Regeringen lade i februari fram ett förslag om att MSB ska upprätta ett så kallat sensorsystem för att upptäcka IT-incidenter. Tanken är att både offentliga och enskilda organisationer som arbetar med samhällsviktig verksamhet ska kunna ansluta sig till systemet.
Sensorsystemet ska gå igenom den anslutna verksamhetens in- och utgående datatrafik och larma vid upptäckt av skadlig kod.
Ska samla datatrafik
MSB kommer enligt förslaget att samla in och bevara datatrafik i egna databaser för att kunna analysera trafiken. De uppgifter som MSB samlar in består huvudsakligen av trafikdata – alltså till exempel IP-adresser och tidsangivelser – men vid larm kan även innehållet i till exempel själva e-postkommunikationen komma att lagras.
Regeringen skriver i sitt förslag:
”En bestämmelse som ger mandat för MSB att tillhandahålla sensorsystem bör införas i förordningen med instruktion för MSB. I övrigt saknas behov av författningsändringar för den personuppgiftsbehandling som systemet föranleder.”
Enligt regeringen handlar det om att ”stödja vissa offentliga och enskilda verksamhetsutövare inom samhällsviktig verksamhet med informationssäkerhet” i samverkan med Säkerhetspolisen.
”Övervakning i likhet med FRA”
Organisationerna dataskydd.net och DFRI konstaterar i sitt remissvar till regeringen att ”tillhandahållandet innebär att MSB installerar och underhåller utrustningen som behövs, samt bedriver övervakning av ingående och utgående internettrafik hos organisationen ifråga” och att det inte finns några begränsningar för övervakningen.
Tom Andersson, före detta analytiker på MSB är numera aktiv vidi dataskydd.net och DFRI, skriver på sin hemsida:
”Promemorian Tekniska sensorsystem är ett förslag till regeringen att ge Myndigheten för samhällsskydd och beredskap (MSB) mandat att bedriva internetövervakning i likhet med FRA”.
Datainspektion mycket kritisk
Även Datainspektionen riktar allvarlig kritik mot förslaget och anser att sensorsystemet och MSB:s mandat måste regleras i lag.
– Det föreslagna sensorsystemet lämnar utrymme för en omfattande insamling och bearbetning av personuppgifter, som även kan komma att omfatta känsliga personuppgifter. Vi anser därför att systemet ska regleras i lag, säger Mattias Sandström, jurist på Datainspektionen.
Datainspektionen skriver dessutom:
”De uppgifter som MSB samlar in består huvudsakligen av trafikdata såsom ip-adresser och tidsangivelser, men vid larm kan även innehållet i e-postkommunikationen komma att spelas in. Det innebär att MSB kan komma att behandla alla typer av uppgifter som lämnas till eller från de aktuella verksamheterna.”
”Misstag, missbruk och dataintrång”
Man vänder sig bland annat mot att hanteringen motiveras med att sensorssystem handlar om samhällets säkerhet trots att säkerhetsvärdet är oklart samtidigt som ”säkerhets- och integritetsrisker med lagring av person- organisations- och kommunikationsuppgifter ignoreras, trots att sensorsystem medför risk för misstag, missbruk och dataintrång”.
