• Digital säkerhet
  • Traditionell säkerhet
  • I FOKUS
  • Nyhetsbrev

”Först transportstyrelsen, nu polisen. Vad handlar detta egentligen om?

-

Advenicas CTO Jonas Dellenvall har skrivit en kommentar om Rikspolischefen som brutit mot säkerhetsskyddsförordningen och jämför detta med Transportsstyrelsens IT-kaos.

Teckna din prenumeration på Aktuell Säkerhet här

Jonas Dellenvall, CTO Advenica
Foto: Drago Prvulovic 2017-05-12

SR uppmärksammade under onsdagen (6 september) att polisen beslutat att låta CGI sköta hanteringen av polisens lönesystem Palasso. Efter uppmärksamheten kring transportsstyrelsens outsourcing har detta nya avslöjande fått stor uppmärksamhet. Det finns vissa likheter mellan händelserna, men också viktiga skillnader. Polisen har även kommenterat detta på sin hemsida. Nedan följer en jämförelse av de två händelserna

 Avstegen har beslutats under press.

I bägge fallen har grunden för avsteget varit att myndigheten upplevt att den inte kunnat fullfölja sin uppgift på annat sätt. Polisen menar att det funnits risk att inte kunna betala ut löner i tid.

Uppgifterna har varit viktiga för rikets säkerhet.

Där transportstyrelsens organisation till stora delar varit omedveten om att uppgifterna varit skyddsvärda, har det för polisen varit klart hela tiden.

Avstegen har dokumenterats

I bägge fallen har besluten dokumenterats.

Polisens underleverantör med personal var säkerhetsprövad

Här framgår en tydlig skillnad mellan fallen. Transportstyrelsen gav personal som saknade säkerhetsgodkännande tillgång. I fallet med polisen ser det ut som den delen har skötts enligt regelboken.

Polisen verkar ha gjort en mycket tveksam tolkning av ett undantag.

Ur säkerhetsskyddsförordningen:

13 § Myndigheter och andra som förordningen gäller för skall, innan de sänder hemliga uppgifter i ett datanät utanför deras kontroll, förvissa sig om att det för uppgifterna där finns en fullgod informationssäkerhet.

Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.”

Polisen menar här att datanätet inte är ”utanför deras kontroll”. Syftet med paragrafens formulering är att en myndighet skall kunna hantera hemliga uppgifter inom ett IT-system i sin egen datahall eller egna lokaler utan att dessa uppgifter är krypterade. Det innebär att nätet i alla dess delar är skyddat så att obehöriga inte kan komma åt nätet.

För att ett sådant skydd skall vara meningsfullt så måste såväl logisk- som fysisk tillgång till nätet skyddas. Genom att använda ett försvarsmaktsgodkänt kryptosystem blir det tillåtet att transportera krypterade hemliga uppgifter över nät som inte är skyddade i sin helhet (logiskt och fysiskt).

Troligtvis har polisen här använt någon annan form av informationssäkerhet för denna kommunikation (ett eller flera kommersiella kryptosystem) men som saknar godkännande av försvarsmakten.

Om det är så att polisen tillåtit en underleverantör, från leverantörens lokaler, att hantera ett system med hemliga uppgifter är det mycket tveksamt att påstå att nätet är ”under deras kontroll”. Åtminstone inte i den mening lagstiftaren avsett.

Om det istället är så att CGI har hanterat systemet inifrån polisens lokaler så är hela historien en storm i ett vattenglas. Då är det å andra sidan obegripligt varför det fattats ett beslut om avsteg.

 Advenica är tillverkare av VPN-kryptosystem som är godkända av försvarsmakten för att skydda uppgifter på samtliga nivåer upp till och med nivån Top Secret, och saknar övriga kopplingar till projektet.

REKLAMSAMARBETE

Artificiell Intelligens inom Säkerhet: Hur AI Påverkar Din Roll

Utvecklingen av Artificiell Intelligens tvingar dig att kontinuerligt finjustera din säkerhetsstrategi för att vara förberedd på morgondagens hot och möjligheter.Security Leadership 2024 förser dig...

FLER NYHETER

Proofpoint lanserar ramverk för informationsskydd

Organisationer med komplexa behov letar efter mer omfattande lösningar som går utöver traditionella DLP-åtgärder. Hittills har branschen saknat ett praktiskt ramverk som tar itu...

