Inspektion av polismyndigheternas förmåga att handlägga IT-brott

Transkript

1 Tillsynsrapport 2014:2 Inspektion av polismyndigheternas förmåga att handlägga IT-brott Rikspolisstyrelsen

2

3 Sammanfattning 1 Sammanfattning Rikspolisstyrelsen (RPS) beslutade den 2 april 2013 att genomföra en inspektion vid fem polismyndigheter angående deras förmåga att handlägga IT-brott. Inspektionen har framförallt varit inriktad på polismyndigheternas förmåga att hantera information lagrad på IT-media, med särskilt fokus på beslag. En central fråga för att uppnå en bra och effektiv verksamhet gällande handläggningen av IT-brott är tolkning och tillämpning av begreppen IT-brott och IT-relaterad brottslighet. Den allmänna bilden är att området endast omfattar IT-brott i juridisk mening samt brott där IT är ett verktyg för att genomföra brottet. Många myndigheter har byggt upp sin organisation och sin syn på området efter denna tolkning. Med denna tolkning utesluts många brott där IT är en del av ärendet, exempelvis i bevishänseende. Om man fortsätter med nuvarande tolkning kommer det att bli problem i hanteringen av alla andra brott som har IT-relevans, eftersom det då saknas kompetens att vidta nödvändiga åtgärder, såväl utredningsmässiga, underrättelsemässiga som brottsförebyggande. Dessutom kommer nödvändigt underlag att saknas för att fatta relevanta beslut. För att komma ifrån denna snäva tolkning föreslår inspektionsgruppen ett nytt begrepp, brott med ITrelevans, vilket kan vara vilket brott som helst där IT ingår på något sätt. Det kan handla om att IT varit en förutsättning för brottets genomförande, att IT understött brottet på något sätt, eller att IT på något annat sätt påverkar utredningen av brottet. Exempel på det sistnämnda är att information som kan tjäna som bevisning eller på annat sätt medverkar till brottets uppklarande finns i IT-miljön, t ex filmer tagna med mobilkamera där ett brott dokumenteras och där filmerna sedan publicerats på Internet. Däremot avses inte det faktum att de rättsvårdande myndigheterna använder IT-stöd i samband med brottsutredning. Undersökning av IT-material genomförs av ITforensiker. Dessa är organiserade på olika sätt vid polismyndigheterna. Det är, i syfte att uppnå en effektiv samordning och ett högre resursutnyttjande, en tydlig framgångsfaktor om IT-forensikerna samlas under en chef. IT-forensikernas arbetsuppgifter bör renodlas för att skapa tid för huvuduppgiften. Vid några myndigheter har de tillikauppgifter såsom visualisering av förundersökningar, fingranskning av barnpornografi m.m. IT-forensikernas verksamhet är generellt inte integrerad med övrig verksamhet utan bedrivs snarare i en konsultativ form. Inspektionsgruppen ser stora fördelar med att eftersträva en integrering av ITforensikernas arbete i den övriga löpande verksamheten såväl operativt som i utbildningssammanhang. Myndigheterna har en bra utrustningsnivå och följer rekommendationerna som meddelats vid den nationella utbildningen. Inspektionsgruppen ser dock ett behov av tydligare styrning av utbildning och utrustningskrav gällande IT-forensisk verksamhet. Inspektionsgruppen noterar att det förekommer stora balanser vid flera myndigheter vilket kan förlänga eller förhindra olika brottsutredningar Utbildningsnivån på IT-forensikerna är adekvat och i stort sett alla har gått den nationellt arrangerade standardutbildningen för IT-forensiker. Utbildning på området saknas för övrig personal och den allmänna kunskapsnivån är låg. Det som genomgående kännetecknar kunskapsnivån hos övriga är att de är självlärda. Det finns behov av att utveckla och införa nationella riktlinjer som ett metodstöd för utredning av brott med IT-relevans. Det finns också anledning att implementera ITrelevans som en naturlig del i annan utbildning inom den brottsförebyggande och utredande verksamheten. Särskilt fokus bör riktas mot de behov som finns för funktionerna första patrull på plats, förundersökningsledare och utredare. När det gäller gallring och lagring av IT-undersökt material föreligger det stora skillnader mellan myndigheterna. Flera av de inspekterade myndigheterna saknar kunskap om vilka regler som gäller för arkivering och gallring av speglat material som lagrats.

4 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 2 För att garantera rättssäkerheten bör det finnas en nationell reglering om hur lagring av digital media ska ske. För att säkerställa att gallring sker enligt gällande regelverk måste det på myndighetsnivå finnas särskilt utsedda personer/ funktioner som är ansvariga för gallringen. De inspekterade myndigheterna bedriver, i samverkan med externa aktörer och via media, ett aktivt arbete med att förebygga IT-brott och IT-relaterade brott. Samverkan mellan olika polismyndigheters ITforensiker är däremot relativt liten. Här finns det en stor utvecklingspotential. Inspektionsgruppen har noterat ett antal goda exempel. Det förekommer att IT-forensiker tidigt involveras i arbetet med s.k. särskilda händelser både när det gäller i förväg kända sådana och när det gäller snabbt uppkomna situationer. Särskilt i de sistnämnda fallen kan stora tidsvinster göras för att säkra spår av IT-relevans och snabbt komma igång med IT-forensiska undersökningar av beslagtaget material, vilket kan leda en förundersökning åt rätt håll i ett tidigt skede. En myndighet har köpt in interaktiv utbildning för specialprogramvara från USA istället för att skicka personal på kurs. Avslutningsvis vill inspektionsgruppen lyfta behovet av en reglering av internetspaning. Området ligger utanför inspektionens uppdrag men det har vid flera tillfällen blivit tydligt att internetspaning förekommer vid myndigheterna utan att personalen känner till den rättsliga regleringen.

5 Innehåll 3 Innehåll 1 Inledning Direktiv Inspektionsgruppen Genomförande Metod Inspekterade polismyndigheter Bakgrund samt reglering av ämnesområdet Rättslig reglering Gallringsföreskrifter Styrdokument Internationellt perspektiv Tidigare uppföljnings- och tillsynsåtgärder Nulägesbeskrivning IT-relaterad brottslighet IT-brott...7 Dataintrång...7 Datorbedrägeri Statistik Sammanfattande synpunkter och bedömning Iakttagelser och synpunkter Polismyndigheten i Skåne Inspektionsgruppens synpunkter Polismyndigheten i Västra Götaland Inspektionsgruppens synpunkter Polismyndigheten i Västerbottens län Inspektionsgruppens synpunkter Polismyndigheten i Uppsala län Inspektionsgruppens synpunkter Polismyndigheten i Södermanlands län Inspektionsgruppens synpunkter Inspektionsgruppens rekommendationer Definitioner och förkortningar...24 Bilaga 1 Direktivet...25

