Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se, e-DN och DN.Prio.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Statliga hemligheter kunde nås av främmande makt

Transportstyrelsens sparkade generaldirektör Maria Ågren.
Transportstyrelsens sparkade generaldirektör Maria Ågren. Foto: Magnus Hallgren

Miljontals svenskars körkortsdata och statliga hemligheter har legat lätt åtkomliga för dataexperter i Tjeckien och Serbien som aldrig säkerhetskontrollerats. Det visar Säkerhetspolisens förundersökning av Transportstyrelsens it-affär.

Den 6 juli blev det känt att Transportstyrelsens avskedade generaldirektör Maria Ågren fått betala 70 dagsböter för att hon röjt sekretessbelagda uppgifter.

På DN:s begäran har Säkerhetspolisen lämnat ut förundersökningen i fallet. I ett Säpo-förhör säger en av Transportstyrelsens it-ansvariga att de gav bort "nycklarna till Kungariket".

Läs också: Började täppa till säkerhetshålen förra våren

– Det är häpnadsväckande att se bristen på säkerhetsanalys och hur it-säkerheten har viftats undan, säger säkerhetskonsulten Johan Wiktorin till DN.

Det är häpnadsväckande att se bristen på säkerhetsanalys och hur it-säkerheten har viftats undan.

Transportstyrelsen hanterar miljontals personuppgifter och data om infrastruktur i totalförsvaret. Alla med ett körkort, även utländska, och de som passerar genom vägtullarna i Storstockholm registreras, liksom piloter, lokförare och flygledare.

Det innebär att det går att spåra personer med skyddad identitet, bepansrade fordon, efterlysta fordon samt var och när värdetransportbilar kör. Hur mycket tung trafik som vägar, broar och flygplatser tål finns också i datasystemen, uppgifter som är högintressanta för främmande makts militära planering.

Säpos förhör med dussinet tjänstemän vid Transportstyrelsen visar hur säkerheten sattes ur spel. Det skedde när Transportstyrelsens datadrift skulle tas över av dataföretaget IBM för att spara pengar.

Så länge driften låg kvar hos en annan myndighet, Trafikverket i Örebro, så var dess personal säkerhetsgranskad och besökare i lokalerna övervakades. Men när IBM skulle förbereda sig för att ta över driften kom företaget dit med personal och konsulter från andra länder som inte säkerhetskontrollerats.

Granskningarna av den utländska IBM-personalen drog nämligen ut på tiden. Men i stället för att då bromsa omläggningen så beslutade generaldirektören Maria Ågren att sätta sig över tre olika lagar (se fakta).

Avstegen - som var olagliga - gjorde att först Transportstyrelsen och sedan IBM gavs fria tyglar att dela ut behörighet till nyckelpersoner utan att dessa först hade säkerhetsgranskats.

”De tappade kontrollen på personerna”, vittnar en annan tjänsteman. Ansvaret för säkerheten ligger ytterst på myndigheten, men dess it-säkerhetspersonal kopplades bort sedan de vägrat godkänna okontrollerade personer. Inte ens varningar från Säpo stoppade outsourcingen.

Transportstyrelsens projektledare för IBM-affären medger i förhör att han ”hade ingen kunskap alls om säkerhetsskydd”. Maria Ågren och flera andra chefer vittnar om att de inte kände till vilka hemliga data som myndigheten hanterar.

Läs också: Generaldirektör röjde sekretessuppgifter

Svenska IBM använde upp till 11 olika dotterbolag och underentreprenörer i olika länder, bland annat Rumänien, Kroatien, Tjeckien och Serbien. ”Men hur data skulle flöda förstod hon inte”, vittnar en konsult som utvärderade IBM:s anbud innan kontraktskrivningen.

De som ”fick nycklarna till Kungariket” var tre IBM-administratörer i Tjeckien med full tillgång till alla data och loggar. Det innebar möjlighet att kopiera och sända vidare data och sedan sopa igen spåren.

Datasystemens olika brandväggar och all kommunikation sköttes av ett företag i Serbien där 14 namngivna personer blev administratörer, också de utan säkerhetskontroll.

I värsta fall har man gett utländska underrättelsetjänster en ingång i datasystemen.

– Att en säkerhetsprövning inte är gjord är allvarligt. Då har man inte prövat personernas lojalitet och vet inte om man kan lita på dem från svensk sida. I fallet Serbien finns en ganska nära relation mellan den serbiska och den ryska underrättelsetjänsten. I värsta fall har man gett utländska underrättelsetjänster en ingång i datasystemen, påpekar Johan Wiktorin.

Om rikets säkerhet har skadats är hemligt. Yttranden om detta från Säkerhetspolisen, Polisens nationella operativa avdelning och Försvarsmakten finns i förundersökningen, men dessa sju sidor har total sekretess.

DN har försökt nå infrastruktursminister Anna Johansson för en kommentar. Hennes pressekreterare, Natali Sial, svarar att regeringen inte kommenterar frågor som rör rikets säkerhet.  

Fakta. Detta har hänt.

Transportstyrelsens drift av bland annat fordons- och körkortsregister sköts av Trafikverkets datacentral i Örebro. Men Transportstyrelsen vill spara pengar och outsourca driften.

April 2015. IBM får ett kontrakt på 800 miljoner kronor för att ta över driften från Trafikverket. Kontraktet omfattar 1 000 servrar, datahallar och support.

Maj 2015. Övergången till IBM är tidspressad. Transportstyrelsens generaldirektör Maria Ågren beslutar att göra avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen samt verkets egna krav på informationssäkerhet. Beslutet förlängs i juli och augusti.

Juni 2015 juni. Säpo får reda på att IBM:s drift ska ske i Rumänien och Tjeckien och inleder granskning. Verksamhet ska även drivas från Serbien, Kroatien, Holland och Finland.

25 november 2015. Säpo rekommenderar omedelbart stopp för outsourcingen och säkring av att obehöriga inte kommer åt hemliga uppgifter.

18 december 2015. Trots Säpos varning så tar IBM över driften.

26 januari 2016. Åklagare inleder förundersökning om vårdslöshet med hemlig uppgift.

19 januari 2017. Maria Ågren får sparken men orsaken är oklar.

6 juli 2017. DN rapporterar att Maria Ågren erkänt och fått strafföreläggande på 70 dagsböter på 1.000 kronor för ”grov oaktsamhet” genom att röja sekretessbelagda uppgifter den 30 september 2015-31 mars 2016.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.