JK 3565-99-90
Granskning av berednings- och beslutsprocessen avseende Försvarsmaktens säkerhetsgodkännande av informationssystemet ORION den 27 oktober 1998; regeringsuppdrag
Sammanfattning
Justitiekanslern har på uppdrag av regeringen granskat berednings- och beslutsprocessen avseende Försvarsmaktens säkerhetsgodkännande den 27 oktober 1998 av informationssystemet ORION (IS ORION).
Inom Försvarsmakten har man sedan början av 1990-talet arbetat med att utveckla ett informations- och ledningssystem som kom att kallas IS ORION. I oktober 1997 tillsatte Försvarsmakten en särskild granskningsgrupp som skulle säkerhetsgranska systemet. Säkerhetsgranskning skall enligt säkerhetsskyddsförordningen (1996:627) ske, innan ett sådant system som IS ORION får tas i drift. Granskningsgruppen redovisade resultatet av sitt arbete i en slutrapport den 1 september 1998 där det konstaterades att systemet var behäftat med ett stort antal säkerhetsbrister och inte uppfyllde ställda säkerhetskrav.
Försvarsmakten beslöt den 27 oktober 1998 att godkänna (ackreditera) IS ORION för behandling omedelbart av hemlig och kvalificerat hemlig information. Som förutsättningar för ackrediteringen angavs det dock att vissa närmare beskrivna åtgärder skulle vidtas.
Sedan Försvarsmakten efter åläggande av regeringen låtit genomföra en kompletterande säkerhetsgranskning av IS ORION konstaterade den nya granskningsgruppen i en rapport den 3 mars 1999 att flertalet säkerhetsbrister kvarstod och fann inte anledning att omvärdera den tidigare granskningsgruppens slutsats. Försvarsmakten avbröt pågående installationer av IS ORION. Arbetet återupptogs senare men den 30 september 1999 beslöt Överbefälhavaren att avbryta projektet.
Justitiekanslern konstaterar att det av beslutet om säkerhetsgodkännande inte framgår att driftssättningen av systemet skulle begränsas i något avseende, bortsett från att en s.k. lokal ackreditering från lokal chefs sida krävs innan systemet tas i bruk på en stab eller ett förband. De som fattat eller medverkat till beslutet har dock uppgett att detta endast var avsett att medge provdrift i en sluten miljö och att ett nytt beslut därefter skulle fattas. Justitiekanslern konstaterar att beslutet inte återspeglar att det endast avsett en provdrift. Justitiekanslern anser att beslutet innebar att IS ORION godkändes från säkerhetssynpunkt utan andra reservationer än som framgick av beslutet.
I övrigt finner Justitiekanslern att allvarlig kritik kan riktas mot det sätt på vilket berednings- och beslutsprocessen i samband med säkerhetsgodkännandet hanterats inom Försvarsmakten. Systemet har godkänts trots att det innehöll ett stort antal brister och att beslut om driftssättning inte kunde fattas utan uppenbar risk för brott mot gällande författningar. En väsentlig orsak härtill är att man från Försvarsmaktens sida inte följde granskningsgruppens rekommendation om en förnyad säkerhetsgranskning före godkännandet. I stället fick projektet självt kontrollera att säkerhetskraven var uppfyllda och såvitt framgått tycks man stillatigande ha accepterat detta förfarande från ansvarigt håll. Justitiekanslern finner det anmärkningsvärt att något beslut i frågan inte har fattats. Vidare påpekas att några godtagbara skäl för att granskningsgruppen inte fick företa en ny granskning inte framkommit. Att låta projektet självt svara för att bristerna var åtgärdade var dessutom olämpligt och framstår enligt Justitiekanslerns mening som ett oacceptabelt risktagande.
När det gäller den information som lämnades inför beslutet om säkerhetsgodkännande konstaterar Justitiekanslern att ord står mot ord. Den slutsatsen kan dock dras att föredragandena gav beslutsfattaren en alltför optimistisk bild av läget när det gällde åtgärdande av de brister som granskningsgruppen funnit. Justitiekanslerns sammanfattande bedömning är att underlaget för beslutet om säkerhetsgodkännande var både bristfälligt och missvisande. Det ledde till att viktiga frågor inte blev tillräckligt belysta och att beslutet fattades på ett otillräckligt underlag. Justitiekanslern har dock inte kunnat finna stöd för att rikta kritik mot någon enskild befattningshavare i den krets som deltog i beredningsprocessen.
Justitiekanslern har vidare funnit att också andra förhållanden bidragit till att säkerhetsgodkännandet blev oriktigt. Bättre expertis på IT-området borde ha anlitats för konstruktionen av systemet. Den direkta ledningen av projektet borde ha anförtrotts åt en högre officer för att om möjligt säkerställa att projektledaren hade den förmåga och det inflytande som krävdes för att genomföra uppbyggnaden av ett så stort och komplext, för landets försvar så viktigt samt så kostsamt system som IS ORION. Från början borde det också ha tillsatts en oberoende granskningsgrupp som fått arbeta fortlöpande med säkerhetsfrågorna samtidigt som systemet byggdes upp. Vidare har byten av projektledare och övriga ansvariga för projektet försvårat projektarbetet. Inte minst har den omorganisation som skedde inom Högkvarteret den 1 juli 1998 skett vid en för projektet olycklig tidpunkt.
1. Uppdraget
I beslut den 14 oktober 1999 anförde regeringen att handlingarna i ORION-ärendet visade att omständigheterna kring Försvarsmaktens beslut den 27 oktober 1998 att säkerhetsgodkänna IS ORION var av sådan beskaffenhet att det enligt regeringens mening fanns skäl att låta Justitiekanslern göra en granskning av berednings- och beslutsprocessen avseende säkerhetsgodkännandet. Regeringen uppdrog därför åt Justitiekanslern att göra en sådan granskning. Uppdraget skulle redovisas skyndsamt.
Regeringen anförde i beslutet dessutom att det som förekommit också reste frågan hur Försvarsmakten efter en av Riksrevisionsverket år 1997 gjord granskning har bedrivit arbetet med Orionprojektet i ljuset av den kritik som verket då förde fram samt att det inom Regeringskansliet övervägdes hur denna och andra frågeställningar borde utredas.
2. Genomförandet av uppdraget
Vid genomförandet av detta uppdrag har jag biträtts av f.d. hovrättslagmannen Lars P.
Jag har tagit del av beslutet om säkerhetsgodkännande, rapporterna från granskningsgrupperna, en inom Försvarsmakten den 26 oktober 1998 upprättad rapport med titeln "Analys och åtgärder med anledning av IS ORION slutrapport" samt andra handlingar och beslut upprättade hos Försvarsmakten och Försvarsdepartementet rörande projektet. Jag har sålunda gått igenom bl.a. protokoll från möten mellan representanter för Försvarsmakten och departementet samt en intern rapport som chefsjuristen Stefan R avgav den 1 september 1999 och det beslut som ställföreträdande överbefälhavaren Frank R fattade med anledning därav. Vidare har jag tagit del av bandinspelningar som Stefan R gjort vid samtal med generalmajorerna Johan K och Erik R, översten av 1. graden Håkan B, överstelöjtnanterna Håkan A och Per-Olov B, majoren Carl E och direktören vid WM-Data Staffan J. Jag har själv hållit förhör med Johan K, Erik R, Håkan B, Håkan A, Carl E, Staffan J, generalmajoren B-A J, tidigare ställföreträdande chef för operationsavdelningen, informationssäkerhetschefen vid Rikspolisstyrelsen Fredrik K och avdelningsdirektören vid Säkerhetspolisen Bengt A. Jag har också tagit del av Riksrevisionsverkets rapport 1997:49 "Försvarsmaktens systemutveckling (ORION, ATLE-IS, LI FV, LIM)".
Det material som varit underlag för min granskning innehåller uppgifter av hemlig och kvalificerat hemlig natur. Sådana uppgifter har givetvis måst uteslutas ur detta yttrande. Detta har dock inte hindrat att en tillräckligt fullständig bild kunnat ges här rörande de för granskningen relevanta förhållandena. För redogörelsen avseende ORION-projektet m.m. har Stefan R:s rapport och underlaget för denna utnyttjats.
3. IS ORION
Försvarsmaktens ledningssystem LEO tillkom i slutet av 1970-talet. Det bygger på ADB-teknik och bestod till en början av en central minidator, ett antal lokala terminaler och två terminaler för varje milostab. Systemet genomgick flera utvecklingsfaser. I det s.k. LEO 85 ingick att alla milostaber skulle ha en egen dator med terminaler och anslutas till ett slutet kommunikationsnät med krypterad trafik. LEO 85 började sättas i drift från år 1988. De enklare terminalerna ersattes efter några år med s k säkerhets-PC. I en plan som försvarstabschefen fastställde år 1986 ingick ett LEO 90. Mot bakgrund av den tekniska utveckling med persondatorer, billigare minnen och ökad processorkraft som bedömdes förestå planerade man då för att revidera LEO-systemet från grunden.
