Informationssäkerhet ur ett tvärrättsligt perspektiv

År: 2015 // Projektledare: Markus Naarttijärvi // Anslagsförvaltare: Umeå universitet // Område: Rättsvetenskap // Belopp: 754 851 kr

Min forskning

Informationssäkerhet ur ett tvärrättsligt perspektiv
 

Mellan 2010 och 2012 lyckades förövare göra flera intrång i IT-företaget Logicas servrar där flera myndigheter förvarade mängder med känsliga uppgifter. Förövarna kunde lägga beslag på känsliga personuppgifter från Kronofogden, Skatteverket och Polisen. Denna, och liknande incidenter kom att visa på flera svagheter i det svenska informationssäkerhetsarbetet, liksom de svårigheter som finns i att möta dessa hot.

Dagens informationsinfrastruktur innebär att myndigheters IT-system i stor utsträckning utvecklas, lokaliseras hos, och drivs av privata IT-företag. Samhällsviktiga IT-funktioner koncentreras också i allt större utsträckning till större IT-operatörer. En stor del av den information som skapas och lagras i samhället är viktig och samtidigt integritetskänslig. Det handlar exempelvis om informationen i patientjournaler, brottsutredningar eller underrättelseverksamhet. Erfarenheterna från ovanstående incidenter visar att såväl offentliga aktörer som enskilda individer kan påverkas negativt av attacker mot sådana system. 

Det förevarande projektet undersöker det rättsliga ansvaret och förutsättningarna för informationssäkerhet i förhållande till antagonistiska intrång och attacker mot offentliga IT-system som drivs av privata aktörer, med fokus på konsekvenser för skydd av individens data och möjligheterna till ansvarsutkrävande vid brister. Projektet intar ett holistiskt perspektiv genom att kombinera offentligrättsliga och privaträttsliga perspektiv på frågan.

Fördjupning

Det övergripande syftet för projektet är att undersöka och analysera det rättsliga ansvaret och förutsättningar för informationssäkerhet i förhållande till antagonistiska intrång och attacker, riktade mot offentliga IT-system som drivs av privata aktörer. Ett särskilt fokus i projektet kommer ligga på konsekvenser och potentiella problem i förhållande till skyddet för enskilda individers data och möjligheterna till ansvarsutkrävande vid brister. Projektet intar ett holistiskt perspektiv genom att kombinera offentligrättsliga och privaträttsliga perspektiv på frågan samt genom att undersöka spänningsfältet mellan juridik och teknik och de teoretiska modaliteter som påverkar detta spänningsfält. 

Detta övergripande syfte preciseras vidare inom ramen för två delstudier: 
1) Det offentligrättsliga ansvaret och förutsättningarna för bemötandet av antagonistiska cyberattacker. 
2) Cyberattacker och privaträtten i offentlig verksamhet. 

Syftet för delstudie 1 är att undersöka och analysera det offentligrättsliga ansvaret för informationssäkerhet samt de normativa förutsättningarna för att agera på informationssäkerhetsområdet i respons mot antagonistiska hot. 

Frågan om ansvar rör två ansvarsnivåer. Dels den övergripande och förebyggande nivån, dvs. informationssäkerhet som en del av den allmänna krisberedskapen i samhället och det ansvar som i sådana frågor vilar på särskilda myndigheter och aktörer. Dels den operativa nivån hos de myndigheter som lagrar och behandlar personlig data och det ansvar som åligger dem utifrån dataskyddsregler. Under detta delsyfte studeras även de positiva skyldigheter som åligger staten enligt Europakonventionen i fråga om skyddet för personlig data. 

I fråga om normativa förutsättningar undersöks och analyseras det regelverk som ger aktörer mandat att agera för att förhindra hot från att realiseras genom förebyggande arbete och skyddsåtgärder samt att i det akuta skedet bemöta faktiska IT-relaterade attacker riktade mot centrala system. Här kan som exempel nämnas möjligheterna till att identifiera ursprunget till en attack, liksom möjligheterna att blockera eller på annat sätt stoppa antagonistiska attacker. Detta mandatgivande regelverk studeras även i förhållande till normativa gränser för dessa mandat i form av individuella rättigheter i regeringsformen och i Europakonventionen i syfte att identifiera ev. normkonflikter eller begränsningar som påverkar reglernas genomslag och giltighet, och således de rättsliga förutsättningarna för ett effektivt säkerhetsarbete. 

