Godkänd kryptering – inte för alla

Telefon. Vanlig för muntlig kommunikation över ett elektroniskt kommunikationsnät. Foto: Holger Ellgaard.

Att hemliga uppgifter (rikets säkerhet) inte får överföras okrypterat över Internet eller på telefon är självklart. Kryptering är ett skydd mot avlyssning. Krav på att ett kryptosystem ska vara godkänt av Försvarsmakten finns i säkerhetsskyddsförordningen. Men kravet gäller inte alla. I Regeringskansliet är det till och med ok att tala om hemliga uppgifter (rikets säkerhet) i en okrypterad telefon.

Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten.

13 § andra stycket säkerhetsskyddsförordningen

Bestämmelserna i säkerhetsskyddsförordningen gäller inte för Riksdagen. Regeringskansliet är undantagna flera bestämmelser, bl a bestämmelsen ovan om kravet på att kryptosystem ska vara godkända av Försvarsmakten (1-2 §§ säkerhetsskyddsförordningen). Vilka krav gäller då vid Regeringskansliet? En titt i Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet (beslutade 1997) ger följande.

Utdrag ur 2 kap 55 § i Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet.

2 kap 55 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet. En kvalificerat hemlig handling är en handling som innehåller någon uppgift som omfattas av sekretess enligt OSL och som är av synnerlig betydelse för rikets säkerhet (2 kap 2 § 3 st). En försvarshemlig handling är en handling som innehåller någon uppgift som omfattas av sekretess enligt OSL och som rör totalförsvaret eller rikets säkerhet i övrigt. (2 kap 2 § 2 st).

Av bestämmelsen kan vi sluta oss till att hemliga uppgifter (rikets säkerhet) som distribueras i elektronisk form ska vara krypterade. Det är bra! För IT-system finns en bestämmelse om kryptering när uppgifterna hanteras i utrustning som inte är avsedd för behandling av uppgifterna.

3 kap 6 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet.

3 kap 6 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet. Hemlig handling avser här alla handlingar som innehåller någon uppgift som omfattas av sekretess enligt OSL, oavsett om den rör rikets säkerhet eller inte (2 kap 2 § 1 och 2 §§). Datautrustning omfattar dator och lagringsmedier (3 kap 4 §).

Bestämmelsen omfattar endast val av krypteringsalgoritm och inte andra aspekter på krypteringen, t ex nyckelhantering och skydd i och kring ett kryptosystem. Jag har inte funnit vem som enligt bestämmelsen ska godkänna algoritmer.

Vad gäller då för uppgifter som avhandlas muntligt?

Utdrag ur 2 kap 75 § i Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet.

2 kap 75 § Regeringskansliets föreskrifter om säkerhetsskyddet i Regeringskansliet.

Vid Regeringskansliet behöver inte hemliga uppgifter (rikets säkerhet) krypteras om uppgifterna avhandlas i ett telefonsamtal. Så länge uppgifterna inte är av synnerlig betydelse för rikets säkerhet är det tillåtet att i okrypterad telefon prata om uppgifter som omfattas av sekretess enligt OSL och som rör rikets säkerhet.

För muntlig information över telefon spelar bestämmelsen i händerna på andra staters underrättelsetjänster. Regeringskansliet är genom denna svaga styrning sårbar för andra staters signalspaning mot svenska intressen. Att använda ”omskrivningar och täckbenämningar” eller motringning kan inte ge det avlyssningsskydd som en av Försvarsmakten godkänd kryptering skulle ge. Av bestämmelsen framgår det också att det är tillåtet att muntligen avhandla hemliga uppgifter (rikets säkerhet) i t ex tunnelbanan.

Att skriva ”bör” istället för ”ska” är inte ett lämpligt sätt att leda informationssäkerhet i en författning . Det vanliga sättet när det är fråga om bindande rättsregler är, vad jag vet, att använda ”ska”. Det här är dålig författningsskrivning. Informationssäkerheten är inte godtagbar då den som del av säkerhetsskyddet bl a ska förhindra att hemliga uppgifter uppsåtligen eller av oaktsamhet röjs.

Statliga myndigheter, landsting och kommuner samt offentliga och privata företag får endast kryptera hemliga uppgifter (rikets säkerhet) med kryptosystem som har godkänts av Försvarsmakten. Det är anmärkningsvärt att Regeringskansliet har svagare bestämmelser för kryptering.

≈ ≈ ≈

Du kan läsa mer om kryptering på MSB webbsida Signalskydd och säkra kryptografiska funktioner skyddar din information. Nationella bestämmelser för statliga myndigheter finns i Försvarsmaktens föreskrifter (FFS 2005:2) om signalskyddstjänsten inom totalförsvaret.

/Kim Hakkarainen

4 kommentarer

Publicerad i Kryptering, Säkerhetsskydd

4 kommentarer till Godkänd kryptering – inte för alla

  1. Marcus

    Det är nästan så att man blir mörkrädd när man ser vilka otroligt stora hål det finns i våra regler och lagar.

    Känns mer och mer som att många inte bryr sig.

    Min fråga blir: Hur får man sånt här slarv ordnat?

    • Slarv? Det är ett medvetet val. Ett konstigt val, då tanken bakom att Försvarsmakten ska godkänna kryptosystem måste vara den samlade kompetens på området som finns där. Jag kommer att tänka på uttrycket ”En kedja är aldrig starkare än dess svagaste länk”. Reglerna för toppen i det allmännas verksamhet är i det här fallet svagare än för underlydande myndigheter.

