Risker med öppen behörighetshantering

Det uppstår regelbundet diskussioner kring obehöriga registerslagningar, nu senast aktualiserat kring spionrättegången mot två bröder och en dom mot en polis som gjort en slagning för att han känt sig hotad.

Varför är då den här typen av slagningar så intressanta ur ett säkerhetsperspektiv?

Intresset kan det bero på de kännbara konsekvenserna för personal som döms för obehöriga slagningar (dataintrång eller obehörig befattning) och på föreställningen att man i någon mening måste vara behörig till alla resultat vid en slagning – annars måste det vara något fel med systemet.

Denna föreställning är långt ifrån onaturlig och man försöker normalt konstruera system som begränsar informationen som fås vid en sökning utifrån användarens behörighet och arbetsuppgifter.

Tyvärr finns det ändå situationer där en användare själv måste avgöra vilken information han behöver. Sedan finns det situationer där en användare gör slagningar utanför sina tilldelade arbetsuppgifter och där kan systemet inte kan avgöra om användningen är tillåten.

Personalen behöver förstå vilka alternativ som finns när en registerslagning inte är tillåten eller lämplig. Detta är inte bara en utbildningsfråga utan även en designfråga för informationshanteringen i stort.

Det handlar också om hur den interna kontrollen vävs samman med utbildning och uppföljande åtgärder. Personer som arbetar med säkerhetsfrågor tycker om att designa system och utbilda användare. Däremot är det svårare att engagera personal för att övervaka avvikande beteenden och eventuellt behörighetsmissbruk. Särskilt i miljöer där ifrågasatta registerslagningar kan få stora konsekvenser och logganalytiker tenderar till att huvudsakligen arbeta med utredningar som initierats utifrån.

Olika typer av behörighetssystem

Öppna behörighetssystem används när behoven av uppgifterna inte kan bestämmas i förväg utan styrs av en uppkommen situation. Exempel på öppen behörighetstilldelning finns både inom polisen samt inom underrättelseanalys. För att kompensera för de risker som kan uppstå används utbildning, kontroll och uppföljning samt delgivning av sammanställd information.

Slutna behörighetssystem används när tilldelning av information inte är tidskritisk utan kan ske genom kontrollerad delgivning. Varje person ges då tillgång till de uppgifter, handlingar och filkataloger som han behöver för sitt arbete. Tillstånden kan variera över tid, men det är alltid en annan person som ansvarar för behörighetstilldelningen eller delgivningen.

Risker med öppna behörighetssystem

Riskerna med öppna behörighetssystem framgår av några aktuella domar för slagning i register.

Reglerna för slagningar i myndigheters databaser är föredömligt enkla, man får enbart göra de slagningar som krävs för att fullgöra en arbetsuppgift. Man får alltså inte

• Slå på sig själv eller sina anhöriga
• Följa upp hur det gått för personer man tidigare haft kontakt med
• Göra slagningar för att förkovra sig i arbetet
• Göra slagningar som man själv anser kan anknyta till arbetsuppgifter

Reglerna finns av uppenbara skäl för att förhindra missbruk, läckor eller utpressning av personalen. All utbildning bör fokusera på vad man får göra och därefter på hur man praktiskt hanterar alla andra situationer som mer eller mindre naturligt kan uppkomma. Av de rättsfall som finns i referenserna kan det tyckas att utbildningen ibland varit otillräcklig.

Utbildning av personal

Utbildningen består i att personer som använder system vet under vilka förutsättningar de får söka information, att de förstår varför de inte får söka information utan dessa förutsättningar samt vilka kontroller som kan utföras och vilka konsekvenser som kan vid en utredning.

Utbildningen måste visa på riskerna om informationen hamnar i fel händer. Vid slagning i ett misstankeregister är den kanske största risken att informationen hamnar hos den misstänkte som så att säga kan ”korrigera” sitt eller andras beteende.