När det gäller kraven på säkerhetsskydd präglades dessa tidigare av en mera primitiv hotbild än dagens och av det förhållandet att systemet var uppbyggt på en central dator och "dumma" terminaler, vilket innebar att det från terminalerna fanns begränsade möjligheter att påverka systemet eller obehörigen komma åt information. En sammanfattande och modernare generell hotbild framkom år 1988 genom den av Överbefälhavaren då utgivna "Katalog över hot mot ADB".
Våren 1989 startades en utredning om ett nytt operativsystem för LEO inom Försvarsmakten. Säkerhetsskyddet diskuterades i detta sammanhang. Som grundkrav angavs att ett nytt system skulle samtidigt kunna hantera öppen, hemlig och kvalificerat hemlig information. System för informationssäkerhet på olika nivåer enligt de amerikanska normerna TCSEC (Trusted Computer System Evaluation Criteria) diskuterades, liksom det amerikanska systemet för MLS (Multi Level Security).
I rapporten Förutsättningar och strategiförslag för ett informationssystem inom Försvaret (januari 1990) presenterades en övergång till s k "öppna system", i vilka informationen från en central dator kunde lagras och förändras i mottagarna. Fördelarna med en sådan övergång angavs vara lägre kostnader, minskad sårbarhet, ökad flexibilitet, förenklad samexistens och framtidssäkrade investeringar. Nackdelarna angavs vara bristande säkerhetsegenskaper och svårigheter att tillföra ytterligare säkerhetsfunktioner i en befintlig struktur. Risken ansågs stor för att säkerheten skulle bli otillräcklig, svårbedömd, kostsam och svår att administrera.
Den dåvarande myndigheten Försvarets Datacenter (Försvarsdata) överlämnade i maj 1992 till Överbefälhavaren ett förslag till ny teknisk miljö för LEO (LEO NYT). Tanken var att LEO efter hand skulle anpassas efter det öppna systemet och under perioden 1992 - 1994 tillgodogöras landvinningarna på IT-området, t.ex. vad det gäller systemutveckling, användargränssnitt, säkerhetsfilosofi, systemstruktur. I förslaget behandlades också behovet av skyddat samband och påpekades att det var angeläget att snabbt ta fram teknik för kryptosystem i lokala nät. Överbefälhavaren antog förslaget och gav ett uppdrag i enlighet med detta. Därvid fastställdes bl.a. att strukturen i enlighet med den senaste trenden inom teknikområdet skulle vara ett öppet system med s.k. Client - Server.
Arbetet med LEO NYT, som därefter fick namnet IS ORION, bedrevs i fortsättningen i egen regi av Högkvarteret där chefen för Försvarsstaben hade ansvaret åren 1992 - 1994, chefen för operationsledningen den 1 januari 1995 - den 30 juni 1998 och chefen för krigsförbandsledningen fr.o.m. den 1 juli 1998. Den 30 september 1999 beslöt Försvarsmakten att avbryta arbetet med ORION-projektet.
Säkerhetsgodkännandet samt säkerhetsgranskningarna närmast före och efter tidpunkten för beslutet om godkännande behandlas nedan under en särskild rubrik. Om behandlingen av säkerhetsfrågan i övrigt kan här dock nämnas följande. En s.k. säkerhetsarkitektur fastställdes år 1993 och innehöll kravet att projektet i möjligaste mån skulle försöka utnyttja s.k. certifierad teknik i de lösningar som framlades och att där man valde att avstå från att utnyttja tillgänglig certifierad teknik detta skulle motiveras särskilt. En certifiering grundas alltid på en s.k. evaluering. Certifiering och evaluering är starkt formaliserade processer enligt TCSEC (se ovan) eller ITSEC, dvs. EU:s regelverk för produktion av säkra IT-system (Information Technology Security Evaluation Criteria). Säkerhetsarkitekturen innebär att all utveckling av funktioner och mekanismer skall dokumenteras rigoröst med full spårbarhet. Evalueringen består av en noggrann genomgång av dokumentationen m.m. Utvecklings- och evalueringsprocesserna blir därför omständliga, tidskrävande och kostsamma.
Så småningom fattades ett beslut att evaluering enligt ITSEC skulle göras av IS ORION. Detta har bedömts som svårt eller omöjligt, såvida inte projektet i väsentliga delar skulle omstartas, vilket inte har skett. Sådan evaluering har därför inte utförts. Eftersom certifierade produkter inte har utnyttjats i IS ORION, finns inte heller den nödvändiga grunden för en säkerhetsverifiering som ett substitut till evaluering. Granskning för ackreditering har tidigare organiserats vid fyra tillfällen men då brister i dokumentationen konstaterats har säkerhetsverifiering inte kunnat genomföras.
Den 18 november 1997 fastställde Försvarsmakten ett säkerhetsdokument för IS ORION bestående i Säkerhetsmålsättning för systemet jämte säkerhetshandbok.
4. Berednings- och beslutsprocessen avseende säkerhetsgodkännandet och handläggningen av projektet därefter
Frågan om granskning inför ackreditering av IS ORION togs upp i ett beslut av Försvarsmakten den 10 oktober 1997. En granskningsgrupp fick då i uppdrag att dels utveckla en metod i dokumenterad form för hur granskningsarbetet skulle genomföras, dels genomföra säkerhetsgranskning av och ta fram ett underlag för beslut om ackreditering av IS ORION. I beslutet framhölls att granskningen och ackrediteringen var avgörande för systemets kommande driftsättning och att det var centralt att såväl projektet som granskningsgruppen hade som gemensamt mål att prestigelöst och utan revirtänkande uppnå ett snabbt resultat men att detta inte innebar att granskningsgruppen i egenskap av oberoende granskare skulle ge avkall på den integritet som krävdes för att fullgöra uppdraget på ett korrekt sätt. Som chef för granskningsgruppen utsågs direktören Staffan J, WM Data. Denne skulle organisera gruppen med personal ur Försvarsmakten, Säkerhetspolisen och för ändamålet engagerade konsulter. I gruppen ingick bl.a. Rikspolisstyrelsens nuvarande informationssäkerhetschef Fredrik K.
För ORION-projektet har vidare funnits en styrgrupp, senare en referensgrupp bland vars föredragande chefen för granskningsgruppen har ingått. Ordförande för referensgruppen har fr.o.m. den 1 juli 1998 varit generalmajoren Johan K. Samtidigt som granskningsgruppen fick sitt uppdrag inrättades också en samordningsgrupp - en referensgrupp för granskningsarbetet - med överstelöjtnanten Håkan A som ordförande. Håkan A var IT-ansvarig vid militära underrättelse- och säkerhetstjänsten. I gruppen ingick bl.a. avdelningsdirektören vid Säkerhetspolisen Bengt A. Gruppens uppgift var att bidra till bättre samordning mellan ORION-projektet och granskningsgruppen.
Granskningsgruppen påbörjade själva granskningsarbetet i januari 1998. Det underlag som låg till grund för granskningen före säkerhetsgodkännandet var det material som projektet överlämnade under tiden den 30 april - den 29 maj 1998 medan senare framtaget material ej har beaktats. I viss utsträckning vidarebefordrade granskningsgruppen sina iakttagelser under hand till projektet.
Granskningsgruppen avgav en delrapport den 4 juni 1998. I sammanfattningen uttalades bl.a. att en fullständig granskningsprocess pågår men att i skrivande stund hade endast vissa av granskningsaktiviteterna slutförts. Rapporten skulle därför inte betraktas som slutligt underlag för beslut om driftsgodkännande utan som en delrapport. Eftersom allt relevant underlag ändå var genomgånget och vissa väsentliga analyser hade genomförts, borde dock, framhölls det, delrapporten kunna ge en god indikation om hur väl säkerhetskraven då uppfylldes och därmed påvisa riskerna med en driftsättning av systemet i dess dåvarande skick.
Av delrapporten framgick vidare följande. Hot/riskanalys hade gjorts med otillfredsställande resultat. Ett stort antal säkerhetskrav, varav några författningsenliga, syntes ej kunna uppfyllas. Dokumentationen i form av handböcker, instruktioner m.m. började närma sig ett färdigt skick men det fanns fortfarande stora brister, bland vilka de allvarligaste angavs. Inom granskningsmiljön fanns också allvarliga brister. När det gällde produktstatus förekom det allvarliga kvalitetsproblem. I fråga om den tekniska miljön påpekades att Försvarsmaktens IT-handbok (FM HIT) förespråkar klient/server-teknik. Detta har man i IS ORION tagit fasta på. Miljö med klient/server-teknik är alltid ett problem från säkerhetssynpunkt som kräver speciella insatser. Granskningen har pekat på klient/server-tekniken som den kanske viktigaste faktorn som gör det komplicerat men inte ogenomförbart att möta säkerhetskraven. I övrigt förelåg det oklarhet beträffande olika frågor vad avser ansvarsfördelningen mellan projektet och andra aktörer i organisationen. Dessa frågor måste besvaras och ansvaret tydliggöras innan en slutlig bedömning kunde göras av IS ORION:s säkerhetsnivå.
Granskningen utmynnade i följande bedömning. Ett beslut om driftsättning av IS ORION, utan att omfattande åtgärder vidtogs mot brister i säkerheten, de öppna frågorna om ansvarsfördelning och kvarstående scenarier, kan inte ske utan uppenbar risk för brott mot gällande författningar.
