Personuppgiftspolicy

Vi vill informera dig om vår policy som beskriver hur vi behandlar personuppgifter och cookies.

Läs mer

Försvaret sa nej – sex månader innan Eliassons beslut

Foto: ANNA-KARIN NILSSON / ANNA-KARIN NILSSON EXPRESSEN
IT-säkerhetsexperten Patrik Fältström är kritisk. Foto: Pressbild Netnod/ stefan@stefantell.se

Ett halvår innan rikspolischefen bestämde att ett privat företag skulle få åtkomst till lönesystemet Palasso frågade polisen Försvarsmakten om man fick använda krypteringar som inte godkänts av myndigheten – och fick ett klart "nej" till svar.  

Det avslöjar Sveriges Radios "Ekot"

IT-säkerhetsexperten Patrik Fältström är kritisk – men polisen slår ifrån sig uppgifterna

Senare på fredagen rapporterar "Ekot" att Eliasson inte minns om han informerades om Försvarsmaktens inställning i frågan eller inte. 

För en månad sedan avslöjade Sveriges Radios "Ekot" att rikspolischef Dan Eliasson låtit det privata företaget CGI få åtkomst till hemlig information från Polismyndighetens personal- och lönesystem Palasso, utan att använda en krypteringslösning som Försvarsmakten godkänt. 

Detta i motsats till huvudbestämmelsen i Säkerhetsskyddsförordningen. 

Nu avslöjar "Ekot" att Polismyndigheten, ett halvår innan Eliasson fattade det uppmärksammade beslutet, frågade Försvarsmakten om användningen av alternativa krypteringslösningar. Källor till "Ekot" uppger att Försvarsmakten gav ett klart och tydligt "nej" till svar.

Enligt "Ekot" skulle krypteringen användas för backup-kopior som polisen ville göra av ett IT-system. 

Polisens IT-chef har inte velat svara på "Ekots" frågor om huruvida Eliasson blivit informerad om Försvarsmyndighetens inställning till alternativa krypteringslösningar.

Polisen: Det stämmer inte

Via sin hemsida slår polisen dock ifrån sig uppgifterna om att fel ska ha begåtts. De skriver om "Ekots" uppgifter:

"Det stämmer inte. Polismyndigheten följer regelverket i säkerhetsskyddslagen och säkerhetsskyddsförordningen. Känslig information hanteras alltid i IT-system som polisen har kontroll över. Säkerheten i dessa system är mycket hög."

Vidare skriver polisen att uppgifter om hur information skyddas och vilka specifika säkerhetslösningar som används, omfattas av "stark sekretess".

"Stark sekretess"

"Därför kan Polismyndigheten inte kommentera detaljer om informations- och IT-säkerheten."

"Att redogöra för detaljer kring detta skulle öka riskerna i polisens IT-system och för den information som lagras där. I förlängningen skulle det kunna orsaka stor skada för både polisens verksamhet och dess anställda."  

Eliasson minns inte om han fick information  

På fredagseftermiddagen rapporterar "Ekot" att Dan Eliasson inte minns helt säkert om han informerades om Försvarsmaktens inställning rörande krypteringslösningar innan han fattade beslutet om CGI:s åtkomst till Palasso. 

– Jag kände inte till det då. Så vitt jag kommer ihåg så känner jag inte till att det hade varit någon diskussion om det då, under 2014. Det är möjligt att jag har fått den informationen på något sätt. Jag har ingen aning. Men jag kommer inte ihåg det i dag, säger Dan Eliasson till "Ekot". 

Eliasson: Var inget lagbrott

Bakgrunden till Eliassons beslut, som fattades på våren 2015, var att polisens lönehantering riskerade att haverera. Polisens IT-avdelning hade ont om tid och valde en annan lösning för att ge CGI åtkomst till Palasso. 

I Dan Eliassons beslut anges dock två andra andra skäl: Polisens lösning var billig och mer tidseffektivt. Försvarsmaktens skulle ta minst 7-8 månader att få på plats. 

 

LÄS MER: Rikspolischefen i kvällsmöte med Morgan Johansson

 

Rikspolischefen själv menar att beslutet inte strider mot Säkerhetsskyddsförordningen. 

– I trettonde paragrafen så sägs det att hemlig information ska i grund och botten hanteras med försvarsmaktskrypto. Men man kan använda andra sätt också om man har kontroll över systemen. Det är den möjligheten som jag fattat beslut om att IT-avdelningen får söka alternativa lösningar, sa Dan Eliasson till Expressen dagen efter "Ekots" avslöjande. 

Däremot medgav Eliasson att beslutet var olyckligt formulerat. 

Kritik mot Eliassons beslut

IT-säkerhetsexperten Patrik Fältström är kritisk. 

– Allting tyder på att polisen vet att man hanterar hemliga uppgifter. Nu vet vi också att polisen fått reda på att man inte får använda annat än av Försvarsmakten godkända metoder för de här hemliga uppgifterna. Ändå valde de att gå vidare, säger han. 

– Det förstärker att det här är ett ledarskapsproblem. 

IT-säkerhetsexperten Patrik Fältström hoppas att Säpo nu utreder saken ordentligt. Foto: / SÄPO

"Hoppas att Säpo går till botten med det här"

Han uppfattning bygger på att Polismyndigheten verkligen frågade Försvarsmakten om krytperingslösningar för den där typen av uppgifter och fick ett klart "nej" till svar – vilket Ekots uppgifter gör gällande.  

Patrik Fältström tycker att rikspolischefen tolkar Säkerhetsskyddsförordningen fel. Han hänvisar till ett tilläggsavtal mellan Polismyndigheten och CGI där det står att det är CGI:s normala internetanslutning som ska användas rörande Palasso. 

Förenklat innebär det att det inte är polisen interna nätverk som används – vilket Dan Eliasson påstått.   

– En sak har polisen gjort rätt: Att de anmälde sig själva till Säpo, som de ska göra. Det jag hoppas ska hända är att Säpo verkligen går till botten med det här och talar om vad som är fel, säger Patrik Fältström.

Ekot har även sökt rikspolischefen Dan Eliasson. De fick i stället prata med Fredrik Bouvin, som är chef för drift- och infrastruktur på IT-avdelningen. Men han ville inte svara på "Ekots" frågor.

Logga in för att följa

Det är gratis och går snabbt!