Förslag till ändring av sekretesslagen (1980:100) - med anledning av PTS uppdrag att inrätta en funktion för IT-incidentrapportering

Transkript

1 DATUM 17 september 2002 justerad version DIARIENUMMER Förslag till ändring av sekretesslagen (1980:100) - med anledning av PTS uppdrag att inrätta en funktion för IT-incidentrapportering

2

3 Innehåll Sammanfattning Bakgrund PTS uppdrag Utredningar om en funktion för ITincidentrapportering/IT-incidenthantering IT-incidentrapportering och regeringens strategi för informationssäkerhet Regeringens strategi för informationssäkerhet (prop. 2001/2002:158) Vissa begrepp IT och IT-system Säkerhet IT-säkerhet och informationssäkerhet Närmare om uppgifterna för funktionen för ITincidentrapportering IT-incidenter Begreppet IT-incident IT-incidenter som är att anse som angrepp Tekniska sårbarheter Tekniker och metoder för angrepp Skydd mot IT-incidenter Känsliga uppgifter i rapporter om IT-incidenter Användning av uppgifter om säkerhet i IT-system för brottslig verksamhet Sekretess för uppgifter om säkerhet i IT-system Rapporter om IT-incidenter och allmänna handlingar TF och sekretesslagen - intressen som får skyddas Uppgifter om säkerhet i IT-system och sekretesslagen Aktuella bestämmelser i sekretesslagen som kan vara tillämpliga på uppgifter om säkerhet i IT-system Behovet av en ny bestämmelse i sekretesslagen PTS förslag till ny bestämmelse i 5 kap sekretesslagen Ny bestämmelse i 5 kap sekretesslagen Närmare om förslaget Bestämmelsen förhållande till offentlighetsprincipen Post- och telestyrelsen 1

4

5 Sammanfattning PTS har fått i uppdrag av regeringen att inrätta en funktion för ITincidentrapportering (nedan funktionen) som bl.a. skall ha till uppgift att sammanställa och ge ut statistik avseende IT-incidenter samt att snabbt kunna sprida information i samhället om nya problem som kan störa IT-system. För att kunna utföra dessa uppgifter är det viktigt att funktionen får in rapporter från samhällets organisationer om de IT-incidenter som inträffar i deras verksamhet. I samband med att PTS närmare har undersökt förutsättningarna för samhällets organisationer att lämna rapporter om IT-incidenter till funktionen har PTS kunnat konstatera, dels att det i rapporter om IT-incidenter förekommer uppgifter som kan lämna upplysningar om säkerheten i tekniska system för informationsbehandling och dels att rapporter om IT-incidenter som inkommer till funktionen synes bli allmänna handlingar. Rapporter om IT-incidenter som sänds till funktionen från myndigheter kan även bli allmänna handlingar hos dessa myndigheter. Med anledning av att upplysningar om säkerheten i tekniska system för informationsbehandling är att anse som känsliga i de flesta verksamheter har PTS tittat närmare på i vilken utsträckning dessa typer av uppgifter kan hållas hemliga med stöd av sekretesslagens (1980:100) bestämmelser. PTS har därvid funnit att det med stöd av nuvarande bestämmelser i sekretesslagen endast finns begränsade möjligheter att hemlighålla uppgifter som kan lämna upplysningar om säkerheten i tekniska system för informationsbehandling. PTS bedömning är att de möjligheter som finns att med stöd av sekretesslagens (1980:100) bestämmelser hemlighålla uppgifter som kan lämna upplysningar om säkerheten i tekniska system för informationsbehandling inte är tillräckliga för funktionens behov. För att skapa förutsättningar för funktionen att fullgöra sina uppgifter föreslår PTS därför att en ny bestämmelse införs i sekretesslagen. PTS anser att den föreslagna bestämmelsen är en viktigt del av inrättandet av en funktion för IT-incidentrapportering. Även utanför funktionens verksamhet finns enligt PTS uppfattning ett behov av den föreslagna bestämmelsen. Enligt den föreslagna bestämmelsen skall sekretess gälla för uppgift som lämnar eller bidrar till upplysning om säkerheten hos tekniska system för informationsbehandling, om det kan antas att säkerheten motverkas om uppgiften röjs. Vid utarbetandet av förslaget har utgångspunkten varit de intressen som enligt TF 2 kap 2 får skyddas genom att allmänna handlingar hålls hemliga. Även de faktum att sekretesslagens bestämmelser inskränker offentlighetsprincipen har beaktas vid utarbetande av förslaget. Post- och telestyrelsen 3

6

7 1 Bakgrund 1.1 PTS uppdrag Post- och telestyrelsen (PTS) har den 30 maj 2002 fått i uppdrag av regeringen att inrätta en rikscentral för IT-incidentrapportering (N2002/5443/ITFoU). Enligt riktlinjerna för uppdraget skall rikscentralen för IT-incidentrapportering ha som främsta uppgift att stödja samhället i arbetet med skydd mot IT-incidenter genom att inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och rikscentralen snabbt kunna sprida information i samhället om nya problem som kan störa IT-system lämna information och råd om förebyggande åtgärder sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet I uppdraget framhålls att inrättandet av rikscentralen inte innebär något avsteg från ansvarsprincipen. Varje organisation har ansvar för sin informationssäkerhet. Rikscentralen skall utformas så att den inte inskränker det ansvar som andra myndigheter har idag t.ex. genom bestämmelser i säkerhetsskyddslagen (1996:627) och säkerhetsförordningen (1996:633). Verksamheten skall byggas upp successivt och inte i snabbare takt än att ansvarsförhållanden, samverkansformer och författningsfrågor klaras ut. I arbetet med att bygga upp rikscentralen skall PTS samarbeta med Rikspolisstyrelsen, Säkerhetspolisen, Statskontoret, Försvarets materialverk, Försvarets radioanstalt och Krisberedskapsmyndigheten. Rikscentralen skall vara inrättad senast den 31 december PTS skall redovisa vilka resultat som uppnåtts senast den 31 december Utredningar om en funktion för ITincidentrapportering/IT-incidenthantering Flera utredningar har behandlat frågan om inrättandet av en funktion för IT-incidentrapportering/IT-incidenthantering. 1 Nedan behandlas PTS rapport "Förutsättningar för att inrätta en särskild funktion för IT-incidenthantering", Sårbarhets- och säkerhetsutredningens betänkande "Säkerhet i en ny tid" (SOU 2001:41) och regeringens proposition 2001/2002:158 "Samhällets säkerhet och beredskap". 1 I regeringens uppdrag till PTS sägs att regeringen ger PTS i uppdrag att inrätta en funktion för IT-incidentrapportering. I de utredningar och propositioner som förevarit uppdraget talas dock om en funktion för IT-incidenthantering. För korrekthetens skulle används därför nedan beteckningen "en funktion för IT-incidentrapportering" när PTS uppdrag behandlas och beteckningen "en funktion för IT-incidenthantering" när tidigare utredningar och propositioner behandlas. Post- och telestyrelsen 5

