Annons

Per Gudmundson:Värre än vi trodde på Transportstyrelsen

Ingrid Cherfils, ställföreträdande generaldirektör, och Jonas Bjelfvenstam, generaldirektör, vid Transportstyrelsens presskonferens på tisdagen
Ingrid Cherfils, ställföreträdande generaldirektör, och Jonas Bjelfvenstam, generaldirektör, vid Transportstyrelsens presskonferens på tisdagen Foto: Hossein Salmanzadeh/TT
Under strecket
Publicerad

Det så kallade ”haveriet” på Transportstyrelsen var mer omfattande än vad som tidigare varit känt. På tisdagen presenterade myndigheten sin egen kartläggning av hur de känsliga uppgifterna i registren hanterats.

I korthet kan man sammanfatta läckan med att allt, precis allt, är röjt. Samtliga hemliga uppgifter, all säkerhetskänslig information och alla av andra anledningar sekretessbelagda eller integritetskränkande detaljer har blottats under drygt två års tid från maj 2015 till oktober 2017.

Och det är inte bara någon enstaka person som har haft access. I princip alla it-tekniker som har varit inblandade har haft möjlighet att komma åt ”myndighetens samlade bulkdata”.

Kartläggningen beskriver hur Transportstyrelsens it-miljö utformats för att vara så enkel som möjlig att hantera, snarare än säker med tanke på de känsliga uppgifterna. ”Förutom it-miljöns uppbyggnad har den historiska bakgrunden även präglat synsättet på frågan om behörigheter till systemen. Dessa utformades utifrån målsättningen att det skulle vara enkelt att administrera it-miljön. Behörigheterna blev därför väldigt omfattande och innebar i praktiken att alla it-tekniker hade åtkomst till och kunde administrera alla system och data.”

Annons
Annons

När Transportstyrelsens ledning överlät driften åt en extern aktör var systemet därmed vidöppet. Man gav bort ”nycklarna till Kungariket”, som en av myndighetens tekniker uttryckte det i Säkerhetspolisens förhör.

När skandalen briserade i somras var vidden inte helt klar. I Säkerhetspolisens förundersökningsprotokoll listades då 17 utländska individer som i strid mot gällande regler givits behörighet till systemen. En nederländare, tre tjecker och resten serber. Nu visar Transportstyrelsens egen kartläggning att läckaget varit betydligt mer omfattande.
”IBM har använt sig av cirka 80 personer ifrån sina systerbolag i Ungern, Rumänien, Tjeckien och Serbien. Även om dessa i viss mån har haft olika behörigheter så har de ändå, på grund av att it-miljön är integrerad för återanvändning och samnyttjande av information och resurser, haft åtkomst till merparten av systemen och data.”

Det är inte vilka länder som helst teknikerna kommer ifrån. Det är forna sovjetiska satellitstater som i allt från utbildningsväsende till industri har varit helt penetrerade av säkerhetstjänsters personal. Serbien är även i dag allierat med Ryssland.

De fick behörighet till Transportstyrelsens it-miljö utan svensk säkerhetsprövning. ”Dessa behörigheter i kombination med hur it-miljön är uppbyggd – att olika system är integrerade med varandra och återanvänder uppgifter mellan sig – har gett dessa personer åtkomst till myndighetens samlade bulkdata. Därigenom har man även haft åtkomst till hemliga uppgifter som går att få fram i Transportstyrelsens olika it-system.”

Försvarsmakten, Säkerhetspolisen, FRA, Polisen, Post- och Telestyrelsen, Myndigheten för samhällsskydd och beredskap, Datainspektionen och Skatteverket har yttrat sig till Transportstyrelsen i kartläggningen. Flera myndigheter ”framhåller att det finns betydande risker för men/skada på såväl kortare som längre sikt”. De har fått ”vidta åtgärder i förebyggande syfte, eftersom uppgifterna betraktas som röjda”. Arbetsinsatsen för att omhänderta situationen beskrivs som ”omfattande”.

Sällan har väl svensk förvaltning sett något mer märkligt. Regeringens egen myndighet begår bokstavligt talat brott mot rikets säkerhet.

Jo, en sak är märkligare.

Regeringen sitter kvar.

Annons
Annons
Annons
Annons
Annons