Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

DN granskar: It-säkerheten döms ut – i intern rapport

Foto: Pontus Lundahl/TT

Trots Säkerhetspolisens åtgärder och byte av generaldirektör har Transportstyrelsen fortfarande mycket dålig it-säkerhet. Det visar en intern rapport som DN har läst. Av elva uppställda krav blir det underkänt på tio. Dokumentet visar också att Transportstyrelsen inte lever upp till föreskrifter från Myndigheten för samhällsskydd och beredskap (MSB).

DN kan i dag redovisa nya uppseendeväckande uppgifter om Transportstyrelsen. Tidigare har DN avslöjat hur myndigheten röjt personer med skyddad identitet och hur polisens hemliga belastnings- och misstankeregister varit åtkomliga för obehöriga liksom Transportstyrelsens trafik på det skyddade intranätet SGSI. Allt detta gällde händelser 2016.

Sedan dess har generaldirektören Maria Ågren tvingats sluta och straffats med böter.

– Generaldirektören har avgått, men det är inte där problemen ligger, säger en DN-källa med insyn i verksamheten.

I själva verket dras Transportstyrelsen med stora problem kring sin it-säkerhet. Det visar en intern rapport från i år som DN tagit del av. Rapporten upprättades i mars i år och är en intern mätning av informationssäkerheten. Det är den tredje rapporten om it-säkerheten inom myndigheten sedan 2014.

Rapporten konstaterar att ”mognadsgraden” visserligen har ökat, men att den ”är fortfarande är låg”. Både interna och externa revisioner av verksamheten ger nedslående resultat:

”Gemensamt för de flesta av revisionerna är anmärkningar och brister om lokal och central styrning, kontroll och uppföljning inom myndigheten”, står det i rapporten.

Foto:

It-säkerheten har graderats på en skala 0–5 där 4 är godkänt. Av elva undersökta områden är det bara ett som får godkänt, se tabellen. Det är riktlinjerna för Informationssäkerhet som når nivå 4 och godkänd, medan själva genomförandet av riktlinjerna får underbetyg på alla tio områdena.

Den punkt som heter ”Efterlevnad”, det vill säga hur väl ledningen bryr sig om it-säkerhet ligger får ett bottenbetyg på 1,6. Också verkets hantering av it-incidenter ligger på samma låga nivå.

När Säpo sommaren 2015 fick veta att dåvarande generaldirektören Maria Ågren satt sig över lagarna inledde Säpo en tillsyn. Denna pågick också 2016. Trots detta fick i mars 2017 Transportstyrelsens ”hantering av skydd av skydd och tillgångar” betyget 2. Samma låga betyg får området ”personal och säkerhet”.

Som DN avslöjat har personer som aldrig säkerhetskontrollerats fått tillgång till myndighetens lagrade data. Ännu finns 2017 stora problem. Området ”styrning av åtkomst” får betyget 2,6.

Problemen ligger långt tillbaka i tiden. Säkerhetspolisens förundersökning tyder på it-säkerheten inte prioriterades av den förrförra generaldirektören Staffan Widlert som ledde myndigheten 2009–2015. På frågan om outsourcingen till IBM av datadriften kunde Widlert inte minnas om han ”deltagit i några diskussioner kring att upphandlingen måste vara säkerhetsskyddad”, enligt Säpos förundersökning.

– Hade säkerhetskraven kommit med från början så skulle outsourcingen blivit så dyr att det skulle ha stjälpt hela IBM:s anbud, säger en DN-källa med insyn i historien.

Hade säkerhetskraven kommit med från början så skulle outsourcingen blivit så dyr att det skulle ha stjälpt hela IBM:s anbud.

Staffan Widlert gick i pension 2015 samtidigt som IBM tog över datadriften. Widlert efterträddes av Maria Ågren. Men ”under det korta överlämnande som Staffan hade med Maria Ågren talade man inte om säkerhetsfrågor”, enligt vad Widlert sade till Säpo.

Maria Ågren hade endast varit generaldirektör i två månader när hon fattade det första olagliga beslutet om att sätta sig över tre lagar och de interna riktlinjerna för it-säkerhet. Projektledarna för outsourcingen övertygade henne om att det inte fanns något annat alternativ. Detta ifrågasätts av flera DN-källor.