Den 1 juli 1998 genomfördes en omorganisation av Försvarsmaktens högkvarter. Den innebar bl.a. att ansvaret för Orionprojektet överfördes från operationsledningen till krigsförbandsledningen, vars chef delegerade ledningen av projektet till sin ställföreträdare, generalmajoren Johan K. Inom krigsförbandsledningen tilldelades ledningssystemavdelningen det närmaste ansvaret för projektet. Chef för denna avdelning blev översten av första graden Håkan B.
Den 1 september 1998 avgav granskningsgruppen en slutrapport. Rapporten är omfattande och dess innehåll till stor del av teknisk natur. Slutsatserna överensstämmer i allt väsentligt med delrapportens. Sålunda sägs att ett flertal författningsstyrda säkerhetskrav ej syntes kunna uppfyllas. Vid granskningen har gjorts viss jämförelse vad gäller skyddskraven i författningar och vad som beskrivits i "Mål för säkerheten i IS ORION", därvid inga väsentliga skillnader har konstaterats. En hot/riskanalys gav otillfredsställande resultat. Särskilda iakttagelser rörande produkter och funktioner visade att olika skyddsfunktioner saknades helt eller i väsentliga delar, respektive hade allvarliga kvalitetsproblem som måste åtgärdas före driftsättning. Det fanns ett antal allvarliga brister i dokumentationen i form av handböcker, instruktioner m.m.. I slutrapporten gjordes följande sammanfattande bedömning. Det granskade systemet innehåller ett stort antal brister. Ett beslut om driftsättning av IS ORION kan inte ske utan uppenbar risk för brott mot gällande författningar. De åtgärdsprogram som krävs för att komma till rätta med bristerna innebär väsentliga förändringar i det tekniska konceptet och i systemlösningen. För detta krävs ett omfattande analys-, planerings- och förberedelsearbete. Efter genomförda åtgärder krävs en förnyad granskning före beslut om godkännande.
Den referensgrupp i vilken Johan K var ordförande hade ett möte den 10 september 1998. Mötet gällde en lägesredovisning med anledning av granskningsgruppens slutrapport. I mötet deltog, förutom Johan K såsom ansvarig för projektet, Håkan B, Håkan A samt Carl E, projektledare för IS ORION.
Vid mötet förekom bl.a. följande. Johan K meddelade att brister av allvarlig art redovisats i slutrapporten, som dock avsåg läget per den 28 maj 1998, att detta förändrats genom säkerhetshöjande åtgärder och att det nu var viktigt att reda ut vad projektet gjort för att klarlägga vilka brister som åtgärdats och vilka som återstod. Carl E redovisade läget i IS ORION. Håkan A rapporterade att han enligt referensgruppens uppdrag följt såväl projektet som granskningen och att han i huvudsak delade granskningsgruppens bedömningar. Han redogjorde för den hot- och riskanalys som gjorts i Högkvarteret mot bakgrund av de mer än 50 brister som redovisats i granskningsrapporten och bedömde med hänsyn till de åtgärder som vidtagits att "erforderliga säkerhetsåtgärder nu inte är gränssättande för IS ORION:s driftsättning". Vissa åtgärder måste dock enligt honom vidtas men tekniken härför var känd och resurs- och tidsåtgången kunde därför identifieras. Vid mötet diskuterades därefter de huvudsakliga bristerna, varvid Håkan A anmälde att projektet hade skapat en bra lösning på en av funktionerna i fråga och en tillfällig lösning på en annan funktion. Carl E bedömde att erforderlig tid för att avhjälpa återstående brister var några veckor.
Referensgruppen hade ett nytt möte den 2 oktober 1998. Närvarande var bl.a. de som hade deltagit i mötet den 10 september 1998. Carl E redovisade med hjälp av en uppställning läget beträffande kvarstående frågor från granskningsgruppens rapport och en hot- och riskanalys samt en lista över läget beträffande säkerhetshöjande åtgärder. Uppställningen upptog sex ämnesområden varav tre angavs vara klara, två vara åtgärdade och ett bli åtgärdat den 15 oktober. I listan över säkerhetshöjande åtgärder angavs dessa vara klara per den 29 september och den 1 respektive den 15 oktober 1998. Carl E framförde som önskemål att säkerhetsgodkännande skulle föreligga före utgången av oktober månad och redovisade en tidsplan för projektets arbete. På Johan K:s fråga om säkerhetsgodkännande skulle erhållas svarade Håkan A att allt konstruktionsarbete nu var genomfört och att granskningsarbetet skulle pågå under oktober månad. Han meddelade vidare att man avsåg att bemanna den grupp som skulle svara för detta granskningsarbete med dels vissa personer från den tidigare granskningsgruppen, dels medarbetare inom Högkvarteret samt betonade att säkerhetsarbetet skulle fortsätta efter säkerhetsgodkännandet. Johan K frågade vilka garantier som fanns för att de redovisade tidpunkterna skulle gälla. Carl E uppgav i sitt svar bl.a. att det vid hot- och riskbedömningen framkommit att två väsentliga förhållanden krävde åtgärder och att beställda produkter från en viss leverantör ännu inte levererats.
Den 6 oktober 1998 orienterade chefen för krigsförbandsavdelningen och Håkan B överbefälhavaren om projektarbetets fortgång. Därvid redovisades de bedömningar som gjorts vid referensgruppsmötet den 2 oktober. Orienteringen synes enbart ha varit ha varit en lägesredovisning.
Beslutet om säkerhetsgodkännande av IS ORION fattades den 27 oktober 1998. Johan K undertecknade beslutet såsom beslutande chef. Beslutet kontrasignerades av generalmajoren Erik R, chef för den militära underrättelse- och säkerhetstjänsten. Beslutet föregicks av en föredragning samma dag. Som föredragande antecknades Håkan B. Närvarande förutom de nu nämnda var Håkan A och Carl E. Enligt beslutet godkändes IS ORION för behandling av kvalificerad hemlig information. Som förutsättningar för godkännandet angavs att IS ORION fick användas omedelbart och att vissa åtgärder skulle vidtas före angivna tidpunkter. Senast före lokal driftstart skulle sålunda lokal ackreditering (godkännande) genomföras enligt gängse bestämmelser för ackreditering och enligt föreskrifterna för IS ORION. För detta var lokal chef ansvarig. Vederbörande lokale chef skulle också svara för en viss komplettering av systemet och handha upphandling av tjänster på visst sätt. Dessa åtgärder skulle vara klara senast den 14 december 1998. I ett avseende skulle chefen för krigsförbandsledningens ledningssystemavdelning komplettera systemet. Detta skulle var klart senast den 31 december 1998, alternativt den 6 juni 1999. Godkännandet skulle förnyas årligen och första gången den 1 januari 2000.
Som underlag för beslutet låg granskningsgruppens slutrapport och ett dokument benämnt Analys och åtgärder med anledning av IS ORION slutrapport. Det senare dokumentet, daterat den 26 oktober 1998, är upprättat inom Försvarsmakten utan biträde av granskningsgruppen. I detta är säkerhetsbristerna redovisade i punktform. Vid flertalet punkter är det antecknat att bristen är åtgärdad men beträffande en del framgår det att arbete pågår eller eljest att bristen skall åtgärdas men att detta ännu inte har skett. Det framgår att det fanns brister som inte var åtgärdade och som inte omfattades av de förut nämnda förutsättningarna i beslutet om säkerhetsgodkännande. I ett antal fall innebar detta att systemet inte uppfyllde gällande författningskrav.
Försvarsmaktens handläggning av Orionprojektet har under avsevärd tid varit föremål för regeringens och Försvarsdepartementets uppmärksamhet. En omfattande skriftväxling har förekommit och projektet har diskuterats mellan företrädare för departementet och Försvarsmakten vid ett antal möten. Regeringen beslöt den 10 december 1998 att Försvarsmakten skulle låta genomföra en kompletterande och oberoende säkerhetsgranskning av IS ORION. I beslutet noterades bl.a. att det enligt granskningsgruppen krävdes en förnyad granskning före beslut om godkännande men att någon förnyad oberoende granskning inte kom till stånd utan att Försvarsmakten i stället valde att göra en intern granskning och därmed frångick den linje som myndighetens uppdrag i oktober 1997 till granskningsgruppen gav uttryck för. Försvarsmakten uppdrog den 12 januari 1999 till en ny granskningsgrupp att genomföra den kompletterande granskningen. Även denna grupp leddes av Staffan J och den bestod till stor del av samma personer som den tidigare granskningsgruppen.
Den nya granskningsgruppen lämnade sin rapport den 3 mars 1999. Dess sammanfattande bedömning var följande. Sedan den förra granskningen hade ett antal åtgärder vidtagits för att förbättra säkerheten, bl.a. hade föreskrifter och dokumentation förbättrats på många punkter. Vissa tekniska förändringar till det bättre hade också skett. Flertalet av de brister som påpekades i den förra granskningsrapporten kvarstod dock. Granskningsgruppen ansåg att ett sådant omfattande åtgärdsprogram som krävdes enligt den förra granskningsrapporten inte hade genomförts. Gruppens bedömning var att de förändringar av IS ORION som skett inte hade haft sådan betydelse för säkerheten att det fanns anledning att omvärdera slutsatsen som den tidigare säkerhetsgranskningen resulterade i.
