Läckan med Tidningen Hemvärnets utskrift av hemärnssoldaters befattningar på adresssen på tidningen är antagligen obehörig befattning med hemlig uppgift uppger sakkunniga till bloggen. Problemet är inte själva utskriften på tidningarna, utan att uppgifterna hämtats ut ur register hos Försvarsmakten eller Plikt- och prövningsverket och skickats vidare. Även mottagare på tidningen såväl som tryckeriet kan gjort sig skyldiga till brott genom att hantera denna lista.
Det kanske generellt är ringa skada att det står en uppgift om en enskild hemvärnsmans befattning på ett fysiskt exemplar av Tidningen Hemvärnet, även om uppgiften förstås bör förstöras ändå. Det stora problemet är att det har tagits ut en lista med alla hemvärnssoldater och -officerare, samt deras befattningar och spridits, inklusive till ett tryckeri eller en brevförmedlingstjänst.
I fallet Officerstidningen, som är Officersförbundets medlemstidning, så hämtas inte uppgifterna om mottagarna ur Försvarsmaktens system, utan ur Officersförbundets medlemsregister. I teorin kan man vara medlem utan att vara anställd av Försvarsmakten.
Sakkunniga uppger dock till bloggen att uppgifter om Sveriges krigsorganisation omfattas av så kallad 15:2-sekretess och då med omvänt skaderekvisit som kräver uttryckliga bestämmelser när sekretess får bryta eller överföras. Det finns i princip inga bestämmelser som tillåter att Försvarsmakten lämnar ut dessa sekretessbelagda uppgifter till någon. Och definitivt inte till organisationen Rikshemvärnsrådet, som ger ut Tidningen Hemvärnet.
Sedan sker eventuellt utlämnande ändå, t ex till Pliktverket och prövningsverket (“Pliktverket”), som krigsplacerar Försvarsmaktens personal, då lagen annars gör att man bara kan krigsplacera utifrån allmän tjänsteplikt, och inte utifrån totalförsvarsplikt.
Tolkningen är dock att detta alltså bryter mot 15:2 och att Försvarsmakten som lagen är skriven inte får lämna ut listan med personal i krigsorganisationen till någon utanför myndigheten.
Enskilda uppgifter behöver i sig inte vara känsliga, t ex är de flesta hemvärnssoldater inte hemliga med att de är medlemmar i hemvärnet, eller vad de gör där, men när man har en sammanställning över samtliga krigsplacerade hemvärnssoldater och -officerare så blir de enskilda oskyldiga uppgifterna till något som tillsammans är belagt med sekretess, och blir brottsligt att hantera.
Någon har i fallet Tidningen Hemvärnet gjort ett utdrag ur registren – antingen hos Försvarsmakten eller hos Pliktverket – och i strid mot 15:2 lämnat dessa vidare till Tidningen Hemvärnet, som i sin tur lämnat dem vidare till tryckeriet eller en postförmedlingstjänst. Därmed finns en lista på över 20 000 hemvärnsmän och deras befattningar i cirkulation. Sakkunniga menar att det antagligen handlar om brottet obehörig befattning med hemlig uppgift. Det gäller även mottagarna, dvs Tidningen Hemvärnet och tryckeri eller postförmedlningstjänst, och inte bara den som tagit ut och skickat iväg uppgifterna.
Man ska i fallet Transportstyrelseskandalen komma ihåg att överföringen av uppgifterna till Rysslands vänskapsnation Serbien stoppades och att Försvarsmakten, Säpo och Polismyndigheten därefter behandlade alla sina skyddsidentiteter som röjda. Dock skedde inte själva läckan, åtminstone har det inte medgivits.
I detta fall har dock läckan skett och 20 000+ personer i krigsorganisationen har lämnats ut, inte bara med adresser och namn, utan också med befattningar. Vart informationen spridits går förstås inte att svara på – kanske har den hamnat på datorer med automatiska molnbackuper till okrypterade molntjänster som kan läsas av molnföretaget?
Det hela visar på ett bristande tänk kring informationssäkerhet och informationssäkerhetskultur. Antagligen inte med avsiktliga antagonistiska avsikter, utan av ren inkompetens och okunskap.
Återstår nu att se om läckan kommer få juridiska konsekvenser eller om det hela klassas med stämplen PH, pinsamt hemligt.
Frågan är om det egentligen alls ens går att hantera samtliga hemvärnssoldaters adresser, och därmed om det alls går att skicka ut Tidningen Hemvärnet, om det inte sker helt i Försvarsmaktens interna regi och utan något externt tryckeri?
Vill passa på att tipsa om boken Informationssäkerhetskultur av Tobias Ander (Adlbris 491:- OBS: detta är en betallänk för Adlbris), som var CISO på Transportstyrelsen och en av de som stoppade den potentiellt helt förödande säkerhetsläckan som skulle röjt alla Sveriges hemliga operatörer inom Säpo, polisen och försvaret. För detta blev han prisbelönt och fick utmärkelsen Årets GRC-profil 2017.
Enkel och lättfattlig läsning som antagligen borde läsas av alla som hanterar information i sitt yrke, oavsett om det är på myndigheter eller företag. Hanterar man information kan man slarva med den så att den kommer på vift. Man kanske inte ens är medveten om att informationen är känslig och kan missbrukas antagonistiskt, utan likt på Transportstyrelsen hade en högsta ledning som bara tänkte på att spara pengar.