Sedan Maria Ågren förflyttades av regeringen den 19 januari 2017 leds myndigheten av Jonas Bjelfvenstam.

Av rapporten att döma väntar en rejäl uppförbacke den nye generaldirektören. Flera olika initiativ har tagits inom Transportstyrelsen för att höja it-säkerheten. ”Detta bådar gott för framtiden”, sägs det. Men dessa initiativ ”har problem att leverera resultat, främst på grund av resursallokering och osäker prioritering.”

Resultatet är att Transportstyrelsens arbete brister och inte lever upp på att de krav som finns från MSB och Riksarkivet

”MSB och Riksarkivet ställer krav genom föreskrifter på Transportstyrelsen. Vi uppfyller i dag endast cirka 30 procent av de krav som ställs på oss genom dessa föreskrifter”, slår rapporten fast.

Vårt säkerhetsmedvetande har höjts betydligt och paradoxalt nog inte minst genom den här historien.

När det gäller personuppgiftslagen och säkerhetskyddslagen ”har vi i dag inte någon uppföljning av vår verksamhet”, enligt rapporten. Den slår sammanfattningsvis fast att arbetet på att trygga it-säkerheten ”kvarstår under flera år framöver”.

Generaldirektör Jonas Bjelfvenstam medgav på fredagen att han inte kan garantera att icke säkerhetsklassade personer i andra länder just nu inte har tillgång till hemlig information.

– När vårt åtgärdsprogram är avslutat under hösten, då kommer man att kunna utesluta det, säger han till DN och tillägger:

– Vårt säkerhetsmedvetande har höjts betydligt och paradoxalt nog inte minst genom den här historien. Vi vidtar också åtgärder för att stärka säkerhetsmedvetandet och kulturen i myndigheten. Vi har också nu färdigställt en säkerhetsskyddsanalys som gör det möjligt för oss att bättre identifiera hur vi ska arbeta med detta framöver. Det kommer att behövas fler åtgärder, kopplat till frågor om krisberedskap och civil beredskap.

   Läs mer: Misstroendeförklaring kan följa i it-skandalens spår – men inte än

Detta har hänt

2015: Transportstyrelsens drift av bland annat fordons- och körkortsregistret sköts av Trafikverket. Men Transportstyrelsen vill outsourca driften.

April 2015: IBM får ett kontrakt på 800 miljoner kronor för driften av 1 000 servrar, datahallar och support.

Maj 2015: Transportstyrelsens generaldirektör Maria Ågren beslutar att göra avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen.

Juni 2015: Säpo får reda på att driften ska ske i Rumänien och Tjeckien och inleder granskning. Verksamhet ska även drivas från Serbien, Kroatien, Holland och Finland.

25 november 2015: Säpo rekommenderar omedelbart stopp för outsourcingen.

18 december 2015: Trots Säpos varning så tar IBM över driften.

26 januari 2016: Åklagare inleder en förundersökning om vårdslöshet med hemlig uppgift.

19 januari 2017: Maria Ågren får sparken, orsaken är oklar.

6 juli 2017: DN berättar att Maria Ågren erkänt och fått strafföreläggande på 70 dagsböter på 1 000 kronor för ”grov oaktsamhet” genom att röja sekretessbelagda uppgifter den 30 september 2015–31 mars 2016.

14 juli 2017: DN avslöjar att obehörig personal fick tillgång till känsliga uppgifter när driften av Transportstyrelsens datorer togs över av dataexperter i Tjeckien och Serbien som aldrig säkerhetskontrollerats.

19 juli 2017: DN avslöjar att bland Transportstyrelsens röjda uppgifter fanns information som gör det möjligt att spåra personer som har hemliga adresser och som lever med skyddad identitet.

20 juli 2017: DN avslöjar att generaldirektören Maria Ågren informerade regeringen om sitt beslut om ”avsteg från lagen” redan i februari 2016, enligt Säpos förhörsprotokoll.

21 juli 2017: DN avslöjar att två av polisens hemliga register låg åtkomliga för obehöriga under it-skandalen. Dessutom kunde datatekniker från Serbien följa trafik mellan myndigheter på ett extra säkert nätverk.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.