8 Regeringen gav år 1999 PTS i uppdrag att utreda förutsättningarna för att inrätta en särskild funktion för IT-incidenthantering (N1999/11654/ITFoU). Uppdraget redovisades den 28 november 2000 genom rapporten "Förutsättningar för att inrätta en särskild funktion för IT-incidenthantering". I rapporten föreslår PTS att det vid PTS inrättas en särskild funktion för IT-incidenthantering som försöksverksamhet under två år. Enligt förslaget skall den särskilda funktionen i första hand betjäna de statliga myndigheterna. Den ska ta emot och analysera incidentrapporter från myndigheter. Varningar, råd och annan information ska kunna spridas till myndigheter, företag, organisationer och privatpersoner. Med beaktande av bl.a. sekretesslagens och personuppgiftslagen bestämmelser görs i rapporten bedömningen att rapportering av IT-incidenter till den särskilda funktionen skall vara frivillig. PTS förslag har behandlats i Sårbarhets- och säkerhetsutredningens betänkande "Säkerhet i en ny tid" (SOU 2001:41). I betänkandet föreslås att det vid PTS inrättas en funktion för IT-incidenthantering som har till uppgift att ta emot incidentrapporter och föra statistik över informationssäkerhetsincidenter, larma och sprida varningar och ge aktiv tidskritisk rådgivning vid akuta informationssäkerhetsincidenter, sprida kunskap och ge råd och information om hotbilder, risker, sårbarheter, och vilka förberedelser och åtgärder som kan vidtas mot dessa, förmedla kontakter, upprätta arkiv, bibliotek och databaser samt standardisera terminologin. I betänkandet anförs att utredningens förslag avseende uppgifter för en funktion för IT-incidenthantering till största delen sammanfaller med PTS förslag (sid. 231 ff.). De skillnader som finns avser bl.a. följande områden; utvecklingsperiod, frivillig eller obligatorisk incidentrapportering samt typ av IT-incidenter som skall rapporteras. I betänkandet föreslås att funktionen inrättas permanent med en utvecklingsperiod om två år. Vidare föreslås att statliga myndigheter skall åläggas rapporteringsplikt. Vad gäller de typer av IT-incidenter som skall rapporteras har PTS i sin rapport föreslagit att en funktion för IT-incidenthantering skall beakta IT-incidenter som innebär angrepp. Sårbarhets- och säkerhetsutredningen föreslår i sitt betänkande att en funktion för IT-incidenthantering skall beakta "IT-säkerhetsincidenter". Begreppet är hämtat från en magisteruppsats och definieras där som en händelse som är säkerhetskritisk för IT-verksamheten. 2 Syftet med att funktionen skall beakta "IT-säkerhetsincidenter" anges i betänkandet vara att begränsa de incidenter som skall rapporteras så att mindre allvarliga händelser inte omfattas, t.ex. virus som stoppas av antivirusprogram. Därigenom uppnås enligt utredningen att funktionen slipper onödig arbetsbelastning och att man eliminerar information som kan vara störande vid en analys. Regeringen har i propositionen 2001/2002:158 "Samhällets säkerhet och beredskap" behandlat Sårbarhets- och säkerhetsutredningens förslag avseende 2 Jimmy Arvidsson, Incidentorganisation och incidenthantering, Institutionen för data- och systemvetenskap SU/KTH Post- och telestyrelsen 6

9 bl.a. inrättandet av en funktion för IT-incidenthantering vid PTS. Propositionen har antagits av riksdagen den 23 maj I propositionen anförs att regeringen finner det angeläget att en verksamhet med en särskild funktion för IT-incidenter påbörjas. PTS bedöms genom att utreda förutsättningarna för denna uppgift ha hög beredskap för att relativt snabbt kunna bygga upp verksamheten. Regeringen finner därför att PTS med sin beredskap inför uppgiften har bäst förutsättningar att vara ansvarig och bör ges i uppdrag att svara för hantering av uppgifter om ITincidenter. Regeringen anser att inrättandet av en särskild funktion för IT-incidenter innebär stora möjligheter att koncentrera resurser till informationssäkerhetsområdet och därmed även möjlighet att komplettera det säkerhetsarbete som bedrivs hos övriga myndigheter. I propositionen sägs att regeringen har för avsikt att låta utreda behovet av författningsändringar bland annat för att klargöra gränsdragningen mellan berörda aktörer och sekretessfrågor kring funktionen. PTS bör enligt propositionen ges i uppgift att stödja myndigheterna genom information och rådgivning. System för att fånga information om inträffade incidenter samt system för informationsutbyte mellan myndigheterna och PTS bör utvecklas. Systemen bör utformas så att det blir möjligt att snabbt kunna sprida information om nya problem som kan störa IT-system. För att kontinuerligt förbättra det förebyggande arbetet skall PTS även sammanställa statistik. Regeringen föreslår att rapportering skall vara frivillig. Varje myndighet har i samband med inrapportering att sekretesspröva det material som lämnas in. 2 IT-incidentrapportering och regeringens strategi för informationssäkerhet 2.1 Regeringens strategi för informationssäkerhet (prop. 2001/2002:158) Regeringens uppdrag till PTS att inrätta en särskild funktion för IT-incidentrapportering utgör en del av regeringens förslag i proposition 2001/2002:158 till en strategi för informationssäkerhet i samhället och skydd av samhällsviktiga ITberoende system. För att förbättra Sveriges beredskap inom informationssäkerhetsområdet förslår regeringen att fyra nya verksamhetsområden inrättas; omvärldsanalys, IT-incidenthantering, teknikkompetens, samt ett system för evaluering och certifiering. Regeringen framhåller i propositionen, sid. 103 ff., bl.a. att den anser att Sveriges beroende av informationssystem gör att informationssäkerhetsfrågan är något som alla sektorer i samhället bör ägna stor uppmärksamhet åt. Att olika informationssystem är beroende av varandra innebär att skyddet inte blir starkare än den svagaste länken. Utvecklingen mot att utnyttja datoriserade system inom områden som tidigare inte direkt har varit beroende av informationsteknik gör att behovet av kompetens inom informationssäkerhetsområdet ökar. Detta innebär att på sikt kommer allt fler systemägare och användare att vara beroende av att ha Post- och telestyrelsen 7

