Säkerhetsskyddsdatalagen ställer tydliga krav på att leverantörer och underleverantörer som kommer i kontakt med hemligstämplade uppgifter med betydelse för rikets säkerhet först måste teckna ett så kallat säkerhetsskyddsavtal. Dessutom ska leverantörens personal säkerhetsprövas och säkerhetsklassas.
Regeringskansliets säkerhetschef Ari Stenman säger (22/10) till SVT Nyheter att han är trygg med det säkerhetsskydd som finns och att skyddsåtgärder har vidtagits när konsulterna befunnit sig i lokalerna och utfört arbeten. Ingen ska ha fått tillgång till information om rikets säkerhet.
Eftersom regeringskansliet gjort bedömningen att leverantörerna i fråga inte fått tillgång till hemlig information så behövs ingen säkerhetsklassning, enligt Stenman (DN, 9/10). Samtidigt noterar DN att konsultuppdragen bedömts så känsliga att de inte utannonserats i en offentlig upphandling.
Förhoppningsvis har ingen av de personer som vistats i serverhallarna utan säkerhetsprövning och skyddsklassning kommit i kontakt med känslig information. Men det förtar inte det allvarliga i att man inte följt protokollet. Det föreskriver bland annat ett så kallat säkerhetsskyddsavtal, vilket alla leverantörer och underleverantörer som kan komma i kontakt med hemligstämplade uppgifter eller deltar i verksamheter med betydelse för rikets säkerhet måste ha.
I detta fall handlar det om två underleverantörer till Telia. De förknippas båda med skandaler, i det ena fallet en dataintrångshärva, i det andra en före detta vd som misstänks för bokföringsbrott och svindleri. Detta behöver dock inte innebära att den personal som utför datasupport och underhåll är säkerhetsrisker, men det måste en kund som regeringskansliet förvissa sig om.
Daniel Stattin, professor i juridik vid Uppsala universitet, är hård i sin kritik (SVT 22/10): ”Det här ett typfall på bolag som inte borde fått tillgång till hemlig information som rör rikets säkerhet. Varken med eller utan säkerhetsskyddsavtal.”
Transportstyrelsen, polisen och regeringskansliet, vilken myndighet som avslöjas härnäst med en slapp inställning till it-säkerhet återstår att se.
Den digitala revolutionen har på gott och ont gjort det svårt att behålla hemligheter hemliga. Spioneri och dataintrång är också stora frågor för näringslivet. Här sker stöld av forskning och affärshemligheter. Ibland sponsras spioneriet av främmade makt. I sammanhanget är det bekymmersamt att regeringskansliet inte föregår med gott exempel. Säkerhetsbristerna inom statsförvaltningen förtjänar en egen haverikommission.