Överklagan till Högsta förvaltningsdomstolen av sekretessbeslut kring IT-incidentrapporter
Idag på morgonen lämnade vi in ett överklagande till Högsta förvaltningsdomstolen angående Myndigheten för samhällsskydd och beredskaps (MSB) okynnesanvändning av möjligheten att sekretessklassa vissa delar av incidentrapporter som lämnats in till dem inom ramen för det statliga IT-säkerhetsarbete.
Dataskydd.net har processat mot MSB och mot andra myndigheter i fråga om IT-incidentrapporter tidigare, i både Stockholms kammarrätt och i Göteborgs kammarrätt. De bägge kammarrätterna har underligt nog olika syn på vad det så kallade raka skaderekvistet som gäller för incidentrapporter ska innebära: får MSB hemlighålla att det alls kommit in en incidentrapport som rör en viss myndighet? Och som följdfråga: får MSB, även om de lämnar ut incidentrapporter, lämna ut dessa på ett sådant sätt att all information som förekommer i rapporten om incidenten är maskerat?
Enligt oss är det uppenbart att MSB lurar Kammarrätter, som saknar teknisk och ekonomisk expertis på säkerhetsområdet, att gå med på en betydligt högre nivå av sekretess för incidentrapporter än vad som är rimligt, samhällsnyttigt och nödvändigt. MSB utnyttjar sin ställning som presumtiv expertmyndighet i säkerhetsfrågor för att framställa IT-säkerhetsområdet som en slags magivärld, där vanliga dödas insyn i komplexa, sammanhängande IT-system blir en fara, i stället för att sätt att utkräva välbehövligt ansvar. MSB agerar, kort sagt, mystiker i stället för specialister, och skadar samhällets långsiktiga säkerhetsarbete och samhällets förmåga att ha en öppen, konstruktiv och rationell debatt om hur vi kan få olika organisationer att samverka för att säkerheten ska öka.
De två expertutlåtandena vi lämnat in som vittnesmål till Högsta förvaltningsdomstolen är inte nätpublicerade på dataskydd.net just nu, eftersom vi inte frågat experterna om de godkänner sådan publicering. Normalt bör de i alla fall gå att få tag på genom att begära ut allmän handling från Högsta förvaltningsdomstolen eller Kammarrätten i Göteborg, med hänvisning till överklagande i mål nr 2063-17.
ÄRENDET
Beslut i mål nr 2063/17 av den 9 oktober 2017. Begäran om utlämnande av
allmän handling, rakt skaderekvisitYRKANDE
Att Högsta förvaltningsdomstolen upphäver Kammarrätten i Göteborgs dom.
Att Högsta förvaltningsdomstolen, som Kammarrätten i Stockholm, etablerar att det raka skaderekvisitet vid rapportering om IT-relaterade incidenter inte innebär att blotta förekomsten av en rapport sekretessmarkeras.
GRUNDER
Kammarrätten i Göteborg delar okritiskt MSB:s bedömning utan att begrunda om sekretessmarkeringen utvärderats i förhållande till det raka skaderekvisitet som gäller för OSL 18 kap. 8§ st. Effekten av att Kammarrättens dom inte upphoävs är att skaderekvisitet i OSL 18 kap. 8 § 3 st i praktiken konverterats till ett omvänt skaderekvisit, en presumption om sekretess.
Det raka skaderekvisitet “innebär att uppgifter /…/ i normalfallet kan anses offentliga” (RÅ 1994 ref. 91) eller att den “finns en presumption för att uppgifterna är offentliga” (se HFD 5865-15, m. fl). Uppgifter om att det skett en IT-incident är emellertid inte känslig, vilket etablerats av Kammarrätten i Stockholm i mål nr 835-17 (som också rörde incidentrapporter). Inte heller är sådana uppgifter som förekommer i rapporterna per definition känsliga, utan de är känsliga i förhållandet till syftet med rapporterna. De av Kammarrätten i Göteborg åberopade förarbetena (Prop. 2003/04:93, s. 81 f) indikerar inte att det var förekomsten av rapporter om IT-incidenter som var att betrakta som känslig, eller ens allmänna uppgifter i sådana rapporter skulle vara det, utan snarare förekomsten av specifika uppgifter i rapporterna om incidenterna som härrör till teknisk information (t ex vilken version på operativsystemet som används).
Post- och telestyrelsens hantering av integritetsincidenter och driftstörningsrapporter, som teleoperatörer lämnar in till styrelsen enligt lagen om elektronisk kommunikation, bedöms inte som känsliga i och av sig själva. Däremot kan Post- och telestyrelsen maskera affärshemligheter eller teknisk information i rapporterna efter bedömning. I åtminstone åtta amerikanska delstater och ett EU-land (Rumänien) finns öppna sökbara register över incidentrapporter. I ytterligare 40 amerikanska delstater finns information om IT-incidenter tillgänglig att begära ut av medborgare som inte direkt drabbats av incidenten och som blir hemskickade till dem som drabbats. I näringslivet går man ännu längre, med öppna sökbara databaser över sårbarheter och konferenser tillägnade att beskriva detaljerade attackförfaranden för en global allmänhet.