10 tillgång till kvalificerat stöd i informationssäkerhetsfrågor. Att systemägaren har ett ansvar för sin informationssäkerhet är enligt regeringen grundläggande i informationssäkerhetsarbetet. Det ökade beroendet av nättjänster nationellt och internationellt och risken för allvarliga IT-relaterade hot och avancerad IT-brottslighet medför att inte ens en väl förberedd systemägare kan ha fullständig kontroll över informationssäkerheten. Regeringen anser mot denna bakgrund att det är angeläget att samhällsviktiga system har en hög säkerhetsnivå och att insatserna för informationssäkerheten ökas, angrepp via informationssystem riktade mot samhället (s.k. informationsoperationer) 3 förhindras samt Sveriges intressen inom det internationella informationssäkerhetsarbetet främjas. Vad gäller hot och sårbarheter påpekar regeringen att förmågan att möta allvarliga hot är beroende av ett grundläggande säkerhetsarbete som i första hand skyddar mot de vardagliga säkerhetsproblemen. Den största sårbarheten anses kunna härröras till oavsiktliga tekniska fel, bristande planering m.m. som leder till driftstörningar. Vad gäller avsiktliga hot anses sårbarheten stor då det gäller egna anställda (s.k. insiders) och möjligheterna för någon inom en organisation att obehörigt föra med sig hemligheter ut eller att förbereda ett system för en attack utifrån är relativt stora. I propositionen diskuterar regeringen även bl.a. de aktörer som genomför och kan tänkas genomföra attacker via informationssystem av olika slag. Regeringen påpekar att attacker kan genomföras av olika typer av aktörer, exempelvis industrispioner eller personer som kan kopplas till stater, organiserad brottslighet och terrorister. En av svårigheterna avseende hanteringen av IT-relaterade hot anses vara att urskilja vem aktören är och därmed bl.a. att avgöra hur allvarligt angreppet är. Det är bl.a. svårt att veta när attacken är så allvarliga att staten måste agera i den akuta situationen eller veta vilka förberedelser som erfordras. En annan svårighet kan vara att informationstekniken möjliggör vad som brukar betecknas som en asymmetrisk hotbild där en relativt resurssvag angripare under vissa förhållanden kan orsaka stor skada. När det gäller angrepp påpekar regeringen bl.a. att i likhet med många andra länder har Sverige under senare år blivit utsatt för stundtals mycket omfattande datavirusspridning. Dessa angrepp har dock varit mer slumpartade än riktade. Vid angreppen har de uppkomna skadorna i form av avbrott och stillestånd blivit relativt begränsade vad gäller samhällsviktiga infrastrukturer, men har icke desto mindre medfört stora kostnader för de drabbade. De allvarliga kända angrepp som Sverige hittills utsatts för har enligt regeringen riktats mot specifika verksamheter och organisationer. Riktade angrepp kan ske i 3 I prop. 1999/2000:86 beskrivs informationsoperationer som samlade och samordnande åtgärder i fred, kris och till stöd för politiska eller militära mål genom att påverka eller utnyttja motståndaren eller annan utländsk aktörs information och informationssystem. Det kan ske genom att utnyttja egen information och egna informationssystem samtidigt som dessa också måste skyddas. Ett viktigt inslag är att påverka beslutsprocessen och beslutsfattandet. Post- och telestyrelsen 8

11 form av hot, överbelastnings- och tillgänglighetsattacker av olika slag riktade mot personer, organisationer och företag som ådragit sig andra individers eller gruppers missnöje. Regeringen uppger att verksamheter som i första hand har drabbats är teleoperatörers verksamhet och verksamheter som bedriver djurförsök. Vidare har angreppsförsök i syfte att ta över hela domäner förekommit som om de lyckats skulle ha kunnat förorsaka stora störningar för ett stort antal organisationer. Angrepp med ekonomisk vinning som motiv har också förekommit. Regeringen anför vidare att kända angrepp från utländska aktörer mot Sverige och svenska intressen har hittills varit relativt begränsade och medfört begränsad skada. De mer omfattande angrepp som ändå förekommit, har utförts av nätverk av angripare och har bemötts genom samarbete inom de angripna strukturerna. Ett flertal samhällssektorer har inom respektive verksamhetsområde existerande nätverk, vilka kan möta angrepp som riktar sig mot dessa områden. Vidare framhåller regeringen att ett ständigt närvarande hot är det som kommer från underrättelseverksamhet riktad mot Sverige och svenska intressen. Den nya informationstekniken har inneburit att ytterligare möjligheter att tillskansa sig information genom både öppen och hemlig (illegal) verksamhet har skapats. IT-relaterade hot mot Sverige och svenska intressen skulle kunna uppstå mycket snabbt t.ex. genom Sveriges deltagande i internationellt arbete. 3 Vissa begrepp 3.1 IT och IT-system Förkortningen IT används ibland för ordet informationsteknologi och ibland för ordet informationsteknik. Även beskrivningen av begreppet IT varierar. IT kan beskrivas som maskiner och metoder för modern informationsbehandling. 4 IT kan också såsom i Sårbarhets- och säkerhetsutredningens betänkande, sid. 187, beskrivas som teknik för insamling, lagring, bearbetning och överföring av information med elektroniska medel. I Statskontorets rapport "Offentlighet och IT" påpekas att begreppet ADB (automatisk eller administrativ databehandling) ofta används i lagstiftningssammanhang och att IT till skillnad från begreppet ADB utmärks av att datorer och telekommunikation samverkar vid informationsbehandling och bildar informationssystem. 5 Informationsbehandling kan därvid beskrivas som alla åtgärder för att insamla, lagra, bearbeta, söka och distribuera information. 6 Begreppet IT-system kan anses oklart av den anledningen ordet system är ett ord som kan täcka många företeelser. Ett system är en samling delar med inbördes samband som med hänsyn till ett gemensamt ändamål e.d. kan uppfattas som en helhet. 7 Informationstekniska standardiseringen (ITS) har givit ut en rapport "Terminologi för informationssäkerhet" som syftar till att skapa en enhetlig terminologi för området informationssäkerhet inklusive dess tekniska aspekter. 8 I rapporten sägs att med IT-system avses normalt alla tekniska komponenter i ett 4 Se Peter Seipel, Juristen och datorn, sjätte upplaga, sid Offentlighet och IT, Statskontoret, 2002:1, sid. 9 6 Se Peter Seipel, Juristen och datorn, sjätte upplaga, sid Se Peter Seipel, Juristen och datorn, sjätte upplaga, sid Rapport ITS, mars 1994 Post- och telestyrelsen 9

