Under ett inbrott stals vapen och ammunition ur ett säkerhetsskåp. Inbrottet underlättades av att reservnycklarna till skåpet var felaktigt förvarade. Även hemliga handlingar förvarades i säkerhetsskåpet men lämnades kvar av inbrottstjuven. Frågan om det var vårdslöshet med hemlig uppgift prövades av Högsta domstolen. Domstolen kom fram till att de åtalade inte var skyldiga då det inte var klarlagt att inbrottstjuven tagit del av de hemliga handlingarna.
Högsta domstolen menade att:
”uttrycket röjer uppgift i bestämmelsen innebär enligt vanligt språkbruk att en uppgift avslöjas eller uppenbaras. Detta förutsätter att det finns någon person, för vilken uppgiften görs tillgänglig. Det torde dock inte alltid kunna krävas att denne faktiskt har fått kännedom om uppgiften. Det bör sålunda som regel vara tillräckligt att en handling med hemliga uppgifter har kommit i någon obehörigs besittning. Även vissa andra, närliggande situationer bör omfattas. Däremot kan inte varje möjlighet att ta del av en uppgift, som har beretts någon obehörig, medföra att uppgiften skall anses ha röjts; en sådan ordning skulle i realiteten innebära att det oaktsamma handlandet i sig ofta skulle medföra straffansvar. Avgörande för straffansvar bör främst vara om uppgiften har blivit tillgänglig för någon obehörig under sådana omständigheter, att man måste räkna med att den obehörige kommer att ta del av uppgiften.”
Högsta domstolen har en poäng då inte all oaktsamhet med hemliga uppgifter kan leda till ett röjande. Ett exempel är en person som glömmer att låsa sitt säkerhetsskåp över natten. Bara för att säkerhetsskåpet står olåst innebär det inte att någon obehörig har tagit del av uppgifterna som förvarades där.
Sedan Högsta domstolens dom har uttrycket ”röjer uppgift” varit i det närmaste meningslös när det handlar om någon som är oaktsam i hanteringen av hemliga uppgifter. Det säger sig självt att i det flesta fall inte kan vara möjligt att i efterhand avgöra om någon obehörig verkligen har tagit del av de hemliga uppgifterna, t ex vid ett inbrott. Ett annat exempel är om hemliga uppgifter felaktigt distribueras utan kryptering över internet. Okrypterade uppgifter över internet kan inhämtas genom andra staters signalspaning. För den som sänder uppgifterna går det inte att avgöra om uppgifterna inhämtats. Det är omöjligt att i efterhand avgöra om uppgifterna har röjts.
En kapten i marinen bosatt i Stockholm är en fredag i april 2011 på tjänsteresa till Karlskrona. Han tar med sig en dator med hemliga uppgifter till Karlskrona. Datorn är märkt HEMLIG/SECRET, dvs den näst högsta av fyra informationssäkerhetsklasser. Från Karlskrona tar han med sig ytterligare en dator med hemliga uppgifter. Hemma i Stockholm åker kaptenen inte till sin arbetsplats för att lämna de två datorerna. Ett av skälen är att kaptenen har ont i ryggen. Istället åker han från flygplatsen till sin bostad på Södermalm. Väskan med datorerna ställer han på en stol sju meter in i lägenheten från ytterdörren.
Under söndagen upptäcker kaptenen att väskan med de två datorerna var borta. Även två mobiltelefoner och ett USB-minne saknades. Det var ingen åverkan på dörren till lägenheten som ligger på femte våningen och är en etagelägenhet. Samma dag gjorde kaptenen en polisanmälan. Polisens brottsplatsundersökning visade inga spår på inbrott i lägenheten.
Stockholms tingsrätt konstaterar att uppgifterna på de två datorerna ”rör förhållanden av hemlig natur vars uppenbarande för främmande makt kan medföra men för rikets försvar eller eljest för rikets säkerhet”. Tingsrätten bedömer också att kaptenen varit grovt oaktsam i sitt sätt att förvara väskan. Bland annat har kaptenen inte varit ensam i lägenheten utan övriga familjemedlemmar har kommit och gått. Vid något tillfälle uppges även ytterdörren till lägenheten varit olåst. Han har också lämnat lägenheten för att gå och handla. Tingsrätten beskriver också en av Försvarsmaktens bestämmelser som innebär att datorerna ska hållas under uppsikt eller förvaras på samma sätt som inom myndighetens lokaler.
Datorerna var inte krypterade men för att komma in krävdes först en windowsinloggning. För att komma åt de hemliga uppgifterna behövdes ytterligare två inloggningar.