Den bedömning av MSB som Kammarrätten i Göteborg hävdar sig instämma med är i själva verket ingen bedömning, utan allmänna farhågor som grundar sig i MSB:s okunskap om incidenthantering och förebyggande IT-säkerhetsarbete. Det raka skaderekvisitet innebär att syftet med rapporteringen måste skadas av att uppgifterna kommer till allmänhetens kännedom. Men syftet, varesig det gäller samhällets säkerhetsarbete eller säkerheten i ett enskilt IT-säkerhetssystem, skadas inte av ansvarskrävande och insyn. De internationella exemplena, och exempel
från andra svenska myndigheter, visar detta.Den i det här ärendet omstridda rapporten har nämligen redan lämnats ut från Försäkringskassan, som bedömt att rapporten inte har något särskilt behov av att hemlighållas, i sin helhet eller i sina delar. Klagande har bett två tekniska säkerhetsspecialister gå igenom rapporten som lämnats ut från Försäkringskassan, och som presumtivt är samma rapport som MSB hävdar att de behöver hemlighålla existensen av. Specialistutlåtandena, utförda av människors vars yrke det är att hantera säkerhet i IT-system, är bifogade. Ingen av specialisterna gör bedömningen att uppgifterna Försäkringskassan lämnat in till MSB höjer IT-säkerhetsriskerna för Försäkringskassan eller för svenska samhället i stort.
Säkerhet är framför allt en ekonomisk fråga, inte en teknisk. Om det är lätt och billigt att vara dålig på säkerhet kommer många att vara dåliga på säkerhet. Ansvarsutkrävande och insyn höjer kostnaden för att vara osäker, och skapar därför incitament för bättre säkerhet. Bortsett från att sådana insikter reflekteras i en lång rad andra jurisdiktioner, reflekteras den också i den svenska offentlighetsprincipen.
I MSB:s första årsrapport om incidenter framgår att ransomware är den vanligaste IT-attacken mot myndigheter. Ransomware hamnar ofta på datorer genom att någon klickar på en länk eller öppnar en bifogad fil som skickats till denne någon i ett mejl. Med MSB:s resonemang skulle utlämnande av rapporterna eller information om vilka myndigheter som drabbats kunna leda till att fler drabbas av ransomware. Men enkel logik dikterar att de som vill sprida ransomware redan är medvetna om att de kan skicka mejl till myndigheter, och att de som ville ta reda på hur de skulle sprida ransomware till myndigheter inte skulle ta reda på detta genom incidentrapporter.
För att sprida kunskap och beredskap i samhället om ransomware behöver riskerna med okända avsändare av e-postmeddelanden, typiska utseenden på nätfiskemejl och mejlanvändarens egna möjligheter att skydda sig och sin arbetsgivare diskuteras i offentliga rum. Vi kan inte skydda oss mot att olika aktörer i samhället skickar mejl till myndigheter (annat än kanske genom att avveckla datoriseringen av myndighetsväsendet) men vi kan skapa bästa möjliga förutsättningar för myndigheternas personal att bildas om mejlsäkerhet.
Så långt står det enligt klaganden klart att Kammarrätten i Göteborg påbjuder MSB att tillämpa ett omvänt skaderekvisit, det vill säga en presumtion om sekretess, snarare än ett rakt skaderekvisit, en presumption om offentlighet. Om Kammarrättens dom står fast tvingas MSB inte, i enlighet med lagen och av domstolen åberopade rättskällor, göra en bedömning av huruvida uppgiften kan orsaka skada, utan tillåter svepande sekretess med hänvisning till ett diffust och oprecist mål som saknar uppbackning i både praktik och teori. Så har inte lagstiftaren tänkt.
I den händelse att en incidentrapport skulle omfatta viss känslig information kan det undantagsvis behöva maskeras uppgifter, och det är detta undantagsvisa intresse lagstiftaren försökt tillgodose genom att införa ett rakt skaderekvisit. Om Kammarrätten i Göteborgs bedömning står fast, skulle det bli svårt för lagstiftaren att rent lagtekniskt skapa en mekanism som tillåter den mängd ansvarutkrävande och insyn vid IT-säkerhetsproblem som lagstiftaren ansett vara rimlig, men som samtidigt ger MSB möjligheten att fatta kunskapsgrundade beslut om maskering.
Alltså bör Högsta förvaltningsdomstolen åtminstone återförvisa domen till Kammarrätten i Göteborg för förnyad prövning, och för tydligare rättslig klarhet framöver även precisera att förekomsten av en incidentrapport eller dess allmänna innehåll inte ska sekretessklassas.
BILAGOR
Tekniska expertvittnen, två stycken. De har tittat på en incidentrapport
från Försäkringskassan som presumtivt är den är MSB försöker hemlighålla.Amerikanska nätpubicerade incidentrapporter:
k Iowa:
https://www.iowaattorneygeneral.gov/for-consumers/security-breach-notifi...
k Kalifornien: https://oag.ca.gov/ecrime/databreach/list
k Maryland:
http://www.marylandattorneygeneral.gov/Pages/IdentityTheft/breachnotices...
k Montana: https://dojmt.gov/consumer/consumers-known-data-breach-incidents/
k New Hampshire: http://www.doj.nh.gov/consumer/security-breaches/
k Oregon: https://justice.oregon.gov/consumer/databreach/
k Vermont
http://ago.vermont.gov/focus/consumer-info/privacy-and-data-security1/da...
k Washington: http://www.atg.wa.gov/data-breach-notificationsRumänska nätpublicerade incidentrapporter:
http://www.dataprotection.ro/notificare/cautari.do
Tre exempel på incidentrapporter utlämnade från PTS, rörandes
integritetsincidenter hos teleoperatörer:https://dataskydd.net/file/integritetsincidentdnr16-10274pdf
https://dataskydd.net/file/integritetsincidentdnr16-10194pdf
https://dataskydd.net/file/integritetsincidentdnr16-10208pdf
MSB, Årsrapport incidenthantering 2016:
https://www.msb.se/Upload/%C3%85rsrapport%20it_incidentrapportering_1703...