Regeringskansliet tar för lätt på IT-säkerheten. Det är oerhört allvarligt att datatekniker utan säkerhetsklassning haft tillträde till serverhallar där information om rikets säkerhet lagras. SVT Nyheter har avslöjat att reglerna inte följts. På papperet är säkerhetslagstiftningen bra, men säkerheten bygger på att reglerna följs.
Säkerhetsskyddsdatalagen ställer tydliga krav på att leverantörer och underleverantörer som kommer i kontakt med hemligstämplade uppgifter med betydelse för rikets säkerhet först måste teckna ett så kallat säkerhetsskyddsavtal. Dessutom ska leverantörens personal säkerhetsprövas och säkerhetsklassas.
Regeringskansliets säkerhetschef Ari Stenman säger (22/10) till SVT Nyheter att han är trygg med det säkerhetsskydd som finns och att skyddsåtgärder har vidtagits när konsulterna befunnit sig i lokalerna och utfört arbeten. Ingen ska ha fått tillgång till information om rikets säkerhet.
Eftersom regeringskansliet gjort bedömningen att leverantörerna i fråga inte fått tillgång till hemlig information så behövs ingen säkerhetsklassning, har Ari Stenman sagt till DN (9/10). Samtidigt noterar DN att konsultuppdragen bedömts så känsliga att de inte utannonserats i en offentlig upphandling.
Förhoppningsvis har ingen av de personer som vistats i serverhallarna utan säkerhetsprövning och skyddsklassning kommit i kontakt med känslig information. Men det förtar inte det allvarliga i att man inte följt protokollet. Det föreskriver bland annat ett så kallat säkerhetsskyddsavtal, vilket alla leverantörer och underleverantörer som kan komma i kontakt med hemligstämplade uppgifter eller deltar i verksamheter med betydelse för rikets säkerhet måste ha.
I detta fall handlar det om två underleverantörer till Telia. De förknippas båda med skandaler, i det ena fallet en dataintrångshärva, i det andra en före detta vd som misstänks för bokföringsbrott och svindleri. Detta behöver dock inte innebära att den personal som utför datasupport och underhåll är säkerhetsrisker, men det måste en kund som regeringskansliet förvissa sig om.
Daniel Stattin, professor i juridik vid Uppsala universitet, är hård i sin kritik (SVT 22/10): ”Det här ett typfall på bolag som inte borde fått tillgång till hemlig information som rör rikets säkerhet. Varken med eller utan säkerhetsskyddsavtal.”
Transportstyrelsen, Polisen och regeringskansliet, vilken myndighet som avslöjas härnäst med en slapp inställning till IT-säkerhet återstår att se. Om inställningen till IT-säkerhet och riskerna för dataintrång präglas av samma lättsinne inom övriga myndigheter är fler IT-skandaler att vänta.
Den digitala revolutionen har på gott och ont gjort det svårt att behålla hemligheter hemliga. Spioneri och dataintrång är också stora frågor för näringslivet. Här sker stöld av forskning och affärshemligheter. Ibland sponsras spioneriet av främmade makt. I sammanhanget är det bekymmersamt att regeringskansliet inte föregår med gott exempel. Säkerhetsbristerna inom statsförvaltningen förtjänar en egen haverikommission.