Ny säkerhetsskyddslag – ska vi RÖS-skydda hela världen nu?

Den nya säkerhetsskyddslagen och säkerhetsskyddsförodningen är ute på remiss, vilket jag tror är ett ämne som majoriteten av mina läsare följer med stor entusiasm. 😉

Överlag gillar jag den. En stor sak som utredningen gör är att diskutera när säkerhetsskydd ska vara relevant. Generellt kan sägas att säkerhetsskydd idag är relevant när information i orätta händer kan skada ”rikets säkerhet” och när det krävs för skyddet mot terrorism. ”Rikets säkerhet” är ett fantastiskt flummigt begrepp, som tolkas olika av olika myndigheter. Försvaret har sett det ur ett totalförsvarsperspektiv. Säkerhetspolisen har mer sett det utifrån samhällets förmåga att upprätthålla nödvändiga samhällsfunktioner.

Regeringen har kommit med en del uttalanden om att den senare tolkningen är den som ska gälla. Utredningen gör det ännu tydligare genom att ge en rad exempel på samhällsviktiga funktioner. Där ingår bland annat rättsväsendet, internetförsörjning, mobiltelefoni, folkbokföringen, pensionssystemet, sjuk- och arbetslöshetsförsäkringen med mer, utöver det uppenbara kring totalförsvaret. Det ska även omfatta företag som tillhandahåller funktioner som är nödvändiga för ett fungerande samhälle, vilket gör att exempelvis nätoperatörer inkluderas.

Kring socialförsäkringssystem med mer förtydligas det ytterligare: ”Begränsningar i att få korrekta basuppgifter från systemen eller en längre tid med icke fungerande informationssystem kan allvarligt skada olika former av funktioner.”

Det är alltså rätt mycket som ingår i begreppet Sveriges säkerhet.

Idag får myndigheter besluta att en anställning ska vara placerad i säkerhetsklass om det är en tjänst där personen får kontakt med information som har betydelse för rikets säkerhet. Då genomförs en säkerhetsprövning innan man blir anställd, där man till exempel kan titta på om en person är dömd för brott eller har skulder.

Idag ligger därför väldigt stort fokus på att se till att fel personer inte får tillgång till informationen. Men för många delar av de här verksamheterna är inte sekretessdelen det viktigaste, utan att systemen är uppe och snurrar. Så låt säga att Skatteverket vill säkerställa att deras nätverkspersonal är pålitliga och inte bör få för sig att stänga av nätverket mitt under deklarationstider. Det är ganska rimligt att Skatteverket inte vill ha kriminella och skuldsatta nätversadministratörer. Men Skatteverket får idag inte enkelt säga att det är kraftigt samhällsstörande om nätverket kraschar på ett svårlöst sätt under deklarationstid, utan man behöver krångla till det med resonemang om vilken information personen får tillgång till. Eftersom det är en krånglig kombination av teknik och säkerhetsskydd säger ingen emot, men det kan vara milt sagt svajiga resonemang när myndigheterna ska få ihop det här.

I den nya lagen får myndigheterna direkt hänvisa till tillgänglighet för systemen. Det är generellt sett bra.

Eftersom det är rätt mycket, med varierande skyddsbehov, som ingår i begreppet inför man också ett klassningssystem med fyra nivåer för information.

  • Kvalificerat hemlig (synnerligen allvarlig skada för Sveriges säkerhet)
  • Hemlig (allvarlig skada för Sveriges säkerhet)
  • Konfidentiell (inte obetydlig skada för Sveriges säkerhet)
  • Begränsad (ringa skada för Sveriges säkerhet)

För att hantera information med säkerhetsskyddsklassificering begränsad krävs ingen säkerhetsprövning. Där kan alltså dömda personer eller kraftigt skuldsatta personer få anställning för att arbeta med informationen.

So far so good.

Det roliga kommer när vi kommer till säkerhetsskyddsförordningen och de praktiska krav som ska ställas på systemen. Alla IT-system som hanterar information som är klassad som begränsad ska ha RÖS-skydd och av försvarsmakten godkända krypteringsfunktioner.

Röjande signaler, RÖS, handlar till stor del om att IT-utrustning ger ifrån sig elektromagnetiska fält som i vissa fall går att avlyssna för att få fram känslig information. Det är extremt mycket mer komplicerat än att få in en opålitlig anställd i en verksamhet utan säkerhetsprövningar.

Det ska alltså inte vara tillåtet att kolla om personalen som arbetar med uppgifterna inte är över öronen skuldsatta eller tidigare dömda för sabotage. Men man ska ha skydd mot röjande signaler. Och speciell krypteringsutrustning från Försvarsmakten.