6 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 4 1. Inledning 1.1 Direktiv Direktiven anger att inspektionens syfte är att granska polismyndigheternas förmåga att hantera ITbrott och då särskilt iaktta att Polisen arbetar rättsenligt, att polisarbetet håller hög kvalitet, särskilt inom frågor som rör den enskildes rättstrygghet och rättssäkerhet, att polisverksamheten bedrivs enligt de prioriteringar och riktlinjer som riksdag och regering beslutat samt att verksamheten bedrivs effektivt och med god hushållning av statens medel. De polismyndigheter som har omfattats av inspektionen är Polismyndigheten i Skåne, Polismyndigheten i Södermanlands län, Polismyndigheten i Västerbottens län, Polismyndigheten i Västra Götaland och Polismyndigheten i Uppsala län. Inspektionen har särskilt inriktas mot att undersöka hur polismyndigheterna prioriterar IT-brott och IT-relaterad brottslighet hur polismyndigheternas arbete på området bedrivs inom ramen för Polisens underrättelsemodell (PUM) kriminalunderrättelsetjänstens förmåga att analysera och identifiera nya brottstrender relaterade till internet polismyndigheternas förmåga att förebygga ITbrott och IT-relaterad brottslighet i samverkan med externa aktörer hur polismyndigheternas arbete på området bedrivs inom ramen för Polisens nationella utredningskoncept (PNU) hur polismyndigheterna har organiserat arbetet mot IT-brott och IT-relaterad brottslighet polismyndigheternas förmåga (kompetens och teknikhöjd) att säkra digitala eller elektroniska bevis i vilken utsträckning polismyndigheterna samverkar framförallt ur ett kompetens- och teknikperspektiv på området inom ramen för regional samverkan hur, och i vilken utsträckning, polismyndigheterna arbetar med IT-brott och IT-relaterad brottslighet kopplat till ekobrott inom ramen för grov organiserad brottslighet. Inspektion ska särskilt redovisa goda exempel som kan vara till stöd för Polisen i det fortsatta utvecklingsarbetet på området. Utanför ramen för inspektionen faller barnpornografibrott, s.k. grooming, d.v.s. vuxnas kontakt med barn i sexuellt syfte, brott mot personuppgiftslagen samt brott mot upphovsrätten genom fildelning. Direktiven i sin helhet finns i bilaga Inspektionsgruppen Inspektionsgruppen har letts av länspolismästaren Leif Jennekvist, Polismyndigheten i Västmanlands län, som har biträtts av polismästaren Anders Ternström, Polismyndigheten i Västmanlands län, kommissarien Anders Ahlqvist, Rikskriminalpolisen och kommissarien Maria Mikko, Polismyndigheten i Stockholms län.

7 2. Genomförande 5 2. Genomförande 2.1 Metod Inspektionen har genomförts under sammanlagt två arbetsdagar vid respektive inspekterad polismyndighet. I de inspekterade myndigheterna har bl.a. myndighetsföreträdare, chef för kriminalunderrättelsetjänsten, förundersökningsledare, utredare och IT-forensiker intervjuats. Utöver intervjuerna har inspektionsgruppen tagit del av styrdokument och andra relevanta handlingar från respektive myndighet. Denna rapport och de synpunkter och förslag som redovisas bygger på de genomförda inspektionerna, intervjuer, övrig granskad dokumentation och på den kunskap som inspektionsgruppens deltagare har om verksamheten. 2.2 Inspekterade polismyndigheter Polismyndigheten i Skåne, 2-3 september Polismyndigheten i Västra Götaland, 5-6 september Polismyndigheten i Västerbottens län, september Polismyndigheten i Uppsala län, 30 september 1 oktober Polismyndigheten i Södermanlands län, oktober 2013.

8 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 6 3. Bakgrund samt reglering av ämnesområdet 3.1 Rättslig reglering I huvudsak regleras området i Rättegångsbalken (RB), Brottsbalken (BrB), speciallagstiftning och i Europeiska konventionen ang skydd för de mänskliga rättigheterna och de grundläggande friheterna Gallringsföreskrifter Statliga myndigheter får gallra allmänna handlingar endast i enlighet med föreskrifter eller beslut av Riksarkivet, om inte särskilda gallringsföreskrifter finns i lag eller förordning 1. Riksarkivet meddelar föreskrifter och allmänna råd om arkivhantering dels i sin författningssamling (RA-FS) och dels i sina myndighetsspecifika föreskrifter om gallring och annan arkivhantering (RA-MS). Riksarkivet har tagit fram särskilda gallringsföreskrifter beträffande digitala kopior av beslagtagna digitala handlingar som framställts med hjälp av forensiska analysprogram (t.ex. speglade hårddiskar). Enligt RA-MS 2008:86 får polismyndigheterna i avslutade förundersökningar gallra sådana digitala kopior sex månader efter att ärendet är slutligt handlagt hos polis, åklagare eller domstol. I nedlagda förundersökningar får gallring ske fem år efter denna tidpunkt. Det finns även gallringsföreskrifter för andra databärare såsom CD/DVD-skivor. Dessa är kopplade till grundbestämmelser för respektive ärendetyp. 3.2 Styrdokument IT-brott och IT-relaterad brottslighet omnämns inte särskilt i något av de gällande styrdokument för 2013 som riktar sig till Polisen och omnämns inte heller i något av Polisens interna styrdokument. Av regleringsbrevet för 2014 avseende Rikspolisstyrelsen och övriga myndigheter inom polisorganisationen framgår dock bl a: Rikspolisstyrelsen ska redovisa det fortsatta arbetet med att utveckla bekämpningen av mängdbrott. Av redovisningen ska särskilt framgå hur polisen på kort och lång sikt arbetar för att effektiviteten och kvaliteten i handläggningen av bedrägeribrott och andra brott som ökar kraftigt i antal till följd av den snabba teknikutvecklingen I de preliminära planeringsförutsättningarna för 2014 har RPS lyft fram IT-relaterad brottslighet som ett nationellt mål. Där framgår att Polisen ska öka sin förmåga att bekämpa IT-relaterad brottslighet. Detta då brottsligheten förändras och de kriminella använder ny teknik och ändrar sitt brottsliga beteende. Särskild uppmärksamhet ska riktas mot den IT-relaterade brottsligheten för att säkerställa att de särskilda kompetenskrav som denna brottslighet ställer kan tillgodoses i alla delar av det brottsbekämpande arbetet. IT-perspektivet ska beaktas i alla delar av den brottsbekämpande verksamheten. 3.3 Internationellt perspektiv Den internationella trenden är att IT-brott och ITrelaterad brottslighet ökar kraftigt och att dessa brott sällan blir uppklarade. Mörkertalen för denna typ av brottslighet är sannolikt stora. Under hösten 2012 antog därför Europeiska unionen (EU) en intern säkerhetsstrategi där IT-brott är ett av fem prioriterade områden. För att öka förmågan att bekämpa grov organiserad brottslighet har det inom EU skapats ett nytt EU-center, European Cybercrime Centre (EC3), för IT-brottsutredningar, som lyder under EUs gemensamma brottsbekämpande organisation Europol. Centrets övergripande mål är att stärka medlemsländernas bekämpning av organiserad brottslighet på IT-området. I huvudsak gäller det tre typer av kriminalitet: bedrägerier, barnövergrepp och storskaliga attacker mot viktig infrastruktur. Enligt Europols egna bedömningar drar den organiserade brottsligheten in 1,5 miljarder euro 2 varje år enbart genom kortbedrägerier arkivförordningen 2 Avser 2012

