Bildet er et illustrasjonsfoto.
Bildet er et illustrasjonsfoto.

NAVNELISTESAKEN

Kampen om politinavnene

Med offentlighetsloven i hånd har Justis- og beredskapsdepartementet utlevert en liste med navnene på 3000 politiansatte. Kritikere stiller nå spørsmål ved vurderingene som ble gjort, og peker på konsekvensene dette kan få for personene på lista.

Publisert Sist oppdatert

En gang i februar, et sted i Norge, tikker det inn en tekstmelding på mobiltelefonen til en polititjenestemann. Avsenderen er en annen person, kjent fra det kriminelle miljøet i politidistriktet. Innholdet i meldingen bekrefter det mange har fryktet:

En liste med navnene på 3000 politiansatte sirkulerer nå i kriminelle miljøer.

Navnelista, som identifiserer alle ansatte i politiet med lønnstrekk til Norsk Narkotikapolitiforening (NNPF), ble utlevert av Justis- og beredskapsdepartementet før jul i fjor. Fire personer, hvorav minst én opererte under pseudonym, fikk lista utlevert etter at departementet overprøvde Politidirektoratets (POD) avslag på et innsynskrav.

Etter det Politiforum erfarer, ble ikke POD varslet om utleveringen. Dermed ble heller ingen av de 3000 personene eller deres lokale arbeidsgivere varslet om at de nå var identifisert som politiansatte i all offentlighet.

Utleveringen skapte ramaskrik i politiet. Nå stiller også flere eksperter spørsmål ved om Justis- og beredskapsdepartementets saksbehandling da de utleverte lista, hvilket lovverk de la til grunn for utleveringen - og hvilket lovverk de ikke vurderte.

– Kan havne i feil hender

Da POD først avslo kravet om innsyn i hvilke politiansatte som hadde lønnstrekk til NNPF, argumenterte direktoratet kun med offentlighetsloven og hensynet til taushetsplikten.

– Sikkerhetsloven ble ikke omtalt i vår vurdering av innsynskravet i vår oversendelse til Justis- og beredskapsdepartementet, bekrefter PODs beredskapsdirektør Tone Vangen i en e-post til Politiforum.

Hun peker på at POD vurderte at et avslag begrunnet i offentlighetsloven og taushetsplikten etter politiregisterloven § 23, var tilstrekkelig. Der heter det:

«Taushetsplikten gjelder også for opplysninger som det ut fra hensynet til etterforskningen i den enkelte sak, hensynet til spanings- og etterretningsvirksomheten eller hensynet til politiets operative virksomhet og organiseringen av denne er nødvendig å holde hemmelig.»

– Det har til nå ikke vært nødvendig å foreta en gradering etter sikkerhetsloven, skriver Vangen videre.

Hun sier POD nå har igangsatt en risikovurdering av departementets utlevering.

– POD vil følge opp resultatet fra risikovurderingen med Justis- og beredskapsdepartementet, og opprette dialog om regelverket. Vi vil alltid være bekymret for at slik informasjon kan havne i hendende på feil mottaker. Det vil være tilfellet også her, skriver Vangen.

Beredskapsdirektør Tone Vangen i Politidirektoratet.
Beredskapsdirektør Tone Vangen i Politidirektoratet.

Nasjonal Sikkerhetsmyndighet (NSM) er et direktorat som er administrativt underlagt Justis- og beredskapsdepartementet, og har det sektorovergripende ansvaret for at forebyggende sikkerhet blir utført i samsvar med sikkerhetsloven.

På spørsmål fra Politiforum om NSM vurderer at sikkerhetsloven er ivaretatt i denne saken, svarer informasjonssjef Trond Øvstedal dette i en e-post:

– Opplysninger om ansettelsesforhold kan være informasjon som er gradert etter sikkerhetsloven. En gradering vil være basert på at informasjonseier gjør en konkret vurdering av om nasjonale sikkerhetsinteresser kan bli skadelidende hvis informasjonen blir kjent for uvedkommende. Informasjonen kan også ha beskyttelsesbehov utenfor sikkerhetsloven. Da vil informasjonseiers risikovurdering etter annet lovverk være grunnlag for hvilke tiltak som skal iverksettes. Ut over dette har vi ingen kommentarer.