REKLAMSAMARBETE

Säkerhet i världen, Europa och Sverige

Registreringen till Säkerhetsgalan slår upp dörrarna klockan tolv och sedan öppnas galan klockan 13 av värden Eva Hamilton. - När jag för första gången ledde...

Afactor anställer före detta polisinspektör

Hon kommer senast från Polismyndigheten där hon haft en anställning som polisinspektör och gruppchef på Utredningssektionen i Östergötland. Sara Saks har en bakgrund som...

REKLAMSAMARBETE

The Clean Feed – en podcast om hur vi gör Internet lite säkrare 

Besedo är ett svenskgrundat kunskapsföretag, inriktat på att öka kvalitet, kundnytta och värde för företag som har användargenererat innehåll på webben. Bland kunderna i...

UNDERSÖKNING: Hälften av svenska företag hävdar ingen påverkan av EU:s nya AI-lag

EU:s AI-lag trädde i kraft den 1 augusti med syftet att skydda medborgarnas rättigheter och säkerhet och ska samtidigt främja innovation. På frågan om...

Consilium förvärvar danskt brandsäkerhetsbolag

– Jag är glad att Daspos bli en del av Consilium. Synergierna med våra säkerhetslösningar kommer att öka värdet för våra kunder och förbättra...

REKLAMSAMARBETE

”Generativ AI är fullkomligt avgörande för effektiv cybersäkerhet – både nu och i framtiden”

Den 13 juni, klockan 9.30, bjuder Aktuell Säkerhet och SentinelOne in till ett frukostwebinar om hur du kan använda generativ AI för effektivare cybersäkerhet,...

Förtroendet för biometri ökar – var tredje svensk vill låsa upp allt med fingeravtryck

– Sverige står på tröskeln till en revolution inom digital identitet. Vår undersökning visar på en anmärkningsvärd förändring i konsumenternas attityder, där svenskar i...

Ny Sverigechef för Assa Abloy Opening Solutions

Jerker Krabbe har nyligen tillträtt som chef för Assa Abloy Opening Solutions svenska verksamhet. Jerker Krabbe kommer närmast från Eton Systems, där han varit...

Ängelholm kommun satsar på brottsförebyggande arbete i den digitala miljön

- Tillsammans med polisen fortsätter Stiftelsen Tryggare Sverige att utbilda barn till cyberagenter, där de får lära sig om cybersäkerhet, desinformation, nätfiske, penningtvätt, bedrägerier...

Nordic Level Technology tecknar sitt största avtal för tekniskt brandskydd till datacenter

– Allt fler kunder satsar på avancerade brandskyddslösningar med aspirationsteknik och talande utrymningslarm, vilket är helt rätt väg att gå. Uppdragen passar vår organisation...

Garda Group förvärvar A/H Låsemontage 

– Vi välkomnar A/H Låsemontage till Garda Group och KIBO. Med A/H Låsemontage i teamet stärker vi våra kompetenser inom teknisk säkerhet och därmed...

Omegapoint Stockholm tillsätter ny vd

Wilhelm Hedman-Dybeck är utbildad civilingenjör och började sin resa på Omegapoints traineeprogram 2017. Sedan dess har han gjort en imponerande karriär. Han har levererat...

Hon är vald till ny styrelseledamot för Ansvar Säkerhet

Josefin Lindstrand har tidigare bland annat ingått i Citibanks nordiska ledningsgrupp samt som ledamot av Swedbanks styrelse med uppdrag att återvinna den bankens förtroende...

Cybersäkerhet i förnybara energikällor tryggar den framtida energisäkerheten

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Solenergins raketartade uppgång de senaste åren har gjort den till en allt viktigare del...

Sveriges medieledare träffas på temat hat och hot

En stor andel journalister utsätts för hat och hot i sin yrkesroll och omkring en femtedel uppger att det påverkar deras hälsa negativt. För...

Skjutningar ökar vid förändringar i den kriminella miljön

Skjutvapenvåldet har inte bara ökat sedan mitten av 00-talet utan det har även skett förändringar i hur det utförs, vem som utför det och...

Cybersäkerhet i förnybara energikällor tryggar den framtida energisäkerheten

Det här är en opinionstext. Åsikter som uttrycks är skribentens egna.Solenergins raketartade uppgång de...