9 3. Bakgrund samt reglering av ämnesområdet 7 IT-brottscentret ska samordna informationsflödet från alla medlemsländer och ta fram modeller för hur den här typen av brott ska rapporteras. Centret är en plattform för samarbete för de europeiska polismyndigheterna och deras cyberexperter och har knutit till sig akademiker och företag m.fl. för att kunna göra gemensamma hotbildsanalyser m.m. Centret är operativt fr.o.m Tidigare uppföljnings- och tillsynsåtgärder Enligt RPS diarium har någon tidigare inspektion inte ägt rum inom aktuellt område. 3.5 Nulägesbeskrivning När man beskriver området används benämningarna IT-relaterad brottslighet och IT-brott. Nedan definieras dessa benämningar IT-relaterad brottslighet IT-relaterad brottslighet innebär enligt gällande definition att IT används för att genomföra olika brott, medan brotten i sig kan vara av vilken brottstyp som helst. Idag kan de flesta brottstyper vara IT-relaterade. Det är inte ovanligt att den här typen av brottslighet är internationell vilket försvårar utredningarna eftersom lagstiftningen är nationell. Det är komplicerat och tar lång tid att få internationell rättshjälp i utredningsarbetet. För att öka Polisens förmåga att klara upp den här typen av brott krävs ett ökat och mer effektivt samarbete på internationell nivå. Näthat Näthat får i detta sammanhang tjäna som exempel på traditionell brottslighet som utnyttjar IT. Näthat innebär olika typer av meddelanden som ger uttryck för hat riktat mot mottagaren. Det sker oftast via e-post och sociala medier. Begreppet näthat i sig är inget brott även om innehållet upplevs som mycket obehagligt. Näthat kan indelas i allmänna åtalsbrott, brott som kräver enskilt åtal och företeelser som inte utgör brott men som ändå upplevs som kränkande för den enskilde. De brott som kan komma ifråga är bl.a. olaga hot, ofredande, hets mot folkgrupp och förtal IT-brott Dataintrång Dataintrång kan delas in i s.k. interna och externa dataintrång. Interna dataintrång begås i regel av en egen anställd och utgörs i praktiken av överträdelse av regler som utfärdats av arbets- eller uppdragsgivare. Interna dataintrång är i de flesta fall relativt okomplicerade att utreda. I moderna datasystem finns normalt mycket säkra funktioner för behörighetskontroll installerade. I system med skyddsvärd information har användarna i regel personliga behörighetskort och ofta även ett unikt lösenord. Vanligen sker också loggning av all trafik i den typen av miljöer. Externa dataintrång är intrång i system som sker från punkter utanför systemets fysiska och logiska avgränsningar, alltså utanför den miljö som systemägaren kontrollerar, har bestämmanderätt och överblick över. För att det ska vara fråga om ett intrång ska naturligtvis anslutningen och tillträdet till systemet ha skett olovligen. Externa dataintrång är betydligt mer komplicerade att utreda och bevissäkra. Datorbedrägeri Datorbedrägeri, bluffakturor samt bedrägerier som sker med hjälp av internet är de oftast anmälda typerna av bedrägeri. Dessutom är kortbedrägerier av olika slag ofta nära sammankopplade med internet. Utvecklingen bekräftas också av den nationella trygghetsundersökningen som visar att utsattheten för bedrägeri ökat med ca 30 procent bara under de senaste fem åren. Bedrägeribrotten, som exempelvis internetbedrägerier och kortrelaterade bedrägerier, är den moderna typen av illegal förmögenhetsöverföring, som uppkommit eftersom möjligheterna att begå bankrån eller bilstölder har minskat. En möjlig förklaring är att det helt enkelt är mer lönsamt för gärningspersonerna att få pengar eller varor direkt samtidigt som de slipper besväret med stöldgods som ska förvaras och säljas. Dessutom upplevs risken för lagföring som liten.

10 Inspektion av polismyndigheternas förmåga att handlägga IT-brott Statistik Någon exakt statistik på området finns inte. Till exempel räknas häleri som sker genom webbplatser på internet i Brottsförebyggande rådets (Brå) statistik som just häleri och inte som en form av IT-brottslighet. Den generella trenden är dock tydlig. IT-brottsligheten ökar kraftigt och ingenting pekar på att utvecklingen mattas av. Bedrägeri med hjälp av internet och dataintrång är två av de brottstyper som enligt Brå:s statistik (2012) ökar mest. Bedrägeri med hjälp av internet ökade med 43 procent mellan 2011 och 2012 och dataintrång under samma period med 140 procent. Uppklaringsprocenten för IT-brott och IT-relaterade brott är generellt sett låg. Enkla bedrägerifall med internet som hjälpmedel, till exempel när målsägaren köpt en vara på internet men inte fått något levererat, utgör dock ett undantag. Sådana fall klaras ofta upp eftersom ett bankkonto oftast leder till gärningspersonen.