Politiets Sikkerhetstjeneste (PST) har ikke besvart Politiforums spørsmål til denne saken.

Datatilsynet vil ikke kommentere navnelistesaken konkret, men på generelt grunnlag sier juridisk rådgiver Kristin Karlsen Lindberg følgende:

– På generell basis kan jeg si at Datatilsynet er opptatt av at utlevering av personopplysninger skal ha et rettslig grunnlag, og ett slikt rettslig grunnlag kan være reglene om innsynsrett i offentlighetsloven. Vi forutsetter at alle forvaltningsorgan vurderer alle relevante unntaksbestemmelser før de gir innsyn. Om det er gjort, kan vi ikke gå inn på. Men vi ser på generelt grunnlag at det kan være grunn til å stille spørsmål ved om personvernhensyn og personvern som rettighet er tilstrekkelig ivaretatt i dagens regler om allmennoffentlighet.

Har voldskapasitet

Ute i politiet ble utleveringen av navnelista møtt med kraftige reaksjoner. En av de som reagerer er politioverbetjent Kai Arild Holm ved etterforskningsavdelingen på Kripos. Hans navn var ett av de nesten 3000 navnene på lista.

– Med noen tastetrykk har Justis- og beredskapsdepartementet utlevert navnet på 3000 politiansatte. Uten at det er foretatt noen som helst risikovurdering og sårbarhetsanalyse slik sikkerhetsloven pålegger eier av opplysningene. Det er helt utrolig. Vi vet ingenting om hvordan disse opplysningene vil bli brukt, sier Holm.

Han sier det virker som Justis- og beredskapsdepartementet ikke kan ha sett på hva slags klientell politiet jobber mot.

Kai-Arild Holm i Kripos.
Kai-Arild Holm i Kripos.

– Hadde de forstått at du burde tatt en risikovurdering og sårbarhetsanalyse, hadde det kanskje stilt seg annerledes. Den eksponeringen arbeidsgiver nå har utsatt oss for, er så urimelig at det blir vanskelig å forstå, sier Holm.

Han reagerer kraftig på at han ikke er blitt varslet om frigivelsen av navnet hans, og slik har kunnet tatt forhåndsregler.

– Ingen har fått anledning til å gi oppmerksomhet om hvilken skade dette gjør, enten det er for pågående operasjoner, eller trusselbildet mot den enkelte, sier Holm.

Politioverbetjenten har lang erfaring fra narkotikaseksjonen ved Oslo politidistrikt, og har pågrepet og avhørt noen av hovedstadens råeste og mest kyniske narkotikakriminelle - personer som har kapasitet og vilje til å faktisk gjennomføre innholdet i truslene de framsetter.

– Den viktigste egenskapen til en som vil slå seg opp i narkotikaverdenen, er viljen og evnen til å utøve vold. Få gidder å betale narkotikagjelden til en som ikke evner å gjennomføre inndrivelse av gjelden med vold. Vi vet disse har kapasitet til å gjennomføre anslag med vold mot oss politifolk, og våre familier, sier Holm.

Det er årsaken til at politiansatte som jobber med de virkelig farlige kriminelle, bruker enormt store ressurser for å forsøke å skjerme sin identitet og ha så lav digital profil som mulig.

– Alt for å unngå at de kriminelle setter dem ut ved trusler eller anslag. Men på et blunk opplever vi at vår arbeidsgiver i øverste instans overleverer på sølvfat noe som de kriminelle kan bruke mot oss ansatte og politiet som organisasjon. Det er helt utrolig og svært uheldig. Vi må kunne stole på at vår arbeidsgiver håndterer dette seriøst, og hatt rutiner for hva som vil skje hvis det kommer en innsynsbegjæring, sier Holm.