Granskningsgruppen har gjort en noggrann genomgång och redovisning av bristerna. Därvid noterade den att av totalt 65 brister 11 stycken av projektet inte betraktats som brister och därför inte åtgärdats, 10 angetts som ej åtgärdade och 44 som åtgärdade. Granskningsgruppen fann att av dessa 44 endast 9 var åtgärdade utan reservationer. I rapporten påpekas vidare att även om samtliga brister hade åtgärdats detta inte innebar att systemet var fritt från brister, eftersom granskningen som gav upphov till listan över brister till stor del bestod av stickprov, dvs. listan var inte uttömmande. Vid ny stickprovsmässig granskning upptäcktes nya brister i säkerheten. Granskningsgruppen hade följande kommentar till säkerhetsstyrningen av IS ORION. Det har framgått tydligt att säkerhetsstyrningen under teknikutvecklingen i projektet inte har fungerat, dvs. kommunikationen mellan teknikansvariga och säkerhetsansvariga har brustit. Detta är förmodligen en av huvudorsakerna till projektets visade svårigheter att löpande koppla teknik- och applikationsutveckling till gällande säkerhetskrav. Om detta problem ej löses finns risk att nya säkerhetsbrister uppkommer.
I en särskild bilaga, avsedd att kunna läsas av personer utan expertkunskaper om informationsteknik, diskuterar granskningsgruppen vald tekniklösning och anför bl.a. att det finns några grundfaktorer som på flera avgörande sätt inverkar på möjligheten att uppnå den höga säkerhet som krävs i ett system som IS ORION. Avsaknad av någon av dessa kan möjligen enligt rapporten kompenseras av olika säkerhetsåtgärder men bara till en viss gräns. Om flera av grundfaktorerna saknas, ökar osäkerheten om det över huvud taget är möjligt att uppnå tillräcklig säkerhet med aldrig så många kompenserande åtgärder. Granskningsgruppen anger vad som utgör grundfaktorer och uttalar sig om i vilken utsträckning de beaktats. Enligt gruppen har därvid konstaterade brister bidragit till svårigheterna att uppnå eftersträvad säkerhet i IS ORION.
I detta sammanhang tar granskningsgruppen upp det förhållandet att IS ORION har en klient/serverarkitektur. Granskningsgruppen anger vad en sådan arkitektur rent allmänt är för något enligt följande. I en klient/serverarkitektur finns information i en central serverdator som på avrop från perifera klientdatorer levererar information till dessa över ett nätverk. Efter bearbetning i dessa sänds informationen tillbaka till den centrala serverdatorn för lagring eller vidarebefordran. Information kan även produceras i den perifera klientdatorn för att sedan transporteras in till serverdatorn för lagring. Även olika slag av överföringar mellan servrar och klienter kan beställas från klienten. E-post är ett exempel på detta. Granskningsgruppen konstaterar att det sätt varpå datorerna kommer att samverka innebär olika säkerhetsrisker.
Den 5 mars 1999 beslöt Försvarsmakten avbryta pågående installationsverksamhet och provdrift i avvaktan på att en detaljanalys av rapporten från den kompletterande säkerhetsgranskningen hade genomförts. Försvarsmakten framförde till Försvarsdepartementet som sin preliminära uppfattning att rapporten i allt väsentligt var korrekt. Kort tid senare meddelade Försvarsmakten dit att detta också var dess slutliga uppfattning.
Arbetet med ORION-projektet fortsatte och den 5 juni 1999 återupptogs installationsarbetet. Som förut nämnts avbröts projektet den 30 september 1999. Därefter har det på nytt tagits upp och systemet har i en begränsad omfattning också satts i drift. Kostnaderna för projektet har beräknats till ca 400 milj kr. I detta belopp ingår dock inte lönekostnader som belöper på de hos Försvarsmakten fast anställda som arbetat med projektet.
5. Försvarsmaktens interna granskning
Ställföreträdande överbefälhavaren Frank R uppdrog den 5 mars 1999 åt Försvarsmaktens chefsjurist Stefan R att granska berednings- och beslutsprocessen i högkvarteret avseende säkerhetsgodkännandet av IS ORION inför provdriftssättning. Stefan R avlämnade en rapport den 1 september 1999.
Efter samtal med bl.a. dem som var med vid föredragningen den 27 oktober - uppteckningar av dessa samtal återges i rapporten och är godkända av respektive befattningshavare - gjorde Stefan R en bedömning som sammanfattningsvis innehåller följande.
Det förhållandet att säkerhetsgodkännandet kunde beslutas knappt två månader efter granskningsgruppens slutrapport, i vilken redovisades allvarliga säkerhetsbrister, kunde enligt Stefan R förklaras av att gruppen tidigare lämnat en preliminär rapport med i huvudsak samma innehåll och man i projektet kunnat rätta till brister i tiden före slutrapporten. De som beslutade om säkerhetsgodkännandet fann därför inte tiden från slutrapporten märkligt kort. De har enligt vad som framkommit känt sig vilseledda och fått det intrycket att påpekade brister var åtgärdade eller att projektet åtminstone hade full kontroll över dessa.
Stefan R fann emellertid beslutets utformning felaktig, eftersom det innebar att man omedelbart fick ladda ORION med hemliga och kvalificerat hemliga uppgifter. Beslutet borde rätteligen ha utformats så att ORION fick laddas med öppna uppgifter under provdriften, varefter ett nytt beslut skulle ha fattats när bristerna åtgärdats. Ansvaret för beslutets utformning åvilade i första hand den för IT-säkerhetsfrågor ansvarige, Håkan A, och projektledaren Carl E vilka deltog i föredragningen.
Även om beslutet om säkerhetsgodkännande inte - genom det sätt Försvarsmakten hanterat systemet och genom Försvarsdepartementets uppföljning - har inneburit att hemliga uppgifter använts vid övnings/provdriften, skulle sekretessförluster kunna uppstå, om strukturen av ett system röjdes.
Både Håkan A och Carl E, vilka svarade för faktaunderlaget vid föredragningen, gav vid denna intrycket att de allvarligaste bristerna var åtgärdade. Rollfördelningen mellan de föredragande var emellertid inte helt utklarad. Vidare förutsatte de båda nyssnämnda att cheferna hade kunskap om läget vad gällde bristerna. Eventuell tjänsteförseelse genom underlåtenhet att redovisa relevanta faktiska omständigheter i samband med föredragningen bedömde Stefan R som ringa. Något fel eller försummelse för beslutet om säkerhetsgodkännande kunde inte falla på de övriga berörda, dvs. Johan K, Erik R och Håkan B. Stefan R var av den uppfattningen att ärendet inte skulle föranleda något disciplinärt förfarande.
Efter att ha tagit del av Stefan R:s rapport avslutade Frank R den interna granskningen genom ett yttrande den 4 oktober 1999. Han konstaterade då att beslutet om säkerhetsgodkännande fattats utan att vissa gränssättande kriterier var uppfyllda och uttalade vidare att vid föredragningen för Johan K och Erik R det inte tydligt framgick att brister, utöver redovisade, förelåg. Mottagarna av föredragningen bibringades uppfattningen att anmälda brister var åtgärdade. Stefan R hade lagt ansvaret för detta på Carl E och Håkan A vilka var de som stod för faktaunderlaget vid föredragningen. Frank R gjorde bedömningen att det var fråga om en ringa tjänsteförseelse som ej skulle leda till något disciplinärt förfarande.
6. Gällande regler
Grundläggande bestämmelser om säkerhetsskydd i statlig verksamhet finns i säkerhetsskyddslagen (1996:627). Det gäller skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, skydd i andra fall av uppgifter som omfattas av sekretess enligt sekretesslagen (1980:100) och som rör rikets säkerhet samt skydd mot terrorism. Säkerhetsskyddet skall enligt 7 § första stycket 1 och 2 säkerhetsskyddslagen förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet röjs, ändras eller förstörs (informationssäkerhet) och att obehöriga får tillträde till platser där de kan få tillgång till sådana uppgifter eller där verksamhet som har betydelse för rikets säkerhet bedrivs (tillträdesbegränsning).
Vid utformningen av informationssäkerheten skall enligt 9 § lagen behovet av skydd vid automatisk informationsbehandling beaktas särskilt. I motiven till paragrafen anfördes bl.a. De informationstekniska landvinningarna under senare år har medfört att användningen av datorer och telekommunikation har ökat starkt. Utvecklingen har emellertid också inneburit att metoder som ger möjlighet för obehöriga att komma åt uppgifter har utvecklats. Denna risk är särskilt påtaglig när uppgifterna transporteras på lokala och externa nät. Datoriseringen har vidare inneburit nya risker för att uppgifterna förstörs eller går förlorade på annat sätt. Mot bakgrund härav är det viktigt att informationssäkerheten utformas med beaktande av de nya risker för röjande eller förstörande av säkerhetskänsliga uppgifter som finns. (Prop. 1995/96:129 s. 77)
Enligt 12 § andra stycket säkerhetsskyddsförordningen (1996:633), vilken förordning meddelats med stöd av bemyndigande i lagen, skall ett system som av flera personer skall användas för automatisk informationsbehandling av hemliga uppgifter vara försett med funktioner för behörighetskontroll och registrering av händelser i systemet som är av betydelse för säkerheten. Med hemliga uppgifter avses här uppgifter som omfattas av sekretess och som rör rikets säkerhet. Säkerhetsskyddsutredningen på vars förslag säkerhetsskyddslagen grundar sig och som också framlade förslag till förordning anmärkte att behörighetskontrollen kan bestå av både administrativa och tekniska åtgärder samt att loggens - den tekniska termen för registreringen - funktion är att registrera händelser i systemet för att kunna ge svar på frågorna vem som har gjort vad vid ett visst tillfälle (Säkerhetsskydd, SOU 1994:149 s. 266).
