Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Sorglig rapport från Transportstyrelsen

När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.

Text anne hammarskjöld Foto adobestock 24 januari 2018 säkerhet

militar-i-bakhall.jpg

Igår presenterade Transportstyrelsens generaldirektör Jonas Bjelfvenstam och ställföreträdande generaldirektör Ingrid Cherfils den rapport om säkerhetshaveriet kring myndighetens outsourcing-lösning som man tagit fram på uppdrag av regeringen.

Rapporten både bekräftar och överträffar farhågorna som många experter och myndighetsrepresentanter haft sedan affären avslöjades, när dåvarande generaldirektör Maria Ågren avgick i somras efter misstanke om brott mot rikets säkerhet.

Transportstyrelsens rapport visar att:

  • Cirka 80 it-tekniker utan svensk säkerhetsklassning haft tillgång till Transportstyrelsens it-system i 29 månader. Det är it-tekniker hos IBM:s systerbolag i Ungern, Serbien, Rumänien och Tjeckien. Personalen har varit säkerhetsklassade enligt IBM:s krav men detta uppfyller inte svensk lag. Enligt tidigare uppgifter skulle cirka 20 personer haft tillgång till registren.
  • All information i Transportstyrelsens register är inte hemlig men bulken av information är så känsligt att den anses skyddsvärd och bör betraktas som röjd. Det handlar om säkerhetsklassad information som rör rikets säkerhet och försvaret mot terrorism. Bland annat har känsliga uppgifter ur körkorts- och fordonsregistret legat öppna för obehöriga från maj 2015 till oktober 2017.
  • De röjda uppgifterna påverkar andra myndigheter, bland dem Försvaret och Säkerhetspolisen, som fått lägga mycket resurser på att minimera skadeverkningarna av it-skandalen.
  • Det finns i dagsläget inga bevis för att informationen missbrukats i orätta händer.

Läs mer: Efter Transportstyrelsen - nu ändras lagen

Hur kunde det bli så här?

Enligt rapporten ligger en del av förklaringen till säkerhetshaveriet i uppbyggnaden av Transportstyrelsens omfattande och komplexa it-miljö, som utvecklats sedan 1970-talet och successivt byggts på utifrån nya lagkrav och förändrade behov. Under den tiden har driften i huvudsak hanterats inom myndigheten eller av en annan myndighet fram till dess att outsourcingen med IBM genomfördes.

Den bakgrunden har gjort att it-miljön utvecklats enligt synsättet att allt är tryggt och säkert inom de egna brandväggarna. Det har lett fram till en it-arkitektur där merparten av de olika systemen och dess innehåll är åtkomlig från flera håll.

När upphandlingen genomförts och IBM tog över it-driften var Transportstyrelsens it-miljö inte anpassad för det. Säkerhetsåtgärder i form av avgränsade behörigheter och övervakning av systemanvändning enligt säkerhetsskyddsförordningen följdes inte. Dessutom följdes inte MSB:s och Riksarkivets föreskrifter om informationssäkerhet eller den ISO-standard för informationssäkerhet som dessa hänvisar till. Resultatet blev att när driften outsourcades till IBM fick deras personal motsvarande behörigheter som Trafikverket tidigare använt sig av och med full åtkomst till känslig information.

Läs mer: Inlåsning på köpet

Vad händer nu?

Inom Transportstyrelsen pågår en rad åtgärder - administrativa, tekniska och kompetensmässiga - för att förstärka informationshanteringen.

Sedan den 1 oktober 2017 hanterar endast svensk säkerhetsprövad och godkänd personal den samlade it-driften.

Det pågår ett omfattande arbete med att säkerhetsklassa, säkerhetspröva och utbilda myndighetens medarbetare och konsulter. Det handlar också om att på övergripande nivå utveckla och förbättra nuvarande ledningssystem för informationssäkerhet och att utveckla en god säkerhetskultur. Transportstyrelsen ska också rekrytera en säkerhetschef tillika säkerhetsskyddschef och signalskyddschef.

