FRA får kritik: ”Har inte stöd i lagen”

Nicklas Hjertonsson. Foto: Jörgen Appelgren

FRA vill fritt kunna skicka personuppgifter man får via signalspaning till dataintrångssystemet TDV och vice versa. Men Datainspektionen är kritisk. – Det saknas ett tydligt lagstöd, säger juristen Nicklas Hjertonsson.

Försvarets radioanstalt, FRA, har i vår begärt samråd med Datainspektionen kring hur man får hantera personuppgifter i arbetet med det nya sensorsystemet TDV (Tekniskt detekterings- och varningssystem), som man utvecklat på uppdrag av regeringen. Datainspektionen anser att det är nödvändigt att ändra lagen om inte TDV ska hamna i en juridisk gråzon.

TDV finns i dag hos FRA och en annan statlig myndighet och drivs av FRA sedan 2011. Framöver är systemet tänkt att installeras hos en mängd ”skyddsvärda” statliga myndigheter – och kanske även statliga företag – för att skydda dem mot it-angrepp. Det ska bli en del av det svenska cyberförsvaret mot resursstarka utländska angripare, exempelvis andra stater.

Det kan liknas vid ett vanligt dataintrångssystem – fast med en viktig skillnad.

Enligt FRA är hjärtat i TDV att det bygger på information om hackare och angreppsmetoder som identifierats via FRA:s globala signalspaning i försvarsunderrättelseverksamheten. Även om den spaningen har gällt it-hot. FRA byter också den typen av information med andra länder.

Det handlar om e-postadresser, IP-adresser, kodsnuttar och uppgifter om servrar, som sparas i ”signaturer”. Dem vill FRA fritt använda i TDV-sensorerna för att upptäcka angrepp – och tvärtom. Man hoppas på att få använda information som man samlat in via TDV i signalspaningsverksamheten.

Nu säger Datainspektionen i ett yttrande att signaturerna innehåller uppgifter som kan knytas till levande personer.

– Kärnan i våra synpunkter är att FRA inte kan flytta över kunskap som man inhämtat via signalspaningen i TDV hur som helst och vice versa utan prövning. Uppgifter som kan knytas till individer och som samlas in via TDV kan inte heller rakt av användas i signalspaningen, säger Nicklas Hjertonsson, jurist på Datainspektionen.

Enligt honom saknar FRA ett glasklart lagstöd för utbytet. Personuppgiftslagen ger inget stöd för att skyffla vidare information till en annan verksamhet. I så fall måste inhämtning och användning i bägge fallen vara förenliga med varandra. Vill regeringen att ett fritt utbyte ska vara möjligt bör dagens lagstiftning ändras, enligt inspektionen.

Tills dess måste FRA pröva om man kan flytta över en uppgift varje gång.

Fredrik Wallin, talesperson på FRA, försvarar överföringen.

– Eftersom vi har en uppgift att signalspana på de utländska angripare som ligger bakom allvarliga it-angrepp, så vill vi kunna använda den kunskapen för att skydda svenska system. I normalfallet är bedömningen att de ändamålen inte är oförenliga på något sätt, säger han.

Vad är TDV?

Försvarets radioanstalt har byggt ett tekniskt detekterings- och varningssystem, ett TDV, som ska avslöja allvarliga it-attacker mot statliga myndigheter som har koppling till rikets säkerhet.

Det består av nätverkssensorer som övervakar en myndighets datatrafik, av en skyddad kommunikationslösning och en bemannad analyscentral. När systemet varnar undersöker analytiker på FRA vad som hänt och larmar den statliga myndigheten.

FRA utvecklar också en nivå två, där systemet kan avbryta attacker i realtid. Liknande system används i exempelvis USA.

Niklas Dahlin

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

Här är reglerna för kommentarerna på NyTeknik

  Kommentarer

Dagens viktigaste nyheter

Aktuellt inom

Debatt

COMSOL