I 12 § tredje stycket förordningen föreskrivs att systemet inte får tas i drift förrän det från säkerhetssynpunkt har godkänts av den för vars verksamhet systemet inrättas.
Försvarsmakten har meddelat ytterligare föreskrifter om säkerhetsskydd i FFS 1996:12, som fr.o.m. den 1 januari 2000 ersattes av FFS 1999:10. Följande föreskrifter är dock oförändrade i sak. I 7 kap. 1 och 2 §§ föreskrevs bl.a. Om en myndighet överväger att införa ett IT-system, skall den noga pröva vilket säkerhetsskydd systemet kräver och vilka åtgärder som måste vidtas för att skyddet skall få avsedd effekt. Myndigheten skall överväga att av säkerhetsskäl avstå från systemet eller begränsa dess innehåll om erforderligt säkerhetsskydd inte kan uppnås. En myndighet som beslutar att anskaffa ett IT-system skall svara för att säkerhetsskyddet tillgodoses i och kring systemet. Myndigheten skall se till att säkerhetsskyddet upprätthålls under utveckling, drift, avveckling och annan förvaltning.
Därutöver finns Försvarsmaktens interna bestämmelser om IT-säkerhet (FIB 1996:6 som fr.o.m. den 1 januari 2000 ersattes av FIB 1999:5). I 5 kap. 2 § föreskrevs att innan ett IT-system sätts i drift det skall godkännas (ackrediteras) av chefen för det förband som använder systemet. I 5 kap. 3 § föreskrevs följande. Den som ansvarar för anskaffning eller förvaltning av ett IT-system, som är gemensamt för flera förband, skall säkerhetsgranska gemensamma delar av systemet och de kommunikationssystem som berörs. Granskningen skall resultera i ett ackrediteringsunderlag. Den ansvarige skall se till att chef som avses i 2 § förses med erforderligt underlag för den lokala ackrediteringen.
I FIB 1999:5 har införts ett nytt 6 kap., enligt Information från juridiska avdelningen vid Försvarsmakten nr 6/1999 för att göra ansvarsförhållandena tydliga i samband med ackreditering. Av 6 kap. 1 § framgår att ett IT-system inte får ackrediteras lokalt innan det har ackrediterats av överbefälhavaren eller den han bestämmer (central ackreditering). 6 kap. 2 § motsvarar 5 kap. 3 § i FIB 1996:6. En viss ändring har skett genom att det nu föreskrivs att den som ansvarar för anskaffning och förvaltning av ett IT-system skall säkerhetsgranska systemet och de kommunikationssystem som berörs. Vidare har tillagts att av ackrediteringsunderlaget skall framgå militära underrättelse- och säkerhetstjänstens uppfattning i fråga om säkerheten i systemet.
7. Justitiekanslerns bedömning
Det uppdrag som givits mig avser berednings- och beslutsprocessen i samband med Försvarsmaktens säkerhetsgodkännande av informationssystemet ORION. Vid min genomgång av ärendet har jag funnit att orsakerna till det, som det senare visade sig, oriktiga säkerhetsgodkännande framför allt är att söka i de åtgärder som vidtogs och de beslut som fattades under andra halvåret 1998. Granskningen har därför i huvudsak koncentrerats till denna tidsperiod. Det kan givetvis vara så att också omständigheter som ligger längre tillbaka i tiden kan ha haft betydelse. Sådana omständigheter synes emellertid främst avse val av produkter och tekniska lösningar för informationssystemet och liknande. Jag har inte sett det som min uppgift att närmare gå in på dessa förhållanden, en uppgift som för övrigt snarast bör utföras av ett organ med särskild kompetens på området.
I sammanhanget vill jag också påpeka att det inte har gått att helt klarlägga vad som sagts och beslutats under beredningsprocessen fram till säkerhetsgodkännandet. I flera avseenden står sålunda ord mot ord. Med hänsyn till att endast ett relativt litet antal personer har deltagit i beredningsprocessen är det föga troligt att ytterligare efterforskningar hade kunnat resultera i att den ena versionen av händelseförloppet skulle framstå som mer sannolik än en annan. Jag har därför inriktat mig på att försöka skapa en helhetsbild.
I det följande tar jag först upp frågan om vad beslutet om säkerhetsgodkännande egentligen innebar. Därefter går jag in på orsakerna till att beslutet kom till stånd.
IS ORION utgjorde självfallet ett system som omfattades av 12 § andra stycket säkerhetsskyddsförordningen. Innan det togs i drift skulle det alltså enligt tredje stycket i samma paragraf ha godkänts (ackrediterats). Eftersom systemet skulle vara gemensamt för ett stort antal förband, staber m.m. skulle, enligt 5 kap. 3 § Försvarsmaktens interna bestämmelser, de gemensamma delarna av systemet och berörda kommunikationssystem dock först säkerhetsgranskas. Den granskningen skulle resultera i ett s.k. ackrediteringsunderlag. Den som var ansvarig för granskningen hade att se till att varje lokal chef som avsåg att ta ORION-systemet i drift på sitt förband, stab eller motsvarande erhöll ett erforderligt sådant underlag för den lokala ackrediteringen.
I fråga om ett gemensamt system består proceduren när systemet skall godkännas således av två led. Det krav på godkännande som avses i 12 § tredje stycket säkerhetsskyddsförordningen får anses innebära dels att själva systemet skulle godkännas centralt, dels att de på plats gjorda installationerna och de lokala arrangemangen för driften skulle godkännas av den lokale chefen. I oktober 1998 då det här aktuella säkerhetsgodkännandet gavs fanns det ingen uttrycklig intern föreskrift om att den centrala granskningen av systemet skulle avslutas med ett särskilt beslut om godkännande. Fr.o.m. årsskiftet föreskrivs emellertid att ett IT-system inte får ackrediteras lokalt innan det har ackrediterats av överbefälhavaren eller den han bestämmer. Även innan sistnämnda föreskrift infördes, måste det anses ha gällt att en säkerhetsgranskning med positivt resultat skulle dokumenteras i ett särskilt beslut om godkännande eller ackreditering.
Dubbla godkännanden eller ackrediteringar är uppenbarligen nödvändiga i fråga om IT-system som är så omfattande och komplicerade som ORION-systemet. Säkerhetsgranskningen av själva systemet och de korrigeringar som granskningen påkallar kräver specialistkunskaper och andra resurser som inte står till buds på lokal utan bara på central nivå. Det kan alltså inte krävas av den lokale chefen att han skall utföra någon egentlig granskning från säkerhetssynpunkt när det gäller systemuppbyggnaden, val av programvaror, utformningen av det gemensamma kommunikationsnätet etc. Något övergripande ansvar för en sådan granskning kan därför inte läggas på honom i samband med en lokal ackreditering. Vad som enligt anvisningarna närmast ankommer på den lokale chefen inför ackrediteringen är att tillse att de lokala förhållandena är betryggande i sådana avseenden som skyddet mot att obehöriga bereder sig tillträde till lokalerna där utrustningen finns, behörighetskontroll, larm, brandskydd, administrativa rutiner osv.
Beslutet om säkerhetsgodkännande av IS ORION fattades den 27 oktober 1998. Dess innehåll har i huvudsak redovisats ovan. Det är ett kortfattat beslut vari IS ORION godkändes för behandling av kvalificerad hemlig information. Systemet skulle få användas omedelbart. Detta angavs som en "förutsättning". Som övriga förutsättningar för godkännandet angavs att lokal ackreditering skulle ske enligt gängse bestämmelser för ackreditering och föreskrifterna för ORION. Den lokale chefen ålades också att före den 14 december 1998 svara för vissa kompletterande åtgärder. Vidare skulle chefen för krigsförbandsledningens ledningssystemavdelning svara för en förbättring av säkerheten i systemet genom kvalitetssäkring av en viss programvara. Detta arbete skulle vara klart den 31 december 1998 alternativt den 6 juni 1999. Säkerhetsgodkännandet skulle förnyas årligen, första gången före den 1 januari 2000.
Enligt min mening är det uppenbart att kravet på lokal ackreditering inte innebär någon egentlig begränsning av möjligheterna att sätta systemet i drift. Detta krav uppställs redan i gällande bestämmelser och hade inte behövt tas in i beslutet. Det utgör inte heller någon garanti för att centrala säkerhetsbrister skall åtgärdas innan systemet tas i bruk. Som tidigare sagts kan själva systemuppbyggnaden m.m. inte prövas från säkerhetssynpunkt av de lokala cheferna vid deras ackreditering.
Vidare kan det noteras att medgivandet att systemet skulle få användas omedelbart för behandling av hemlig och kvalificerat hemlig information lämnas utan någon reservation. Det ställs sålunda inte upp som ett villkor för användningen att de kompletterande åtgärderna hade vidtagits. I den mån detta var avsikten kan det inte anses framgå av att kravet på att åtgärderna skulle vidtas var intaget under rubriken "Förutsättningar för godkännandet". Bland dessa förutsättningar angavs också som redan nämnts att systemet fick användas omedelbart, något som synes direkt tala mot att driftssättningen villkorats.
I beslutet finns inte heller någon antydan om att frågan om centralt godkännande skulle tas upp på nytt sedan de kompletterande åtgärderna eller eventuella andra åtgärder vidtagits beträffande systemet. Visserligen anges att säkerhetsgodkännandet skall förnyas årligen men det kravet har ingen direkt bäring på de som "förutsättningar" angivna åtgärderna.
Sammanfattningsvis kan jag alltså inte finna annat än att säkerhetsgodkännandet medgav att systemet fick tas i bruk utan andra begränsningar än de som ligger i kravet på lokal ackreditering. Det har emellertid framkommit vid de förhör som hållits i ärendet att innebörden av beslutet skulle vara en annan. Det skulle endast röra sig om ett fortsatt utvecklingsarbete, varvid de kvarstående bristerna skulle åtgärdas.
Erik R, som var chef för den militära underrättelse- och säkerhetstjänsten och som kontrasignerade beslutet, har uppgett bl.a. följande. Den provdrift som godkännandet gällde för syftade till att testa systemet både funktionellt och säkerhetsmässigt. Det skulle ske i avgränsad miljö för att minimera riskerna men med användande av relevant information. Säkerhetsgodkännandet var nödvändigt för att nästa steg mot driftssättning skulle kunna tas. Det var också att märka att systemet vid den aktuella tidpunkten inte var färdigbyggt såvitt avsåg hårdvaror, kabeldragning etc.
I frågan om systemet genast skulle laddas med hemliga uppgifter har bl.a. Håkan B uppgett att systemet skulle köras i gång med öppna uppgifter och först efter lokal ackreditering inom Högkvarteret få laddas med hemlig information. Johan K som fattade beslutet om säkerhetsgodkännande har uppgett att han eller eventuellt chefen för den militära säkerhets- och underrättelsetjänsten i samband med denna lokala ackreditering skulle ha tillfälle att bedöma om säkerhetsbristerna var avhjälpta. I praktiken har enligt vad som vidare uppgetts inte heller några hemliga uppgifter kommit att införas i systemet men det har bl.a. av Erik R påpekats att strukturen av ORION-systemet skulle kunna röjas, även om systemet endast innehöll öppna uppgifter. Strukturen med däri ingående programvaror m.m. var i sig själv sekretessbelagd.
Vad sålunda uppgetts går alltså ut på att det centrala godkännandet av själva systemet skulle åtföljas av en "lokal" ackreditering i Högkvarteret i samband varmed kvarstående säkerhetsbrister skulle kunna avhjälpas; innan denna ackreditering kommit till stånd skulle inga andra lokala ackrediteringar aktualiseras och systemet inte tas i drift ute på staber och förband.
När det gäller påståendet att ett nytt godkännande krävdes för att systemet skulle få laddas med hemliga uppgifter noterar jag att detta inte stämmer med formuleringen i godkännandet den 27 oktober 1998, nämligen att systemet får användas omedelbart för hemlig och kvalificerat hemlig information. Om innebörden av beslutet endast hade varit att medge ett fortsatt utvecklingsarbete i en sluten miljö framstår det som i hög grad anmärkningsvärt att beslutet gavs den generella utformning som ovan angetts och inte på något sätt återspeglade ett sådant begränsat syfte. Att det var fråga om ett fortsatt utvecklingsarbete även efter det godkännandet lämnats bestyrks i och för sig av t.ex. den orientering om övningsdrift som Håkan B lämnade i en promemoria den 8 december 1998. Det är en sak att det hade varit möjligt att återkalla beslutet om säkerhetsgodkännande, om det vid detta utvecklingsarbete visade sig att systemet var behäftat med allvarliga säkerhetsbrister. Som senare kommer att beröras har emellertid Johan K och de övriga som åhörde föredragningen inför säkerhetsgodkännandet, enligt vad de uppgivit, inte räknat med att andra brister förelåg än sådana som skulle kunna tas om hand med de förbehåll som angetts i beslutet. Jag kan inte dra någon annan slutsats än att beslutet den 27 oktober 1998 innebar att själva systemet godkändes från säkerhetssynpunkt utan några andra reservationer än dem som förbehållen utgjorde.
Jag övergår nu till den beredningsprocess som ledde fram till säkerhetsgodkännandet den 27 oktober 1998. Som redovisats i avsnitt 4 hade den särskilda granskningsgrupp som tillsatts på hösten 1997 i sin slutrapport den 1 september 1998 pekat på ett stort antal brister i säkerheten. Granskningsgruppens sammanfattande bedömning var att systemet innehöll ett stort antal brister och att ett beslut om driftsättning inte kunde ske utan uppenbar risk för brott mot gällande författningar. Enligt granskningsgruppen innebar de åtgärdsprogram som krävdes för att komma till rätta med bristerna väsentliga förändringar i det tekniska konceptet och i systemlösningen, något som i sin tur förutsatte ett omfattande analys-, planerings- och förberedelsearbete. Granskningsgruppen ansåg att den efter genomförda åtgärder behövde göra en ny granskning före beslut om godkännande.
Vid den förnyade granskning som kom till stånd år 1999 på regeringens initiativ visade det sig att de brister som granskningsgruppen hade pekat på till största delen fanns kvar. I sin rapport den 3 mars 1999 fann sålunda den nya granskningsgruppen att flertalet påpekade brister i säkerheten kvarstod och att ett sådant omfattande åtgärdsprogram som krävdes enligt den tidigare granskningsrapporten inte hade genomförts. Enligt den nya granskningsgruppens överslagsberäkning hade projektet vid tiden för säkerhetsgodkännandet bedömt 11 stycken av de 65 påpekade bristerna såsom icke varande brister samt angett 44 som åtgärdade och 10 som ej åtgärdade. Den nya granskningsgruppen fann att av de 44 brister som angetts som åtgärdade endast 9 stycken var till fullo åtgärdade. Gruppens bedömning var att de förändringar i IS ORION som skett inte hade haft sådan betydelse för säkerheten att det fanns anledning att omvärdera slutsatsen som den tidigare säkerhetsgranskningen resulterat i. Dessutom påpekade granskningsgruppen att den tidigare granskningen till stor del hade bestått av stickprov och att man vid ny stickprovsmässig granskning upptäckt nya brister i säkerheten.
Det finns enligt min mening inte anledning att ifrågasätta granskningsgruppernas bedömningar. I efterhand har ju Försvarsmakten själv bekräftat att resultatet av den förnyade granskningen i allt väsentligt var korrekt. Under de förhör som hållits har emellertid invänts att granskningsgrupperna ställt för höga säkerhetskrav. Jag återkommer till den frågan senare men jag vill redan nu förutskicka att jag inte anser att den invändningen är hållbar.
Orsakerna till att beslutet om säkerhetsgodkännande fattades trots att allvarliga brister kvarstod är enligt min mening flera. En väsentlig faktor är att en sådan fortsatt granskning som förordats i granskningsrapporten den 1 september 1998 inte kom till stånd innan beslutet fattades. I stället utförde projektet självt med biträde av Håkan A en granskning. Håkan A tillhörde egentligen den militära underrättelse- och säkerhetstjänsten men var utlånad därifrån för arbetet i den särskilda samordningsgrupp som funnits för kontakterna mellan projektet och granskningsgruppen och såvitt framkommit också för hans fortsatta arbete med projektet. IS ORION lydde under Håkan B:s avdelning inom krigsförbandsledningen. Håkan A måste därför under den aktuella tiden anses ha stått under Håkan B:s befäl. Håkan A har uppgett att han på särskilt uppdrag utfört ett slags övergripande säkerhetsgranskning. Uppdraget säger han sig ha mottagit från Håkan B och Håkan A utgick ifrån att denne först hade talat med Johan K om saken. Håkan A har dock uppgett att han också haft kontakt med Erik R, dåvarande chefen för underrättelse- och säkerhetstjänsten, som sagt att det inte var lämpligt att tillsätta nya säkerhetsgranskare och bett honom undersöka om säkerhetsbestämmelsernas krav var uppfyllda. Johan K, Håkan B och Erik R har däremot förnekat all kännedom om ett sådant uppdrag.
Rent faktiskt synes Håkan A ha utfört viss säkerhetsgranskning av systemet. Vid ett möte på försvarsdepartementet den 2 november 1998 angående IS ORION var det främst han som besvarade frågor beträffande säkerheten i systemet. Detta kan i och för sig förklaras av att det i hans ursprungliga uppdrag att bidra till samordningen mellan projektet och granskningsgruppen hade ingått att beakta säkerhetsfrågorna eftersom militära underrättelse- och säkerhetsfrågor tillhörde hans ordinarie område.