12 IT-system, dvs. ADB-system inklusive dess kommunikationsenheter. Det påpekas dock att i begreppet IT-system kan även inbegripas den totala miljön inklusive dess personal, lokaler etc. 3.2 Säkerhet I ITS rapport sägs att säkerhet kan betyda "security" eller "safety". Definitionerna är snarlika. Begreppet "security" definieras som egenskap eller tillstånd som innebär skydd mot okontrollerad insyn, förlust eller påverkan. Begreppet "safety" definieras som egenskap eller tillstånd som innebär skydd mot okontrollerad förlust eller påverkan. I rapporten sägs att båda definitioner förutsätter någon form av hot. Gemensamt för de båda aspekterna anses också vara omsorgen om att systemet måste ges en allmänt tillförlitlig konstruktion och tillförlitliga former för utnyttjande. I rapporten behandlas säkerhet i betydelsen "security", där hotet som regel har sitt upphov i olika individers aktivitet. 3.3 IT-säkerhet och informationssäkerhet Begreppen informationssäkerhet och IT-säkerhet används ibland utan åtskillnad. Begreppen finnas definierade i ITS rapport. Informationssäkerhet är enligt rapporten ett övergripande begrepp vilket omfattar IT-säkerhet och administrativ säkerhet. IT-säkerhet är skydd av information i informationsbehandlade tekniska system. 9 Administrativ säkerhet avser regler för personal, säkerhetsklassning av information m.m. Av ITS rapport framgår även att IT-säkerhet kan beskrivas som säkerhet i IT-system, som är den term som används nedan. 4 Närmare om uppgifterna för funktionen för ITincidentrapportering Vilka uppgifter som en funktion för IT-incidenthantering/IT-incidenthantering bör ha diskuteras relativt ingående i PTS rapport och i Sårbarhets- och säkerhetsutredningens betänkande. I proposition 2001/2002:158 samt i regeringens uppdrag till PTS finns emellertid endast en relativt kortfattad beskrivning av uppgifterna för en sådan funktion. Av uppdraget till PTS framgår att den funktion för IT-incidentrapportering som skall inrättas vid PTS (nedan funktionen) skall ha som främsta uppgift att stödja samhället i arbetet med skydd mot IT-incidenter genom att inrätta ett system för informationsutbyte om IT-incidenter mellan samhällets organisationer och rikscentralen snabbt kunna sprida information i samhället om nya problem som kan störa IT-system lämna information och råd om förebyggande åtgärder sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet 9 IT-säkerhet kan enligt rapporten i sin tur kan delas upp i datasäkerhet (ADB-säkerhet) och kommunikationssäkerhet. Med datasäkerhet avses då skydd av data och system mot obehörig åtkomst och obehörig eller oavsiktlig förändring eller störning vid databehandling och med kommunikationssäkerhet avses säkerhet i samband med överföring av information eller styrsignaler. Post- och telestyrelsen 10

13 Rapportering av IT-incidenter och sammanställning av statistik m.m. I funktionens uppgifter ingår att sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet. För att kunna utföra denna uppgift måste funktionen få rapporter om IT-incidenter från samhällets organisationer. Att funktionen får rapporter om IT-incidenter från samhällets organisationer är dock av betydelse även för funktionens övriga arbetsuppgifter. I Sårbarhets- och säkerhetsutredningens betänkande, sid. 222, påpekas att det finns åtminstone tre syften med en rapportering av IT-säkerhetsincidenter: 1. den som rapporterar incidenterna gör det för att få hjälp med att bemöta dem, 2. den som rapporterar gör det för att kunna varna andra och 3. den som rapporterar gör det för att bidra till framställning av statistik. Vad gäller den tredje punkten "rapportering för statistik" påpekar Sårbarhets- och säkerhetsutredningen att rapportering för statistik utgör ett väsentligt underlag t.ex. för att identifiera och urskilja samordnade attacker på bred front mot Sverige och nationella säkerhetsintressen. Att framställning av statistik är en viktig uppgift för funktionen framgår också av propositionen Fortsatt förnyelse av totalförsvaret 2001/2002:10. I propositionen, sid. 101 ff., sägs bl.a. att en ITincidenthanteringsfunktion bör ha tillgång till statistik över intrång som skall bidra till att bygga upp en bild över olika typer av intrång samt deras inverkan på kända sårbarheter och betydelse för säkerheten. Sammanställning av statistik anses också viktigt för att minska mörkertalet för incidenter och att driva på skyddsåtgärder så att svagheterna inte kvarstår. Statistik kan enligt propositionen bilda underlag till revidering av handlingsplaner, riktlinjer och strategier inom IT-säkerhetsområdet. Det anses också möjligt att genom statistik visa på extraordinära mönster av incidenter som kan fungera som en varningssignal. Uppgifter i rapporter om IT-incidenter För att uppgifter i rapporter om IT-incidenter skall kunna utgöra underlag för statistik som gör det möjligt att se svagheter och risker avseende t.ex. program och datorutrustning är det viktigt att det i rapporter om IT-incidenter finns information, inte endast om t.ex. tidpunkt och typ av incident som inträffat, utan även information om t.ex. hur en IT-incident har inträffat, vilka delar av ett ITsystem som har påverkats samt uppgift om eller adress till såväl det angripna systemet som det system som angreppet förefaller härröra från. Vilka uppgifter som samhällets organisationer kommer att lämna i rapporter om IT-incidenter kan variera beroende på bl.a. om syftet med rapporteringen är att varna andra eller att bidra till sammanställning av statisk. Vilka uppgifter som samhällets organisationer lämnar i rapporter om IT-incidenter kan också variera beroende på vilka möjligheter som finns att skydda känsliga uppgifter i rapporterna. Som kommer att diskuteras närmare nedan finns i rapporter om IT-incidenter ofta uppgifter som är känsliga för de som lämnar dem. 5 IT-incidenter För att närmare beskriva vilka typer av uppgifter som kan finnas i rapporter om IT-incidenter och för att förklara varför dessa uppgifter kan vara känsliga ges nedan en kort beskrivning av IT-incidenter, framförallt av sådana IT-incidenter som kan anses som angrepp, samt olika typer av skydd mot IT-incidenter. Post- och telestyrelsen 11