Nu kommer läckan för hemvärnets krigsplacerade inte få samma spridning som Transportstyrelseläckan, eftersom detta är en blogg och inte rikstäckande finmedia. Men kanske kommer åtminstone berörda myndigheter sätta ner foten internt, eftersom de oftast läser denna blogg, samt se till att spåra vilka som fått tillgång till listan med krigsplacerade. Så fram med PH-stämpeln och lös problemet.
14 kommentarer
De jobbar redan givetvis på det. Vi kan dock inte förvänta oss någon detaljerad återkoppling. Nästa nummer av tidningen kommer givetvis ha någon överslätande ursäkt.
Jag ser det framför mig. “På grund av ett olyckligt IT-relaterat fel skrevs uppgifter ut på vissa exemplar av föregående nummer. Vi beklagar att detta skedde och har sett över våra rutiner så att det inte ska hända igen.” I form av en liten notis i 8 punkters text, satt i nedre vänstra hörnet på sid 61…
“Frågan är om det egentligen alls ens går att hantera samtliga hemvärnssoldaters adresser, och därmed om det alls går att skicka ut Tidningen Hemvärnet, om det inte sker helt i Försvarsmaktens interna regi och utan något externt tryckeri?”
Tja, antalet exemplar som trycks lär väl knappast vara en känslig uppgift. Så man borde kunna anlita vilket tryckeri man vill för själva tryckningen/häftningen/vikningen av tidningen. Det ger en potentiell antagonistisk aktör tillgång till innehållet i tidningen och adressen till kansliet eller annan mottagningspunkt. Därefter återstår adressering och förmedling.
Kanske är det läge för våra totalförsvarsorganisationer att fundera på att börja skicka ut sina respektive medlemstidningar (och andra medlemsrelaterade utskick) i enkla anonyma vita kuvert utan någon uppgift om avsändare tryckt utanpå?
Problemet är ju filen med alla adresserna, och i detta fallet slank befattningarna med. Den skickas till tryckeriet eller postförmedlaren som stämplar adressen på alla tidningar, eller inplastningen av de samma.
Den som trycker alla försändelserna kommer veta vem beställaren är (ex “Försvarsmakten”) och därmed veta att adresserna är intressanta.
Det är inte så att det sitter någon på Högkvarteret och klistrar 20000 adresslappar på kuverten eller skriver dessa för hand.
Det är sant. Men nog borde det gå att köpa in en maskin eller två som kan skriva dit adresserna på tidningarna, och som kan stå i något lämpligt låst rum i någon lämplig lokal? Alternativt någon robot som kan adressera kuvert och därefter kuvertera tidningarna. Det är ju inte någon människa som sitter på tryckeriet och gör samma jobb heller…
Tar man resonemanget i blogginlägget till sin logiska slutpunkt så blir väl effekten att man inom Försvarsmakten måste ordna med ordonnanser som åker runt och delar ut utskicken (t.ex. tidningarna eller förnyelseavier för medlemskap) personligen till varje medlem, helst efter ID-kontroll, i alla totalförsvarsorganisationer? Jag tvivlar på att samtliga anställda inom Postnord t.ex. som möjligen skulle kunna komma i kontakt med försändelserna är säkerhetskontrollerade.
Undrar förresten hur många som har förtroendeuppdrag inom de hundratals ideella brukshundklubbarna i landet som är säkerhetskontrollerade…
Jag vill nu ha tillbaks min tjänstepistol som FM återkallade för snart 20 år sedan. Känner mig exponerad, befattning och allt out in the open. Och i dessa tider….
Jag reviderade projekt vid Länstyrelser och myndigheter när jag var yngre. Det var väldigt ofta vid utredningar jag hittade att äldre slipade tjänstemän som lät yngre gröna tjänstemän “handlägga och skriva på” för dem när de skulle ge en miljon eller två till kompisar eller fd chefer vid myndigheten. Undrar om samma sak hänt här. Vem ligger bakom. Syftet är ju solklart. Exponera de som försvarar Sverige (de få reguljära trupper vi har kan bara försvara en utvald stad).
Även om uppgiften inte skulle betraktas som hemlig så är det ett brott mot gdpr som kan leda till enorma men för den enskilda individen. Det är extremt allvarligt och helt ofattbart att uppgifterna ens har lämnat myndigheten.
Precis!
Vad är påföljden för brott mot GDPR? Vem är sakägare? Staten vs staten?
Sanktionsavgiften för en myndighet är mellan 5 och 10 miljoner kronor, för ett företag är den upp till 4% av omsättningen, som mest 20 miljoner euro. Det är integritetsskyddsmyndigheten som driver ärendet.
Kan det vara vårat älskade PRIO som ligger bakom?
Jag kommer faktiskt inte ihåg hur etiketterna var utformade innan.
Nej, det är tjänstemän vid myndigheten som ligger bakom. Prio kan inte vara ansvarigt.
Fick just reda på att detta kommer att anmälas och gå vidare med till.. (nämner inte resten här)
Om det är en tröst så är det gamla uppgifter…