Regeringens IT-kris: Utrikesdepartementets “Darknet”

© Kjell Nilsson Mäki för Ledarsidorna.se

Regeringskansliet har outsourcat hanteringen av centrala delar av sitt eget it-system – utan säkerhetsskyddsavtal. DN avslöjar att externa leverantörer under flera år har getts djup tillgång till känslig nätverksinfrastruktur. Hanteringen kan strida mot lagen. Samtidigt riktar nu Justitieombudsmannen (JO) hård kritik mot regeringskansliet och utrikesdepartementet för att ha underlåtit att registrera vissa handlingar rörande Sveriges kampanj för en plats i FN:s säkerhetsråd, samt för saktfärdig utlämning av e-postloggar som DN begärt tillgång till. JO och KU har granskat UD men bägge rapporterna och besluten lämnar fler frågetecken än svar. Flera oberoende källor pekar på att regeringen byggt upp ett eget “Darknet” utanför såväl Regeringsformens kontrollmekanismer som Regeringskansliets brandväggar.

KU har granskat ärendet och avgivit rapport i den årliga granskning som kallas för Ku 20, i detta fall Ku 20 2016/17 vilket motsvarar det riksdagsår som granskningen genomförs. KU begär, och får ut, de handlingar som de begär och då även de som sekretessmarkerats på något sätt. Även KU riktade kritik mot UD:s administrativa rutiner. Vid konstitutionsutskottets granskning av hanteringen av säkerhetsrådskampanjen har det kommit fram att det fanns en omfattande eftersläpning när det gällde Utrikesdepartementets diarieföring av allmänna handlingar. Utskottet uttalade att det inte är acceptabelt med en sådan utestående balans i diarieföringen.

Men det som sticker ut i JO:s motsvarande granskning är dels språket, ett språk som riktar sig till främst journalister och inte politiker eller regeringstjänstemän. Dels en formulering där JO ger en ledtråd för läsaren att något inte står rätt till:

Namnet på chefen för det sekretariat vid Utrikesdepartementet som skötte säkerhetsrådskandidaturen, Niclas Kvarnström, fanns inte i diariet i samband med någon handling som rörde sekretariatets arbete. M.C. begärde att få en postlista, dvs. ett utdrag ur diariet som anger vilka nya ärenden som registrerats och vilka dokument som kommit in eller upprättats i dessa och andra ärenden, avseende hela enheten för säkerhetspolitik för en viss period. Niclas Kvarnström förekom inte i listan. Det var förvånande att chefen för sekretariatet inte upprättat någon handling under den aktuella perioden.

På ren svenska innebär det att ansvarig tjänsteman inte har undertecknat eller varit ansvarig för en enda handling under kampanjen.  Även i anmälan till JO har det påtalats att företrädare för Utrikesdepartementet bekräftat dröjsmål med att registrera handlingar. Uppgiften har inte tillbakavisats eller på annat sätt bemötts av Utrikesdepartementet i yttrandena till JO. Som konstitutionsutskottet uttalat är omfattande dröjsmål med att registrera handlingar inte acceptabelt.

Ett annat skäl till UD:s långsamma hantering är att UD väljer systematiskt att sekretessgranska e-post loggarna. Dessa loggar innehåller endast avsändare, mottagare, tidpunkt och ärendemening. JO konstaterar att UD bryter mot de riktlinjer som reglerar utformningen av ärendemening, att en sådan inte får innehålla hemliga uppgifter. DN har fortfarande, trots att snart ett år förflutit, inte fått ut samtliga loggar. Utrikesdepartementet har inte utvecklat behovet av den omfattande sekretessprövningen i sitt yttrande. Man har inte heller förklarat varför sekretessprövningen krävt samråd i den utsträckning som skett.

Bara med JO:s rapport finns det även andra tecken på att kommunikationen och regeringsinformationen som KU granskat inom ramen för Ku 20 inte är komplett. Men även andra journalister vittnar om att när de begärt ut loggar så är UD samt Statsrådsberedningens kontakt med omvärlden starkt begränsad, så pass begränsad att ingen kampanj bör ha kunnat genomföras koordinerat. Förklaringen finns i något som kallas DHS Sharepoint. Det är känt i vida kretsar på Utrikesdepartementet att en sådan lösning har varit i bruk under säkerhetsrådskampanjen.