11 4. Sammanfattande syn punkter och bedömning 9 4. Sammanfattande synpunkter och bedömning Begreppen IT-brott och IT-relaterad brottslighet En tydlig iakttagelse som inspektionsgruppen gjort under sina inspektioner är den effekt på verksamheten som tolkningen av begreppen IT-brott och ITrelaterad brottslighet ger. Den allmänna bilden är att området endast omfattar IT-brott i juridisk mening (dataintrång BrB 4:9 C och datorbedrägeri BrB 9:1 2st) och brott där IT är ett verktyg för att genomföra brottet. Många myndigheter har även byggt upp sin organisation och sin syn på området efter denna tolkning. Med denna tolkning utesluts många brott där IT är en del av ärendet, exempelvis som bevis. Inspektionsgruppen anser att de flesta brott kan vara IT-relaterade. Om man fortsätter med nuvarande tolkning och särbehandlar IT-brott kommer det att bli problem i hanteringen av alla andra brott som har IT-relevans, eftersom det då saknas kompetens att vidta nödvändiga åtgärder, såväl utredningsmässiga, underrättelsemässiga som brottsförebyggande. Dessutom kommer underlag för att fatta nödvändiga beslut att saknas. För att komma ifrån denna snäva tolkning föreslår inspektionsgruppen ett nytt begrepp; brott med ITrelevans. Detta ska kunna vara vilket brott som helst där IT ingår på något sätt. IT-forensiska verksamheten Alla IT-forensiker har gått, eller kommer att gå, den nationellt arrangerade standardutbildningen för IT-forensiker. Utrustningsnivån i myndigheterna är bra och följer rekommendationerna vid den nationella utbildningen. Antalet IT-forensiker skiljer sig åt mellan olika myndigheter och balansläget är en bra indikator på vilka som prioriterar området. Vid några myndigheter har ett antal IT-forensiker slutat under senaste året vilket påverkat numerären och verksamheten på kort sikt. Balansläget varierar mellan noll och nästan tio månader vad gäller IT-forensiska undersökningar och inspektionsgruppen ser det stora balansläget vid några myndigheter som ett bekymmer. De flesta myndigheterna har placerat den IT-forensiska verksamheten tillsammans med övrig kriminalteknisk verksamhet. Detta är en ordning som inspektionsgruppen anser är att föredra. IT-forensikernas arbetsuppgifter bör renodlas. De har en högst specialiserad utbildning och kompetens och bör inte användas för tillikauppgifter såsom visualisering av förundersökningar, fingranskning av barnpornografi eller rena IT-administrativa sysslor. Detta gäller i synnerhet då man kan förutsätta att IT-forensikerna kommer att få en alltmer pressad arbetssituation i takt med att IT-inslaget i den polisiära vardagen ökar. Utbildning för övriga Utbildning på området saknas för övrig personal och den generella kunskapsnivån är låg. Det som genomgående kännetecknar kunskapsnivån hos övriga är att de i stor omfattning är självlärda. Genomlysningar och förslag på utbildning kommer eller har redan påbörjats. Polishögskolan kommer att inleda en genomlysning av samtliga kursplaner avseende IT-brottsperspektivet. Gallring/lagring och ansvariga För att kopiera beslagtagen digital information på datamedium används en metod som brukar kalllas för spegling. Med hjälp av analysprogram (s.k. forensiska program) kopieras hela innehållet på t.ex. en CD, en mobiltelefon eller en hel hårddisk till ett tomt datamedium. Alla upptagningar påverkas och åldras på olika sätt och måste förr eller senare kopieras för att kunna bevaras för framtiden. Ingen konvertering eller omkopiering av CD eller DVDskivor sker idag. Här har dock Polisen skickat in en dispensansökan till Riksarkivet gällande uppskov fram till år De flesta befattningshavare känner inte till vilka regler som gäller för arkivering eller gallring av speglat material som lagrats. För att upprätthålla rättssäkerheten bör det finnas en nationell reglering av hur

12 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 10 lagring av digital media ska ske. Inspektionsgruppen föreslår en serverlösning för lagring av digital media med tydliga riktlinjer om hur filer ska hanteras. Detta skulle säkerställa en tillfredsställande hantering, förvaring och vård av upptagningar under hela den tid som upptagningar ska bevaras. För att säkerställa att gallring sker enligt gällande regelverk bör det på myndighetsnivå finnas särskilt utsedda personer/funktioner som är ansvariga för gallringen. Rättsenlighet Såvitt inspektionsgruppen kan bedöma hanteras den IT-forensiska verksamheten i enlighet med gällande lagstiftning. Detsamma gäller även beträffande den del av utredningsverksamheten som har IT-relaterade inslag eller är av IT-relevans. Det bör dock påpekas att detta generellt sett sker utan att den enskilde befattningshavaren egentligen har sakkunskap om hur regleringen på området ser ut. Det finns dock vissa förundersökningsledare och IT-forensiker som uppvisar en god kunskap om den rättsliga regleringen. Myndigheterna följer upp ny lagstiftning i varierande grad. Det är vanligt förekommande att den enskilde medarbetaren själv får söka efter ny lagstiftning inom sitt kompetensområde. Prioriteringar och riktlinjer Det saknas tydliga prioriteringar från statsmakternas sida inom detta område men av Sveriges åtagande inom EU framgår att det finns en angelägen vilja att ha ett europeiskt samarbete för att beivra den ökande internationella brottsligheten som har IT-relevans. Rikspolisstyrelsen lyfter fram och visar på en prioritering av brott med IT-relevans genom de preliminära planeringsförutsättningarna för Effektivitet Såvitt inspektionsgruppen kan bedöma bedrivs verksamheten generellt sett effektivt och med god hushållning av statens medel. IT-verksamheten har en god utrustningsstandard och huvuddelen av utrustningen inhandlas via Polisens egen inköpsorganisation. IT-forensikerna har relevant utbildning för att värdera och utnyttja den relativt sett dyrbara utrustning som krävs för en god verksamhetsnytta. PUM och PNU Såvitt inspektionsgruppen kan bedöma bedriver myndigheterna verksamheten enligt PUM och PNU. Flera av de inspekterade myndigheterna uppger dock att de är mindre bra på att göra beställningar till KUT inom IT-brottsområdet. Inspektionsgruppen anser att denna bedömning är en effekt av deras snäva tolkning av IT-brottsdefinitionen. Om man istället har synsättet att de flesta brott kan ha ITrelevans kommer IT-brottsperspektivet att vara en aspekt i alla beställningar. Förmåga att förebygga IT-brott och IT-relaterade brott De inspekterade myndigheterna bedriver ett aktivt arbete med att förebygga IT-brott och IT-relaterade brott i samverkan med exempelvis internetaktörer, banker och olika organisationer. De strävar också efter att vara tidigt ute i media med information om nya trender. Rutiner/kompetens/riktlinjer i övrigt Den IT-forensiska verksamheten är i hög grad likriktad i polismyndigheterna och IT-forensikerna arbetar i huvudsak efter samma riktlinjer. Det är önskvärt att det skapas en nationell samsyn på området även hos övrig personal. Detta kan åstadkommas på flera samverkande sätt. Rutiner tas fram på nationell nivå och förmedlas i utbildningen (grund- och vidare-), kompetensen höjs hos all personal genom utökade utbildningsinsatser och att riktlinjer i övrigt utarbetas, både på nationell och på regional nivå. Det är av stor vikt att samverkansområdenas samlade resurs och kompetens nyttjas. Även om utbildning och utrustning i stort är lika finns ändå spetskompetenser på olika delområden. Dessa bör inventeras och nyttjas vid behov. På samma sätt bör den samlade resursen nyttjas vid arbetstoppar och då allvarliga brott inträffar. Regional samverkan Den regionala samverkan mellan olika polismyndigheters IT-forensiker är relativt liten. Här finns det utvecklingspotential. Nationellt finns ett databaserat forum för IT-forensiker.