      Regeringen får för Regeringskansliet meddela undantag från bestämmelserna i säkerhetsskyddslagen och säkerhetsskyddsförordningen (32 § säkerhetsskyddslagen). Sådana undantag får inte handla om säkerhetsprövning. En förklaring till undantagsmöjligheten är att det tidigare har funnits särskilda bestämmelser om säkerhetsskydd i Regeringskansliet (sidan 89 i proposition 1995/96:129).

      En möjlighet är att ändra 32 § säkerhetsskyddslagen så att undantagen inte får medföra att säkerhetsskyddet vid Regeringskansliet blir mindre långtgående, än det säkerhetsskydd som ska finnas enligt säkerhetsskyddslagen. Dvs att interna bestämmelser om säkerhetsskydd inte får beslutas om skyddet skulle bli sämre.

      /Kim Hakkarainen

  2. Hej,
    RK:s föreskrifter om säkerhetsskydd (RKF 1998:16) har som bekant över 15 år på nacken och när de väl skrevs så hade berörda ett annat utgångsläge. Mycket har hänt sedan dess. Formuleringen i 3 kap 6 § är tveklöst mindre lyckad då den vid en första anblick avgränsar vad som normalt betraktas ska ingå i begreppet (nationellt godkänt) ”krypto”. Dock har Regeringskansliet rent praktiskt, väl medvetet om denna begränsade formulering, i förekommande fall valt att tolka in betydligt mer än explict en ”krypteringsalgoritm” i den kravställning som stipuleras i 3 kap 6§ i RKF 1998:16, exempelvis nyckelhantering, krav på nationellt godkända kryptoprodukter osv. Den som enligt bestämmelsen ska godkänna krypteringsalgoritmen ( dvs rent praktiskt kravställa och bedöma på vilken nivå man har ett fullgott krypto) – är Regeringskansliet självt. Rent praktiskt ställs således krav på nationellt (av Försvarsmakten) godkända krypton då man hanterar sekretess som omfattas av såväl 15:1 som 15:2 enligt OSL.

    Det övergripande ansvaret för säkerhetsskyddet i Regeringskansliet åligger kanslisäkerhetschefen som tillika är rättschef i Statsrådsberedningen. Till sitt förfogande har kanslisäkerhetschefen Regeringskansliet Säkerhetsenhet som i detta sammanhang rent praktiskt har ett normerande och kravställande ansvar. I detta fall gällande att explicit normera och kravställa vilken typ av krypton som används för hantering av försvars- och utrikssekretess.

    Vad gäller 2 kap 75§ så har bör-kravet även här alltid rent praktiskt tolkats som ett skall-krav, även om formuleringen med bör-krav är olycklig. Också här ställs rent praktiskt krav på nationellt godkända kryptoprodukter vilket också används för detta ändamål i Regeringskansliet.

    I övrigt är föreskrifterna för säkerhetsskydd sedan en tid tillbaka föremål för revidering.

    Vad gäller det pågående utredningsarbetet inför förslag till ny säkerhetsskyddslag så beaktas här förhållningssättet till bl a Regeringskansliet och huruvida de undantag som gäller idag – eventuellt behöver revideras. Det man kan skönja redan nu är att begreppet ”rikets säkerhet” sannolikt revideras till ”Sveriges säkerhet” vilket vidgar vad som kommer att hamna i ”säkerhetsskyddspåret” där, förutom försvarssekretess även utrikessekretess, krishantering och beredskapsfrågor kan antas ingå i detta. Och möjligen lite till.
    Hälsningar,

    /Thomas

    • Tack Thomas för din kommentar!

      Att föreskrifterna för säkerhetsskydd i Regeringskansliet inte har ändrats en enda gång sedan 1997 är ett tecken på brister i ledning av säkerhetsskyddet. Att man inte har förmått att identifiera behov av ändringar och införa dessa. Det kan jämföras med andra myndigheter som när behov uppstår ändrar sina interna bestämmelser.

      Författningar är ett viktigt styrmedel för informationssäkerhet. Det är bindande rättsregler som bestämmer enskildas och myndigheters handlande. Det är stor skillnad på ska och bör. Det är bra att du, och andra vid RK, har den sunda uppfattningen om att kryptering ska ske och att endast av Försvarsmaktens godkända kryptosystem ska få användas. Men att det inte är ett krav är ett problem. Ett problem som kan ställas på sin spets när människor byts ut eller när jurister för chefers räkning ska bedöma vilka krav som finns, t ex i fråga om ansvar för en anställd. Ingen vid RK är tvingad att använda kryptering då hemliga uppgifter (rikets säkerhet) diskuteras över telefon. 

      Frågan om undantagen för RK i säkerhetsskyddslagen och säkerhetsskyddsförordningen (t ex kryptering, tillsyn och anmälan vid röjande av hemliga uppgift) är anomalier i säkerhetsskyddet. Att området för det som kan komma i fråga för säkerhetsskyddet utökas är ytterligare en anledning till att anomalierna ska bort. Det ska bli intressant att se vad den pågående utredningen har kommit fram till i dessa frågor.

      /Kim Hakkarainen

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *