Godkänd kryptering – inte för alla
Att hemliga uppgifter (rikets säkerhet) inte får överföras okrypterat över Internet eller på telefon är självklart. Kryptering är ett skydd mot avlyssning. Krav på att ett kryptosystem ska vara godkänt av Försvarsmakten finns i säkerhetsskyddsförordningen. Men kravet gäller inte alla. I Regeringskansliet är det till och med ok att tala om hemliga uppgifter (rikets säkerhet) i en okrypterad telefon.
Telefon. Användes för muntlig kommunikation över ett elektroniskt kommunikationsnät.
Foto: Holger Ellgaard
Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.
Bestämmelserna i säkerhetsskyddsförordningen gäller inte för Riksdagen. Regeringskansliet är undantagna flera bestämmelser, bl a bestämmelsen ovan om kravet på att kryptosystem ska vara godkända av Försvarsmakten (1-2 §§ säkerhetsskyddsförordningen). Vilka krav gäller då vid Regeringskansliet? En titt i Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet (beslutade 1997) ger följande.
2 kap 55 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet. En kvalificerat hemlig handling är en handling som innehåller någon uppgift som omfattas av sekretess enligt OSL och som är av synnerlig betydelse för rikets säkerhet (2 kap 2 § 3 st). En örsvarshemlig handling är en handling som innehåller någon uppgift som omfattas av sekretess enligt OSL och som rör totalförsvaret eller rikets säkerhet i övrigt. (2 kap 2 § 2 st).
Av bestämmelsen kan vi sluta oss till att hemliga uppgifter (rikets säkerhet) som distribueras i elektronisk form ska vara krypterade. Det är bra! För IT-system finns en bestämmelse om kryptering när uppgifterna hanteras i utrustning som inte är avsedd för behandling av uppgifterna.
3 kap 6 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet. Hemlig handling avser här alla handlingar som innehåller någon uppgift som omfattas av sekretess enligt OSL, oavsett om den rör rikets säkerhet eller inte (2 kap 2 § 1 och 2 §§). Datautrustning omfattar dator och lagringsmedier (3 kap 4 §).
Bestämmelsen omfattar endast val av krypteringsalgoritm och inte andra aspekter på krypteringen, t ex nyckelhantering och skydd i och kring ett kryptosystem. Jag har inte funnit vem som enligt bestämmelsen ska godkänna algoritmer.
Vad gäller då för uppgifter som avhandlas muntligt?
2 kap 75 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet.
Vid Regeringskansliet behöver inte hemliga uppgifter (rikets säkerhet) krypteras om uppgifterna avhandlas i ett telefonsamtal. Så länge uppgifterna inte är av synnerlig betydelse för rikets säkerhet är det tillåtet att i okrypterad telefon prata om uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet.
För muntlig information över telefon spelar bestämmelsen i händerna på andra staters underrättelsetjänster. Regeringskansliet är genom denna svaga styrning sårbar för andra staters signalspaning mot svenska intressen. Att använda ”omskrivningar och täckbenämningar” eller motringning kan inte ge det avlyssningsskydd som en av Försvarsmakten godkänd kryptering skulle ge. Av bestämmelsen framgår det också att det är tillåtet att muntligen avhandla hemliga uppgifter (rikets säkerhet) i t ex tunnelbanan.
Att skriva ”bör” istället för ”ska” är inte ett lämpligt sätt att leda informationssäkerhet i en författning . Det vanliga sättet när det är fråga om bindande rättsregler är, vad jag vet, att använda ”ska”. Det här är dålig författningsskrivning. Informationssäkerheten är inte godtagbar då den som del av säkerhetsskyddet bl a ska förhindra att hemliga uppgifter uppsåtligen eller av oaktsamhet röjs.
Statliga myndigheter, landsting och kommuner samt offentliga och privata företag får endast kryptera hemliga uppgifter (rikets säkerhet) med kryptosystem som har godkänts av Försvarsmakten. Det är anmärkningsvärt att Regeringskansliet har svagare bestämmelser för kryptering.
≈ ≈ ≈
Du kan läsa mer om kryptering på MSB webbsida Säkra kryptografiska funktioner. Nationella bestämmelser för statliga myndigheter finns i Försvarsmaktens föreskrifter (FFS 2005:2) om signalskyddstjänsten inom totalförsvaret.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.