För att minska risken måste antalet slagningar begränsas och knytas till en konkret arbetsuppgift. Det ska inte uppstå situationer där slagningar görs utanför arbetet eller utanför en situation som medgett åtgärden. Detta är också ett skydd för den anställde som inte ska kunna pressas att göra en slagning.

Ofta utförs slagningar av felaktiga skäl som ändå delvis går att förstå. Man vill kanske få en bättre bild av brottsligheten i sitt område, lära sig mer om enskilda gängmedlemmar eller kanske hjälpa en släkting som riskerar att dras in i kriminalitet. Alla dessa situationer bör dock hanteras på rätt sätt. Det normala sättet att sprida information om brottslighet är underrättelserapporter som är sammanställningar för exempelvis personal i yttre tjänst.

Kontroll av personal

Detta är den kanske besvärligaste punkten. Det är tekniskt sett inga problem att logga alla slagningar och all läsning av information. Men det är ett problem att få personal att läsa loggar och vilja spåra felaktig användning av systemet. De flesta personer som får läsa loggar vill hellre spåra cyberangrepp än att kontrollera att egen personal inte använder systemet felaktigt.

Konsekvensen blir ofta att mjuka korrigeringar av felaktigt beteende inte sker utan kontroller sker först då konsekvenserna blir onödigt hårda.

Kontroll av personal kan naturligt delas in i två kategorier, kontroll av slagningar och kontroll av avvikande beteende. För slagningar kan alla sökningar på den egna personen vara en larmklocka, därefter sökningar på närstående. Likaså sökningar utanför arbetstid och sökningar utan någon angiven eller naturlig sökorsak.

För avvikande beteende kan varierande arbetstider, varierande antal utskrifter eller varierande antal slagningar vara en kontrollorsak.

Hantering inom företag

Även inom företag används ofta öppna behörighetssystem där intern information ofta är tillgängliga för alla anställda inom en avdelning. Det blir ofta kostsamt att göra en mer granulär uppdelning och det har ett värde att personalen kan dela på kunskaper genom att exempelvis läsa gamla rapporter. Sluten behörighetstilldelning kan i stället tillämpas för mer känslig information eller när kunder eller samarbetspartner ställer särskilda krav,

Risker som ett företag behöver hantera är industrispionage, företagsspionage och missnöjda anställda som kan dra fördel av öppen tillgång till information. Ofta delas information ändå relativt fritt inom avdelningar där man arbetar tillsammans. Samtidigt kan loggning av åtkomst ske för att ha kvar möjligheten att utreda överträdelser.

Delning av information kräver också ett generellt säkerhetsmedvetande av de anställda. Detta gäller vilken information som är känslig och behöver skyddas, likaså vilken kunskap från samarbetspartners och kunder som behöver skyddas. Det är vanligt att utredningar om informationsläckage ofta startar utifrån en misstanke eller då en konkurrent vinner marknadsandelar eller börjar ta över personal. Säkerheten är då ofta en blandning av proaktiva och reaktiva åtgärder.

Kontroller inom rättsvårdande myndigheter

Inom polisen är det nödvändigt att göra slagningar som kan avse personer, fordon och adresser. Syften är ofta att avgöra vilket hot ett ingripande kan medföra, men också att klarlägga vilka åtgärder som bör vidtas utifrån aktuella misstankar och brott.

Förutom dessa enkla typer av slagningar så finns möjligheter att slå på rapporterade brott inom ett visst område eller brott av en viss typ. Ofta görs dessa slagningar inte av ingripandepersonal utan som en underrättelseanalys. Syftet är ofta att kunna delge personal vilka områden som bör bevakas vilket sker genom delgivning. Men även dessa slagningar kan missbrukas för att hjälpa en brottsling att förstå vad som rapporterats och vilka uppslag som finns.

Misstänkta slagningar är normalt slagningar som inte kan kopplas mot antingen ett pågående ingripande, en inringning eller planering inför ett ingripande eller under en utredning.