14 5.1 Begreppet IT-incident Någon entydig definition av begreppet IT-incident finns inte. Begreppet har kommit att användas för att beteckna störningar eller oönskade händelser i ITsystem. I Internetsammanhang avses med incident vanligen olika slags angrepp eller förberedelser för angrepp på datorer eller datornät. FIRST (ett samarbetsorgan för organisationer för incidenthantering) beskriver exempelvis en incident som "an event that has actual or potentially adverse effects on computer or network operations resulting in fraud, waste, or abuse; compromise of information; or loss or damage of property or information. Examples include penetration of a computer system, exploitation of technical vulnerabilities, or introduction of computer viruses or other forms of malicious software". 5.2 IT-incidenter som är att anse som angrepp I samband med hantering av IT-incidenter kan man skilja på IT-incidenter som är att anse som angrepp och andra IT-incidenter, t.ex. olyckshändelser, tekniska fel och andra slumpmässiga incidenter. Exempel på IT-incidenter som kan anses som angrepp är datavirus och trojaner, intrångsförsök och dataintrång, överbelastningsattacker och informationsoperationer. IT-incidenter som kan anses som angrepp medför i många fall samma konsekvenser som driftavbrott eller andra driftstörningar i IT-system. I de fall angriparen tar över kontrollen över system, stjäl uppgifter ur system eller avsiktligt förändrar informationen i system, kan konsekvenserna dock bli ännu mer omfattande. Av tidigare utredningar samt proposition 2001/2002:10 framgår att en viktigt uppgift för funktionen är att genom bl.a. sammanställning av statistik ge en bättre bild av i vilken omfattningen samhällets organisationer drabbas av IT-incidenter som är att anse som angrepp. En orsak till att det är viktigt att få en bättre bild av omfattningen av IT-incidenter som är att anse som angrepp är att denna typ av angrepp kan orsaka allt större skada i takt med att samhällsviktiga funktioner blir allt mer beroende av väl fungerande IT-system. Det faktum att det ständigt, dels uppkommer eller upptäcks nya tekniska sårbarheter i IT-system och dels uppkommer nya tekniker och metoder som kan användas av den som vill göra ett angrepp innebär också att det är viktigt att följa utvecklingen av IT-incidenter som är att anse som angrepp Tekniska sårbarheter De tekniska sårbarheterna kan sägas vara av två slag, strukturella sårbarheter och tillfälliga sårbarheter. De strukturella sårbarheterna beror framför allt på att säkerheten inte beaktats eller prioriterats vid uppbyggnaden och driften av IT-system. Exempel på strukturella sårbarheter hos IT-system är den långtgående integrationen mellan e-postprogram och andra program i vissa standardprodukter som möjliggör e-postvirus av det slag som LoveLetter var exempel på. De tillfälliga sårbarheterna beror framför allt på oavsiktliga fel vid konstruktionen eller installationen av IT-system. Exempel på tillfälliga sårbarheter är fel i operativsystem eller andra program, som möjliggör för angripare att ta kontrollen över en dator. De flesta nya program innehåller fel av detta slag. Att många av de IT-system som används utnyttjar samma standardprodukter innebär en likriktning av IT-systemen som medför att enskilda sårbarheter Post- och telestyrelsen 12

15 drabbar många olika system. Den medför också att det finns många system att experimentera med för den som letar efter svagheter eller tekniska sårbarheter. Likriktningen medför att en allvarlig teknisk sårbarhet, eller ett allvarligt fel, i en produkt kan medföra samtidiga störningar i många IT-system. Likriktningen ger också vissa möjligheter för aktörer att, med eller utan leverantörens godkännande, bygga in sårbarheter i standardsystem, så att de senare kan utnyttjas för angrepp på många platser Tekniker och metoder för angrepp Det finns idag ett mycket stort antal tekniker och metoder som kan användas för att åstadkomma IT-incidenter. Olika tekniker och metoder kan användas beroende på om syftet är t.ex. att störa funktionen eller åstadkomma funktionsavbrott i IT-system, avsiktligt förändra data eller att avsiktligt komma åt information i IT-system. Datavirus, e-postvirus, trojaner, dataintrång, överbelastningsattacker är exempel på angreppstekniker som kan användas för att störa funktionen eller åstadkomma funktionsavbrott i IT-system. Dataintrång och trojaner är också exempel på tekniker som kan användas för avsiktligt förändra data eller att avsiktligt komma åt information i IT-system. Ett mycket stort antal av de angreppsförsök och angrepp som utförs idag är resultatet av relativt enkla åtgärder där färdiga angreppsprogram utnyttjas. Merparten av de IT-angrepp som utförs idag utgår också från existerande sårbarheter, snarare än från en avsikt att skada någon särskild person eller organisation. Exempel på sådana angrepp är intrång för att ta över en dator eller för att ändra en webbsida. Andra exempel är virus (maskar) som LoveLetter, Melissa, Code Red och Nimda. En mindre del av de IT-angrepp som förekommer idag är förberedda och riktade mot utvalda mål. Förberedelserna har inneburit exempelvis installation av program för distribuerade överbelastningsattacker, installation av bakdörrar i angripna system och utveckling av virus eller maskar som ska stjäla viss information 5.3 Skydd mot IT-incidenter För att skydda sig mot IT-incidenter kan en organisation vidta olika typer av åtgärder, t.ex. begränsa datanät, skydda anslutningar till avgränsade datanät, installera brandväggar, installera virusskydd, installera krypteringsprogram, övervaka datorer, övervaka nät och system med t.ex. IDS (Intrusion Detection Systems dvs. system för automatisk upptäckt av intrång och intrångsförsök) m.m. Olika skyddsåtgärder mot IT-incidenter kan delas upp enligt följande förebyggande skyddsåtgärder, som förhindrar eller minskar risken för incidenter lindrande skyddsåtgärder, som minskar konsekvenserna av incidenter åtgärder för att upptäcka, hantera och återställa efter incidenter Avsikten med de förebyggande skyddsåtgärderna är att minska sannolikheten för att IT-incidenter drabbar myndigheten eller ett visst system. Exempel på förebyggande skyddsåtgärder är begränsning av datornät, program för virusskydd, brandväggar och system för åtkomstkontroll. Avsikten med de lindrande skyddsåtgärderna är att minska konsekvenserna av eventuella inträffade incidenter. Säkerhetskopiering, som möjliggör återställande av förstörda data, är den Post- och telestyrelsen 13