En DHS Sharepointlösning, där standardprogramvaran och lagringen av information förmedlas av Microsoft, är en egen arbetsyta som ligger vid sidan av de automatiska system som regeringen har för diarieföring. Ett slutet mailsystem eller ett eget “Darknet”. Att arbeta med detta är inte ovanligt i andra förvaltningar som till exempel US Department for Homeland Security. Skillnaden är att i USA:s regeringsförvaltning är detta reglerat och kontrollerat vilket inte är fallet i Sverige. 

En DHS Sharepointlösning är ett slutet mailsystem där dokument kan skapas och skickas utan att passera de ordinarie systemen och därmed undvika automatiska funktioner för diarieföring och registrering. En sådan lösning kan skapas och försvinna med några enkla kommandon och lämnar inga spår efter sig annat än på användarnas egna datorer. För att detektera om en dator varit ansluten till en DHS-lösning måste hårddisken tas in för undersökning. Datorer som tillhör regeringstjänstemän, som politiskt sakkunniga, statssekreterare och ministrar, går till destruktion med omedelbar verkan när tjänstemannen lämnar regeringskansliet. Inklusive UD och Statsrådsberedningen.

Om Emma Lennartsson, statsministerns förre statssekreterare som avslutade sin tjänst utan att erhålla avgångsvederlag var ansluten till denna lösning kommer ingen få reda på för att illustrera de administrativa rutinerna när personal lämnar sin tjänst. Den datorn, och de övriga enheter hon använde sig av i sin tjänst, är idag förvandlade till finfördelat pulver utan att någon kopia av hårddisken sparats för eftervärlden.

Det är orimligt att anta att KU begär ut handlingar ur system de inte känner till finns. Och även om JO gjort sitt bästa för att göra sitt arbete bygger det på en uppriktighet från de tillfrågade att informera om systemuppbyggnad som lägger sig vid sidan av de säkrade, och reglerade, systemen. Som den i vida kretsar kända och använda Sharepoint-lösningen på Utrikesdepartementet.

KU skulle, likt JO, kunna ställa frågan rakt ut till såväl de tre ministrarna på UD som dess kabinetts- respektive statssekreterare om UD byggt upp en DHS Sharepoint-lösning. Antingen för generell användning i allmänhet eller för säkerhetsrådskampanjen i synnerhet. Både ministrar och politiska tjänstemän bör kunna tjäna på att försöka komma ihåg eller anstränga sig för att hålla sig till sakläget. 

Om inte det kan fungera eller säkerställas, att tjänstemän är uppriktiga och sanningsenliga med den helhet som de ser och använder från i sin tjänst, med en rimlig halt av att vara komplett återstår egentligen endast en lagreglering av såväl KU som JO befogenheter att kunna ta till tvångsmedel. Att de vid granskningar där misstanke eller tips om parallella IT-system, kommunikationsmedel och användarmiljöer ska kunna begära in enskilda medarbetares datorer och andra hjälpmedel som telefoner eller läsplattor.

Att förse KU samt JO med tvångsmedel, att kunna ta utrustning i beslag för att låta FRA, FOI eller Säpo gå igenom hårddiskar och annan utrustning är dock den mest säkra lösning som undanröjer alla öppningar för enskilda tjänstemän att oavsiktligt glömma eller medvetet undanhålla avgörande information. Personalen vid samtliga dessa tre myndigheter, som har relevant kompetens, har i regel samma eller högre säkerhetsklassificering än de granskade tjänstemännen varför sekretess, oavsett slag eller nivå, inte är ett problem.

Ett alternativ på kort sikt är att någon användarna till Sharepointlösningen, och som har respekt för Regeringsformen, nu själv kontaktar KU samt JO. Om inte annat för att rädda sin egen framtida karriär om fler skulle råka prata bredvid mun eller om detta skulle komma fram vid ett regeringsskifte. 

 

 

Källmaterial:

Flera av varandra oberoende källor inom och utom UD, Ku 20 2016/17 samt JO beslut som inbäddat dokument.

 

 

Om författaren

Johan Westerholm
Johan Westerholm
Redaktör och ansvarig utgivare för Ledarsidorna.se. Fd underrättelseofficer med studier i politisk islam. Bott i Stockholm, Madrid, London och Boston men nu landat i Furusund.

Kommentarer

Innehållet som publiceras på Ledarsidorna.se omfattas av det regelverk som Myndigheten för Radio och TV för var tid beslutar om.
Detta inkluderar inte kommentarsfältet. Du som kommenterar är helt ansvarig för det du skriver i kommentatorsfältet. Dina kommentarer faller under ditt eget ansvar.