Fredrik Blix, IT-säkerhetsexpert, Institutionen för data- och systemvetenskap vid Stockholms universitet.
Fredrik Blix, IT-säkerhetsexpert, Institutionen för data- och systemvetenskap.

Den som har tillgång till systemet får insyn i hur Polisen arbetar; namn, personnummer, löner. Det finns också uppgifter om vilka de närmast anhöriga och barn är.

Militära underrättelse- och säkerhetstjänsten (MUST) menar att tillgång givits i strid med regler i säkerhetsskyddsförordningen. Förordningen säger att sådan tillgång måste ges med kryptosystem som är godkända av Försvarsmakten, vilket inte har skett. Kryptosystemen ska göra informationen oläsbar för en angripare när den passerar på nätverket.

Fredrik Blix, IT-säkerhetsexpert vid Stockholms universitet, förklarar att det inte handlar om information som kommit på avvägar eller, som ifallet med Transportstyrelsen, om personal som inte har blivit säkerhetsprövade. Snarare finns det åsikter om själva krypteringslösningen som använts för att ge åtkomst till uppgifterna. 

- Är det så som Must menar, att Polisen inte har kontroll över det aktuella datanätverket som används för kommunikationen, och givet att det är sådana känsliga uppgifter som det beskrivits ja, då är det ett brott mot säkerhetsskyddsförordningen. Polisen å sin sida menar att de faktiskt har kontroll över datanätverket som uppgifterna skickats över, och därför inte behöver använda kryptosystem som just Försvarsmakten godkänt, säger Fredrik.

- Inga uppgifter jag har talar för att den kryptolösning som Polisen valt att använda har sämre IT-säkerhet än de som Försvaret har godkänt. IT-säkerheten kan till och med vara bättre. Poängen med evaluerade och av Försvarsmakten godkända lösningar är att man har förvissat sig om att de inte innehåller några bakdörrar eller tekniska sårbarheter som någon aktör kan använda för att olovligen ta del av uppgifterna på nätverket. Det är just det som problemet gäller, att nu vet man inte hur det förhåller sig med den delen. Det mest sannolika här är ändå, att uppgifterna trots det inte kommit i orätta händer.

- Företaget CGI är en betrodd leverantör till staten sedan decennier, även om de bytt namn och ägare. Polisen har, för att spara tid och pengar, valt att använda den lösning CGI normalt använder för säker fjärraccess till myndighetens servrar. Lösningen fanns redan på plats och man tyckte det var slöseri med resurser att skaffa en till, avslutar Fredrik.

 

Klicka på länken för att se inslaget ”IT-expert Fredrik Blix: Kan få konsekvenser", i Aftonbladet TV, 2017-09-05.