Tingsrätten undersöker om kaptenen har begått brottet ”vårdslöshet med hemlig uppgift”. Ett brott som i fredstid kan ge böter eller fängelse i högst sex månader. Tingsrättens beskriver förarbeten och nämner särskilt att brottet avser att någon genom grovt oaktsamhet uppenbarar eller på annat sätt gör en hemlig uppgift tillgänglig för obehörig. Vidare skriver tingsrätten att detta kan ske exempelvis genom att en handling med uppgiften försvaras på ett sätt som inte är säkert.
På grund av att det krävdes flera inloggningar på datorerna för att få tillgång till de hemliga uppgifterna ansåg tingsrätten att uppgifterna inte kan anses ha röjts. De personer som hade något att säga till om under förhandlingen måste haft små kunskaper om IT-säkerhet. Behörighetskontroll, inte ens tre inloggningar i rad, fyller ingen funktion för den som vill komma åt de lagrade hemliga uppgifterna om man kan lägga sin hand på hårddisken. Det är möjligt att läsa ut uppgifterna genom att montera ur hårddisken och ansluta den till en annan dator.
Fallet prövades även i Svea hovrätt. Där gjordes en utredning om lösenorden där det konstaterades inte finnas några större svårigheter för någon med kunskap att ta sig förbi lösenordsskyddet och ta del av de hemliga uppgifterna. Hovrätten menar att det inte är klarlagt om den som tagit datorerna också har tagit sig förbi lösenorden och därför kan man inte räkna med att någon obehörig har tagit del av uppgifterna.
Utredningen om förstärkt skydd mot främmande makts underrättelseverksamhet föreslog 2012 att brottet vårdslöshet med hemlig uppgift även skulle omfatta fall som innebär att fara uppkommer för att någon obehörig kan ta del av en uppgift. Det handlar om fall av grov oaktsamhet där det är möjligt för främmande makt att ta del uppgiften. Ett motiv till ändringen är att utvecklingen har gått mot ökad hantering och exponering av uppgifter i elektronisk form där stora informationsmängder enkelt kan överföras och förvaras, t ex på ett USB-minne.
Regeringen menar dock att den straffbestämmelsen om vårdslöshet med hemlig uppgift inte ska ändras då den kommer få ett för stort tillämpningsområde. Det skulle enligt regeringen innebära en påtaglig skärpning av straffansvaret och en långtgående kriminalisering som kräver starka skäl för sig. Istället menar regeringen att straffbestämmelsen har ett ändamålsenligt och väl avvägt tillämpningsområde samt att den är teknikneutral.
Hur straffbestämmelsen ska användas med hänsyn till den tekniska utvecklingen får, enligt regeringen, avgöras i praxis. Det vill säga hur domstolarna dömer – och det vet vi ju redan. Att slarva med hanteringen av hemliga uppgifter som rör rikets säkerhet ska inte vara brottsligt, om det inte går att bevisa att någon obehörig har tagit del av uppgifterna. I de flesta fall kommer det vara en omöjlighet. Ytterligare en aspekt är att andra staters underrättelsetjänster kan förklä sina inhämtningsoperationer i form av inbrott eller tillgrepp i kollektivtrafiken mm.
Ett av säkerhetsskyddets uppgifter är att förhindra att uppgifter som omfattas av sekretess och som rör rikets säkerhet röjs till obehöriga. Säkerhetsskyddet ska ge hemliga uppgifter ett skydd även i de fall det inte är fråga om brott mot rikets säkerhet (punkterna 1 och 2 i 6 § säkerhetsskyddslagen). Behovet av skyddsåtgärder och deras utformning har inte så mycket med frågan om kriminalisering att göra. Men den som har fallenhet för att vara oaktsam kanske skulle skärpa till sig om hen vet om att hens slarv kan leda till fällande dom för brott mot rikets säkerhet, och de konsekvenser det kan föra med sig i hens relation med arbetsgivaren.
Att det finns ett aktuellt rättsligt avgörande samtidigt som regeringen har avfärdat en kriminalisering måste medföra en skärpning av skyddsåtgärderna. Det finns ett påtagligt nationellt behov av hårddiskkrypto för HEMLIG/SECRET och krypto för USB-minnen. Att ta fram sådana produkter är inte lätt men nödvändigt om informationsförluster ska förhindras.
/Kim Hakkarainen
Blogginlägget innehåller hänvisningar till bestämmelser eller andra källor som inte längre gäller. Även om de har ersatts kan påståenden och slutsatser fortfarande vara giltiga.