Politioverbetjenten sier han ville funnet en annen måte å betale for medlemskapet i NNPF på dersom han visste at dette kunne skje.

– Det er arbeidsgiver som eier databasen med våre navn, og som skal kunne lovverket og gi råd til oss ansatte. Hvis det er slik at lovverket virkelig åpner for dette, burde arbeidsgiver ha advart oss om hva som ville skje hvis det kom en innsynsbegjæring, sier Holm, og fortsetter:

− Når vi ser på hvilke krav som stilles til personvernet gjennom GDPR-lovverket, og hvor strengt det er blitt å behandle personsensitive opplysninger, er det overraskende å se hvor lett det er å få ut navnet på politiansatte som er medlem av NNPF.

– Forskjellsbehandler

Kun uker etter at Justis- og beredskapsdepartementet leverte ut lista med navn på 3000 politiansatte, avslo de imidlertid en lignende innsynsforespørsel om navn, stillingstittel og andre opplysninger for alle ansatte i UDI.

Saken ble først omtalt på Rett24.no.

Innsynet ble først avslått av UDI med henvisning til offentlighetsloven § 24, tredje ledd, om unntak for opplysninger som kan lette gjennomføringen av straffbare handlinger.

Justis- og beredskapsdepartementet opprettholdt avslaget, og peker blant annet på at de ansatte i UDI jobber «med saker som har store og alvorlige konsekvenser for enkeltmennesker, som f.eks. tilbakekall av oppholdstillatelse, utvisning, familiegjenforening, tvangsekteskap, arbeidslivskriminalitet, grunnleggende nasjonale interesser (sikkerhetssaker) og saker vedrørende enslige mindreårige».

«Dette gjør at ansatte kan bli utsatt for press, trusler og ulike typer reaksjoner», skriver Justis- og beredskapsdepartementet, og legger senere til:

«Slik departementet vurderer det, er det særlig navnene på de ansatte det er påkrevd å beskytte, mens annen informasjon bør kunne gis ut.»

Departementet peker videre på at de er «kjent med at UDI har erfaring med at ansatte har vært utsatt for press og trusler av ulik art og alvorlighetsgrad, og UDI har anmeldt flere tilfeller med trusler og hendelser mot sine ansatte til politiet».

Som Politiforum skrev i april i 2021, har antallet anmeldelser for vold mot polititjenestemenn blitt nær tredoblet siden 2006.

Hver eneste dag de siste fem årene har det også kommet inn to anmeldelser for trusler mot polititjenestepersoner - dette er de truslene som vurderes som så alvorlige at de bør anmeldes.

I Politidirektoratets HMS-rapport fra 2020 pekes det også på at det årlig registreres cirka 40 anmeldelser om trusler utenfor jobben eller mot de politiansattes familie.

Statsadvokat og NNPF-nestleder Geir Evanger.
Statsadvokat og NNPF-nestleder Geir Evanger.

Justis- og beredskapsdepartementet vurderte imidlertid ikke offentlighetslovens § 24 i sin vurdering av utleveringen av navnene på de 3000 politiansatte. Overfor Rett24.no reagerer statsadvokat og NNPF-nestleder Geir Evanger sterkt på dette.

– Mange i politietaten er vel så utsatte, om ikke mer, som ansatte i UDI. Så spørsmålet om innsyn i sammenstillinger av navn på ansatte i de to etatene skulle vært vurdert på samme måte, sier han til avisen.

I avslaget på innsyn i navn på UDI-ansatte peker også Justis- og beredskapsdepartementet på PSTs Nasjonale Trusselvurdering for 2021, hvor det står:

«Etterretningstjenester vil blant annet forsøke å knytte seg til personer på innsiden av utlendingsforvaltningen, politiet og NAV, for å skaffe seg tilgang til relevante registre og databaser.»

Også i PSTs nasjonale trusselvurdering for 2022, som ble lagt fram 11. februar, slås det fast at flere statlige aktører det neste året vil «kartlegge og overvåke personer bosatt i Norge», med hensikt «å hindre eller slå ned politisk motstand».

At dette kan ramme også politiansatte, ble illustrert i en NRK-sak i februar om en norskiraner som i Danmark er dømt til sju års fengsel for drapsplanlegging. Under etterforskningen kom det fram opplysninger om at mannen i 2015 var i kontakt med PST for å blant annet tilby seg å avdekke iransk spionasje. Få år senere ble mannen avslørt som agent for iransk etterretning.

I NRK-saken kommer det fram at mannen har vært i dialog med etterretningspolitiet i Iran om å skaffe informasjon om jobbsituasjon, seksuell legning og økonomiske problemer for alle norskiranere i blant annet norsk politi.

Har tillit til embedsverket

Politiforum har stilt spørsmål til Justis- og beredskapsdepartementet om hvilke vurderinger som ligger til grunn for de forskjellige, juridiske vurderingene, herunder:

  • Hvordan UDI-ansatte vurderes å være mer utsatt for vold, trusler og fremmede makter enn politiansatte, og således ha større behov for skjerming?
  • Om Justis- og beredskapsdepartementet vurderer at klientellet UDI-behandler er farligere enn klientellet politiet behandler?

Departementet gir følgende svar, formidlet gjennom kommunikasjonsavdelingen:

«Alle innsynskrav må vurderes konkret ut fra faktum og aktuelle unntakshjemler for innsyn. De to sakene gjelder ulike typer sammenstillinger av opplysninger. Saken knyttet til politiet gjaldt spørsmål om oversikt over hvilke politiansatte som har fått trukket kontingent for medlemskap i Norsk narkotikapolitiforening direkte fra lønnen, ikke en oversikt over alle ansatte i politiet.

I klagevurderingen som gjaldt ansatte i UDI, ble det vurdert innsyn i en oversikt med ansattes navn, stillingstittel, avdelingstilhørighet, dato for ansettelse i UDI og dato for ansettelse i nåværende stilling. Det er ikke gitt innsyn i noen slik oversikt når det gjelder politiet.»

På spørsmål om hvem Politiforum skal sitere, svarer kommunikasjonsavdelingen «Justis- og beredskapsdepartementet».

Justis- og beredskapsminister Emilie Enger Mehl (Sp).
Justis- og beredskapsminister Emilie Enger Mehl (Sp).

Justis- og beredskapsminister Emilie Enger Mehl (Sp) har tidligere svart på et skriftlig spørsmål fra justiskomiteens leder Per-Willy Amundsen (Frp) om hvordan statsråden stiller seg til beslutningen om å utlevere navnelista. I sitt svar skriver Mehl blant annet følgende:

«Jeg vil innledningsvis bemerke at en opplysning om at noen er ansatt i politiet, i utgangspunktet ikke taushetsbelagt eller hemmelig på annen måte. […] Jeg har tillit til at embetsverket har behandlet saken grundig og vurdert klagen opp mot gjeldende innsynsregler i offentleglova og relevante regler om taushetsplikt.»

Mehl viser avslutningsvis til regjeringens igangsatte arbeid for å sikre identitetsskjerming

«Spørsmålet om i hvilke tilfeller og på hvilken måte politiansattes identitet skal være skjermet er komplekst, og ulike hensyn må her veies mot hverandre. Stortinget har i vedtak 682 25. februar 2021 anmodet om at regjeringen i forbindelse med forslag til ny straffeprosesslov sikrer full identitetsskjerming for politiansatte. Dette vedtaket vil departementet følge opp på vanlig måte.»

Utilstrekkelig lovverk

Da Politiforum i 2018 skrev om hvordan et politidistrikt utleverte personalmappa til en av sine ansatte, klargjorde rettshjelper og jurist Berit Lund Koksvik behovet for at POD måtte igangsette et større forebyggende arbeid for å skjerme både identitet og sensitive personopplysninger om sine ansatte.

Årsaken var at Koksvik mente lovverket var utilstrekkelig. Dette var funn hun hadde gjort gjennom sin masteroppgave «Anonymitet som forebyggende og beskyttende virkemiddel – når identiteten brukes som våpen».

– For politiansatte med behov for å skjerme identiteten sin, er funnene nedslående: Lovverket er utilstrekkelig, de interne rutinene og erfaringsoverføringen er i beste fall mangelfull, og kunnskapsnivået om når, hvordan og hvorfor behovet oppstår, er lavt. Det sier seg vel nesten selv at enheter med svekket operativ effektivitet på grunn av trusselsituasjoner initiert av kriminelle eller fremmede makter, ikke vil evne å beskytte befolkningen i den grad som forventes av dem fra samfunnets side. I tillegg ser jeg dessverre klare tegn til manglende vilje til å løse problemet når det oppstår, sa Koksvik i 2018.

Juristen tok da til orde for en forebyggende tilnærming til identitetsskjerming som et beskyttende virkemiddel.

Jurist Berit Lund Koksvik.
Jurist Berit Lund Koksvik.

– Det jeg sa i 2018, har dessverre gyldighet også i dag, sier Koksvik i et intervju gjort i forbindelse med navnelistesaken.

– Jobben med å legge grunnlaget for å skjerme enkeltpersonene som jobber i politiet skulle vært gjort før anmodningen om innsyn i navnet til disse politiansatte ble fremsatt. Jeg savner en klargjøring av hva slags personopplysninger som er gjenstand for behandling i de drøftelsene jeg har blitt forelagt Med en slik klargjøring, hadde man bedre sett hvilke regler som kan komme til anvendelse på de ulike typene personopplysninger, fortsetter hun.

Koksvik sier skjerming av identitet er en problemstilling politiet som arbeidsgiver burde være forberedt på, fordi det er informasjonseiers ansvar å gjøre adekvate og relevante risikovurderinger om behandlingen av personopplysninger

Hun spår at det vil komme flere innsynsbegjæringer i tiden som kommer.

– Tilgang til sensitiv informasjon om ansatte i politiet og private forhold vil være interessante opplysninger i både kriminelle- og etterretningsmiljøer. Med tilgang til disse 3000 politinavnene, er det i praksis åpnet for å begjære innsyn i lønnsslipper, personalmapper, jobbsøknader, søknad om bierverv, søknad om permisjoner – ja bare fantasien setter begrensninger. Etaten har heller ikke oversikt over hva slike opplysninger brukes til av miljøer eller private. Videresalg av informasjon er et kjent fenomen, og å motta vederlag for slikt salg av opplysninger kan gå under begrepet «private formål». Hvis politiet ikke er forberedt på dette, er jeg redd personvernet for politiansatte blir ytterligere svekket, sier Koksvik.

– Forplikter til individuell vurdering

Hun anbefaler at politiet kartlegger hvilke personopplysninger som kan frigis i hvert enkelt arbeidsforhold og hva som kan skjermes.

– Dette bør kommuniseres med den enkelte ansatte ved undertegning av arbeidskontrakten og ved intern forflytning. Dette fordi det er så variert hva politiansatte jobber med og så ulikt skjermingsbehov i de ulike jobbene som er i politiet, forklarer hun.

Med hjemmel i personopplysningsloven bør også medlemskap i en fagforening som PF eller en forening som NNPF vurderes skjermet for innsyn, mener Koksvik.

– At man har gitt samtykke til trekk i lønnen for å betale medlemskapet, er neppe i seg selv et samtykke til at det videreformidles. De ansattes personopplysninger kunne vært kodet basert på et rettslig grunnlag som kan begrunne unntak fra innsyn i henhold til offentlighetsloven, sier hun.