Jag lämnar frågan om Håkan A lämnats något särskilt uppdrag att utföra säkerhetsgranskning eller icke därhän. Som framgått fick i varje fall inte granskningsgruppen göra en ny sådan granskning innan säkerhetsgodkännandet gavs. Ansvaret för att så inte skedde måste anses vila på Johan K, som beslutade om säkerhetsgodkännandet. Johan K hade tagit del av slutrapporten och granskningsgruppens uttalande att en ny granskning från dess sida behövde göras före ett säkerhetsgodkännande. Han säger sig ha samrått med Erik R, som sade att det inte fanns några bestämmelser som hindrade att granskningen sköttes internt och att det var svårt att få tag i lämpliga personer som kunde ingå i en ny granskningsgrupp. Johan K har tillagt att de som var ansvariga för projektet kände sig pressade att komma till ett resultat. Håkan B har uppgett att granskningsgruppen föreslagit så omfattande nya konstruktioner av systemet att det inte var aktuellt att anlita den för en förnyad granskning. Håkan A har antagit att skälet till att granskningsgruppen inte anlitades på nytt var att det fanns en stark önskan att godkänna systemet, medan Carl E har sagt sig tro att skälet var att det skulle ta för lång tid att låta granskningsgruppen återkomma.
Jag kan inte tolka de lämnade uppgifterna på annat sätt än att man från ansvarigt håll åtminstone stillatigande accepterat att projektet med biträde av Håkan A skulle ombesörja att de av granskningsgruppen påpekade bristerna åtgärdades på ett från säkerhetssynpunkt tillfredsställande sätt. Enligt min mening har det inte kunnat åberopas några goda skäl för att inte låta granskningsgruppen göra en ny granskning före säkerhetsgodkännandet. I varje fall måste det anses olämpligt att som nu skedde projektet helt eller väsentligen på egen hand gjorde granskningen. Att förfarandet inte stred mot en direkt föreskrift i ämnet kan inte påverka denna bedömning. Det har legat alltför nära till hands att projektet inte tillräckligt kritiskt prövade om systemet uppfyllde säkerhetskraven. Man kan vidare ställa sig frågan om en övergripande säkerhetsgranskning av det slag som Håkan A utfört kunde innebära en tillförlitlig kontroll av att bristerna var botade. Utredningen ger också vid handen att granskningen blev otillfredsställande. Enligt min mening framstår förfarandet som ett risktagande som inte kan anses acceptabelt när det gällde ett så kostsamt och för landets säkerhet viktigt projekt som IS ORION. Jag finner det också i högsta grad anmärkningsvärt att det inte gått att klarlägga huruvida det fattats några beslut om att granskningen skulle utföras på det sätt som skedde. Inte minst mot bakgrund av vad som anförts i Försvarsmaktens beslut den 10 oktober 1997 om granskning och ackreditering av IS ORION hade det varit naturligt att man uttryckligen tog ställning till frågan.
Som jag ser saken har det sätt på vilket granskningen utförts också betydelse för det fortsatta händelseförloppet. Granskningsgruppens slutrapport av den 1 september 1998 behandlades vid möten den 10 september och den 2 oktober 1998 i referensgruppen där Johan K var ordförande. Johan K meddelade vid det förstnämnda mötet att brister av allvarlig art redovisats i rapporten men att denna avsåg läget per den 28 maj 1998 och att säkerhetshöjande åtgärder därefter vidtagits. Uppgiften om att åtgärder vidtagits har Johan K sagt sig ha fått från Carl E och Håkan A. Den sistnämnde ingick som tidigare nämnts i en mindre grupp som skulle bidra till samordningen mellan projektet och granskningsgruppen. Vid mötet den 10 september redovisade Carl E läget i IS ORION och vid det senare mötet uppgav han att läget beträffande de punkter granskningsgruppen tagit upp var "klart" eller "åtgärdat" eller skulle vara det senast den 15 oktober 1998. Håkan A lämnade den 10 september de uppgifter som nämnts i avsnitt 4. Vid det senare mötet uppgav han att allt konstruktionsarbete var genomfört men att granskningsarbetet skulle fortsätta under oktober månad och även efter det säkerhetsgodkännande meddelats.
Efter föredragning den 27 oktober 1998 fattade Johan K beslutet om säkerhetsgodkännande. Han är i detta antecknad som beslutande chef. Närvarande vid föredragningen var Erik R, Håkan B, Håkan A och Carl E. I beslutet antecknades Håkan B som föredragande. Mötet pågick enligt uppgift cirka en timme och själva föredragningen avbröts då och då av diskussion.
Av utredningen framgår att föredragningen inte gjordes av Håkan B utan av Håkan A och Carl E. Liksom vid referensgruppsmötena redogjorde Håkan A och Carl E för läget och projektets arbete för att åtgärda bristerna. De föreslog med instämmande av Håkan B att säkerhetsgodkännande skulle lämnas med förut nämnda förbehåll. Såväl Johan K som Erik R och Håkan B har uppgett att bristerna enligt Håkan A och Carl E var åtgärdade med endast de undantag som avsågs med förbehållen. De förstnämnda har också uppgett att det ställdes kontrollfrågor på den punkten. Som förklaring till hur det var möjligt att så många av de brister granskningsgruppen pekat på hunnit avhjälpas sades det att gruppen i sin rapport utgått från läget sådant det var i slutet av maj 1998 och att projektet känt till bristerna sedan våren 1998 och därför hade kunnat åtgärda en stor del av dem kontinuerligt under tiden fram till dess slutrapporten lämnades. Håkan A och Carl E har å sin sida förnekat att de uppgett att inga andra brister fanns än de som förbehållen i beslutet avsåg. Carl E har uppgett att han däremot förklarade att man i projektet hade nått den nivå på säkerheten som man ansåg tillräcklig med hänsyn till krav i lagar och förordningar samt att han kan ha tillagt att kvarstående problem var under kontroll. Projektet utgick då enligt honom från den nivå som författningskraven innebar, men granskningsgruppen hade satt säkerhetsmålet högre. Carl E har inte kunnat dra sig till minnes att frågan om de olika nivåerna på säkerhetskraven diskuterades den 27 oktober 1998 men frågan hade i varje fall diskuterats tidigare. Johan K, Erik R och Håkan B har uppgett att en diskussion om säkerhetsnivåerna kom upp först senare och att någon sådan diskussion alltså inte förekom före eller vid mötet den 27 oktober.
Beträffande vad som förekom vid föredragningen kan också nämnas att föredragandena hänvisade, förutom till granskningsgruppens slutrapport, till ett av projektet upprättat dokument Analys och åtgärder med anledning av IS ORION slutrapport. Vissa huvudsakliga punkter i dokumentet gicks igenom vid föredragningen. Av dokumentet framgår att en del brister utöver dem som förbehållen avsåg inte vid den tidpunkten var åtgärdade och att vissa genomförda åtgärder inte var granskade.
Ord står alltså mot ord i fråga om vad som sades vid föredragningen. Man kan dock, i ljuset av alla de säkerhetsbrister som den nya granskningsgruppen i efterhand fann kvarstå, dra den slutsatsen att föredragandena gav en alltför optimistisk bild av läget. Enligt vad Carl E uppgett har han gett intryck av att problemen åtminstone var under kontroll. Både han och Håkan A har - om de nu inte skulle ha direkt påstått att samtliga brister (bortsett från dem förbehållen avsåg) var åtgärdade - uppenbarligen låtit förstå att bristerna inom kort skulle vara avhjälpta. Jag anser mig inte ha fog för att misstänka att Håkan A och Carl E medvetet har lämnat några oriktiga uppgifter utan utgår från att deras redovisning grundades på att de gjorde en annan bedömning av säkerhetsfrågorna än granskningsgrupperna. Det är dock oklart huruvida någon av dem vid föredragningen eller dessförinnan hade tagit upp frågan om huruvida granskningsgruppen hade satt upp ett alltför högt mål för säkerheten.
Som framgår av det sagda har tydligen frågan om säkerhetsnivån inte saknat betydelse för Carl E:s och Håkan A:s agerande även om de inte direkt tagit upp frågan i samband med säkerhetsgodkännandet. Vid den interna utredning som Försvarsmakten lät göra (avsnitt 5) och vid förhören hos Justitiekanslern har flera av dem som deltog då beslutet fattades framhållit att granskningsgrupperna hade uppställt ett överdrivet högt mål för säkerheten - den säkerhetsmålsättning som har beskrivits i ett inom Försvarsmakten upprättat dokument Mål för säkerheten i IS ORION - och att en del av bristerna därför inte var sådana som stred mot gällande författningskrav. De som yttrat sig i frågan har emellertid inte närmare kunnat precisera vilka punkter i granskningsrapporterna detta berör. Enligt granskningsgruppernas uppfattning förelåg det dock inga väsentliga skillnader mellan skyddskraven i författningar och säkerhetsmålsättningen. Staffan J, som ledde arbetet i båda grupperna, har uppgett att det i fråga om enskilda punkter kan diskuteras huruvida en brist i säkerheten var författningsstridig eller icke men att det -enligt den sammanfattande bedömning som säkerhetsgranskningen har utmynnat i och som alltså gjorts mot bakgrund av samtliga säkerhetsbrister - var uppenbart att de krav som gällande bestämmelser ställer på säkerheten inte alls var uppfyllda. Staffan J har understrukit att författningskraven - med vissa undantag såsom t ex när det gäller loggar, dvs. registrering av händelser i ett informationssystem - inte är så specifika. Vad som i princip krävs är en sådan säkerhetsnivå att obehöriga inte kan få del av hemliga uppgifter eller förhållanden. Bestämmandet av den nivån är ytterst en bedömningsfråga men det är alltså enligt Staffan J:s mening uppenbart att denna nivå inte uppnåtts i fråga om IS ORION. Jag ansluter mig till vad Staffan J har anfört. Det är tydligt att enskilda säkerhetsbrister i och för sig kan kompenseras och också i viss utsträckning har kompenserats genom särskilda åtgärder av projektet. När det fanns ett så stort antal allvarliga brister som i det aktuella fallet fick dock dessa, som granskningsgrupperna påvisat, en förstärkt effekt och gjorde säkerheten i systemet oacceptabelt låg. I sammanhanget noterar jag också att Försvarsmakten senare meddelade Försvarsdepartementet att den nya granskningsgruppens rapport enligt Försvarsmaktens uppfattning i allt väsentligt var korrekt.