Vid underrättelseanalys så är misstänkta slagningar främst slagningar som görs utanför en tilldelad arbetsuppgift, som inte görs för att besvara en underrättelsefråga och som inte resulterar i att något tillförs ärendet i form av exempelvis en arbetsanteckning eller kommentar.

Reflektioner kring kontroll av loggar

För system med högt sekretessvärde så är sekretessen en del av problemet att kontrollera användningen. Personal som utför kontrollen har inte möjlighet att ta del av all information.

Kontroller kan initieras av flera orsaker

• Slumpvis eller periodisk kontroll
• Självanmälan då någon inser sig ha gjort fel
• Kontroll i samband med ändrade arbetsuppgifter eller befordran
• Tips på felaktig användning (mer eller mindre direkta utpekningar)
• Andra missförhållanden eller anmälningar
• Avvikande beteende (variationer i antal slagningar)
• Passivt beteende (läsning av information, men få egna anteckningar)
• Andra variationer i antal sökningar relativt vilka åtgärder som därefter utförs
• Information öppnas utan synlig tilldelad arbetsuppgift eller koppling till ett pågående ärende
• Information som öppnas utan tilldelad behörighet, dvs enbart pga öppen behörighet
• Journalförd läsning av information som ifrågasätts av kollegor
• Variationer i vilka register som utnyttjas
• Slagningar utanför schemalagd arbetstid
• Stort antal fel och omslagningar
• Tekniska orsaker, tex indikationer på andra former av angrepp
• Statistiska orsaker, tex ofta slagningar på personer i andra områden

När man jämför olika typer av kontroller i informationssystem ser man att dessa kan delas upp i ett par områden.

• Tekniska kontroller som avser rena angrepp eller skadlig kod.
• Behörighetstilldelning som avser kontroller av tilldelade behörigheter oavsett om de sedan brukats eller återkallats. Detta omfattar både felaktigt utdelade behörigheter, felaktig delgivning och felaktig klassning av information.
• Behörighetsanvändning som avser kontroller att behörigheter inte missbrukas vid slagning eller sökning i informationssystem.
• Beteendeanalyser som avser kontroller av användarbeteenden vid slagningar

Kontroller är svårare inom rättsvårdande myndigheter där sekretessen mer dynamisk i tex pågående brottsutredningar samt brott eller observationer som inte ännu hunnit knytas till någon misstänkt.

Kontrollen är ännu svårare när informationen även omfattas av en säkerhetsskyddsklassificiering. Ofta är det bara de personer som kan läsa informationen, behörighetsloggar och åtkomstloggar som kan avgöra om någon missbrukat den öppna behörighetshanteringen eller läst information som delgivits felaktigt. En kontrollant kan ofta inte avgöra om missbruk skett. Kontrollanten eller logganalytikern saknar också ofta kunskapen om vilka personer som arbetar med vilka uppdrag.

Behovet av säkerhet är alltså en del av problemet att hitta missbruk. Detta är dock inte ett så stort problem som man kan tro eftersom de som är behöriga ofta aktivt läser vilka andra som tagit del av information, då detta ofta är en förutsättning för att diskutera ett ärende muntligt.

Att ställa en muntlig fråga i stället för att göra en slagning är inte heller ett problem eftersom den som tillfrågas då kan avgöra vilken information som lämnas ut. Om regelboken ska följas fullt ut kan den som lämnar ut information muntligt också tillföra detta som en notering till ärendet.

Problemet är att personer ofta tror att den centrala logganalys som finns för ett IT system ska kunna hitta alla missbruk. Detta är normalt omöjligt, däremot kan alla loggar för en viss person tas fram om och när denna person blir föremål för en utredning.

De slagningar som gjorts av poliser i de aktuella fallen följer en enklare princip, slagningar får enbart utföras i tjänsten och av godtagbara anledningar. Alla slagningar på den egna personen, familjen eller grannar är förbjuden oavsett eventuell nytta eller skada.