Det gäller bara information som inte får läcka – inte system som behöver vara tillgängliga men inte innehåller information som inte får läcka. Men, i princip varje system som kan skada Sveriges säkerhet om det blir otillgängligt hanterar uppgifter som kan göra systemet otillgängligt. Ett exempel är lösenord för administratörer.

RÖS-skydd för all information som berör Sveriges säkerhet är högre krav än Försvarsmakten har idag. Försvarsmaktens lägsta klass kräver RÖS-skydd från konfidentiell och bara under vissa förutsättningar. Jag tror sådär helt hypotetiskt att Försvarsmakten har större hotbild från spioner än Försäkringskassans systemadministratörer…

Tack och lov finns skrivelser om att Försvarsmakten och Säpo ska kunna förskriva eller besluta om undantag. Men en paragraf i en förordning som kräver att myndigheterna med föreskriftsrätt genast föreskriver om breda, generella undantag som gäller en majoritet av all verksamhet som berörs av förordningen är felskriven.

Förslaget känns som ett resultat av att de tekniska aspekterna av säkerhetsskydd för IT-system är väldigt komplicerat. Eftersom det är svårt är det få människor som förstår vad det innebär och då kan saker som låter bra för en amatör komma med. Och det är väldigt jobbigt när sådana saker hamnar i lagar eller förordningar.

Kim Hakkarainen har skrivit en bra sammanfattning om den nya säkerhetsskyddslagen. I övrigt kanske vi inte är jättemånga som bloggat på temat. Väldigt konstigt. 😉

Annonser

3 thoughts on “Ny säkerhetsskyddslag – ska vi RÖS-skydda hela världen nu?”

  1. Kul att det är fler som är intresserade av förslaget till ny säkerhetsskyddslag.

    I förslaget till ny säkerhetsskyddsförordning (4 kap 3 § på sidan 86 i SOU 2015:25) finns krav på sex säkerhetsfunktioner; behörighetskontroll, säkerhetsloggning, skydd mot obehörig avlyssning, intrångsskydd, skydd mot skadlig kod samt skydd mot röjande signaler (RÖS).

    Du skriver om ”RÖS-skydd för all information som rör Sveriges säkerhet” och att ”alla IT-system som hanterar information som är klassad som begränsad ska ha RÖS-skydd”. Det är en felaktig tolkning av av förslaget.

    RÖS-skydd är dyrt och inte motiverat för all information som rör Sveriges säkerhet. Paragrafen handlar om alla sex säkerhetsfunktionerna, inte enbart RÖS-skydd. På sidan 358 står också att kraven kan behöva nyanseras, särskilt närt det gäller IT-system som innehåller uppgifter i den lägsta informationssäkerhetsklassen. Ett sådant system behöver fortfarande skydd som de övriga säkerhetsfunktionerna ger, t ex behörighetskontroll och säkerhetsloggning. Formuleringen i författningsförslaget är en yttre ram som ger expertmyndigheterna möjlighet att föreskriva om detaljer, t ex vilka slag av IT-system som ska vara försedda med vilka säkerhetsfunktioner. Det är helt enkelt en författningsteknisk lösning som inte ska övertolkas. Hade det varit utredningens uppfattning att alla IT-system som på något sätt rör Sveriges säkerhet ska vara försedda med RÖS-skydd så hade det framgått. En sådan syn hade dock skiljt sig från den syn som i dag finns i Sverige och internationellt.

    Kraven på de sex säkerhetsfunktionerna gäller endast IT-system som är avsedda för behandling av säkerhetsskyddsklassificerade uppgifter. Ett IT-system som inte är avsett för säkerhetsskyddsklassificerade uppgifter omfattas inte av kraven.

    Du använder Skatteverkets och Försäkringskassans IT-system som exempel. Sådana IT-system kan enligt utredningen vara behov av ett säkerhetsskydd, givet systemets betydelse för nationen (sidorna 290-292). Deras IT-system kommer, enligt min bedömning, knappast innehålla säkerhetsskyddsklassificerade uppgifter. Ett lösenord för åtkomst till ett IT-system omfattas av sekretess enligt 18 kap 8 § OSL, men bara för att ett lösenord omfattas av den sekretessen betyder det inte att lösenordet är en säkerhetsskyddsklassificerad uppgift eller att IT-systemet är avsett för sådana uppgifter (sidan 147).

    /Kim Hakkarainen

    1. Åh, vad roligt med någon som vill debattera det här med mig! 😀

      Vi är inte överens. 😉 Bland de civila myndigheterna är det en ganska etablerad praxis att placera personal som arbetar med IT-system för samhällsviktiga funktioner i säkerhetsklass. Exempel på myndigheter som haft annonser ute nyligen där de angett att tjänsten är placerad i säkerhetsklass är en junior DBA från FK, en uppdragsledare för telefoni och contact center från Skatteverket och en IT-arkitekt för Pensionsmyndigheten.