I sitt vedtak drøftet Justis- og beredskapsdepartementet politiregisterloven § 23, andre ledd, som omhandler taushetsplikt for opplysninger.

– I forarbeidene til denne bestemmelsen gis det adgang til å beskytte politiets arbeid, og det vises til miljøer eller personer som skal bekjempes. I og med at man ikke visste om det var et miljø eller enkeltperson som ba om innsyn, vet man heller ikke om noe eller noen skal bekjempes. Da åpner det seg en mulighet for at bestemmelsen ikke kommer til anvendelse, sier Koksvik.

Da trenger politiet et annet rettsgrunnlag for å skjerme personopplysningene. I så fall kan personopplysningsloven være en relevant henvisning.

– Når politiet ansetter, kommer arbeidsmiljøloven med visse unntak til anvendelse fordi en arbeidskontrakt er signert eller at et arbeidsforhold opprettes på annet vis. Det å ansette noen er ikke en del av politiets kriminalitetsbekjempelse, og det er heller ikke en naturlig del av politiets forvaltningsoppgaver. Dette er interne administrative oppgaver politiet har som arbeidsgiver, ikke som ledd i utførelse av politimyndighet, forklarer Koksvik.

Når man får underskrevet arbeidskontrakten, skal den ansattes mange ulike personopplysninger registreres i arbeidsgivers systemer.

– Det er en administrativ oppgave som en lokal personalavdeling gjerne har ansvaret for. Dette vil være alt fra åpne til graderte opplysninger. Dersom opplysningene er kodet fra starten av, har man et forebyggende rettslig grunnlag som fanger opp en innsynsbegjæring som kommer inn til POD senere. Et fagforeningsmedlemskap er for eksempel en sensitiv personopplysning. Da må man ta stilling til om denne opplysningen kan frigis eller ikke opp mot den som begjærer i hvert konkrete tilfelle, sier Koksvik.

– Burde kontaktet ansatte

Hun påpeker at Politidirektoratets egen veileder om personvern inneholder en meget skjønnsom anvisning på at den ansatte det gjelder skal kontaktes før personopplysninger frigis.

– I denne saken burde derfor, gitt at arbeidsmiljøloven og personopplysningsloven var hjemmelsgrunnlag for behandling av innsynsbegjæringen, alle de nær 3000 politiansatte som har fått navnet utlevert vært skjønnsomt kontaktet, slik at hver enkelt fikk en reell uttalerett før deres navn ble utlevert, sier Koksvik.

Hun fremhever at hverken POD eller Justisdepartementet selv kan avgjøre hvem av de ansatte som er omfattet av skjermingsverdig informasjon.

– Dermed er de forpliktet til å gjøre en individuell vurdering av hver enkelt ansatt i samråd med både den enkelte ansatte og deres lokale arbeidsgiver. Hadde POD gjort det, hadde de hatt et sterkere grunnlag for sitt opprinnelige avslag om innsyn i disse politinavnene, sier Koksvik, og fortsetter:

– Det er åpenbart at slik kontakt ikke er gjort, noe som ikke er i tråd med personvernlovgivningen og PODs egen veileder på området. Det er grunnmuren i personvernet som her må på plass. Får man bygget den, blir det også enklere å gjøre en vurdering i forhold til sikkerhetsloven, som jeg ikke kan se er vurdert slik sikkerhetslovens bestemmelser gir anvisning på, sier Koksvik.

Hun mener POD har gjort et godt forsøk på å hindre innsyn i sitt vedtak ut fra det grunnlaget de har å jobbe med.

– Likevel savner jeg en hensyntagen til politiets ulike kompetansenivåer og ulike skjermingsbehov med hjemmel i sikkerhetsloven. I slike saker bør man ha i mente at bruk av personvernregelverket ikke er en rent juridisk manøver, men juss i praksis, sier Koksvik.

Hun er videre usikker på om offentligheten virkelig hadde stor interesse av innsyn i 3000 politinavn.