13 Goda exempel Det förekommer att IT-forensiker tidigt involveras i arbetet med s.k. särskilda händelser både när det gäller i förväg kända sådana och när det gäller snabbt uppkomna situationer. Särskilt i de sistnämnda fallen kan stora tidsvinster göras för att säkra spår av ITrelevans och snabbt komma igång med IT-forensiska undersökningar av beslagtaget material, vilket kan leda en viktig förundersökning åt rätt håll i ett tidigt skede. Vid en myndighet används IT-forensikernas kompetens även till att undersöka annat beslagtagen IT-utrustning t.ex. för att försöka få fram en ägare. Detta ökar förmågan att återföra gods till ägaren och även att lösa fler brott. 4. Sammanfattande syn punkter och bedömning 11

14 Inspektion av polismyndigheternas förmåga att handlägga IT-brott Iakttagelser och synpunkter 5.1 Polismyndigheten i Skåne Allmänt Polismyndigheten i Skåne är organiserad i fem polisområden och tre länsgemensamma avdelningar; länskriminalavdelningen, länsoperativa avdelningen och stabsavdelningen. Polisområdena utgör geografiska ansvarsområden där den lokala brottsförebyggande verksamheten, utrednings- och lagföringsverksamheten samt serviceverksamheten bedrivs. Myndigheten har ca 3600 anställda. Organisation Den IT-forensiska verksamheten är uppdelad på de olika polisområdena och respektive polisområdeschef ansvarar för sitt område. En processansvarig för den IT-forensiska verksamheten i myndigheten finns på länskriminalavdelningen. Processansvaret innebär ansvar för metodik, arbetsmetoder, utrustning, utbildning samt samordning av det IT-forensiska arbetet på myndigheten. Då inspektionsgruppen endast träffat företrädare från polisområde Malmö är det deras verksamhet som beskrivs nedan. I polisområde Malmö är IT-forensikerna organiserade i en IT-brottsgrupp under polisområdets underrättelsesektion. Styrning och styrdokument IT-brott eller IT-relaterade brott finns inte omnämnda i myndighetens verksamhetsplan. Det finns heller inte några andra styrdokument inom området med undantag för en handling framtagen av IT-brottsgruppen, Stödprocess för områdets IT-forensiska verksamhet. PUM Polisområde Malmös operativa verksamhet leds av en operativ ledningsgrupp och inriktningar och beslut är underbyggda av underrättelser från kriminalunderrättelsetjänsten. Inga beställningar gällande IT-relaterad brottslighet, förutom i enstaka pågående ärenden, har gjorts av den operativa ledningsgruppen. Kriminalunderrättelsetjänsten anser sig ha låg kompetens såväl gällande lagstöd som när det gäller att hitta trender och säkra elektroniska bevis för IT-relaterad brottslighet. Den IT-relaterade brottsligheten finns omnämnd som ett problemområde i den årliga omvärldsanalysen som kriminalunderrättelsetjänsten tar fram. PNU Huvudregeln är att alla ärenden kommer in en väg till myndigheten enligt principen en tratt in. Ärendena granskas av en förundersökningsledare som även beslutar om akuta åtgärder. När det gäller bedrägeriärenden har dock myndigheten en separat tratt in där alla ärenden granskas av en förundersökningsledare på bedrägerisektionen för att få en bra samordning. Förundersökningsledarna skriver utredningsdirektiv och följer upp ärendena regelmässigt. Numerär och arbetsuppgifter Vid IT-brottsgruppen arbetar det personer. Fem av dessa är IT-forensiker varav tre är nyanställda, två arbetar med ljud och bild och två arbetar med telefontömningar (tekniker IT-brott). Utöver detta finns det en gruppchef och en administratör. Arbetsuppgifterna består av IT-forensiska undersökningar av spår i alla typer av IT-miljöer. Utöver detta utförs även visualiseringar av förundersökningar inför domstolsförhandling. Utrustning och lagring IT-forensikerna har en hög utrustningsnivå både avseende hårdvara och mjukvara i enlighet med rekommendationerna vid den nationella utbildningen. För övrig personal finns det ett fåtal fristående datorer. De flesta tycks använda datorer anslutna till polisens interna datasystem (BasA) för att göra sökningar och andra åtgärder på internet. Medvetenheten hos övriga medarbetare om vilka spår man lämnar på nätet verkar vara låg.

15 5. Iakttagelser och synpunkter 13 All hantering av beslagtagna telefoner utförs av ITbrottsgruppen som också är de enda som har utrustning för denna verksamhet. Myndighetens lagring av bevisfiler sker på lösa hårddiskar som förvaras hos IT-forensikerna i ett lådsystem. Det finns ingen utpekad ansvarig person för hantering och kontroll av arkiverat/lagrat IT-media utöver CD och DVD skivor. Det finns heller inte några skrivna rutiner över hur arkivering och gallring ska ske av speglat material. Idag är ansvaret delat mellan IT-forensikerna och gallring sker i mån av tid när ärendet legat några år. Ingen samordning sker mot ärende eller myndighetens IT-arkivarie. Kompetens och utbildning Utöver en allmän kompetens att utföra initiala utredningsåtgärder har varken den yttre personalen, förundersökningsledare eller utredare någon särskild utbildning gällande IT-relaterade brott. De kunskaper gällande IT som finns bygger på eget intresse och kunskaper som personal inhämtat på egen hand. Två av IT-forensikerna har genomgått den nationellt arrangerade standardutbildningen för IT-forensiker. De tre nyanställda kommer att gå utbildningen inom kort. Övriga vid gruppen är inte IT-forensiker. De som hanterar mobiltelefoner har genomgått utbildning via MSAB. Såväl IT-forensiker, tekniker IT-brott som utredare av IT-relaterade brott anser sig ha otillräckliga kunskaper inom det IT-juridiska området. Det utförs ingen internutbildning inom IT-området i polisområde Malmö. Balanser Polisområdet har stora balanser med långa väntetider på både telefon-, data-, ljud- och bildundersökningar. Det är gruppchefen för IT-brottsgruppen som fortlöpande gör prioriteringar av vad som ska undersökas. Metod IT-forensikerna tycks arbeta efter de riktlinjer som lärs ut på den nationella utbildningen. Beställning av IT-undersökningar skrivs i det polisiära datasystemet TekPro (Tekniskt protokoll) och det är normalt rapporterande patrull som skriver beställningen. Innan en undersökning görs kontaktas utredaren. Vid undersökningen speglas materialet varefter speglingen skickas till utredaren för analys. Brottsförebyggande arbete Polisområdet arbetar aktivt med brottsförebyggande arbete inom området. Det finns upparbetade kontakter med Svensk handel och banker och myndigheten lägger aktivt ut information via Facebook. Utredarna uppvisar ett bra kontaktnät med banker och företag. Övrigt Någon formell samverkan mellan de olika polisområdenas IT-forensiker tycks inte förekomma. Detsamma gäller samverkan inom regionen. Myndighetens nyttjande av den IT-forensiska kompetensen skiljer sig inte från övriga myndigheter som har inspekterats. IT-forensikerna tycks bedriva konsultativ verksamhet utan att involveras i den övriga verksamheten. Detta gäller såväl operativt som strategiskt. Däremot medverkar IT-forensiker vid vissa husrannsakningar Inspektionsgruppens synpunkter Myndigheten har ingen sammanhållen styrning och organisation av IT-brottsverksamheten vilket hindrar ett effektivt utnyttjande av den totala resursen. Valet av organisation hindrar även kompetensutbyte och försvårar överblick av trender och tendenser. Polisområde Malmö prioriterar nyanskaffning av utrustning så snart behov uppstår. Polisområdets IT-forensiker har en hög kompetens som grupp och en hög utrustningsnivå. Att inte alla, av olika skäl, genomgått IT-forensisk utbildning minskar dock flexibiliteten i gruppen totalt. Det kan diskuteras om man ska lägga resurs på visualisering av förundersökningar samtidigt som man har stora balanser när det gäller undersökningar av beslagtagen IT-utrustning. Gallringen av digital information, utöver CD/ DVD skivor, är inte tydlig och det saknas rutiner för när och hur den ska ske. Myndigheten bör ta fram riktlinjer för gallring samt utse en ansvarig. Avsaknad av kompetens och utbildning inom området hos övrig personal får återverkan på hela verksamheten, från yttre tjänst till operativa led-

