Du följer nu ämnet: STOCKHOLMS STAD (sparas i Mitt DN)
Sverige

Sex myndigheter kände till riskerna med Transportstyrelsens outsourcing

01:24. Transportstyrelsen, it-skandal och regeringskris. Detta har hänt.

Sex svenska myndigheter kände till de allvarliga säkerhetsriskerna på Transportstyrelsen – redan innan outsourcingen hade genomförts. Ändå stoppades inte projektet. Det framgår av den statliga utredning om it-skandalen som presenterades på fredagen.

I augusti förra året fick Thomas Bull, justitieråd i Högsta förvaltningsdomstolen, i uppdrag att djupdyka i frågan om hur det gick till när Transportstyrelsen bestämde sig för att lägga ut sin it-drift med känsliga uppgifter till datorjätten IBM. Åtminstone 80 obehöriga it-tekniker i Öst- och Centraleuropa fick tillgång till hemliga uppgifter.

IBM tog över driften den 1 november 2015. Men innan dess hade så många som sex myndigheter i Sverige vetskap om att det fanns säkerhetsrisker med outsourcingen. Det framgår av DN:s genomgång av utredningen.

Transportstyrelsen: I mars 2015 stod det klart för Transportstyrelsens ekonomidirektör att IBM tänkte använda sig av utländska underleverantörer.

Säkerhetspolisen: I juni 2015 slog säkerhetsskyddschefen på Transportstyrelsen larm till Säpo om att den dåvarande generaldirektören Maria Ågren hade fattat beslut om två avstegsbeslut.

Trafikverket: Sedan tidigare är det känt att Trafikverket sommaren 2015 informerade Säpo om riskerna med Transportstyrelsens outsourcing. Bakgrunden var att serbiska datortekniker som inte var säkerhetsprövade släpptes in i skyddade lokaler och började ställa frågor om Försvarets och Polisens register.

Regeringskansliet: I september 2015 meddelade Säpo sin uppdragsgivare, Regeringskansliet, om situationen och om att en tillsyn som skulle inledas.

Polismyndigheten och Försvarsmakten: I oktober 2015 informerade Säkerhetspolisen representanter för både Polisen och Försvarsmakten vid ett fysiskt möte och i fokus stod riskerna med kvalificerade skyddsidentiteter.

Trots detta stoppades alltså inte outsourcingen, utan den genomfördes fullt ut i november 2015.

– Vi har fått intrycket av att myndigheterna runt  Transportstyrelsen i viss utsträckning har tänkt så här: ”det här är vårt ansvar och det där är Transportstyrelsens ansvar”, säger utredaren Thomas Bull.

Vad sa Säpo till Regeringskansliet i september 2015?

– Jag har uppfattat det som att man lämnade information om att man hade inlett en tillsyn.

När du säger ”uppfattat” - hur menar du då?

– Det är baserat på intervjuer med Säkerhetspolisen. De hade vid tillfället bara tagit beslut om att inleda tillsyn.

Så enligt Säpo var det bara ”lite” information som gavs till Regeringskansliet hösten 2015?

– Jag har inte frågat Säpo explicit om vad som de har sagt till Regeringskansliet. Det har inte ingått i mitt uppdrag, så det vet jag faktiskt inte. Jag fick intrycket av att de bara informerade om att de hade inlett en tillsyn. Men det får man fråga Säpo om mer exakt.

I utredningen framgår också att Transportstyrelsen i december 2015 lämnade information till Regeringskansliet och Myndigheten för samhällsskydd och beredskap om situationen. Det var enligt rapporten ”konkret information om allvarliga brister avseende informationssäkerheten vid myndigheten”.

Infrastrukturminister Tomas Eneroth (S) och regeringens utredare Thomas Bull.
Infrastrukturminister Tomas Eneroth (S) och regeringens utredare Thomas Bull. Foto: Paul Hansen

– Vi konstaterar att Transportstyrelsen inte fick någon återkoppling. Regeringskansliet hörde inte av sig till Transportstyrelsen och ställde följdfrågor. Det gjorde inte heller MSB som fick samma information.

Infrastrukturminister Tomas Eneroth (S) säger till DN att Thomas Bulls utredning är en viktig granskning och att regeringen redan har vidtagit åtgärder för att förhindra liknande situationer som uppstod i och med it-skandalen i Transportstyrelsen. Till exempel ska Säpo och Försvarsmakten i fortsättningen få vetorätt innan en myndighet outsourcar verksamhet till ett annat land.

– Det här får inte upprepas. Vi kan inte ha en ordning där viktiga och säkerhetsklassade uppgifter röjs, säger Tomas Eneroth.

Skulle Regeringskansliet kunnat göra något annorlunda för att stoppa det här tidigare?

– Det är i huvudsak konstitutionsutskottet som ska göra den granskningen och inte regeringen själv. Jag tror att det finns många lärdomar att dra, inte minst om hur man närmade sig outsourcingen. Att så stora och viktiga delar av informationshanteringen lades ut på ett bolag i utlandet tror jag att man borde insett att det inte var tillrådligt. Med den nya lagstiftningen kommer inte det att vara möjligt.

Jessica Rosencrantz, trafikpolitisk talesperson för Moderaterna, konstaterar att utredningen visar att det är uppenbart att säkerhetsarbetet inom Transportstyrelsen har brustit.

– Men den visar också att Transportstyrelsen varnade regeringen redan i december 2015 om att det fanns brister, men att regeringen inte då agerade trots att varningsklockorna måste ha ringt. Av det drar jag slutsatsen att vi måste fortsätta granska regeringens roll i detta, säger Jessica Rosencrantz.

– Det är tydligt att arbetet på myndigheten har brustit. Men det är lika tydligt att det är regeringen som ytterst bär ansvar för vad som händer på myndigheterna, säger hon.

Läs mer: Regeringens utredare: Transportstyrelsen saknade kunskap 

Läs mer: It-skandalen har skadat Sveriges försvar

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.
Kommentera artikeln
I samarbete med tjänsten Ifrågasätt erbjuder DN möjligheten att kommentera vissa artiklar. Håll dig till ämnet och håll en god ton. Visa respekt för andra skribenter och berörda personer i artikeln. Vi tar bort inlägg som vi bedömer är olämpliga.