ett alternativt tillvägagångssätt i stället för försvarskrypto.

Polisen har hävdat att de inte behöver försvarets godkännande eftersom kommunikationen mellan Polismyndigheten och företaget CGI sker via ett nätverk som är inom polisens kontroll.

Men Ekot har avslöjat att företaget CGI, enligt ett avtal, kan komma åt polisen lönesystem via en helt vanligt internetuppkoppling. Det här framgår av ett avtal mellan polisen och CGI som skrevs under så sent som i våras. Där står det:

”Leverantörens befintliga anslutning till internet från denna lokal används för anslutning mot Kundens miljö.”

Rikspolischefen Dan Eliasson har i intervju med Ekot stått fast vid att kommunikationen mellan CGI och polisen står under polisens kontroll.

– Ja, det är vår bedömning, att det sker i system i system som vi har kontroll över, säger Eliasson.

It -experten Kim Hakkarainen, med förflutet på Militära Underrättelse- och Säkerhetstjänsten, Must, har gått igenom avtalet. Han håller inte med:

– Det går inte att säga att Polismyndigheten kan ha kontroll över kommunikationen om den går via internet. Det är omöjligt, säger Kim Hakkarainen. Då innebär det att de uppgifterna ska krypteras med ett av försvarets godkända kryptosystem, säger Kim Hakkarainen.

 

Relaterat

Grunden i vår journalistik är trovärdighet och opartiskhet. Sveriges Radio är oberoende i förhållande till politiska, religiösa, ekonomiska, offentliga och privata särintressen.
Du hittar dina sparade avsnitt i menyn under "Min lista".