Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

Nominerad till
Publishingpriset 2017

En smartare it-nyhetssajt

Nominerad till
Publishingpriset 2017

Sorglig rapport från Transportstyrelsen

När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.

Text anne hammarskjöld Foto adobestock 24 januari 2018 säkerhet

militar-i-bakhall.jpg

Igår presenterade Transportstyrelsens generaldirektör Jonas Bjelfvenstam och ställföreträdande generaldirektör Ingrid Cherfils den rapport om säkerhetshaveriet kring myndighetens outsourcing-lösning som man tagit fram på uppdrag av regeringen.

Rapporten både bekräftar och överträffar farhågorna som många experter och myndighetsrepresentanter haft sedan affären avslöjades, när dåvarande generaldirektör Maria Ågren avgick i somras efter misstanke om brott mot rikets säkerhet.

Transportstyrelsens rapport visar att:

  • Cirka 80 it-tekniker utan svensk säkerhetsklassning haft tillgång till Transportstyrelsens it-system i 29 månader. Det är it-tekniker hos IBM:s systerbolag i Ungern, Serbien, Rumänien och Tjeckien. Personalen har varit säkerhetsklassade enligt IBM:s krav men detta uppfyller inte svensk lag. Enligt tidigare uppgifter skulle cirka 20 personer haft tillgång till registren.
  • All information i Transportstyrelsens register är inte hemlig men bulken av information är så känsligt att den anses skyddsvärd och bör betraktas som röjd. Det handlar om säkerhetsklassad information som rör rikets säkerhet och försvaret mot terrorism. Bland annat har känsliga uppgifter ur körkorts- och fordonsregistret legat öppna för obehöriga från maj 2015 till oktober 2017.
  • De röjda uppgifterna påverkar andra myndigheter, bland dem Försvaret och Säkerhetspolisen, som fått lägga mycket resurser på att minimera skadeverkningarna av it-skandalen.
  • Det finns i dagsläget inga bevis för att informationen missbrukats i orätta händer.

Läs mer: Efter Transportstyrelsen - nu ändras lagen

Hur kunde det bli så här?

Enligt rapporten ligger en del av förklaringen till säkerhetshaveriet i uppbyggnaden av Transportstyrelsens omfattande och komplexa it-miljö, som utvecklats sedan 1970-talet och successivt byggts på utifrån nya lagkrav och förändrade behov. Under den tiden har driften i huvudsak hanterats inom myndigheten eller av en annan myndighet fram till dess att outsourcingen med IBM genomfördes.

Den bakgrunden har gjort att it-miljön utvecklats enligt synsättet att allt är tryggt och säkert inom de egna brandväggarna. Det har lett fram till en it-arkitektur där merparten av de olika systemen och dess innehåll är åtkomlig från flera håll.

När upphandlingen genomförts och IBM tog över it-driften var Transportstyrelsens it-miljö inte anpassad för det. Säkerhetsåtgärder i form av avgränsade behörigheter och övervakning av systemanvändning enligt säkerhetsskyddsförordningen följdes inte. Dessutom följdes inte MSB:s och Riksarkivets föreskrifter om informationssäkerhet eller den ISO-standard för informationssäkerhet som dessa hänvisar till. Resultatet blev att när driften outsourcades till IBM fick deras personal motsvarande behörigheter som Trafikverket tidigare använt sig av och med full åtkomst till känslig information.

Läs mer: Inlåsning på köpet

Vad händer nu?

Inom Transportstyrelsen pågår en rad åtgärder - administrativa, tekniska och kompetensmässiga - för att förstärka informationshanteringen.

Sedan den 1 oktober 2017 hanterar endast svensk säkerhetsprövad och godkänd personal den samlade it-driften.

Det pågår ett omfattande arbete med att säkerhetsklassa, säkerhetspröva och utbilda myndighetens medarbetare och konsulter. Det handlar också om att på övergripande nivå utveckla och förbättra nuvarande ledningssystem för informationssäkerhet och att utveckla en god säkerhetskultur. Transportstyrelsen ska också rekrytera en säkerhetschef tillika säkerhetsskyddschef och signalskyddschef.

Det finns fyra anmälningar kring it-skandalen hos riksdagens konstitutionsutskott, KU. I januari påbörjas förhören i KU med företrädare för Säkerhetspolisen.

I somras lämnade två statsråd, inrikesminister Anders Ygeman och infrastrukturminister Anna Johansson, sina uppdrag med anledning av it-skandalen på Transportstyrelsen.

 

Rekommenderad läsning

Grönt ljus för självkörande bussar

29 dec 2017 digit

sjalvkorande buss i kista.jpg sjalvkorande buss i kista.jpg sjalvkorande buss i kista.jpg

Transportstyrelsen har gett klartecken till den första försöksverksamheten med självkörande buss på allmän väg i Sverige. Beslutet gör det möjligt att testa framtidens hållbara transporter.

Attacker men inga rapporter

10 nov 2017 säkerhet

transportstyrelsen .jpg transportstyrelsen .jpg transportstyrelsen .jpg

Trots en myckenhet av ransomware och andra attacker så är det fortfarande få incidenter riktade mot myndigheter som rapporteras till MSB. Hittills i år har det rapporterats in 220 attacker mot totalt 244 myndigheter.

 

Efter Transportstyrelsen – nu ändras lagen

14 dec 2017 säkerhet

flygplan-transportstyrelsen-skyddslag2.jpg flygplan-transportstyrelsen-skyddslag2.jpg flygplan-transportstyrelsen-skyddslag2.jpg

En ny lagrådsremiss föreslår att den befintliga Säkerhetsskyddslagen framöver även ska omfattas av privata företag som sysslar med verksamhet som rör rikets säkerhet. Lagen är kopplat till brottsbalken, vilket innebär att fängelse kan bli påföljd.

Säkerhetsåret 2017

27 dec 2017 säkerhet

folk.jpg folk.jpg folk.jpg

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

IBM: "Fokusera på de stora hoten"

21 jun 2016 säkerhet

OlaWittenby_960x640.jpg OlaWittenby_960x640.jpg OlaWittenby_960x640.jpg

Många företag utsätts för över 200 allvarliga it-incidenter per år. Ola Wittenby, affärschef säkerhet på IBM och Olov Alderholm, Atea, pratar om framtidens skydd.

Därför pratar alla om GDPR

29 aug 2016 Säkerhet

GDPR .jpg GDPR .jpg GDPR .jpg

Den 25 maj i år klubbades den nya dataskyddsförordningen igenom och nu väntar två års förberedelser innan den börjar gälla som ny lag i Sverige. Vad betyder förordningen och vad behöver företag göra? 

Kvantdatorn knäcker krypto

30 aug 2017 digit

IBM kvantdator.jpg IBM kvantdator.jpg IBM kvantdator.jpg

Superkänsliga och extremt smarta. Kvantdatorer kan i realtid beräkna hur molekyler beter sig och kan därför bli allt viktigare för att ta fram nya patent inom biomedicin. Samtidigt finns hotet att det är just kvantdatorerna som kommer att knäcka alla våra lösenord.

Inlåsning på köpet

15 aug 2017 ledarskap

36067730911_9ae071a726_k_2.jpg 36067730911_9ae071a726_k_2.jpg 36067730911_9ae071a726_k_2.jpg

I somras orsakade Transportstyrelsens it-upphandling en regeringsombildning och ett kvarliggande hot om misstroendevotum mot försvarsminister Peter Hultqvist. Och skandalen kan få efterföljare. Aktuell forskning visar att it-upphandlingar ofta genomförs på sätt som hotar såväl myndigheternas självständighet som grundläggande demokratiska principer.

"Digitaliseringen innebär smidigare resor för alla"

15 jul 2016 digit

anna johansson pixlr.jpg anna johansson pixlr.jpg anna johansson pixlr.jpg

Infrastrukturminister Anna Johansson, (S), drömmer om ett Kollektivtrafiksverige med mer öppna data och där man kanske bara behöver ett enda kort till sina resor inom landet.
 Där skulle man kunna ha biljetter från flera olika system och kunna kombinera dem i en och samma lösning. Man skulle även kunna beställa andra färdmedel, som till exempel hyrcykel eller gå med i en bilpool.