16 viktigaste lindrande skyddsåtgärden. Till åtgärder för att upptäcka, hantera och återställa efter incidenter hör bland annat användning av IDS, loggning av datatrafik i nätet och rutiner för anmälning av inträffade incidenter. Mot bakgrund av bl.a. den snabba utvecklingen på IT-området kan det vara svårt för en organisation att alltid ha ett fullständigt skydd mot IT-incidenter. En orsak till detta är att det som nämnts ovan ständigt uppkommer eller upptäcks nya tekniska sårbarheter i IT-system samtidigt som det kommer nya tekniker och metoder för angrepp. 6 Känsliga uppgifter i rapporter om IT-incidenter De uppgifter som kan bli aktuella när samhällets organisationer rapporterar ITincidenter är i första hand uppgifter om IT-incidentens art och om tidpunkten för incidenten. Andra uppgifter som kan lämnas om det bedöms som lämpligt eller nödvändigt är uppgifter om bl.a. detaljer avseende teknik och metodik i angreppet vilka system, eller typer av system, som angripits vilka uppgifter eller typer av uppgifter som angripits indikationer om ursprunget till angreppet eller angreppsvägen (t.ex. IPadress) De uppgifter som lämnas i en rapport om IT-incidenter syftar givetvis till att beskriva den IT-incident som drabbat verksamheten. I uppgifterna ingår dock ofta även någon form av upplysningar om organisationens säkerhet i IT-system (se avsnitt 4). Av beskrivningen av en IT-incident kan det framgå t.ex. hur skyddet mot IT-incidenter är uppbyggt, exempelvis vilka brandväggar som används och hur de är installerade och konfigurerade, vilka avgränsningar som finns i näten, hur säkerhetsrutinerna ser ut m.m. I en beskrivning av en IT-incident kan även finnas upplysningar om vilka typer av maskin- och programvara som används, t.ex. vilket operativsystem och vilket e-postprogram som används. Även upplysningar om vilka säkerhetsrutiner som finns för drift och användning av ITsystemet, t.ex. hur lösenord lämnas ut, kan finnas i rapporter om IT-incidenter. Uppgifter om hur skyddet mot IT-incidenter är uppbyggt, vilken typ av maskinoch programvara som används och vilka säkerhetsrutiner för drift och användning som finns är uppgifter om en organisations säkerhet i IT-system som är känsliga för organisationen eftersom de kan utnyttjas av någon som planerar ett angrepp mot organisationens IT-system. Uppgifterna kan användas för att t.ex. kartlägga nät och system, hitta angreppsvägar och tekniska sårbarheter. 6.1 Användning av uppgifter om säkerhet i IT-system för brottslig verksamhet Uppgifter om säkerhet i IT-system kan användas för att brottlig verksamhet. Vissa typer av angrepp är också att anse som brott i sig, t.ex. dataintrång. I BRÅ:s rapport "IT-relaterad brottslighet", 2000:2, behandlas olika typer av brott som på ett eller annat sätt anknyter till datorrelaterad teknik. I rapporten påpekas bl.a. att bestämmelsen om dataintrång, 4 kap 9 c brottsbalken, täcker sådana gärningar som brukat tillskrivas hackers och crackers. En hacker beskrivs i BRÅ:s rapport som en datorintresserad person som olovligen tar sig in i ett datorsystem för att Post- och telestyrelsen 14

17 undersöka och utforska det. En cracker är också någon som olovligen tar sig in i ett datorsystem men för andra syften än hackern, t.ex. för att förstöra, kopiera eller ändra information. En cracker kan dock förutom dataintrång göra sig skyldig till t.ex. bedrägeri, skadegörelse, sabotage, brott mot upphovsrättslagen (1960:729) eller brott enligt lagen (1990:409) om skydd mot företagshemligheter. I BRÅ:s rapport nämns även att undersökningar i samband med rapporten visar att datavirus är den vanligaste formen av datorrelaterad incident, men att det kan vara svårt att visa att t.ex. spridning av datavirus är brott eftersom det för brott enligt svensk lag krävs uppsåt. 10 Datavirus är dock med i rapporten eftersom det enligt BRÅ är frågan om ett beteende som är på gränsen till det straffbara. 7 Sekretess för uppgifter om säkerhet i IT-system 7.1 Rapporter om IT-incidenter och allmänna handlingar Uppgifter om säkerhet i IT-system kan förekomma i allmänna handlingar. Med handling förstås framställning i skrift eller bild eller en upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniska hjälpmedel, TF 2 kap 3 första stycket. För att en handling skall vara allmän krävs att den förvaras hos en myndighet samt därtill att den anses som inkommen till eller upprättad hos myndigheten, TF 2 kap 3 första stycket. Rapporter om IT-incidenter som samhällets organisationer lämnar till funktionen torde anses som allmänna handlingar hos funktionen, därför att de förvaras hos funktionen och är att anse som inkomna till funktionen. Om en myndighet när den sänder en rapport om IT-incidenter till funktionen behåller en kopia - eller originalet - torde också rapporten anses som allmän handling hos myndigheten, eftersom rapporten då förvaras hos myndigheten och är att anse som upprättad när den expedieras. Att rapporter om IT-incidenter kan vara allmänna handlingar medför att frågan i vilken omfattning sådana uppgifter i rapporterna som avser säkerhet i IT-system kan hållas hemliga uppkommer. Som nämnts ovan finns det uppgifter om säkerhet i IT-system som kan användas för att t.ex. kartlägga nät och system, hitta angreppsvägar och tekniska sårbarheter. 7.2 TF och sekretesslagen - intressen som får skyddas I TF 2 kap 1 anges att till främjande av ett fritt meningsutbyte och en allsidig upplysning skall varje svensk medborgare ha rätt att ta del av allmänna handlingar. Rätten att ta del av allmänna handlingar är dock på grund av motstående intressen inte oinskränkt. I TF 2 kap 2 första stycket räknas upp vilka intressen som får skyddas genom att allmänna handlingar hålls hemliga: 1. rikets säkerhet eller dess förhållande till annan stat eller mellanfolklig organisation 2. rikets centrala finanspolitik, penning eller valutapolitik 3. myndigheters verksamheter för inspektion, kontroll eller annan tillsyn 10 Datastraffutredningen (SOU 1992:110) lade fram ett förslag om att framställning eller spridning av skadegörande virus skall kriminaliseras. Förslaget har dock inte lett till lagstiftning. Post- och telestyrelsen 15

