Regeringskansliet följer inte lagar kring rikets säkerhet, enligt de experter SVT Nyheter har talat med. Foto: TT

Skandalbolaget Eltel i regeringskansliet utan säkerhetsskydd

Uppdaterad
Publicerad

SVT Nyheter kan nu avslöja att regeringskansliet har gett teknikbolagen Eltel och Cygate tillgång till lokaler med information om myndighetens telekommunikation, utan säkerhetsskyddsavtal.

Det innebär att regeringskansliet inte följer lagar kring rikets säkerhet, enligt de experter SVT Nyheter har talat med.

– Det här är värre än skandalen kring Transportstyrelsen. Det är en pågående situation med säkerhetsluckor som dessutom rör den högsta riksledningen, säger Daniel Stattin, professor i juridik vid Uppsala universitet.

Inte skrivit säkerhetsskyddsavtal

Teknikbolagen Eltel och Cygate har utfört underhåll i regeringskansliet under flera år som underleverantör till Telia utan säkerhetsskyddsavtal.

Telia är sedan 2012 huvudleverantör av myndighetens telefoni- och bredbandstjänster, och i kontraktet som SVT Nyheter har tagit del av står det att Telia i och med det får ”ta del av uppgifter som är sekretessbelagda enligt offentlighets- och sekretesslagen och som rör rikets säkerhet eller skyddet mot terrorism”. 

Men även systemtekniker från Eltel som var underleverantör fram till 2015, och Cygate som har uppdraget nu, har fått tillgång till datahallar med servrar där information finns. Det innebär att regeringskansliet varit skyldig enligt säkerhetsskyddslagen att skriva säkerhetsskyddsavtal även med dem, och inte bara med Telia som man har gjort. Det säger de experter som SVT Nyheter har talat med. Men det har man inte gjort.

Bolag kantade av problem

Eltel och Cygate är inte heller vilka bolag som helst. SVT Nyheter har tidigare avslöjat att Cygate ingår i en stor dataintrånghärva. Bolaget har också, enligt Dagens Nyheter, även haft supportuppdrag av andra viktiga delar av regeringskansliets IT-system utan säkerhetsskyddsavtal.

– Det här betyder att regeringskansliet har flera sårbarheter i flera olika system och eventuellt också har förlorat kontroll över information i flera olika system, säger Pierre Gudmundson, säkerhetsskyddsexpert och tidigare biträdande säkerhetschef inom Försvarsmakten.

Även Eltel förknippas sedan tidigare med en rad skandaler. Bland annat har förre vd:n polisanmälts för bokföringsbrott och svindleri, efter att allvarliga brister i bolagets redovisning uppdagats. Andra chefer har utretts av Ekobrottsmyndigheten för insiderbrott.

– Det här är ett typfall på bolag som inte borde fått tillgång till hemlig information som rör rikets säkerhet. Varken med eller utan säkerhetsskyddsavtal, säger Daniel Stattin.

LÄS MER: Regeringskansliet: Vi känner oss trygga

Regeringskansliet svarar

Men på regeringskansliet ser man inga problem med situationen.

– Jag känner mig trygg med det säkerhetsskydd vi har. Personal har befunnit sig i våra lokaler och utfört arbeten, men på grund av olika skyddsåtgärder som vi har vidtagit har de inte fått någon information som rör rikets säkerhet, säger Ari Stenman, säkerhetschef på regeringskansliet.

Eltels Sverigechef Thorbjörn Sagner säger till SVT Nyheter att han inte kan kommentera enskilda uppdrag, men säger att i de fall en kund uttrycker en önskan att teckna ett säkerhetsskyddsavtal är Eltel beredd att göra det.

Cygate hänvisar alla frågor om avtalet till Telia. Telias presschef Irene Krohn skriver till SVT Nyheter att denna typ av frågor aldrig kommenteras.

Det här är ett säkerhetsskyddsavtal

Alla leverantörer och underleverantörer som kommer i kontakt med hemligstämplade uppgifter, eller deltar i verksamhet som har betydelse för rikets säkerhet, måste först teckna ett säkerhetsskyddsavtal.

– Om en myndighet anlitar en leverantör i en verksamhet som kan drabbas av brott mot rikets säkerhet, som till exempel spioneri, ska det enligt lag upprättas och ingås ett säkerhetsskyddsavtal. Dessutom ska leverantörens personal säkerhetsprövas och säkerhetsklassas. Där är lagen glasklar, säger advokat Conny Larsson på Gärde & Partners som är en av Sveriges ledande experter på IT-rätt och juridiken kring IT-säkerhet.

Enligt säkerhetsskyddslagen ska samma krav på säkerhetsskydd ställas på leverantörer och underleverantörer som i den egna verksamheten. Om en leverantör anlitas för att sköta myndighetens system eller informationshantering så är det i princip otänkbart att detta ska kunna göras utan tillgång till informationen.

– Då räcker det med att myndigheten låter personalen kliva in genom dörren för att säkerhetsskyddsavtal, säkerhetsprövning och säkerhetsklassning ska finnas, säger han.

Säpo gör registerkontroll av personal i belastningsregistret, misstankeregistret och polisens allmänna spaningsregister. En myndighet är skyldig att meddela Säkerhetspolisen när ett säkerhetsskyddsavtal har ingåtts eller upphört att gälla.

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.