Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

DN avslöjar: Polisens hemliga register låg öppna för obehöriga

Foto: Fredrik Sandberg/TT

Under it-skandalen på Transportstyrelsen låg två av polisens hemliga register åtkomliga för obehöriga. Dessutom kunde datatekniker från Serbien följa trafik mellan Transportstyrelsen och 34 svenska myndigheter på ett extra säkert nätverk, Swedish Government Secure Intranet. DN kan i dag redovisa helt nya uppgifter om de allvarliga säkerhetsbristerna.

– Om det är så att någon som inte är säkerhetskontrollerad fått tillgång den här informationen är det oerhört, säger säkerhetskonsulten Johan Wiktorin om de uppgifter DN nu kan publicera.

Hittills har Säpos, polisens och Försvarsmaktens bedömningar av it-skandalens skadeverkningar hemligstämplats. Statsminister Stefan Löfven har kallat historien ”allvarlig”, medan hans ministrar inte kommenterat eventuella skador med hänvisning till rikets säkerhet.

DN:s nya uppgifter visar hur skyddet för vitala delar statens it-verksamhet sattes ur spel. Det skedde när Transportstyrelsen beslutade att all dess datadrift skulle outsourcas till dataföretaget IBM. Fram till slutet av 2015 var det Trafikverket som svarade för driften av Transportstyrelsens system.

Överföringen från Trafikverket till IBM under tiden september 2015-mars 2016 skedde alltför snabbt och utan att säkerhetsfrågorna analyserats och tagits på tillräckligt allvar. De avsteg från tre olika lagar och interna regler som den nu straffade och avskedade generaldirektörer Maria Ågren beslutade om medförde att hemliga uppgifter kunde röjas.

Detta blev möjligt genom att, som DN tidigare rapporterat, datatekniker i andra länder som aldrig säkerhetskontrollerades fick tillgång till stora datamängder. Det gäller tre olika system:

1. Belastningsregistret. För att bland annat granska körkortsansökningar behöver Transportstyrelsens personal kunna kontrollera personer. Det sker genom en länk till Rikspolisstyrelsen och två av dess register. Det ena är belastningsregistret. Det är hemligt och innehåller personer som fått lagakraftvunna domar, strafförelägganden och andra typer av lagföringar.

2. Misstankeregistret. Det är också hemligt – men ännu känsligare. Här finns information om personer som är delgivna misstanke eller som misstänks för brott men som ännu inte känner till det.

Tre tjeckiska datatekniker vid IBM i Tjeckien fick den allra högsta administratörsstatusen. Det innebar att de kunde gå in i all lagrad datainformation. Detta trots att de aldrig säkerhetskontrollerats från svensk sida.

– I så fall har man öppnat möjligheten att komma åt hemliga uppgifter som kan användas mot enskilda människor, men också av organiserad brottslighet som kan tjäna pengar på att sälja uppgifterna vidare. Man kan också manipulera genom att ta bort eller lägga till information, säger säkerhetsexperten Johan Wiktorin.

3. Swedish Government Secure Intranet (SGSI). Svenska staten har ett särskilt, krypterat kommunikationssystem mellan myndigheterna. SGSI är skiljt från internet och till för att säkert sända kommunikation mellan myndigheter i Sverige och i Europa.

I dag är 34 svenska myndigheter anslutna till systemet, uppger Myndigheten för Samhällskydd och beredskap för DN. Genom systemet får myndigheterna tillgång till andra myndigheters databaser, kan sända skyddad e-post och hålla skyddade videokonferenser. Systemet är också kopplat till ett skyddat EU-nät, TESTA.

Läs mer: Anna Johansson: Jag vidtog åtgärder direkt

Endast svenska medborgare som genomgått en särskild utbildning genom Försvarsmaktens Logistik får hantera systemet. Och för att få tillgång till utrustningen i systemet krävs certifikat. Det är ett slags kryptonycklar som utvecklas av Militära underrättelsetjänste- och säkerhetstjänsten MUST. Dessa leveras i dubbla kuvert och kontrollen av dem är hård. Om något certifikat kommer på avvägar så byts alla ut.

IBM hade försäkrat Transportstyrelsen att företaget kunde klara all drift och säkerhet - men de hade ingen som var behörig att använda SGSI. Samtidigt skulle all kommunikation och alla brandväggar skötas av företaget NCR i Serbien, tidigare en del av den amerikanska telejätten AT&T.

Serbien är inte med i EU. Hösten 2015 kom serber från NCR kom till Trafikverket för att lära sig om system som dittills endast kontrollerade svenska medborgare haft tillgång till. Det väckte förvåning, tveksamhet och frågor. Men Transportstyrelsen försäkrade att allt var i sin ordning. Trafikverket drog ändå öronen åt sig och ströp utbildningen.

Av Säpos förundersökning framgår att lösningen blev att några behöriga tjänstemän från Trafikverket ”anställts av IBM för hantering av brandväggsadministration och SGSI”.

Men även om serberna inte fick behörighet att gå in i SGSI-systemet så skulle de ändå övervaka hela kommunikationen till och från Transportstyrelsen. 14 datatekniker med serbiska namn fick utan säkerhetskontroll full behörighet att sköta nätverket.

Även om serberna inte fick själva kryptonycklarna från MUST till SGSI kan de – eller andra som de släppt in – ändå ha kunnat orsaka stor skada för rikets säkerhet, bedömer Johan Wiktorin:

– Det är allvarligt om man sätter normala regler åt sidan. Av trafikmönstret kan främmande makt se när systemet är sårbart på grund av underhållsarbeten. Och vid plötsliga händelser går det att mäta vilka reaktionstider svenska myndigheter har och vem Transportstyrelsen kommunicerar med – kort sagt hur rikets förvaltning av transportsektorn fungerar i realiteten i ett krisläge, säger Johan Wiktorin.

Läs mer: Regeringen fick information om myndighetens lagbrott – men reagerade inte

Fakta.

Swedish Government Secure Intranet, SGSI

SGSI är ett intranät för säker, krypterad kommunikation mellan för närvarande 34 myndigheter i Sverige. Anslutet till TESTA (se nedan).

SGSI fungerar oberoende av internet, använder Försvarsmaktens PGAI-krypto och får endast användas av organisationer som uppfyller gemensamma säkerhetskrav. Det övervakas centralt.

Trans European Services for Telematics between Administrations, TESTA

TESTA är ett skyddat nät mellan EU:s medlemsstater, kandidatstater och EU-organ. Sverige är anslutet endast genom SGCI.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.