18 4. intresset av att förebygga eller beivra brott 5. det allmännas ekonomiska intresse 6. skyddet för enskilds personliga eller ekonomiska förhållande 7. intresset att bevara djur- eller växtarter Vilka handlingar som är hemliga skall enligt TF 2 kap 2 andra stycket anges noga i en särskild lag, dvs. sekretesslagen. De intressen som nämns i TF 2 kap 2 första stycket styr utformningen av de materiella sekretessreglerna, vilka måste ha stöd i någon av de sju nämnda punkterna. De egentliga sekretessbestämmelserna finns i kap 2-10 i sekretesslagen (1980:100) och dessa bestämmelser är ordnade med utgångspunkt av de i TF angivna grunderna för begränsning av den s.k. handlingsoffentligheten. 7.3 Uppgifter om säkerhet i IT-system och sekretesslagen Om uppgifter om säkerhet i IT-system lämnas ut kan dessa uppgifter som nämnts ovan användas för brottslig verksamhet, t.ex. kan uppgifterna användas för dataintrång, bedrägeri, skadegörelse, sabotage, brott mot upphovsrättslagen (1960:729) eller brott enligt lagen (1990:409) om skydd mot företagshemligheter. Det intresse som i första hand bör åberopas för att hålla uppgifter om säkerhet i IT-system hemliga är således intresset att förebygga eller beivra brott. Om man ser närmare till den skada som kan bli följden för en organisation om uppgifter om säkerhet i IT-system lämnas ut och sedan utnyttjas för angrepp kan i vissa fall även andra intressen i TF 2 kap 2 första stycket åberopas för att hålla uppgifter om säkerhet i IT-system hemliga. Om uppgifter om säkerhet i IT-system finns hos t.ex. en myndighet som har IT-system som är av betydelse för landets försvar synes myndigheten kunna åberopa intresset av att skydda rikets säkerhet för att hålla uppgifter om säkerheten i dessa IT-system hemliga (2 kap 2 sekretesslagen). När det gäller möjligheten att hemlighålla allmänna handlingar för att skydda myndigheters verksamheter för inspektion, kontroll eller annan tillsyn kan det nämnas att de bestämmelser som idag finns i 4 kapitlet sekretesslagen synes syfta till att underlätta tillsynen, t.ex. genom att göra det möjligt att hemlighålla tillsynsplaner m.m. Resultatet av tillsynen synes inte kunna hemlighållas med stöd av bestämmelserna i 4 kapitlet sekretesslagen. Funktionen har i uppdraget från regeringen inte heller tilldelats uppgifter som avser inspektion, kontroll eller annan tillsyn. 7.4 Aktuella bestämmelser i sekretesslagen som kan vara tillämpliga på uppgifter om säkerhet i IT-system Någon bestämmelse som direkt tar sikte på uppgifter om säkerhet i IT-system finns idag inte i sekretesslagen. Nedan nämns några bestämmelser som under vissa förutsättningar kan tillämpas på uppgifter om säkerhet i IT-system. 5 kap 2 sekretesslagen Enligt 5 kap 2 sekretesslagen gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd med avseende på 1. byggnader eller andra anläggningar, lokaler eller inventarier, Post- och telestyrelsen 16

19 2. tillverkning, förvaring, utlämning eller transport av pengar eller andra värdeföremål samt transport eller förvaring av vapen, ammunition, sprängämnen, klyvbart material eller radioaktivt avfall, 3. telekommunikation, 4. behörighet att få tillgång till upptagning för automatisk databehandling eller annan handling, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs. 5 kap 2 sekretesslagen är troligen den bestämmelse som i störst utsträckning har använts för att skydda uppgifter om säkerhet i IT-system. Punkt 3 och 4 omfattar dock endast vissa typer av uppgifter om säkerhet i IT-system. Vidare gäller bestämmelsen endast uppgifter om säkerhets- och bevakningsåtgärder avseende det som nämns i bestämmelsen. Av punkt 3 framgår att säkerhets- och bevakningsåtgärder avseende telekommunikationer omfattas av bestämmelsen. Med telekommunikationer avses enligt propositionen 1979/80:2 överföring av telemeddelanden med tråd, radio eller likande metod. Även datorkommunikation är att anse som telekommunikation. Punkt 4 gäller uppgifter om behörighetskoder och behörighetsnycklar samt arrangemang och fördelning av dessa. Av propositionen 1979/80:2 framgår att själva programmet som behandlar de hemliga uppgifterna inte skyddas. 5 kap 3 sekretesslagen Sekretess gäller enligt 5 kap 3 sekretesslagen första stycket för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod som har till syfte att 1. underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts, eller 2. göra det möjligt att kontrollera om data i elektronisk form har förvanskats, om det kan antas att syftet med metoden motverkas om uppgiften röjs. Även 5 kap 3 sekretesslagen är tillämplig på vissa typer av uppgifter avseende säkerhet i IT-system. Punkt 1 gör det möjligt att i allmän verksamhet skydda uppgifter som lämnar eller kan bidra till upplysningar om t.ex. kryptering som används för att underlätta befordran eller användning av sekretessbelagda uppgifter. Av förarbetena framgår dock att om kryptering används för uppgifter som inte är sekretessbelagda skall även dessa kunna hållas hemliga så att chiffret inte kan forceras. Enligt punkt 2 kan sekretess gälla för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod som har till syfte att göra det möjligt att kontrollera om data i elektronisk form har förvanskats. Bestämmelsen har anknytning till lagen (2000:832) om kvalificerade elektroniska signaturer. Genom bestämmelsen är det enligt proposition 1999/2000:117 möjligt att sekretessbelägga t.ex. hemliga nyckar som används för att verifiera om en handling härrör från angiven undertecknare eller för att skydda vissa datamängder mot manipulation. Post- och telestyrelsen 17

20 2 kap 2 sekretesslagen Sekretess gäller enligt 2 kap 2 sekretesslagen första stycket första meningen för uppgift som angår verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. För att denna bestämmelse skall kunna tillämpas på uppgifter om säkerhet i ITsystem måste uppgifterna för det första förekomma i någon verksamhet som rör totalförsvaret. För att uppgifter i rapporterna skall omfattas av sekretess måste de också enligt förarbetena på något sätt röra totalförsvaret. Vidare skall uppgifterna kunna antas skada landets försvar eller på annat sätt vålla fara för rikets säkerhet om de röjs. 9 kap 4 Sekretesslagen Enligt 9 kap 4 sekretesslagen första stycket första meningen gäller sekretess bl.a. i sådan särskild verksamhet hos myndighet som avser framställning av statistik för uppgift som avser enskilds personliga eller ekonomiska förhållanden och som kan hänföras till den enskilde. Bestämmelsen blir aktuell för funktionen i dess verksamhet som avser framställning av statistik. Sekretess till förmån för enskilda gäller i tillämpliga delar gäller även juridiska personer. För att bestämmelsen skall kunna bli tillämplig på uppgifter om säkerhet i IT-system måste dock uppgifter kunna anses gälla den juridiska personens ekonomiska förhållanden. Övriga bestämmelser i sekretesslagen Även andra bestämmelser kan under vissa speciella omständigheter bli tillämpliga på uppgifter om säkerhet i IT-system, t.ex. 6 kap 1 sekretesslagen. Bestämmelsen gäller i myndighets affärsverksamhet för uppgift om myndighetens affärs- eller driftförhållande om det kan antas att någon som bedriver likartad rörelse gynnas på myndighetens bekostnad om uppgiften röjs. 8 Behovet av en ny bestämmelse i sekretesslagen I funktionens uppgifter ingår att bl.a. att sammanställa och ge ut statistik som underlag för kontinuerliga förbättringar i det förebyggande arbetet avseende IT-incidenter. För att kunna utföra denna uppgift är det viktigt att funktionen får in rapporter från samhällets organisationer om de IT-incidenter som inträffar i deras verksamhet. Det är också viktigt att rapporterna innehåller all information som kan anses väsentlig för statistikframställning. En grundförutsättning för att samhällets organisationer skall vara villiga att lämna rapporter, i en sådan omfattning och med ett sådant innehåll som är önskvärt, måste dock vara att funktionen har möjlighet att hemlighålla sådana uppgifter i rapporter som kan motverka säkerheten. Om det inte finns någon möjlighet för funktionen att hemlighålla sådana typer av uppgifter i allmänna handlingar kan funktionen endast rekommendera samhällets organisationer att lämna avidentifierade uppgifter eller en mycket begränsad typ av uppgifter i rapporter Post- och telestyrelsen 18

21 om IT-incidenter. Underlaget för framställning av statistik kommer därmed att bli begränsat, vilket kan medföra att statistiken inte blir så tillförlitlig att den kan utgöra källa till t.ex. hot- och sårbarhetsbedömningar i den omfattning som är önskvärt. De möjligheter som idag finns att i allmänna handlingar hemlighålla uppgifter om säkerheten i IT-system som kan motverka säkerheten är mycket begränsade. För att skapa förutsättningar för funktionen att bygga upp ett förtroende hos samhällets organisationer och att fullgöra sina uppgifter föreslår PTS nedan en ny bestämmelse i sekretesslagen. PTS anser att den föreslagna bestämmelsen är en viktig del av inrättandet av en funktion för IT-incidentrapportering. Uppgifter om säkerheten i IT-system kan som nämnts ovan förekomma i rapporter om IT-incidenter som blir allmänna handlingar när de inkommer till funktionen. Även hos andra myndigheter kan det dock förekomma uppgifter om säkerheten i IT-system i handlingar som är att anse som allmänna, t.ex. i rapporter som blir allmänna handlingar när de expedieras. Det bör också noteras att möjligheten att med stöd av TF begära ut s.k. potentiella handlingar, dvs. handlingar som ställs samman först när de begärs utlämnande, gör att uppgifter om säkerheten i IT-system som finns hos myndigheter kan bli allmänna även om de inte förekommer i existerande handlingar PTS förslag till ny bestämmelse i 5 kap sekretesslagen 9.1 Ny bestämmelse i 5 kap sekretesslagen PTS föreslår, mot bakgrund av vad som anförts ovan, att följande bestämmelse införs i 5 kapitlet sekretesslagen Sekretess gäller för uppgift som lämnar eller bidrar till upplysning om säkerheten hos tekniska system för informationsbehandling, om det kan antas att säkerheten motverkas om uppgiften röjs. 9.2 Närmare om förslaget Kapitel 5 i sekretesslagen har rubriken "sekretess med hänsyn främst till intresset att förebygga eller beivra brott". Av prop. 1979/80:2 sid. 141 framgår att vissa bestämmelser i 5 kapitlet sekretesslagen endast indirekt syftar till förebygga brott. PTS anser att den föreslagna bestämmelsen bör placeras i 5 kapitlet sekretesslagen. Syftet med den föreslagna bestämmelsen är att skydda sådana uppgifter om säkerheten hos tekniska system för informationsbehandling som kan som motverka säkerheten. De typer av uppgifter om säkerheten hos tekniska system för informationsbehandling som kan antas motverka säkerheten är 11 I förarbetena uttalas att ett visst urval eller en viss sammanställning av data får anses utgöra en för myndigheten tillgänglig upptagning - och därmed en allmän handling - om urvalet eller sammanställningen kan tas fram genom rutinbetonade åtgärder från myndighetens sida. Regeringsrätten har i ett antal mål prövat hur begreppet "rutinbetonade åtgärder" skall tolkas, se t.ex. RÅ 1988 ref. 84 och RÅ 1993 not 41. Post- och telestyrelsen 19