Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Regeringskansliet outsourcade till bolag – utan säkerhetsskyddsavtal

Foto: Fredrik Sandberg/TT

Regeringskansliet har outsourcat underhåll av centrala delar av sitt eget it-system - utan säkerhetsskyddsavtal.

DN kan avslöja att externa leverantörer under flera år har getts djup tillgång till känslig nätverksinfrastruktur.

Regeringskansliet försvarar sig med att det enbart är en del av hanteringen som lagts ut.

Under sommaren har Transportstyrelsen fått hård kritik för hur driften av känsliga register outsourcades. Regeringskansliet har reagerat kraftfullt mot hur den tidigare generaldirektören Maria Ågren bröt mot flera lagar, bland annat säkerhetsskyddslagen.

Men DN kan i dag visa att regeringskansliet självt under flera år har outsourcat viktiga delar av sitt eget it-system – utan säkerhetsskyddsavtal. Så sent som den 1 september i år gavs företaget Cygate djup tillgång till regeringskansliets nätverksinfrastruktur. Extern personal hjälper till med underhåll av utrustning som är så känslig att den potentiellt skulle kunna utnyttjas för avlyssning eller sabotage.

Trots detta saknas alltså ett säkerhetsskyddsavtal mellan regeringskansliet och leverantören, vilket är en förutsättning för att bolagets konsulter ska kunna registerkontrolleras i syfte att säkerställa lämplighet.

En myndighet är skyldig att teckna ett sådant avtal om en leverantör kan komma att ta del av uppgifter som omfattas av sekretess med hänsyn till rikets säkerhet. Regeringskansliets hantering skulle därmed kunna bryta mot säkerhetsskyddslagen.

Lagstiftningen finns till för att sekretessbelagda uppgifter eller andra skyddsvärda aspekter ska ges samma skydd hos leverantören som de har på myndigheten. Ett säkerhetsskyddsavtal ska reglera bland annat säkerhetsprövningar, tillsyn och tillträdesbegränsningar.

Mellan april 2012 och augusti 2017 hade bolaget Atea motsvarande uppdrag på regeringskansliet. Inte heller då fanns något säkerhetsskyddsavtal.

Ett nätverk är det som binder ihop datorer, skrivare, mejlservrar och annan utrustning så att de kan kommunicera med varandra. Det skulle kunna beskrivas som hjärtat i ett it-system. På regeringskansliet handlar det om utrustning i ett tiotal byggnader i Klarakvarteret i Stockholm, samt kopplingen mot ambassader och generalkonsulat. Atea och Cygates uppdrag har varit att underhålla de centrala punkterna i nätverket – routrar och switchar. I ansvaret ingår även att underhålla regeringskansliets videokonferenssystem.

– På regeringskansliet hanteras oerhört känslig information. Den som kontrollerar nätverket har stor kontroll över informationen som passerar. Man skulle kunna åstadkomma rätt mycket skada, till exempel leda om trafiken temporärt – förmodligen utan att bli upptäckt, säger Ann-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige.

I handlingar som DN har tagit del av framgår att bolagets personal kan komma att utföra arbeten både på distans och i regeringskansliets egna lokaler, men flera detaljer i uppdraget har belagts med sekretess.

DN har bett att få intervjua regeringskansliets it-chef Inga Brundell Öhman. Hon hänvisar till en skriftlig kommentar via kommunikationsenheten:

”Den bedömning som har gjorts av regeringskansliet är att vissa uppgifter i dessa avtal omfattas av sekretess för säkerhetsåtgärder (18:8 OSL). Detta innebär samtidigt att säkerhetsskyddsavtal inte krävs.”

Regeringskansliet skriver vidare att driften av nätverket sköts av egen personal, men att de tar hjälp av underhåll och support av produkterna genom de externa leverantörerna. ”Dessa konsulter har dock inte tillgång till den information som passerar i nätverket”, skriver regeringskansliet till DN.

Men Dagens Nyheters granskning visar att regeringskansliet har bedömt uppdragen med både Cygate och Atea som så känsliga att det inte ens genomfördes en annonserad offentlig upphandling. I stället användes upphandlingsregelverkets undantagsbestämmelser med hänvisning till sekretess och rikets säkerhet.

Det här är förmodligen bara toppen på ett isberg.

Att det då samtidigt saknas säkerhetsskyddsavtal gör situationen än mer ologisk, enligt Ann-Marie Eklund Löwinder.

– Det är fullständigt obegripligt. Det här är förmodligen bara toppen på ett isberg. Det är inte så att situationen på Transportstyrelsen var unik. Det här visar att bristfällig hantering av informationssäkerheten är vanligare än vad vi tror, säger hon.

Myndigheter väljer i allt större utsträckning att anlita externa parter för att utföra arbetsuppgifter som inte ingår i kärnuppdraget. Säkerhetspolisen har tidigare varnat för att outsourcing av it-system kan vara ett hot mot känsliga uppgifter. I sin handbok till myndigheter – ”10 tips för säkrare outsourcing” – lyfter Säpo fram vikten av kravet på säkerhetsskyddsavtal och hänvisar till färdiga mallar på sin hemsida som myndigheter kan använda. ”Underteckna aldrig affärsavtalet innan säkerhetsskyddsavtalet är undertecknat och leverantören blivit godkänd”, skriver Säpo i sin handbok.

Fakta. Säkerhetsskyddsavtal

• Ett säkerhetsskyddsavtal måste upprättas innan en myndighet ger ett uppdrag till en leverantör där det förekommer uppgifter som omfattas av sekretess med hänsyn till rikets säkerhet. Det framgår av säkerhetsskyddslagen.

• I ett säkerhetsskyddsavtal regleras bland annat säkerhetsprövningar, tillsyn och tillträdesbegränsningar. Det är en förutsättning för att kunna registerkontrollera extern personal. Registerkontroll görs av Säpo genom belastningsregistret, misstankeregistret och polisens allmänna spaningsregister.

• Syftet med avtalet är att myndigheten ska kunna ställa samma krav på säkerhetsskyddet hos leverantörer som de ställer i sin egen verksamhet.

• En myndighet är skyldig att meddela Säkerhetspolisen när ett säkerhetsskyddsavtal har ingåtts eller upphört att gälla.

• Enligt Säpo får en säkerhetsskyddad upphandling inte utnyttjas i konkurrensbegränsande eller annat diskriminerande syfte.

Källa: Säkerhetsskyddslagen, Säkerhetspolisen och Upphandlingsmyndigheten

 

Fakta. Cygates uppdrag på regeringskansliet, enligt affärsavtalet

Cygate ska tillhandahålla service- och underhåll för regeringskansliets befintliga nätverksutrustning inom "RK LAN", "UM LAN" och inom regeringskansliets videokonferenssystem. Leverantören ska hjälpa till med bland annat:

• "Distansstöd"

• "Driftsätta nätverkskomponenter efter inträffad incident"

• "Avhjälpa alla funktionshindrande fel och på plats i Kundens lokaler om Kunden så begär"

• "Tillhandahålla reservdelar/ersättningsprodukter"

• "Tillhandahålla uppdateringar, nya versioner och revisioner av Underhållsobjekten"

• "Borttagande av utbytta delar"

• "Återstart av Kundens Underhållningsobjekt"

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.