– Dette er spørsmål som med fordel kan drøftes i saker der dette anføres. Et sentralt spørsmål her, er om et avslag på innsyn i 3000 navn på ansatte ville gi politiet adgang til å skjule kritikkverdige forhold hos seg selv. Det tviler jeg på, sier Koksvik.

Frykter konsekvenser

De politiansatte frykter nå hva som kan bli konsekvensene av at navnelista er utlevert. Politiforum har spurt Orange Cyberdefense, et firma som har spesialisert seg på å hjelpe næringslivet med å beskytte seg mot digitale angrep, om å gi sin vurdering av navnelisteutleveringen.

På spørsmål om hva politiet og den enkelte politiansatte kan risikere ved utleveringen, svarer sikkerhetskonsulentene Ragnhild Sageng og Mia Landsem dette:

Ragnhild Sageng.
Ragnhild Sageng.

– Det kan medføre en trussel mot politiansatte både som enkeltindivider og som arbeidstakere hvis navnene deres blir utgitt. Dette bør avveies mot nytteverdien for utleveringen. Det er mange i politiet som jobber med saker der de har å gjøre med alvorlige kriminelle handlinger. Hvis informasjonen deres kommer på avveie og for eksempel blir solgt på det mørke nettet, kan denne bli benyttet i personrettede angrep hvor åpne kilder utnyttes for å finne ytterligere opplysninger om de som jobber i politiet og familiene deres. Denne informasjonen kan igjen bli brukt til å true og trakassere politiansatte og deres familier.

Informasjonen kan også bli utnyttet av nettkriminelle, som kan forsøke å utgi seg for å være en som jobber i politiet, eller å få tilgang på kontoer knyttet til de politiansatte, fortsetter de.

– Dette gjør de ved å gjette seg til forskjellige brukernavn og utføre forskjellige angrep for å gjette passord. Selv om kontoer bruker flere faktorer for autentisering, som kode-app eller kodebrikke, kan sosiale manipulasjonsteknikker brukes for å få tilgang til kontoene hvis man ønsker, sier sikkerhetskonsulentene.

Firmaets team med sikkerhetskonsulenter er spesialisert innen «social engineering», eller sosial manipulering på norsk. Social engineering er definert som «kunsten å utnytte menneskelig psykologi, fremfor hackingsteknikker, for å få tilgang til bygninger, systemer og data».

– Et eksempel på social engineering-angrep er «phising», hvor noen for eksempel mottar en e-post med overbevisende informasjon til å gi fra seg informasjon eller trykke på lenker. Man bruker sosiale interaksjoner for å overtale et individ eller en organisasjon til å godta en spesifikk forespørsel fra en angriper, sier sikkerhetskonsulent Sageng.

Fullt navn og etternavn på 3000 politiansatte er i praksis også en oversikt med 3000 e-postadresser til politiansatte.

– Når listen på navn nå er sendt ut, er det ikke lenger noen kontroll på om navnene kan komme på avveie, sier Landsem og Sageng.

Oppdater nettsikkerheten

På spørsmål om hva de politiansatte som har fått navnene sine eksponert nå bør gjøre, svarer sikkerhetskonsulentene at de ansatte bør sørge for at deres nettsikkerhet er så oppdatert som den kan være.

Mia Landsem.
Mia Landsem.

– Dette kan de gjøre ved å sjekke informasjon de har delt på sosiale medier, og eventuelt også avgrense sine kontoer fra offentligheten så mye som mulig. Videre bør de ikke benytte sin jobb-e-post på arenaer som ikke er jobb-relaterte. Det er også viktig at de ikke bruker samme passord på flere nettsteder og at de aktiverer to-faktor-autentisering på alle tjenester der dette er mulig.

– Er det noe politiet burde gjøre?