Syftet med delstudie 2 är att undersöka och analysera hur offentlig-privata samarbeten kring IT-tjänster förhåller sig till ovan nämnda offentliga krav på att förebygga och hantera incidenter, samt att undersöka och analysera skadeståndsansvaret vid incidenter för offentlig-privata samarbeten. Delstudien består av två delar. Del 1 berör avtalsförhållanden mellan offentliga organ och andra rättssubjekt och hur dessa förhåller sig till krav på samverkan, utbyte av information och hantering av kriser vid incidenter. Del 2 berör skadeståndsansvar för offentliga organ och deras avtalspartners, samt möjligheten till skadestånd för enskilda som skadas när information sprids vid ett intrång. För att uppfylla syftet så kommer följande frågeställningar att besvaras: 

Avtalsreglering: Hur regleras förhållandet vid offentlig-privata samarbeten kring IT-tjänster? Hur regleras ansvaret vid incidenter och skador? Hur hanteras ansvar och tillgång till information kring incidenter? Hur kan det offentliga dela med sig av informationen till andra myndigheter och aktörer? Hur kan dessa frågor hanteras vid offentlig upphandling av infrastrukturtjänster? 

Skadeståndsansvar: Vilket inom- och utomkontraktuellt skadeståndsansvar har myndigheter, offentliga organisationer och företag i offentlig regi som utsätts för en attack? I vilken utsträckning kan dessa offentliga aktörer kräva skadestånd från samarbetspartners? Hur kan dessa frågor hanteras vid offentlig upphandling av infrastrukturtjänster? Hur förhåller sig skadeståndsskyldigheten till befintliga försäkringar på området? Hur kan enskilda som drabbas vid en attack få ersättning? 

Projektet syftar slutligen till att förena dessa två perspektiv i en sammantagen holistisk analys av de rättsliga förutsättningarna för informationssäkerhetsarbete utifrån den aktuella strukturen för hur offentliga IT-system drivs idag; i samarbete med och utifrån ett beroende av privata aktörer. Här kommer också potentiella konflikter mellan olika teoretiska modaliteter som påverkar informationssäkerhetsarbetet att analyseras och de normativa förutsättningarna för det konkreta informationssäkerhetsarbetet kommer belysas och förklaras genom en ökad förståelse för sådana konflikter och motsättningar. 

Publikationer i urval

1. “För din och andras säkerhet – Konstitutionella proportionalitetskrav och Säkerhetspolisens preventiva tvångsmedel” (For Security reasons – Constitutional Proportionality and the Electronic intelligence Gathering mandate of the Swedish Security Service.), bokkapitel, Uppsala: Iustus förlag (akademisk avhandling).

2. “Den ofrivillige lagstiftaren – om rättslig reglering av underrättelseverksamhet”, i Granström (red.), Förrättsligande – rapport från 2011 års forskningsinternat, Rapporter och texter från juridiska institutionen # 6.

3. Lindholm, Johan & Naarttijärvi, Markus (2010) “Personlig integritet och idrottslig dopingkontroll”, i Retfærd. Nordisk Juridisk Tidsskrift. 33(4): 77–100.

4. “Att studera det hemliga – Metodval i rättskällelärans utkanter”, presentation vid Nätverket för juris doktoranders nationella doktorandseminarium 7–8 oktober 2010 i Uppsala om metodvalets betydelse för rättsvetenskapen.

5. “Nytt säkerhetsbegrepp, nya avvägningar”, presentation vid Pax Nordica, 17 september 2009 i Umeå.

6. Lindholm, Johan & Naarttijärvi, Markus, “När rätten sätter gränser: Integriteten och dopingkampen” i Svensk Idrottsforskning. Nr 1, 2011: 62–65.

Foto: Umeå universitet