Det finns fyra anmälningar kring it-skandalen hos riksdagens konstitutionsutskott, KU. I januari påbörjas förhören i KU med företrädare för Säkerhetspolisen.

I somras lämnade två statsråd, inrikesminister Anders Ygeman och infrastrukturminister Anna Johansson, sina uppdrag med anledning av it-skandalen på Transportstyrelsen.

 

Rekommenderad läsning

20170213_Inrikesminister_Anders_Ygeman_Rosengard_50A9878_(32787305311)_2.jpg

Vi försökte skydda känslig information

12 apr 2018 säkerhet

Dammet efter it-säkerhetsskandalen på Transportstyrelsen har knappt lagt sig men för avgående CISO Tobias Ander och hans kollegor har den långa resan fram till de första tidningsrubrikerna inneburit många tvära kast mellan hopp och förtvivlan.

försäkringskassan-960640.jpg

Försäkringskassan satsar på AI

27 apr 2018 digit

Det är fortfarande ett oklart rättsläge huruvida Försäkringskassan ska ta över andra myndigheters it-drift. Men oavsett fortsätter Försäkringskassan sitt digitaliseringsarbete som nu även innefattar AI - för att demokratisera myndighetens handläggningar.

transportstyrelsen .jpg

Attacker men inga rapporter

10 nov 2017 säkerhet

Trots en myckenhet av ransomware och andra attacker så är det fortfarande få incidenter riktade mot myndigheter som rapporteras till MSB. Hittills i år har det rapporterats in 220 attacker mot totalt 244 myndigheter.

 

personal-springer-pa-sjukhus.jpg

SKL litar på molnet

14 nov 2018 säkerhet

SKL står redo att svara på frågor från kommuner och landsting efter eSams rättsliga uttalande i måndags. Sedan affären med Transportstyrelsen har organisationen arbetat med frågan om säkerhetsrisker vid outsourcing av molntjänster i nära samarbete med bland annat MSB.

3 barn mot vit bakgrund.jpg
video
Ett samarbete mellan IBM och Voister

Tre säkra steg med IBM

12 dec 2018 säkerhet

Ett bra it-skydd mot attacker som även följer varje transformation samt GDPR, kan kräva att man anställer minst tio personer. Med Security Operations Center som tjänst kan företag och organisationer avlastas i sitt säkerhetsarbete.

tjej klättrar i berg i ett grand canyon-liknande landskap.jpg

Säkerhetsåret 2018

20 dec 2018 säkerhet

Lösningar inom IoT står för en allt större del av hot och risker och medan hypen för kryptovalutor minskar så blir blockkedjor allt hetare och kan regleringar som GDPR vara en hjälp till ett säkrare samhälle. 

hjarta.jpg

S skärper integritetskrav

9 maj 2019 säkerhet

Efter debatten om hur appar som samlar in data hur människor rör sig och även sedan säljare vidare informationen, kräver nu Socialdemokraterna en tydlighet i användarvillkoren. Idag är det många som godkänner apparnas villkor utan att förstå vad det innebär.

fyra läkare i en operationssal står lutade ner och tittar in i kameran.jpg
video

Så säkras VGR

6 feb 2019 säkerhet

Säkerhet är så mycket mer än brandväggar och antivirus. Idag är fokus på kryptokapning, segmentering och hur datacentrets virtuella maskiner kan säkras. Richard Sjöstrand, it-arkitekt Västra Götalandsregionen, lyfter det mest aktuella från Cisco Live och passar på att ge Anders Ygeman och Mikael Damberg konkreta tips vad de bör fokusera på. 

36067730911_9ae071a726_k_2.jpg

Inlåsning på köpet

15 aug 2017 ledarskap

I somras orsakade Transportstyrelsens it-upphandling en regeringsombildning och ett kvarliggande hot om misstroendevotum mot försvarsminister Peter Hultqvist. Och skandalen kan få efterföljare. Aktuell forskning visar att it-upphandlingar ofta genomförs på sätt som hotar såväl myndigheternas självständighet som grundläggande demokratiska principer.