Ett annat problem är att poliser är utsatta för personer som försöker uppge felaktig identitet. Enklast är att systemen registrerar både kringinformation och orsak till slagningar samt om en slagning stöds av ID kontroller eller bara baseras på muntlig information.

En vanlig förklaring är att poliser kan behöva ett informationsövertag för att kunna hantera kriminella gäng. Problemet är här att de som gör slagningar kan läcka information eller pressas att lämna ut information till gängledare som därefter kan anpassa sin verksamhet eller påverka en viss utredning.

Medlet att få informationsövertag är i stället organiserad delgivning av information. Tex en kontrollerad sammanställning av de gäng som finns i en viss miljö.

Några av de redovisade fallen gäller slagningar på den egna personen. Ett fall omfattade även att en polis provocerades att göra en slagning efter att ha fått frågan om han inte själv förekom i misstankeregistret. Detta skulle i så fall närmast tyda på en otillräcklig förberedelse hur denna typ av frågor ska hanteras. Ett mer aktuellt fall är polisen som fick en bil stulen tillsammans med nycklar till hemmet och som därefter gjorde slagningar på de misstänkta gärningsmännen för att bedöma om det fanns ett hot mot hans familj. Rent praktiskt är skadan främst att målsägaren berett sig tillgång till förhör med misstänkt och vittne innan förundersökningen är klar, något som ytterst kan påverka möjligheterna att lagföra gärningsmännen.

Reflektioner kring spionrättegången

Avslutningsvis kan spionrättegången användas för att visa att det finns fler möjligheter att avslöja missbruk än vad som kan användas vid en intern granskning eller som kan avslöjas vid en rättslig process, exempelvis

• Signalspaning av trafik till eller från främmande makt som kan avslöja ett spionage och visa antingen vilka som spionerar (tex kontaktar en ambassad) eller vilken information som överförts.
• Underrättelsekällor kan avslöja vilken information främmande makt fått del av och därmed indirekt användas för att avgöra vilka som känt till och kunnat läcka informationen.
• Främmande makt kan oavsiktligt eller avsiktligt röja sina spionkontakter. I det första fallet genom att driva dem för hårt och i andra fallet för att avsluta ett samarbete som inte längre är givande och samtidigt vålla en skada i form av rättegångar och intern misstro.

Det som skiljer en spionrättegång från en mer vanlig rättegång är att det ofta kan vara hemligt hur brottet avslöjades eftersom man inte kan avslöja sina källor. Det är också olämpligt att informera för detaljerat om vilka uppgifter som kan ha röjts eller vilka uppgifter man tror har kommit främmande makt till del. Varken den tilltalade eller dennes advokat kan därmed få dessa uppgifter. Detta behöver inte vara ett problem eftersom andra element av brottet ofta går att styrka, exempelvis obehörig befattning med hemlig information i kombination med dolda inkomster. I andra situationer får man nya bevis då man bevakar den misstänkte efter att misstankar uppstod. Detta kan både ha som syfte att få mer direkt bevisning och att klarlägga kontaktvägar och metoder som använts. Det senare kan också användas som bevisning under förutsättning att ingen information röjs som försvårar fortsatt arbete mot främmande aktörer.

Det hade också förmodligen en stor betydelse i målet att den misstänkte själv uppgav sig i förhören ha en god kunskap om de hanteringsregler som gällde den typ av information som därefter röjts.

Referenser

Dataintrång på jobbet – straffrättsliga, arbetsrättsliga och offentligrättsliga följder – en lättläst sammanställning

https://lup.lub.lu.se/luur/download?func=downloadFile&recordOId=5435885&fileOId=7511145

Polisen som provocerades att läsa sitt eget misstankeregister.

https://lagen.nu/dom/nja/2014s221

Aktuell diskussion kring registerslagningar

https://polistidningen.se/2022/10/dom-slagningar/

Gävle TR B2040-22 Överklagat mål avseende polis som gjort slagning i en upplevd nödsituation.

Stockholm TR B 14349-21 Spionrättegången