Inte brottsligt e-posta hemlig information till Ryssland

En polischef som jobbar hemma behöver skriva ut en Excel-fil med information om 474 polisanställda inom den särskilda polistaktiken (SPT) i södra Sverige. Terrorattentatet på Drottninggatan hade inträffat, så det var mycket bråttom att skriva ut filen för att kunna inventera vilken personal som skulle kunna tjänstgöra. För att kunna skriva ut filen e-postar polischefen filen till sin frus e-postadress. Hon skriver ut Excel-filen på en skrivare i bostaden och raderar sedan e-postet.

E-postadressen går till det ryska internetföretaget Mail.Ru.

På något sätt upptäcks händelsen. En förundersökning inleds för brotten obehörig befattning med hemlig uppgift (19 kap 7 § brottsbalken) och brott mot tystnadsplikt (20 kap 3 § brottsbalken). Åklagaren lägger ner förundersökningen. För brottet obehörig befattning med hemlig uppgift med motiveringen att det inte går att visa att det finns en koppling mellan det ryska företaget och det landets säkerhetstjänst. Brott mot tystnadsplikten med motiveringen att det är att bedöma som ringa fall och därför inte brottsligt.

Utdrag ur åklagarens nedläggningsbeslut avseende förundersökning om brottet obehörig befattning med hemlig uppgift.

Polismyndighetens bedömning av informationen i Excel-filen är att den har ”ett mycket högt skyddsvärde”, att den omfattas av sekretess enligt bl a 15 kap 2 § OSL (försvarssekretess) och att ett röjande av den kan medföra mer än ringa men för rikets säkerhet. Men för rikets säkerhet delas in i fyra nivåer där ringa men är den lägsta nivån.

De ryska underrättelse- och säkerhetstjänsterna har tekniska system för att signalspana mot Internet-trafik i Ryssland. Det är därför trivialt för de ryska tjänsterna att inhämta informationen. Polismyndigheten gör i utredningen bedömningen att rysk säkerhetstjänst övervakar mail.ru och att informationen är röjd till främmande makt. Men här finns ett juridiskt hinder. Att slarva med eller förlora kontrollen över hemlig information så att den är inhämtningsbar för främmande makts underrättelsetjänster är inte kriminellt enligt svensk lag. För att slarvet ska vara kriminellt krävs att man kan bevisa att informationen verkligen har uppenbarats för någon obehörig, vilket inte är möjligt när det handlar om e-post som skickas på Internet.

Inget nytt under solen. Utdrag från sidan 313 i betänkandet ”Spioneri och annan olovlig underrättelseverksamhet – Ett förstärkt skydd för Sveriges säkerhet” (SOU 2012:95).

Att det finns risker med vårdslös hantering av information som kommuniceras via Internet och att det är omöjligt att skaffa bevisning för att ett röjande har skett, har Säkerhetspolisen uppmärksammat i den offentlig utredningen Utredningen om förstärkt skydd mot främmande makts underrättelseverksamhet. 2012 föreslog utredningen att grovt oaktsam hantering som innebär fara för att hemlig information ska komma någon obehörig till del, skulle vara straffbart. Det skulle ske genom en utvidgning av brottet vårdslöshet med hemlig uppgift (19 kap 9 § brottsbalken). I regeringens förslag till förstärkt skydd mot främmande makts underrättelseverksamhet valde regeringen att inte ta med utredningens förslag, bl.a. då gränserna för det straffbara området ansågs bli otydliga.

Njet. Utdrag från sidorna 51-52 i regeringens proposition ”Förstärkt skydd mot främmande makts underrättelseverksamhet” (prop 2013/14:51).

Det är inte brottsligt att e-posta hemlig information till en rysk e-postadress.

≈ ≈ ≈

Brottsrubriceringen obehörig befattning med hemlig uppgift (19 kap 7 § brottsbalken) är underlig. Polischefen var ju behörig till att ta del av informationen i Excel-filen. Jag kan inte förstå hur man kunde se på händelsen som en spionerigärning, men utan avsikt att gå främmande makt tillhanda. Den naturliga brottsrubriceringen för händelsen är vårdslöshet med hemlig uppgift (19 kap 9 § brottsbalken), dvs grov oaktsamhet som innebär att en uppgift som rör något förhållande av hemlig natur befordras, lämnas eller röjs.

≈ ≈ ≈

Det är inte första gången som människors handlande resulterar i att man förlorar kontroll över hemlig information som rör rikets säkerhet. Domstolarna har tidigare kommit fram till att något brott inte har begåtts, om man inte kan visa att informationen har röjts. Du kan läsa mer i mitt blogginlägg Slarv med hemliga uppgifter sällan brottsligt.

Försvarsmakten har tagit konsekvensen av rättspraxis på området. I handboken om menbedömningar (H SÄK Men) står det därför att det måste finnas någon konkret och faktisk omständighet som utgör en anledning till att hemlig information kan ha röjts. Frågan om informationen har avslöjats eller uppenbarats för en obehörig person är central för att avgöra om informationen har röjts. I handboken finns flera exempel på händelser som hjälp till att bedöma om hemlig information har röjts och om en menbedömning ska genomföras, eller inte ha röjts och någon menbedömning inte ska ske.

Exempel 3:7 i Försvarsmaktens handbok i menbedömning (H SÄK Men). Ett av flera exempel i handboken när informationen inte kan anses vara röjd och någon menbedömning inte ska genomföras.

≈ ≈ ≈

Händelsen väckor frågor om hur otillräckliga skyddsåtgärderna är för den hemliga informationen. I förundersökningen framgår att den hemliga informationen inte var märkt med hemligbeteckning. E-postsystemet som används verkar sakna stöd för personalen att klassificera varje e-post. En sådan funktion för metadatamärkning av e-post skulle kunna användas för att i ett filter säkerställa att e-post som har klassificerats som hemliga (rikets säkerhet) inte skickas ut från Polismyndighetens interna e-postsystem till Internet. Det är anmärkningsvärt att det är så lätt, att medvetet eller av misstag, skicka e-post som innehåller sådan information från det interna e-postsystemet till Internet. Informationssäkerheten för den hemliga informationen är helt klart otillräcklig.

Jag kritiserade den otillräckliga informationssäkerheten i Svenska Dagbladets artikel den 27 april 2018.

Källor:

/Kim Hakkarainen

1 kommentar

Publicerad i Brott mot Sveriges säkerhet, Säkerhetsskydd

En kommentar till Inte brottsligt e-posta hemlig information till Ryssland

  1. Jan-Olov Blix

    Om MS Office av sent datum hade använts hade kryptering gjort det hela betydligt säkrare. Använder 128 bit AES SHA-2

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *