Sorglig rapport från Transportstyrelsen
När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.
Igår presenterade Transportstyrelsens generaldirektör Jonas Bjelfvenstam och ställföreträdande generaldirektör Ingrid Cherfils den rapport om säkerhetshaveriet kring myndighetens outsourcing-lösning som man tagit fram på uppdrag av regeringen.
Rapporten både bekräftar och överträffar farhågorna som många experter och myndighetsrepresentanter haft sedan affären avslöjades, när dåvarande generaldirektör Maria Ågren avgick i somras efter misstanke om brott mot rikets säkerhet.
Transportstyrelsens rapport visar att:
- Cirka 80 it-tekniker utan svensk säkerhetsklassning haft tillgång till Transportstyrelsens it-system i 29 månader. Det är it-tekniker hos IBM:s systerbolag i Ungern, Serbien, Rumänien och Tjeckien. Personalen har varit säkerhetsklassade enligt IBM:s krav men detta uppfyller inte svensk lag. Enligt tidigare uppgifter skulle cirka 20 personer haft tillgång till registren.
- All information i Transportstyrelsens register är inte hemlig men bulken av information är så känsligt att den anses skyddsvärd och bör betraktas som röjd. Det handlar om säkerhetsklassad information som rör rikets säkerhet och försvaret mot terrorism. Bland annat har känsliga uppgifter ur körkorts- och fordonsregistret legat öppna för obehöriga från maj 2015 till oktober 2017.
- De röjda uppgifterna påverkar andra myndigheter, bland dem Försvaret och Säkerhetspolisen, som fått lägga mycket resurser på att minimera skadeverkningarna av it-skandalen.
- Det finns i dagsläget inga bevis för att informationen missbrukats i orätta händer.
Läs mer: Efter Transportstyrelsen - nu ändras lagen
Hur kunde det bli så här?
Enligt rapporten ligger en del av förklaringen till säkerhetshaveriet i uppbyggnaden av Transportstyrelsens omfattande och komplexa it-miljö, som utvecklats sedan 1970-talet och successivt byggts på utifrån nya lagkrav och förändrade behov. Under den tiden har driften i huvudsak hanterats inom myndigheten eller av en annan myndighet fram till dess att outsourcingen med IBM genomfördes.
Den bakgrunden har gjort att it-miljön utvecklats enligt synsättet att allt är tryggt och säkert inom de egna brandväggarna. Det har lett fram till en it-arkitektur där merparten av de olika systemen och dess innehåll är åtkomlig från flera håll.
När upphandlingen genomförts och IBM tog över it-driften var Transportstyrelsens it-miljö inte anpassad för det. Säkerhetsåtgärder i form av avgränsade behörigheter och övervakning av systemanvändning enligt säkerhetsskyddsförordningen följdes inte. Dessutom följdes inte MSB:s och Riksarkivets föreskrifter om informationssäkerhet eller den ISO-standard för informationssäkerhet som dessa hänvisar till. Resultatet blev att när driften outsourcades till IBM fick deras personal motsvarande behörigheter som Trafikverket tidigare använt sig av och med full åtkomst till känslig information.
Läs mer: Inlåsning på köpet
Vad händer nu?
Inom Transportstyrelsen pågår en rad åtgärder - administrativa, tekniska och kompetensmässiga - för att förstärka informationshanteringen.
Sedan den 1 oktober 2017 hanterar endast svensk säkerhetsprövad och godkänd personal den samlade it-driften.
Det pågår ett omfattande arbete med att säkerhetsklassa, säkerhetspröva och utbilda myndighetens medarbetare och konsulter. Det handlar också om att på övergripande nivå utveckla och förbättra nuvarande ledningssystem för informationssäkerhet och att utveckla en god säkerhetskultur. Transportstyrelsen ska också rekrytera en säkerhetschef tillika säkerhetsskyddschef och signalskyddschef.
Det finns fyra anmälningar kring it-skandalen hos riksdagens konstitutionsutskott, KU. I januari påbörjas förhören i KU med företrädare för Säkerhetspolisen.
I somras lämnade två statsråd, inrikesminister Anders Ygeman och infrastrukturminister Anna Johansson, sina uppdrag med anledning av it-skandalen på Transportstyrelsen.
Läs mer om ämnet: