Information från Polisens personal- och lönesystem kan ha hanterats på ett sätt som bryter mot Säkerhetsskyddsförordningen, visar en granskning som Sveriges Radios Ekot gjort.

Våren 2015 beslutade Polismyndigheten att de behövde hjälp av CGI för att sköta driften av lönesystemet Palasso, något som skötts internt sedan slutet av 90-talet. Lösningen blev att ge CGI möjlighet att sköta systemet från sina egna lokaler.

Det är den datahanteringen som nu kritiserats. Polisen har nämligen valt att inte använda en krypteringslösning som godkänts av Försvarsmakten. Något som enligt Ekots granskning kan bryta mot Säkerhetsskyddsförordningen.

Läs också: Dokument: Utredare föreslår utökad lagring av trafikdata

Det är Säkerhetsskyddsförordningens 13 paragraf som hamnat i rampljuset efter Sveriges Radios avslöjande. Den lyder så här:

"Myndigheter och andra som förordningen gäller för skall, innan de sänder hemliga uppgifter i ett datanät utanför deras kontroll, förvissa sig om att det för uppgifterna där finns en fullgod informationssäkerhet.

Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten."

Polismyndigheten anser dock att de inte gjort något fel. I ett pressmeddelande skriver myndigheten att "om hemliga uppgifter sänds i datanät som polisen har kontroll över behöver försvarsmaktskrypto inte användas utan andra kryptosystem får användas".

De anser med andra ord att kommunikationen med CGI skett i ett datanät som legat under Polisens kontroll. I sådana fall behövs, enligt förordningen, ingen krypteringslösning som godkänts av Försvarsmakten.

Enligt ett förtydligande från Polisen har inga känsliga uppgifter lämnat myndigheten, och all kommunikation med CGI har skett via säkra kanaler. Till skillnad från it-skandalen på Transportstyrelsen, som många jämfört händelsen med, ska dessutom all personal på konsultbolaget som arbetat med driften av systemet vara säkerhetskontrollerad. 

Polisen har samtidigt kallat in på Justitiekanslern och Säkerhetspolisen för att utreda om något fel har begåtts. 

Läs också: Färre mord i Chicago – tack vare polisens nya algoritm

Det som talar emot Polisens uppgifter är att generaldirektör Dan Eliasson säger sig vara medvetna om riskerna med att frångå Försvarets krypteringslösning, det framkommer av Sveriges Radios granskning.

”Att inte använda sig av ett krypteringssystem godkänt av Försvarsmakten innebär en risk att signalskyddet inte är tillräckligt säkert för den information som ska kommuniceras...”, står det i ett beslut undertecknat av Dan Eliasson från april 2015.

Computer Sweden har sökt både Polismyndigheten och Försvarsmakten för att få svar på vilken typ av krypteringslösning som Polisen använt, och vad de definierar som ett datanät som Polisen har kontroll över.

Vad fanns i lönesystemet?

Enligt Sveriges Radio finns information om 30 000 poliser i systemet. Förutom information om namn, personnummer och löneutbetalningar finns även uppgifter om närmast anhöriga och i vissa fall även barn. Dessutom ska det finnas förteckningar över enskilda polisers resor, meriter och scheman.

Läs också: Trots alla larm – företagen struntar fullständigt i IPv6

Vad säger CGI?

På CGI hänvisar man till kundsekretessen och konstaterar när Computer Sweden ringer att det är locket på som gäller i det här läget.

Vad man däremot kan säga i sammanhanget är att det aktuella systemet Palasso, som länge har använts på myndigheter och inte sällan varit föremål för diskussioner, snart kommer att skrotas helt. I det nya jätteavtal som CGI tecknade med Statens Servicecenter i maj framkommer det att det är det nya personal- och lönesystemet Heroma som ska användas av myndigheter istället. Och då kommer Palasso successivt att fasas ut.