16 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 14 ningsgruppens (OLG) beställningar. Personalen är emellertid motiverad och engagerad i sina arbetsuppgifter. Kompetensen hos övrig personal kan närmast beskrivas med uttrycket självlärd. Inspektionsgruppens uppfattning är att den IT-forensiska verksamheten inte är integrerad med övrig verksamhet. Det tycks som om de IT-forensiska undersökningarna är mer inriktade på spegling av lagringsmedia och telefoner än analys av data. Speglingar utförs och sedan ansvarar beställaren för att göra analys. Såvitt inspektionsgruppen kan bedöma arbetar myndigheten enligt PUM. När det gäller IT-relaterad brottslighet är förmågan att bedriva proaktiv inhämtning låg och inga tydliga beställningar från operativa ledningsgruppen är gjorda inom området. Kriminalunderrättelsetjänsten uppger sig inte ha kompetens att identifiera och analysera nya brottstrender relaterade till internet. Enligt inspektionsgruppens bedömning följer myndigheten i huvudsak PNU. Polisområdet uppvisar en bra förmåga att förebygga IT-brott och IT-relaterade brott i samverkan med externa aktörer såsom banker, Svensk handel och försäkringsbolag. Regional- och polisområdessamverkan inom ITbrottsområdet är obefintlig. Det torde vara möjligt att utveckla kompetensutbytet i myndigheten för att uppnå en bättre överblick av trender och tendenser. Det skulle också medföra en större möjlighet att hantera myndighetens höga balanser mer effektivt. 5.2 Polismyndigheten i Västra Götaland Allmänt Polismyndigheten i Västra Götaland är organiserad i fyra polisområden och tre länsgemensamma avdelningar; länsordningspolisen, länskriminalpolisen och förvaltningsavdelningen. Polisområdena utgör geografiska ansvarsområden där den lokala brottsförebyggande verksamheten, utrednings- och lagföringsverksamheten samt serviceverksamheten bedrivs. Myndigheten har ca 4200 anställda. Organisation Myndighetens IT-forensiker är organisatoriskt placerade på IT-forensiska sektionen under grova brottsroteln vid länskriminalpolisen. IT-forensikerna är dock geografiskt lokaliserade ute i de olika polisområdena. Styrning och styrdokument IT-brott omnämns i myndighetens verksamhetsplan under ett avsnitt gällande bedrägerier. Det fanns vid inspektionstillfället inte några andra styrdokument inom området. PUM Myndighetens operativa verksamhet leds av en operativ ledningsgrupp och inriktningar och beslut är underbyggda av underrättelser från kriminalunderrättelsetjänsten. Inga beställningar gällande IT-relaterad brottslighet, förutom i enstaka pågående ärenden, har gjorts av den operativa ledningsgruppen. Kriminalunderrättelsetjänsten anser sig ha låg kompetens såväl gällande lagstöd som när det gäller att hitta trender och säkra elektroniska bevis för ITrelaterad brottslighet. Ingen löpande omvärldsbevakning gällande IT området förekommer. Den IT-relaterade brottsligheten finns omnämnd som ett problemområde i den årliga omvärldsanalysen och har tagits in i myndighetsdirektiven för PNU Huvudregeln är att alla ärenden kommer in till myndigheten enligt principen en tratt in. Det finns dock en tratt per polisområde. Ärendena granskas av en förundersökningsledare som även beslutar om akuta åtgärder. Myndighetens brottssamordning är under uppbyggnad och är knuten till länskriminalpolisen. Brottssamordning sker avseende både modus och gärningsman. Förundersökningsledarna skriver utredningsdirektiv och följer upp ärendena regelmässigt. Numerär och arbetsuppgifter Myndigheten har 28 IT-forensiker fördelade på fyra grupper (en i vardera polisområde) samt en sektionschef. Arbetsuppgifterna är IT-forensiska undersökningar av spår i alla typer av IT-miljöer. Utöver detta hanteras granskningen av misstänkt barnpornografiskt material i sin helhet av IT-forensikerna.

17 5. Iakttagelser och synpunkter 15 Utrustning och lagring IT-forensikernas utrustning är den som rekommenderas på den nationella utbildningen. För övrig personal har man på sektionen byggt upp ett antal gästarbetsplatser för utredare. Utöver dessa tycks de flesta använda datorer anslutna till polisens BasAsystem för att göra sökningar och andra åtgärder på internet. Medvetenheten hos övriga medarbetare om vilka spår man lämnar på nätet verkar vara låg. Tömning av mobiltelefoner genomförs av personal som erhållit utbildning. All IT-forensisk undersökning av beslagtagna telefoner utförs av IT-forensikerna som också är de enda som har utrustning för denna verksamhet. För lagring av bevisfiler har myndigheten en egenutvecklad lagringslösning där myndigheten själv svarar för inköp och drift av ett Storage Area Network (SAN). Det finns ingen utpekad ansvarig för hantering och kontroll av arkiverat/lagrat IT-media utöver CDoch DVD-skivor. När det gäller gallring och förvaring har en tolkning tagits fram av hur och vilket material som ska gallras. För material som läggs för arkivering tillämpas Riksarkivets föreskrifter och allmänna riktlinjer, RA-MS 2008:86, och gallring sker 6 månader efter lagakraft vunnen dom eller efter 5 år. Idag är ansvaret för gallring delat mellan ITforensikerna. Samordning sker mot ärende och med myndighetens arkivarie. Kompetens och utbildning Utöver en allmän kompetens att utföra initiala utredningsåtgärder har varken den yttre personalen, förundersökningsledare eller utredare någon särskild utbildning gällande IT-relaterade brott. De kunskaper gällande IT som finns bygger på eget intresse och kunskaper man inhämtat på egen hand. IT-forensikerna har genomgått den nationellt arrangerade standardutbildningen för IT-forensiker. Såväl IT-forensiker som utredare av IT-relaterade brott anser sig ha otillräckliga kunskaper inom det IT-juridiska området. Myndigheten har köpt in en interaktiv utbildning för specialprogramvara från USA istället för att skicka iväg personal på kurs. Någon tydlig internutbildning finns inte men det sker en tydlig dialog mellan IT-forensiker och beställare. Balanser Myndigheten har i princip inga balanser vad avser IT-forensiska undersökningar. Metod IT-forensikerna tycks arbeta enligt riktlinjerna som meddelats vid den nationella utbildningen. Beställning av en IT-underökning skrivs i TekPro och det är normalt rapporterande patrull som skriver beställningen. IT-forensikerna har en dialog med utredaren innan undersökning utförs och de har tydliga krav på preciserad beställning. Utredarna ges även möjlighet att tillsammans med IT-forensiker, vid särskilda arbetsplatser, analysera det material som framkommit i undersökningen. För att höja kompetens vid beställningar planeras en utbildning för personalen vid myndigheten. Brottsförebyggande arbete Samverkan sker med internetaktörer, Forex, banker och även med Missing People. Myndigheten använder aktivt Twitter och media för att tidigt gå ut med information. Chefen för IT-forensikerna föreläser vid högskolan i Halmstad samt i diverse andra externa sammanhang. Övrigt Samverkan mellan IT-forensikerna inom myndigheten är väl utvecklad och samordnad. Samverkan med övrig verksamhet fungerar också väl. Det förekommer dock ingen tydlig regional samverkan inom området. Myndighetens nyttjande av den IT-forensiska kompetensen skiljer sig inte från övriga myndigheter som har inspekterats. IT-forensikerna tycks bedriva konsultativ verksamhet utan att involveras i den övriga verksamheten. Detta gäller såväl operativt som strategiskt. Däremot medverkar IT-forensiker vid vissa husrannsakningar Inspektionsgruppens synpunkter Myndigheten har en verksamhetsanpassad organisation som möjliggör flexibilitet, samordning och översikt av trender. Det är en bra och effektiv verksamhetsmodell med central ledning i kombination med geografiskt utplacerad personal. Det finns en tydlig och strukturerad beställningsrutin avseende

