iFOKUS Hur kunde it-haveriet ske? Hur är det ens möjligt att it-kompetensen och säkerheten är så låg att ingen reagerade när Generaldirektören för Transportstyrelsen struntade i gällande lagstiftning? Aktuellt Fokus har granskat bakgrunden till it-läckan och funnit att det var regeringen Reinfeldt som bäddade för katastrofen.
S+MP-regeringens hantering av Transportstyrelsens omfattande it-läcka har varit fiaskoartad. Under gårdagens presskonferens stod det klart att flera ministrar kände till it-läckan över ett år innan statsminister Stefan Löfven säger sig ha blivit informerad.
Frågorna är många och svaren få. Vad som står helt klart är att S+MP-regeringen valde att inte göra upp med arvet från regeringen Reinfeldt – istället anammade de arvet och tog det vidare.
Aktuellt Fokus har granskat bakgrunden till Sveriges största it-läcka. Hur kunde det ske och vad var det som bäddade för it-katastrofen? I jakten på svar har vi granskat rapporter från Riksrevisionen, Myndigheten för Samhällsskydd och Beredskap och uttalanden från FRA.
2011 drog Riksrevisionen (en svensk myndighet som har i uppgift att granska statlig verksamhet) slutsatsen att svenska myndigheter lade ut för lite verksamheter på entreprenad, och att myndigheterna generellt gjorde ett rätt dåligt jobb med upphandlingar. Gjordes fler upphandlingar, menade revisionen, skulle myndigheterna bli effektivare. Dock var it-kompetensen låg hos myndigheterna generellt, och Riksrevisionen nämnde kompetensbrist som en av de allvarligare riskerna med upphandlingar i nuläget. Över 60% av myndigheterna hade inte kontrollerat informationssäkerheten i sina verksamheter.
MyndighetsSverige saknade en gemensam standard för vad som skulle säkerhetsklassificeras och på vilken nivå, konstaterade Riksrevisionen; myndigheter värderade information olika. Det fanns inga vägledningar eller riktlinjer att tillgå, bortom en allmänt hållen ambition om att lägga ut mer av myndigheternas verksamheter på entreprenad.
”Granskningen visar att det är stora skillnader mellan olika myndigheters kompetens att bedöma frågor om IT och outsourcing. Det finns därför ett behov av bättre vägledningar och erfarenhetsutbyte, så att myndigheterna inte alltid behöver börja från början när dessa frågor prövas”, skriver revisionen i sin undersökning.
Riksrevisionen rekommenderade regeringen att ta fram riktlinjer för hur myndigheter ska avgöra om IT ska skötas internt eller läggas ut, samt att se till att kunskap och erfarenheter överförs mellan myndigheter.
Myndigheterna rekommenderades att säkerställa tillräcklig beställarkompetens inom myndigheten för att kunna hantera frågor om upphandling, och att regelbundet se över outsourcingmöjligheter.
Regeringen delade Riksrevisionens bedömning att myndigheterna borde outsourca mer.
2013 kom MSB, Myndigheten för samhällsskydd och beredskap, med en vägledning till myndigheter vid IT-upphandlingar.
I februari 2014 lades Transportstyrelsens it-drift ut på entreprenad. Då var Stefan Widlert generaldirektör för myndigheten, och det var under hans ledning avtalet med IBM förhandlades fram. När Maria Ågren kom in som ny GD 2015 hade hon valet att fortsätta arbeta med det avtal och den entreprenör som fanns, eller att stänga ned myndighetens verksamhet. Hon valde det senare alternativet.
2016 varnade FRA, Försvarets radioanstalt, för att svenska myndigheter saknade nödvändig kompetens för att klara säkra upphandlingar när det kommer till it-tjänster. Myndigheter outsourcar för mycket och för rättsosäkert, menade FRA. Den it-kompetens som tidigare funnits vid myndigheterna hade försvunnit i takt med outsourcingen.
”Vi har varit med om att avtalen varit så pass dåliga att vi inte kunnat få grepp om helheten när vi ska genomföra vår granskning. Det har varit så illa att kunden inte har rätt att gå in och titta på hur deras egen information hanteras”, berättade FRAs it-säkerhetsexpert Cecilia Laurén för Computer Sweden.
I juli i år visade det sig så att Transportstyrelsen struntat fullständigt i FRAs rekommendationer vid sin upphandling och utsatt både enskilda och landet för fara genom att sprida sekretessbelagda uppgifter till tredje part. Myndigheten gjorde ingen säkerhetsanalys innan upphandlingen.
Den sammantagna bilden är att både röda och blå regeringar drivit på ökningen av outsourcing.
Tidslinje
2011: Riksrevisionen granskar outsourcing inom svenska myndigheter. Slutsatsen är att svenska myndigheter borde kunna bli bättre på att lägga ut verksamheter till upphandling.
2012: SÄPO kritiserar säkerheten vid myndigheternas upphandlingar.
2013: Daniel Karlsson, it-direktör på Transportstyrelsen, intervjuas i Computer Sweden och berättar om myndighetens moderniseringsarbete som bland annat innebär att it-driften ska gå till upphandling. MSB producerar en vägledning om informationssäkerhet i upphandling för myndigheter.
2014: Transportstyrelsen, med Stefan Widlert som GD, lägger ut sin it-drift på entreprenad.
2015: IBM vinner upphandlingen av Transportstyrelsens it-drift. Kontraktet skrivs på innan Maria Ågren tillträder som ny VD. Ågren tar under sommaren 2015 beslut om avsteg från personuppgiftslagen (PUL), offentlighets- och sekretesslagen (OSL), och säkerhetsskyddslagen. SÄPO rekommenderar att outsourcingen stoppas.
2016: Försvarets radioanstalt, FRA, larmar om att svenska myndigheter inte har tillräcklig kompetens för att klara upphandlingar av it-tjänster på ett sätt som är säkert. Förundersökning mot Ågren inleds.
2017: Det uppdagas att Transportstyrelsen riskerat rikets säkerhet genom sin okunskap om it-säkerhet vid upphandlingen som inleddes 2014.
Källor:
https://www.msb.se/RibData/Filer/pdf/26589.pdf
http://www.riksrevisionen.se/PageFiles/8528/Anpassad_11_4_IT%20inom%20statsf%C3%B6rvaltningen.pdf
https://computersweden.idg.se/2.2683/1.650026/fra-staten-moln
Sofia Tikkinen – Kim Fredriksson
redaktionen@aktuelltfokus.se
Lämna en kommentar