Advenicas CTO Jonas Dellenvall har skrivit en kommentar om Rikspolischefen som brutit mot säkerhetsskyddsförordningen och jämför detta med Transportsstyrelsens IT-kaos.
Teckna din prenumeration på Aktuell Säkerhet här
SR uppmärksammade under onsdagen (6 september) att polisen beslutat att låta CGI sköta hanteringen av polisens lönesystem Palasso. Efter uppmärksamheten kring transportsstyrelsens outsourcing har detta nya avslöjande fått stor uppmärksamhet. Det finns vissa likheter mellan händelserna, men också viktiga skillnader. Polisen har även kommenterat detta på sin hemsida. Nedan följer en jämförelse av de två händelserna
Avstegen har beslutats under press.
I bägge fallen har grunden för avsteget varit att myndigheten upplevt att den inte kunnat fullfölja sin uppgift på annat sätt. Polisen menar att det funnits risk att inte kunna betala ut löner i tid.
Uppgifterna har varit viktiga för rikets säkerhet.
Där transportstyrelsens organisation till stora delar varit omedveten om att uppgifterna varit skyddsvärda, har det för polisen varit klart hela tiden.
Avstegen har dokumenterats
I bägge fallen har besluten dokumenterats.
Polisens underleverantör med personal var säkerhetsprövad
Här framgår en tydlig skillnad mellan fallen. Transportstyrelsen gav personal som saknade säkerhetsgodkännande tillgång. I fallet med polisen ser det ut som den delen har skötts enligt regelboken.
Polisen verkar ha gjort en mycket tveksam tolkning av ett undantag.
Ur säkerhetsskyddsförordningen:
” 13 § Myndigheter och andra som förordningen gäller för skall, innan de sänder hemliga uppgifter i ett datanät utanför deras kontroll, förvissa sig om att det för uppgifterna där finns en fullgod informationssäkerhet.
Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.”
Polisen menar här att datanätet inte är ”utanför deras kontroll”. Syftet med paragrafens formulering är att en myndighet skall kunna hantera hemliga uppgifter inom ett IT-system i sin egen datahall eller egna lokaler utan att dessa uppgifter är krypterade. Det innebär att nätet i alla dess delar är skyddat så att obehöriga inte kan komma åt nätet.
För att ett sådant skydd skall vara meningsfullt så måste såväl logisk- som fysisk tillgång till nätet skyddas. Genom att använda ett försvarsmaktsgodkänt kryptosystem blir det tillåtet att transportera krypterade hemliga uppgifter över nät som inte är skyddade i sin helhet (logiskt och fysiskt).
Troligtvis har polisen här använt någon annan form av informationssäkerhet för denna kommunikation (ett eller flera kommersiella kryptosystem) men som saknar godkännande av försvarsmakten.
Om det är så att polisen tillåtit en underleverantör, från leverantörens lokaler, att hantera ett system med hemliga uppgifter är det mycket tveksamt att påstå att nätet är ”under deras kontroll”. Åtminstone inte i den mening lagstiftaren avsett.
Om det istället är så att CGI har hanterat systemet inifrån polisens lokaler så är hela historien en storm i ett vattenglas. Då är det å andra sidan obegripligt varför det fattats ett beslut om avsteg.
Advenica är tillverkare av VPN-kryptosystem som är godkända av försvarsmakten för att skydda uppgifter på samtliga nivåer upp till och med nivån Top Secret, och saknar övriga kopplingar till projektet.