Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Sorglig rapport från Transportstyrelsen

När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.

Text anne hammarskjöld Foto adobestock 24 januari 2018 säkerhet

militar-i-bakhall.jpg

Igår presenterade Transportstyrelsens generaldirektör Jonas Bjelfvenstam och ställföreträdande generaldirektör Ingrid Cherfils den rapport om säkerhetshaveriet kring myndighetens outsourcing-lösning som man tagit fram på uppdrag av regeringen.

Rapporten både bekräftar och överträffar farhågorna som många experter och myndighetsrepresentanter haft sedan affären avslöjades, när dåvarande generaldirektör Maria Ågren avgick i somras efter misstanke om brott mot rikets säkerhet.

Transportstyrelsens rapport visar att:

  • Cirka 80 it-tekniker utan svensk säkerhetsklassning haft tillgång till Transportstyrelsens it-system i 29 månader. Det är it-tekniker hos IBM:s systerbolag i Ungern, Serbien, Rumänien och Tjeckien. Personalen har varit säkerhetsklassade enligt IBM:s krav men detta uppfyller inte svensk lag. Enligt tidigare uppgifter skulle cirka 20 personer haft tillgång till registren.
  • All information i Transportstyrelsens register är inte hemlig men bulken av information är så känsligt att den anses skyddsvärd och bör betraktas som röjd. Det handlar om säkerhetsklassad information som rör rikets säkerhet och försvaret mot terrorism. Bland annat har känsliga uppgifter ur körkorts- och fordonsregistret legat öppna för obehöriga från maj 2015 till oktober 2017.
  • De röjda uppgifterna påverkar andra myndigheter, bland dem Försvaret och Säkerhetspolisen, som fått lägga mycket resurser på att minimera skadeverkningarna av it-skandalen.
  • Det finns i dagsläget inga bevis för att informationen missbrukats i orätta händer.

Läs mer: Efter Transportstyrelsen - nu ändras lagen

Hur kunde det bli så här?

Enligt rapporten ligger en del av förklaringen till säkerhetshaveriet i uppbyggnaden av Transportstyrelsens omfattande och komplexa it-miljö, som utvecklats sedan 1970-talet och successivt byggts på utifrån nya lagkrav och förändrade behov. Under den tiden har driften i huvudsak hanterats inom myndigheten eller av en annan myndighet fram till dess att outsourcingen med IBM genomfördes.

Den bakgrunden har gjort att it-miljön utvecklats enligt synsättet att allt är tryggt och säkert inom de egna brandväggarna. Det har lett fram till en it-arkitektur där merparten av de olika systemen och dess innehåll är åtkomlig från flera håll.

När upphandlingen genomförts och IBM tog över it-driften var Transportstyrelsens it-miljö inte anpassad för det. Säkerhetsåtgärder i form av avgränsade behörigheter och övervakning av systemanvändning enligt säkerhetsskyddsförordningen följdes inte. Dessutom följdes inte MSB:s och Riksarkivets föreskrifter om informationssäkerhet eller den ISO-standard för informationssäkerhet som dessa hänvisar till. Resultatet blev att när driften outsourcades till IBM fick deras personal motsvarande behörigheter som Trafikverket tidigare använt sig av och med full åtkomst till känslig information.

Läs mer: Inlåsning på köpet

Vad händer nu?

Inom Transportstyrelsen pågår en rad åtgärder - administrativa, tekniska och kompetensmässiga - för att förstärka informationshanteringen.

Sedan den 1 oktober 2017 hanterar endast svensk säkerhetsprövad och godkänd personal den samlade it-driften.

Det pågår ett omfattande arbete med att säkerhetsklassa, säkerhetspröva och utbilda myndighetens medarbetare och konsulter. Det handlar också om att på övergripande nivå utveckla och förbättra nuvarande ledningssystem för informationssäkerhet och att utveckla en god säkerhetskultur. Transportstyrelsen ska också rekrytera en säkerhetschef tillika säkerhetsskyddschef och signalskyddschef.

Det finns fyra anmälningar kring it-skandalen hos riksdagens konstitutionsutskott, KU. I januari påbörjas förhören i KU med företrädare för Säkerhetspolisen.

I somras lämnade två statsråd, inrikesminister Anders Ygeman och infrastrukturminister Anna Johansson, sina uppdrag med anledning av it-skandalen på Transportstyrelsen.

 

Rekommenderad läsning

20170213_Inrikesminister_Anders_Ygeman_Rosengard_50A9878_(32787305311)_2.jpg

Vi försökte skydda känslig information

12 apr 2018 säkerhet

Dammet efter it-säkerhetsskandalen på Transportstyrelsen har knappt lagt sig men för avgående CISO Tobias Ander och hans kollegor har den långa resan fram till de första tidningsrubrikerna inneburit många tvära kast mellan hopp och förtvivlan.

personal-springer-pa-sjukhus.jpg

SKL litar på molnet

14 nov 2018 säkerhet

SKL står redo att svara på frågor från kommuner och landsting efter eSams rättsliga uttalande i måndags. Sedan affären med Transportstyrelsen har organisationen arbetat med frågan om säkerhetsrisker vid outsourcing av molntjänster i nära samarbete med bland annat MSB.

transportstyrelsen .jpg

Attacker men inga rapporter

10 nov 2017 säkerhet

Trots en myckenhet av ransomware och andra attacker så är det fortfarande få incidenter riktade mot myndigheter som rapporteras till MSB. Hittills i år har det rapporterats in 220 attacker mot totalt 244 myndigheter.

 

flygplan-transportstyrelsen-skyddslag2.jpg

Efter Transportstyrelsen – nu ändras lagen

14 dec 2017 säkerhet

En ny lagrådsremiss föreslår att den befintliga Säkerhetsskyddslagen framöver även ska omfattas av privata företag som sysslar med verksamhet som rör rikets säkerhet. Lagen är kopplat till brottsbalken, vilket innebär att fängelse kan bli påföljd.

folk.jpg

Säkerhetsåret 2017

27 dec 2017 säkerhet

Skandalen på Transportstyrelsen, allt mer GDPR-oro och ett exploderande antal ransomware-attacker - säkerhetsåret 2017 har varit intensivt. Och inget tyder på en avtrappning nästa år. Voister summerar 2017 och blickar framåt.

sjalvkorande buss i kista.jpg

Grönt ljus för självkörande bussar

29 dec 2017 digit

Transportstyrelsen har gett klartecken till den första försöksverksamheten med självkörande buss på allmän väg i Sverige. Beslutet gör det möjligt att testa framtidens hållbara transporter.

försäkringskassan-960640.jpg

Försäkringskassan satsar på AI

27 apr 2018 digit

Det är fortfarande ett oklart rättsläge huruvida Försäkringskassan ska ta över andra myndigheters it-drift. Men oavsett fortsätter Försäkringskassan sitt digitaliseringsarbete som nu även innefattar AI - för att demokratisera myndighetens handläggningar.

GDPR .jpg

Därför pratar alla om GDPR

29 aug 2016 Säkerhet

Den 25 maj i år klubbades den nya dataskyddsförordningen igenom och nu väntar två års förberedelser innan den börjar gälla som ny lag i Sverige. Vad betyder förordningen och vad behöver företag göra? 

OlaWittenby_960x640.jpg

IBM: "Fokusera på de stora hoten"

21 jun 2016 säkerhet

Många företag utsätts för över 200 allvarliga it-incidenter per år. Ola Wittenby, affärschef säkerhet på IBM och Olov Alderholm, Atea, pratar om framtidens skydd.