AD-dom: Var det rätt att avskeda en tjänsteman som avsiktligen saboterat myndighetens datasystem?

Arbetsdomstolen har i dom 2009 nr 95 mellan Jusek och staten genom Skatteverket funnit att Skatteverket haft laga grund för att avskeda en arbetstagare, som genom att flytta och radera vissa datafiler som påverkade myndighetens säkerhetssystem orsakat stora kostnader och säkerhetsproblem för myndigheten.

Arbetsgivarverket informerar nummer 3, 2010

Logga för nyhetsbrevet Arbetsgivarverket informerar.

Bakgrund

Skatteverket avskedade 2007 IT-tjänstemannen B. Skatteverket grundade bland annat avskedandet på sin uppfattning att B hade saboterat myndighetens datasystem. Skatteverket yrkade även skadestånd av B för den stora ekonomiska skada som sabotaget hade orsakat.

B var systemvetare och hade arbetat i cirka fem år vid Skatteverket. Hans uppgifter bestod i att administrera och utveckla verkets nätövervakningssystem. Detta innebar bland annat att han skulle övervaka felsituationer, dokumentera händelser i systemet och se till att larmflödet fungerade. När han anställdes genomfördes en säkerhetsprövning enligt säkerhetsskyddslagen. Därefter tilldelades han så kallad rootbehörighet, som tekniskt sett gav honom obegränsade möjligheter att vidta åtgärder i systemet.

Den 22 maj 2007 kom B och hans sektionschef i konflikt med varandra. B hade sett att någon annan var inloggad i systemet och var inte nöjd med chefens förklaring till detta. B ansåg dessutom att chefen kallat honom "dum eller schizofren". Chefen nekade till att ha sagt detta och menade istället att B hotat honom. Senare samma dag flyttade och raderade någon ett antal säkerhetsfiler från Skatteverkets server. Händelsen ledde dels till att Skatteverkets larmsystem sattes ur spel och att cirka 500 larm fick hanteras manuellt av verkets personal till en kostnad av drygt 170 000 kr, dels till att Skatteverket fick anlita konsulter till en kostnad av drygt 250 000 kr för att utreda vad som hänt och återställa systemet. Skatteverket ansåg att B orsakat problemen som hämnd efter det nämnda grälet och avskedade honom därför.

AD:s domskäl

Förelåg laga skäl för avskedande?

Var B skyldig till sabotage?

Det var inte tvistigt i målet vilka åtgärder som hade vidtagits i systemet. Däremot hade parterna skilda uppfattningar om huruvida det var B, eller någon annan, som hade vidtagit åtgärderna.

Särskilt två åtgärder som utfördes med knappt fem minuters mellanrum ansågs vara av intresse. Åtgärd 1 innebar att en datafil flyttades från systemet och orsakade att förbindelsen mellan Skatteverkets två övervakningssystem bröts. Skatteverkets operatörer kunde då inte längre se några larm från nätverket. Skatteverket kunde genom uppspelning av en loggfil visa att datafilen hade flyttats till B:s hemmakatalog på servern. B medgav att han utfört åtgärden. Han hävdade dock att det varit som ett led i sitt vanliga arbete och han flyttat tillbaka filen följande dag. Åtgärd 2 innebar att en fil raderats vilket gjorde att det inte kom några larm om att den förstnämnda, flyttade, säkerhetsfilen saknades. B nekade till att ha utfört denna andra åtgärd, och Skatteverket kunde inte med hjälp av loggfilen säkert fastställa att det var B som utfört den, då en annan person samtidigt varit inloggad i systemet.

AD:s bedömning

I målet hölls vittnesförhör med ett stort antal personer. Till grund för AD:s inställning i skuldfrågan låg främst ett vittnesmål från en högt kvalificerad IT-forensiker som tidigare arbetat inom SÄPO. Denne kunde konstatera dels att B utfört åtgärd 1, dels att B inte – som han själv påstått – hade återfört den flyttade filen dagen därpå. Detta vittnesmål motsades inte av någon annan utredning i målet. Forensikern konstaterade också att en annan person visserligen varit inloggad samtidigt som B, men att det fanns ett logiskt samband mellan åtgärd 1 och åtgärd 2 som tydde på att B vidtagit dem båda. Åtgärd 2 innebar en upprensning av systemet som resulterade i att åtgärd 1 inte kunde upptäckas, vilket starkt talade för att båda åtgärderna vidtagits av samma person. En konsult vid företaget Hewlett Packard som anlitats för att utreda händelserna kom till samma resultat som forensikern. Hans utredning hade dock inte samma höjd och detaljeringsnivå som forensikerns och hans vittnesmål tillmättes därför inte samma vikt.

AD ansåg dels att tidssambandet mellan de två åtgärderna (att de utfördes med bara några minuters mellanrum) dels att det logiska och funktionella sambandet mellan dem (att den andra åtgärden dolde den första) var så starkt att det var styrkt att B hade vidtagit båda åtgärderna. Enkelt uttryckt tog den första åtgärden bort en larmanordning i systemet (med följden att en mycket allvarlig störning i datasystemet inträffade) och den andra åtgärden tog bort ett larm som skulle signalera att den första larmanordningen inte fungerade. Dessutom fanns det inget som talade för att någon annan än B skulle ha vidtagit åtgärderna.

Då B är en mycket erfaren IT-administratör kan det – menar AD – inte råda något tvivel om att han hade fullt klart för sig vilka de tekniska konsekvenserna av de båda ingreppen skulle bli. Åtgärderna vidtogs alltså med full vetskap om att skador skulle uppkomma i systemet. B:s handlande innebär sålunda att han grovt åsidosatt vad som ålegat honom som anställd hos Skatteverket och det föreligger därför laga grund för att avskeda honom.

Är B skadeståndskyldig gentemot staten?

AD:s bedömning

Enligt en särskild regel i skadeståndslagen är en arbetstagare ansvarig för skada som han vållar genom fel eller försummelse i tjänsten endast om synnerliga skäl föreligger med hänsyn till handlingens beskaffenhet, arbetstagarens ställning, den skadelidandes intresse och övriga omständigheter. Ett villkor för att denna regel ska kunna tillämpas är att arbetstagaren vållat skadan just i tjänsten, inte som privatperson eller för annans räkning än arbetsgivarens.

Staten gjorde i målet gällande att B inte handlat i tjänsten utan som privatperson. Då gäller nämligen enligt skadeståndslagens allmänna huvudregel att den skadevållande ska ersätta skadan, utan krav på synnerliga skäl. AD uttalar att det i och för sig finns mycket som talar för att B har handlat som privatperson. Domstolen tar dock ingen ställning till frågan om skadan vållats i tjänsten eller inte, då den menar att det i alla händelser finns synnerliga skäl för statens skadeståndsanspråk. Oavsett om skadan vållats i eller utom tjänsten hade B alltså blivit skadeståndsskyldig i samma omfattning. Slutsatsen blir att B ska betala 300 000 kronor i skadestånd för den skada han vållat. Därutöver får Jusek och B dela på statens rättegångskostnader om en knapp miljon kronor.

Arbetsgivarverkets kommentar

I mål om IT-säkerhet är det ofta svårt för arbetsgivaren att bevisa vad som hänt. Det kan krävas omfattande utredning och experthjälp för att reda ut vem som gjort vad i ett komplicerat datasystem. Det visar inte minst det faktum att Skatteverket i förevarande mål tvingades lägga ned stora belopp på att utreda och analysera vad som faktiskt inträffat. I sammanhanget kan noteras att Skatteverket åberopade ett flertal IT-tekniker och konsulter som vittnen, men att det i stort sett endast var den högt kvalificerade IT-forensikerns vittnesmål som AD fäste avseende vid. Vittnesmålens kvalitet kan alltså vara avgörande.

En fråga av rättslig karaktär som det möjligen hade varit intressant att få svar på i målet är om IT-tjänstemannen agerat i eller utom tjänsten. Domstolen konstaterar att hans agerande är så allvarligt att skadeståndsskyldighet hade uppstått även om han handlat i tjänsten – vilket i sig är en viktig upplysning. Dock kvarstår frågan huruvida arbetstagarens handlande ska bedömas som ett privat agerande eller ett agerande inom ramen för arbetet – vilket hade kunna bli utslagsgivande för skadeståndsskyldigheten om agerandet varit mindre allvarligt. Ett svar på den frågan hade också kunnat vara värdefullt vid bedömningen av utgången i framtida tvister.