18 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 16 IT-undersökningar. Det finns också en bra och tydlig dialog mellan IT-forensiker och beställare. Myndigheten har en egen anskaffad lagringslösning där man svarar för såväl inköp som drift. Det ger en ekonomisk fördel men driftsmässigt är det en nackdel och utgör avvikelse från den standard som polisväsendets IT-service (PVIT) tillhandahåller. Gallring av arkiverat material sker utifrån Riksarkivets rekommendationer men myndigheten bör utse en ansvarig. Långt ifrån allt bedöms dock som IT-material som ska arkiveras, vilket gör att en del raderas i ett tidigt skede. Myndigheten prioriterar nyanskaffning av utrustning när behov uppstår. Polismyndighetens ITforensiker har en hög kompetens som grupp och en bra utrustningsnivå. Det är tydligt att myndigheten satsar på den IT-forensiska verksamheten. Alla har genomgått den nationella IT-forensiska utbildningen. Personalnumerären tycks väl motsvara behovet då inga balanser finns. Det kan dock ifrågasättas om IT-forensiker ska svara för granskning av barnpornografiärenden. Bristen på kompetens och utbildning inom området hos övrig personal ger effekt på hela verksamheten, från yttre tjänst till OLG-beställningar. Personalen är dock motiverad och engagerad för sina arbetsuppgifter. Kompetensen hos övrig personal kan närmast beskrivas med uttrycket självlärd Det förefaller inte förekomma någon samverkan mellan IT-forensiker i samverkansområdet. Det bedrivs emellertid ett bra och aktivt brottsförebyggande arbete. En handledning för utredning av IT-relaterade bedrägerier har tagits fram. Såvitt inspektionsgruppen kan bedöma arbetar myndigheten enligt PUM. När det gäller IT-relaterad brottslighet är förmågan låg att bedriva proaktiv inhämtning och inga tydliga beställningar från operativa ledningsgruppen är gjorda inom området. Enligt inspektionsgruppens bedömning följer myndighetens utredningsprocess i huvudsak PNU. Polismyndigheten uppvisar en god förmåga att, i samverkan med externa aktörer, arbeta i ett förebyggande syfte mot IT-brott och IT-relaterade brott. Myndigheten går tidigt ut med information om tillvägagångssätt och trender via olika media. 5.3 Polismyndigheten i Västerbottens län Allmänt Polismyndigheten i Västerbottens län är organiserad i polisområde Umeå/Södra Lappland, polisområde Skellefteå, stab, samordningskriminalunderrättelsetjänst och aktionsgrupp. Under polisområde Umeå/ Södra Lappland finns länskriminalavdelningen, länskommunikationscentralen, operativ samordningsenhet, ordningsavdelningen, trafikavdelningen, extern serviceenhet och intern serviceenhet. Under länskriminalavdelningen ligger tekniska roteln. Myndigheten har drygt 600 anställda. Organisation Myndighetens IT-forensiker är organiserade under tekniska roteln. Styrning och styrdokument IT-brott eller IT-relaterade brott finns inte omnämnda i myndighetens verksamhetsplan och det finns heller inte några andra styrdokument inom området. Vid myndighetens bedrägerigrupp finns det en enklare handledning för utredare gällande utredning av internetbedrägerier samt en lathund för kontroll av IP-adress. PUM Myndighetens operativa verksamhet leds av en operativ ledningsgrupp och inriktningar och beslut är underbyggda av underrättelser från kriminalunderrättelsetjänsten. Inga proaktiva beställningar gällande IT-relaterad brottslighet har gjorts av den operativa ledningsgruppen. Däremot har flera beställningar gjorts i pågående operativa ärenden. Den IT-relaterade brottsligheten finns dock omnämnd som ett problemområde i den omvärldsanalys som kriminalunderrättelsetjänsten tar fram. PNU Myndigheten följer i huvudsak PNU. Direktiv skrivs i ärenden och man granskar inkommande ärenden på flera orter. Brottsamordning sker för länet. Numerär och arbetsuppgifter Vid myndigheten finns fem IT-forensiker, fyra i Umeå och en i Skellefteå. Tre av IT-forensikerna är nyanställda då två har slutat under året.

