Riskpolischefen Dan Eliasson har beslutat att ge ett privat företag åtkomst till hemlig och känslig information från Polismyndigheten så att det bryter mot säkerhetsskyddsförordningen. Det avslöjade Sveriges Radio Ekot under gårdagen (tisdagen 5/9).
– Så får det inte gå till, säger Pia Gruvö, chef för IT-säkerhet på Militära underrättelse- och säkerhetstjänsten, MUST, till Sveriges Radio.
Palasso heter det personal-och lönesystem som Polisen använder. För den som får tillgång till det ges även en unik inblick i hur polisen arbetar. Här finns inte bara namn, personnummer och löner på de anställda, utan även uppgifter om närmast anhöriga och barn. Det går dessutom att se hur olika poliser rest och vilka scheman de har.
Teckna din prenumeration på Aktuell Säkerhet här
Systemet har funnits sedan 1990-talet, men 2015 valde man att ta hjälp av ett privat företag, kanadensiska CGI, för att sköta hanteringen av det. Lösningen blev då att ge CGI åtkomst till Palasso från företagets egna lokaler, utanför Polisen. Men eftersom att systemet innehåller hemlig och känslig information måste informationen krypteras enligt ett annat system, godkänt av Försvarsmakten. Något som tydligt framgår i säkerhetsskyddsförordningen.
Dock beslutade rikspolischef Dan Eliasson att göra ett undantag 2015 och strunta i denna krypteringslösning, ett beslut som han inte har rätt att ta, menar Pia Gruvö, chef för IT-säkerhet på MUST och drar en parallell till den nyliga IT-skandalen inom Transportstyrelsen.
– Det bryter ju mot säkerhetsskyddsförordning och vad som kan hända där det har vi ju sett nyligen då. Där var det ju någon generaldirektör som fick avgå för brott mot säkerhetsskyddsförordningen, säger Pia Gruvö till Sveriges Radio och menar vidare att det enbart är regeringen som kan besluta om om avsteg från förordningen.
Dan Eliasson avböjde att svara på frågor kring detta.