      Jag anser att motiveringen där ofta är lite svajig och blir tydligare när man kan placera utifrån tillgänglighet, vilket jag skrev ovan. Men, det är min personliga åsikt och det finns bra argument för motsatsen. Samt ett gäng mer eller mindre besvärande prejudicerande domar, där kammarrätten emellanåt varit väldigt frikostig….

      När man tittar på resonemangen bakom civila myndigheters inplacering av personal så handlar det ofta om att detaljerad kunskap om infrastruktur ger möjlighet till riktade angrepp som kan slå ut samhällsviktiga funktioner. I vissa fall är det helt sant – detaljerad kunskap kan innehålla information som kan användas på väldigt allvarliga sätt. Den känsliga informationen ligger alltså kanske inte framförallt i t.ex. i Skatteverkets eller Försäkringskassans verksamhetssystem, utan i beskrivningen av infrastrukturen runt omkring. Framförallt dokumenterade, allvarliga brister i infrastrukturen brukar ses som allvarligt.

      Ut ett samhällsperspektiv är det sant att det här är information som verkligen behöver stanna bland pålitliga personer – hamnar det fel får samhället allvarliga negativa effekter. Och därigenom blir svaret ja på åtminstone två av Säpos kontrollfrågor kring vad som är ”rikets säkerhet”. (sidan 11, http://www.sakerhetspolisen.se/download/18.635d23c2141933256ea1f6e/1381154798638/Sakerhetsskydd_en_vagledning.pdf )

      Tittar man också på effekten av att tanka upp allt från exempelvis Skatteverkets eller Försäkringskassans system på nätet ingår ett stort antal personer med skyddade personuppgifter, som med stor sannolikhet skulle mördas. Om den typen av uppgifter läcker från myndigheter som ska skydda dem blir samhällseffekten väldigt kännbar. Det kanske inte har bäring på totalförsvaret, men definitivt på samhällets stabilitet. Den grova organiserade brottsligheten är ett allvarligt samhällshot.

      Det vill säga, även om jag tycker att det kan bli lite konstlat stämmer resonemanget utifrån riktlinjen från tillsynsmyndigheten. Jag tycker inte att den här utredningen sätter ned foten åt hållet att det resonemanget är fel – tvärt om.

      Eftersom vi är av olika uppfattning om antalet myndigheter och organisationer som hanterar säkerhetsskyddsklassificerade uppgifter hamnar vi i olika slutsatser kring hur många IT-system och organisationer som berörs av paragrafen i fråga.

      Som jag ser det är det ett extremt undantagsfall att det ens överhuvudtaget är relevant att fundera på om RÖS-skydd är behövs för civila myndigheter och organisationers behov. Så av de sex funktionerna är 5 basala självklarheter som naturligtvis ska finnas. Och en funktion är en funktion som är regelrätt olämplig i de flesta sammanhang.

      Vi har en lång historik av problem kring dålig matchning mellan bedömningen kring vad som är rikets säkerhet och de tekniska kraven vi ställer. Det orsakar enorma problem och kostnader.

      Försvarsmakten har sedan länge haft möjligheten att göra just de här föreskrifterna och tolkningarna som du säger ska göras kring av försvarsmakten godkända kryptografiska funktioner. Det har man inte gjort. Resultatet har varit väldigt, väldigt dåligt, där civila myndigheter i princip behövt börja ignorera den punkten i säkerhetskyddsförordningen.

      Tyvärr ser jag en betydande risk att historien återupprepar sig, men nu även med ett helt irrelevant krav på skydd mot röjande signaler. Den här gången finns tack och lov Säkerhetspolisen med i bilden, som har en väsentligt bättre förståelse för civila myndigheters verksamhet och var som krävs för att upprätthålla den inre säkerheten.

      Att sekretess enligt 18 kap 8§ gäller utesluter inte att fler grunder för sekretess kan gälla eller att uppgiften kan ha betydelse för Sveriges säkerhet.

      Och ja, jag är lätt orimligt road av att skriva om sånt här. 😉
      /Johanna

    2. Sen är det klart att man kan tolka en förordning om att system ska ha skydd mot röjande signaler som att de inte ska ha skydd mot röjande signaler, eftersom föreskrivande myndigheter kan föreskriva om undantag från och inskränkningar i förordningen. Men det är ett jättekonstigt sätt att skriva lagar.

      Grunden för ett författningskrav måste väl ändå vara att en majoritet ska följa det, även om dispensmöjlighet finns. Att skippa kravet i förordningen och istället låta föreskrivande myndigheter föreskriva om de fall där kravet istället ska gälla känns som ett betydligt rimligare sätt att hantera frågan.

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s