19 5. Iakttagelser och synpunkter 17 Arbetsuppgifterna är IT-forensiska undersökningar av spår i alla typer av IT-miljöer. All IT-forensisk verksamhet har koncentrerats till IT-forensikerna i Umeå och Skellefteå. Utrustning och lagring IT-forensikernas utrustning är den som rekommenderas på den nationella utbildningen. För övrig personal finns det ett fåtal fristående datorer. De flesta tycks använda datorer anslutna till polisens BasA system för att göra sökningar och utföra andra åtgärder på internet. Medvetenheten hos övriga medarbetare om vilka spår man lämnar på nätet verkar vara låg. För lagring av bevisfiler har myndigheten en egenutvecklad lagringslösning där varje IT-forensiker har ett eget SAN. När det blir fullt överförs informationen till band för lagring. Banden förvaras inlåsta på roteln. Då verksamheten ska flyttas 2014 kommer PVIT:s SAN-lösning att hyras in. Det finns ingen utpekad ansvarig för hantering och kontroll av arkiverat/lagrat IT-media utöver CD- och DVD-skivor. Det finns heller inte några skrivna rutiner för hur arkivering och gallring ska ske av speglat material. Idag är ansvaret delat mellan IT-forensikerna och gallring har skett vid ett tillfälle och då togs de äldsta ärendena bort. Ingen samordning sker mot ärende eller med myndighetens arkivarie. Kompetens och utbildning Utöver en allmän kompetens att utföra initiala utredningsåtgärder har varken den yttre personalen, förundersökningsledare eller utredare någon särskild utbildning gällande IT-relaterade brott. De kunskaper gällande IT som finns bygger på eget intresse och kunskaper man inhämtat på egen hand. Två av IT-forensikerna har genomgått den nationella standardutbildningen för IT-forensiker och de tre nyanställda kommer också att gå denna. Specialistkompetens i operativsystemet LINUX finns och egna IT-forensiska lösningar har utvecklats. Såväl IT-forensiker som utredare av IT-relaterade brott anser sig ha otillräckliga kunskaper inom det IT-juridiska området. IT-forensikerna har hållit viss internutbildning för utredare i IT-säkring. I övrigt har ingen intern utbildning genomförts inom myndigheten. Balanser Myndigheten har stora balanser vad avser IT-forensiska undersökningar. Balanserna beror främst på att två av tre IT-forensiker slutat under året. Metod IT-forensikerna tycks arbeta enligt riktlinjerna som meddelats vid den nationella utbildningen. Beställning av IT-undersökningar skrivs i TekPro och det är normalt rapporterande patrull som skriver beställningen. Vid morgonmötet bedömer och prioriterar chefen för tekniska roteln tillsammans med utredningsansvarig inkomna beställningar. IT-forensikerna har som regel en dialog med utredaren innan undersökningen utförs. All bevissäkring i IT-miljö är koncentrerad till ITforensikerna. Tömningsstationer för mobiltelefoner finns i Umeå och Skellefteå och ett antal medarbetare är utbildade. Då telefonerna blivit mer avancerade utförs dock nästan alla tömningar av IT-forensikerna. Brottsförebyggande Myndigheten arbetar aktivt med informationsinsatser och pressmeddelanden när man ser nya trender. Övrigt Det finns, med undantag för specialkunskapen i LINUX, inte någon samordning eller något utbyte mellan IT-forensikerna i Skellefteå och Umeå. Gemensam operativ arbetsledning för IT-forensikerna saknas. På regional nivå finns en uppbyggd operativ samverkan men den är inte tydlig inom det IT-forensiska området. Myndighetens användande av den IT-forensiska kompetensen skiljer sig inte från övriga myndigheter som har inspekterats. IT-forensikerna tycks bedriva konsultativ verksamhet utan att involveras i den övriga verksamheten. Detta gäller såväl operativt som strategisk. Däremot medverkar IT-forensiker vid vissa husrannsakningar Inspektionsgruppens synpunkter Myndigheten har en formellt sammanhållen styrning och organisation av IT-brottsverksamheten vilket ger förutsättningar för ett effektivt resursutnyttjande. Inspektionsgruppen kan dock konstatera att samord-

20 Inspektion av polismyndigheternas förmåga att handlägga IT-brott 18 ning och styrning inte helt fungerar mellan Umeå och Skellefteå. Gallringen av digital information, utöver CD- och DVD-skivor, är inte tydlig och det saknas rutiner för när och hur det ska ske. Myndigheten bör ta fram riktlinjer för gallring samt utse en ansvarig. Myndigheten prioriterar nyanskaffning av utrustning när behov uppstår. Polismyndighetens IT-forensiker har en hög kompetens som grupp och myndigheten har en bra utrustningsnivå. Det finns en utbildningsplan för de IT-forensiker som ännu inte genomgått den nationella utbildningen. Avsaknad av kompetens och utbildning inom området hos övrig personal får återverkan på hela verksamheten, från yttre tjänst till OLG:s beställningar. Personalen är emellertid motiverad och engagerad. Kompetensen hos övrig personal kan närmast beskrivas med uttrycket självlärd. Inspektionsgruppens uppfattning är att den IT-forensiska verksamheten inte är integrerad med övrig verksamhet. Det tycks som om de IT-forensiska undersökningarna är mer inriktade på spegling av lagringsmedia och telefoner än analys av data. ITforensiska speglingar utförs av IT-forensikerna och sedan är det beställaren som gör analysen. Polismyndigheten har en tydlig och bra inarbetad samverkan med externa aktörer såsom banker, Svensk handel och försäkringsbolag. Såvitt inspektionsgruppen kan bedöma arbetar myndigheten enligt PUM. När det gäller IT-relaterad brottslighet är förmågan att bedriva proaktiv inhämtning låg och inga tydliga beställningar från OLG är gjorda inom området. Kriminalunderrättelsetjänsten uppger sig inte ha kompetens för att identifiera och analysera nya brottstrender relaterade till internet. I huvudsak följer myndigheten PNU. Myndigheten har ingen sammanhållen styrning och organisation av IT-brottsverksamheten vilket hindrar ett effektivt användande av den totala resursen. Valet av organisation hindrar även ett kompetensutbyte och försvårar överblick av trender och tendenser. 5.4 Polismyndigheten i Uppsala län Allmänt Polismyndigheten i Uppsala län är organiserad i regiongemensam verksamhet, polisområde Uppsala och stab. Polisområde Uppsala består av ordningsavdelning, kriminalavdelning, trafikavdelning och länskommunikationsavdelning. Inom kriminalavdelning finns bl.a. tekniska roteln och ekobrottsroteln. Geografiskt är polismyndigheten indelad i fyra närpolisområden som organisatoriskt tillhör polisområdet. Cirka 830 personer är anställda vid myndigheten. Organisation Myndighetens IT-forensiker är organiserade i en grupp under tekniska roteln. Styrning och styrdokument IT-brott eller IT-relaterade brott finns inte omnämnda i myndighetens verksamhetsplan. Det finns heller inte några andra styrdokument inom området. PUM Myndighetens operativa verksamhet leds av en operativ ledningsgrupp och inriktningar och beslut är underbyggda av underrättelser från kriminalunderrättelsetjänsten. Inga beställningar gällande IT-relaterad brottslighet, förutom i enstaka pågående ärenden, har gjorts av OLG. Kriminalunderrättelsetjänsten anser sig ha låg kompetens såväl avseende lagstöd som när det gäller att hitta trender och säkra elektroniska bevis för IT-relaterad brottslighet. Den IT-relaterade brottsligheten finns omnämnd som ett problemområde i den årliga omvärldsanalysen. PNU Myndigheten har en centraliserad förundersökningsledning vid kriminalavdelningens förundersökningsrotel. Samtliga ärenden där polismyndigheten är förundersökningsledare leds från förundersökningsroteln oavsett var i myndigheten som ärendet utreds. Det finns en utvecklad ärendesamordning och förundersökningsledarna skriver direktiv i ärenden. Numerär och arbetsuppgifter Vid myndighetens IT-grupp finns fyra IT forensiker, en telefon- och internetspecialist samt två barnutredare.