– Det er viktig med gode rutiner og sikkerhetskultur også i politiet. God opplæring, trening og oppfølging av ansatte, slik at de blir bevisst hvilke lenker de skal ikke skal trykke på og hva de ikke bør laste ned og installere. Politiet bør informere de berørte så de er klar over at deres ansattforhold er utlevert, slik at de kan ta forhåndsregler basert på eget ansettelsesforhold og status i politiet. Det er også viktig at politiets tekniske ansatte hjelper sine ansatte å avgrense sensitiv informasjon på nett, svarer Landsem og Sageng.

Overfor Politiforum bekrefter assisterende politidirektør Håkon Skulstad at POD har iverksatt skadebegrensendetiltak for å ivareta individene og etatens funksjoner. Han vil ikke si noe konkret om hvilke tiltak det er snakk om.

På spørsmål om POD har noen råd til de ansatte som nå er eksponert, svarer han:

− De 3000 som er navngitt på listen har blitt bedt om å ha en tett dialog med sine nærmeste ledere, og i samråd med ledelsen avgjøre hvilke lokale tiltak som kan være relevante.

19 år på hemmelig adresse

Politioverbetjent Kai Arild Holm hos Kripos er godt kjent med hvilke tiltak det er mulig å bruke. I 19 år levde han og familien under det beskyttelsestiltaket «kode 6», gradert «STRENGT FORTROLIG». Dette innebærer blant annet at opplysninger om adresse ikke skal utgis til noen.

– Dette var noe jeg sammen med min arbeidsgiver fant ut var nødvendig ut fra en konkret vurdering og et rent forebyggende perspektiv. Jeg mottok aldri direkte og kvalifiserte trusler. Men gitt det klientellet jeg jobbet med, og den kapasiteten de hadde, fant vi ut at det var det beste. Både for å ivareta min kapasitet som etterforsker, og min families ve og vel, sier Holm.

Dermed tok Oslo politidistrikt initiativet til å få fjernet Holm og hans familie fra alle offentlige registre. Han er i dag ute av kode 6, og bor på åpen adresse. Behovet for skjermet adresse er ikke lenger så stort.

Livet på «kode 6» var ikke uproblematisk.

– Man får praktiske utfordringer med å stemme ved Stortings- og Fylkestingsvalg. Barna blir ikke innkalt til skolen. Det blir problemer med boliglån fordi man ikke finnes i synlige registre. Noe så enkelt som å kjøpe et mobilabonnement blir vanskeligere. Man må være veldig bevist det med private spor, slik at intensjonen med skjermet adresse oppfylles. Skjermet adresse er en belastning hvis man følger opp intensjonen med tiltaket. Men av og til blir de belastningene mindre enn trusselen fra miljøet. Derfor skal det en del til før at vi ber om slikt, sier Holm.

På spørsmål om det å leve med trusler egentlig er noe politiansatte må tåle, svarer han følgende:

– Det er forskjell på tjenesten som politi og være privat. I politirollen skal vi være tykkhudet på en del områder, men det går en grense når det blir personlig og man opplever en trussel eller personlig angrep på en selv eller dine nærmeste.

Han peker på at både avsender og konteksten i truslene politiansatte får, spiller inn om de skal ta den seriøst eller ikke.

– Eksempelvis trusler fra folk på gata i en opphetet situasjon noe må man tåle. Problemet kommer hvis trusselen blir fremsatt med alvor, det er en voldshistorikk, eller at trusselutøveren tilhører et miljø man erfaringsmessig vet har kapasitet til å forårsake skade. Det er mye vi skal tåle, uten at vi skal leve på skjult adresse. Men det må være en totalvurdering bak. Selv kom jeg i så mye kontakt med kriminelle nettverk som hadde kapasitet til å skade meg selv eller min familie at jeg følte jeg måtte gjøre noe, sier Holm.

Han peker på at det for samfunnets del er vel så alvorlig at politiansatte kan trues til å unnlate å gjøre tjenestehandlinger for å unngå å komme i en trusselsituasjon.

– Jeg er bekymret over at vår øverste arbeidsgiver ikke ser dette, sier politioverbetjenten.

Powered by Labrador CMS