Som en sammanfattning av vad som redovisats ovan vill jag hävda att det underlag som fanns för ett ställningstagande till frågan huruvida säkerhetskraven var uppfyllda var både bristfälligt och missvisande. Det innebar bl.a. att åtskilliga viktiga frågeställningar inte blev tillräckligt belysta och medförde att beslutet fattades på ett otillräckligt underlag. Formellt sett bär Johan K ansvaret härför men jag har inte stöd för att rikta någon kritik mot honom eller någon av de tjänstemän som deltog i beredningsprocessen.
Jag har övervägt om rollfördelningen mellan krigsförbandsledningen som produktägare och den miltära underrättelse- och säkerhetstjänsten har varit oklar och om detta kan ha bidragit till säkerhetsfrågan inte blev tillräckligt belyst. Den omständigheten att Erik R deltog vid mötet när beslutet om säkerhetsgodkännande fattades och även kontrasignerade beslutet samt att Håkan A egentligen tillhörde dennes avdelning skulle möjligen ha kunnat uppfattas som att underrättelse- och säkerhetstjänsten stod som garant för att säkerhetsaspekterna var beaktade. Jag har emellertid inte funnit belägg för att så varit fallet. Erik R:s närvaro synes ha sin förklaring i att det bedömts vara lämpligt att den ansvarige chefen vid krigsförbandsledningen såsom produktägare samrådde med honom i hans egenskap av ansvarig för säkerhetsfrågor inom Försvarsmakten. Numera föreskrivs det särskilt i Försvarsmaktens interna bestämmelser (6 kap 2 § FIB) att underrättelse- och säkerhetstjänstens uppfattning i fråga om säkerheten i ett IT-system skall framgå av det lokala ackrediteringsunderlaget. Ensam beslutande var Johan K men Erik R skrev under beslutet som en markering av att samråd hade ägt rum. Häremot synes i och för sig inte vara något att erinra.
Jag har i det föregående pekat på några orsaker till det oriktiga beslutet om säkerhetsgodkännande. Det finns emellertid också andra omständigheter som bör beaktas och som åtminstone bidragit till händelseförloppet. IS ORION är ett mycket stort och komplext informationssystem. Att konstruera systemet har varit en mycket krävande uppgift inte minst med hänsyn till att utvecklingen på IT-området har gått och går så snabbt. När man bestämde sig för att bygga upp detta system borde man enligt vad Staffan J och Fredrik K som också deltagit i granskningsarbetet har uppgett ha anlitat den främsta expertis som stod att få inom dataområdet men så blev inte fallet. Eftersom anskaffandet av ett helt nytt modernt operativsystem var en fråga av utomordentlig vikt för landets försvar och var förenat med mycket stora kostnader - projektet beräknas ha kostat i varje fall över 400 milj. kr. - borde, kan det vidare hävdas, den direkta ledningen av projektet ha anförtrotts åt en hög officer, detta för att om möjligt säkerställa att projektledaren hade den förmåga och det inflytande som krävdes för att med framgång driva och genomföra projektet. Under det skede av projektarbetet som jag närmast har haft att granska har emellertid projektledarna - en major och före honom en överstelöjtnant - inte haft den militära rang som krävts för det maktpåliggande uppdraget att i samarbete med ett stort antal utomstående konsulter ta fram detta omfattande och komplicerade informationssystem.
Också säkerhetsgranskningen kunde ha organiserats på ett annat sätt. Praktiskt taget samtliga som hörts i ärendet har förklarat att man från början borde ha tillsatt en oberoende granskningsgrupp som då skulle ha fått arbeta fortlöpande med säkerhetsfrågorna, samtidigt som de som sysslade med själva projektet byggde upp systemet. Innan den av Staffan J ledda granskningsgruppen började sitt arbete år 1997 har det visserligen efterhand tillsatts flera granskningsgrupper men de har inte kunnat lösa sin uppgift utan har fått entledigas. Detta torde främst ha berott på att dokumentationen av systemet varit otillfredsställande, särskilt vad beträffar en säkerhetsdesign. Bristerna i fråga om dokumentationen hade möjligen kunnat motverkas, om man fortlöpande hade bedrivit granskning av säkerheten i systemet.
Av de handlingar jag tagit del framgår att det under den tid projektet bedrivits förekommit täta byten av projektledare och av dem som haft ett överordnat ansvar för projektets genomförande. Detta har i sig försvårat arbetet med projektet och medfört att befattningshavarna inte getts tid att tillräckligt väl sätta sig in i projektarbetet. Inte minst synes den omorganisation inom Försvarsmakten som gjordes den 1 juli 1998 ha skett vid en olycklig tidpunkt för projektets vidkommande. Detta befann sig i ett känsligt läge; strax innan hade granskningsgruppen lagt fram en delrapport vari det redovisades mycket allvarliga brister i systemets säkerhet. Tidpunkten för systemets driftssättning hade då också skjutits upp flera gånger. Vid mitten av år 1998 bedömde man att projektet kunde komma i tidsnöd, eftersom det vid denna tid ansågs uteslutet att Försvarsmaktens äldre ledningssystem LEO kunde användas efter millennieskiftet och man därför utgick från att det måste ersättas. Omorganisationen innebar att krigsförbandsledningen övertog ansvaret för IS ORION från operationsavdelningen. Inom krigsförbandsledningen fördes projektet till ledningssystemavdelningen. Nya ansvariga chefer blev då Johan K och Håkan B vilka inte tidigare hade sysslat med IS ORION. Till projektledare utsågs Carl E, som dock sedan tidigare var ställföreträdande projektledare.
Enligt min mening ligger det i öppen dag att dessa olika byten på de poster som ansvarat för projektet har försvårat dettas genomförande. Vad beträffar den allmänna omorganisation som skedde per den 1 juli 1998 och som får antas ha varit nödvändig att genomföra då, skulle det ha varit betydligt bättre för ORION-projektet om åtminstone någon form av övergångslösning och därmed viss kontinuitet hade kunnat åstadkommas.
Sammanfattningsvis finner jag att allvarlig kritik kan riktas mot det sätt på vilket berednings- och beslutsprocessen i samband med säkerhetsgodkännandet har hanterats inom Försvarsmakten. Från Försvarsmaktens sida har uppgetts att det dock inte uppstått några sekretessförluster på grund av det inträffade. Jag har ingen anledning att betvivla den uppgiften. Det måste dock anses ha förelegat en påtaglig risk för att den slutliga säkerhetsgranskningen inte heller hade hållit måttet och att ett system med alltför stora säkerhetsbrister satts i drift, såvida inte regeringen hade tagit initiativ till en ny säkerhetsgranskning, nämligen den som utmynnade i rapporten den 3 mars 1999. Jag finner emellertid - bl.a. med hänsyn till att ord står mot ord om vad som förevarit - inte skäl att ta upp frågan om att ställa någon enskild befattningshavare till svars för det inträffade.
Avslutningsvis vill jag ta upp en mera formell fråga rörande föredragningen vid beslutet om säkerhetsgodkännande. Som redovisats ovan antecknades i beslutet att Håkan B var föredragande fastän föredragningen gjordes av Håkan A och Carl E. Det har sagts vara i överensstämmelse med fast praxis inom Försvarsmakten att den för sakområdet ansvarige chefen anges som föredragande. Inom statsförvaltningen i övrigt torde den eller de som redogör för ett ärende och föreslår hur det skall avgöras anges som föredragande. Detta är av betydelse med hänsyn till det ansvar för att lämnade uppgifter är korrekta som åvilar föredraganden. Jag kan inte se någon anledning till att Försvarsmakten skulle behöva avvika från vad som är praxis i andra myndigheter. Även inom Försvarsmakten bör det alltså framgå av protokoll eller beslut vem eller vilka som i realiteten har föredragit ärendet och detta oavsett om ansvarig chef av formella skäl också skall stå som föredragande.
Med den redovisning som jag lämnat ovan anser jag mig ha fullgjort mitt uppdrag.