Genom att surfa vidare godkänner du att vi använder cookies. Jag förstår

En smartare it-nyhetssajt

Sorglig rapport från Transportstyrelsen

militar-i-bakhall.jpg

När Transportstyrelsen presenterade sin rapport över säkerhetshaveriet i somras var slutsatserna på flera sätt värre än vad många befarat. Information som rör försvaret mot terrorism är röjd och det som hänt har stor inverkan på andra myndigheter.

Igår presenterade Transportstyrelsens generaldirektör Jonas Bjelfvenstam och ställföreträdande generaldirektör Ingrid Cherfils den rapport om säkerhetshaveriet kring myndighetens outsourcing-lösning som man tagit fram på uppdrag av regeringen.

Rapporten både bekräftar och överträffar farhågorna som många experter och myndighetsrepresentanter haft sedan affären avslöjades, när dåvarande generaldirektör Maria Ågren avgick i somras efter misstanke om brott mot rikets säkerhet.

Transportstyrelsens rapport visar att:

  • Cirka 80 it-tekniker utan svensk säkerhetsklassning haft tillgång till Transportstyrelsens it-system i 29 månader. Det är it-tekniker hos IBM:s systerbolag i Ungern, Serbien, Rumänien och Tjeckien. Personalen har varit säkerhetsklassade enligt IBM:s krav men detta uppfyller inte svensk lag. Enligt tidigare uppgifter skulle cirka 20 personer haft tillgång till registren.
  • All information i Transportstyrelsens register är inte hemlig men bulken av information är så känsligt att den anses skyddsvärd och bör betraktas som röjd. Det handlar om säkerhetsklassad information som rör rikets säkerhet och försvaret mot terrorism. Bland annat har känsliga uppgifter ur körkorts- och fordonsregistret legat öppna för obehöriga från maj 2015 till oktober 2017.
  • De röjda uppgifterna påverkar andra myndigheter, bland dem Försvaret och Säkerhetspolisen, som fått lägga mycket resurser på att minimera skadeverkningarna av it-skandalen.
  • Det finns i dagsläget inga bevis för att informationen missbrukats i orätta händer.

Läs mer: Efter Transportstyrelsen - nu ändras lagen

Hur kunde det bli så här?

Enligt rapporten ligger en del av förklaringen till säkerhetshaveriet i uppbyggnaden av Transportstyrelsens omfattande och komplexa it-miljö, som utvecklats sedan 1970-talet och successivt byggts på utifrån nya lagkrav och förändrade behov. Under den tiden har driften i huvudsak hanterats inom myndigheten eller av en annan myndighet fram till dess att outsourcingen med IBM genomfördes.

Den bakgrunden har gjort att it-miljön utvecklats enligt synsättet att allt är tryggt och säkert inom de egna brandväggarna. Det har lett fram till en it-arkitektur där merparten av de olika systemen och dess innehåll är åtkomlig från flera håll.

När upphandlingen genomförts och IBM tog över it-driften var Transportstyrelsens it-miljö inte anpassad för det. Säkerhetsåtgärder i form av avgränsade behörigheter och övervakning av systemanvändning enligt säkerhetsskyddsförordningen följdes inte. Dessutom följdes inte MSB:s och Riksarkivets föreskrifter om informationssäkerhet eller den ISO-standard för informationssäkerhet som dessa hänvisar till. Resultatet blev att när driften outsourcades till IBM fick deras personal motsvarande behörigheter som Trafikverket tidigare använt sig av och med full åtkomst till känslig information.

Läs mer: Inlåsning på köpet

Vad händer nu?

Inom Transportstyrelsen pågår en rad åtgärder - administrativa, tekniska och kompetensmässiga - för att förstärka informationshanteringen.

Sedan den 1 oktober 2017 hanterar endast svensk säkerhetsprövad och godkänd personal den samlade it-driften.

Det pågår ett omfattande arbete med att säkerhetsklassa, säkerhetspröva och utbilda myndighetens medarbetare och konsulter. Det handlar också om att på övergripande nivå utveckla och förbättra nuvarande ledningssystem för informationssäkerhet och att utveckla en god säkerhetskultur. Transportstyrelsen ska också rekrytera en säkerhetschef tillika säkerhetsskyddschef och signalskyddschef.

Det finns fyra anmälningar kring it-skandalen hos riksdagens konstitutionsutskott, KU. I januari påbörjas förhören i KU med företrädare för Säkerhetspolisen.

I somras lämnade två statsråd, inrikesminister Anders Ygeman och infrastrukturminister Anna Johansson, sina uppdrag med anledning av it-skandalen på Transportstyrelsen.

 

24 januari 2018 Uppdaterad 5 mars 2019 Reporter anne hammarskjöld säkerhet Foto adobestock

Rekommenderad läsning

Konsert 960640

Covidpass med blockkedja

4 mar 2021 säkerhet

Delstaten New York har börjat testa en app baserad på blockkedjeteknik som påvisar ifall personer har tagit vaccin mot covid-19 eller mottagit ett negativt provresultat. Appen ska snabba på öppnandet av samhället. 

Lagenhet 960640

Böter för bevakning

16 dec 2020 säkerhet

Datainspektionen utfärdar en sanktionsavgift på 300 000 kronor mot ett bostadsbolag. Anledningen är att bolaget haft olaglig kamerabevakning i ett flerbostadshus.

Färgglada Skåp I Skolan

Säkerhet i skolan

21 sep 2020 säkerhet

KTH utbildar skolelever i it-säkerhet. Planen är att 10 000 av Sveriges grundskoleelever ska utbildas inom projektet #290CyberSecurity. 

Region Blekinge 960640

Blekinges nya skydd

14 sep 2020 säkerhet

Region Blekinge använder sig av ett paraplyverktyg för att övervaka nätverk, göra prestandamätningar och hantera larm och analyser i realtid. Lösningen ska avlasta servicedesk och på sikt även skydda för yttre hot. 

gammaldags telefonlur hänger ner mot ljusblå bakgrund.jpg

Svenskt 5G säkras

14 apr 2020 säkerhet

Post- och telestyrelsen, PTS, får i uppdrag av regeringen att kartlägga de största hoten och riskerna med svenska kommunikationsnät. Det gäller särskilt de kommande 5G-näten.

kina-ryssland-flaggor.jpg

Säpo om cyberhot

27 mar 2020 säkerhet

Cyberspionaget mot Sverige från Kina, Ryssland och Iran ökar och blir ett allt större hot mot svensk verksamhet. Under 2019 inrättades både säkerhetsskyddslagen och ett center för cybersäkerhet, men enligt Säkerhetspolisens vitbok krävs nu ett ökat säkerhetsfokus i alla led. 

vatican-city-flag.jpg

Påven reglerar AI

3 mar 2020 säkerhet

Vatikanen har tagit fram riktlinjer för en etisk och mer likvärdig AI, bland annat vad det gäller ansiktsigenkänning. Microsoft och IBM har redan skrivit under. 

en dansk flagga på flaggstång.jpg

Säkrare än Sverige

13 feb 2020 säkerhet

Åtta av tio svenska bolag uppger att de blivit utsatta för cyberattacker det senaste året, vilket är 60 procent mer än danska bolag. Det visar en ny rapport från PwC

elsakerhetsverket.jpg

Moln till myndighet

13 jan 2020 digit

Att gå från on prem till molnet stod högt på Elsäkerhetsverkets önskelista. Men med Cloud Act har myndigheten fått hitta andra lösningar och på sikt hoppas Elsäkerhetsverket på en förändring i lagstiftningen.