Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Sverige

Transportstyrelsen varnade regeringen för säkerhetsrisker

Transportstyrelsen, statlig förvaltningsmyndighet, i Solna.
Transportstyrelsen, statlig förvaltningsmyndighet, i Solna. Foto: Erik Simander/TT

Transportstyrelsen varnade regeringskansliet redan 2015 för att IBM-projektet förväntades medföra it-säkerhetsrisker. Det framgår av dokument som DN har tagit del av.

Myndigheten konstaterade att tidspressen kunde leda till ”otillbörlig åtkomst av känslig information”.

I december 2014 fick Transportstyrelsen ett uppdrag av regeringen att analysera sin informationssäkerhet. En rad svenska myndigheter som hanterar känslig information fick liknande direktiv. Bakgrunden var att regeringen och Myndigheten för samhällsskydd och beredskap (MSB) skulle få en översiktsbild av hot och risker.

Transportstyrelsen redovisade sitt regeringsuppdrag den 8 december 2015. Då hade it-driften av känsliga register ännu inte flyttats utomlands.

I rapporten, som DN har tagit del av, varnade myndigheten för en rad risker med bytet av it-driftleverantör. Tidsplanen för projektet hade varit kort, vilket medförde ”högre risker vad främst gäller möjligheten till otillbörlig åtkomst av känslig information”.

Dokumentet skickades till både regeringskansliet och MSB, men ingen av dem gav direkt respons med krav på åtgärder.

• Läs fler artiklar om DN:s granskning av Transportstyrelsen här

I rapporten skrev Transportstyrelsen att myndighetsledningen gjorde bedömningen att riskerna var hanterbara, men att tidspressen hade varit så hård att ”delar av normalt förberedelsearbete inte hunnits med”. Bland annat hade riskanalyser inte genomförts fullt ut och i projektet saknades även kunskap om ”vilka krav som verksamheten ställer utifrån informationens skyddsvärde då informationsklassningar endast delvis gjorts av verksamheten”.

Det saknades även planer för hur myndigheten skulle kontrollera överenskommelser i avtal med leverantörer.

Uppgifterna som framgår i dokumentet innebär alltså att regeringskansliet från flera håll nåtts av information om betydande risker med Transportstyrelsens uppmärksammade it-projekt. En och en halv månad tidigare - i september 2015 - slog Säkerhetspolisen larm till justitiedepartementets dåvarande statssekreterare Ann Linde (S) om Transportstyrelsens planer. Trots varningarna tog IBM över driften, vilket ledde till att hemlig information riskerade att röjas.

I januari 2016 inledde Säkerhetspolisen en förundersökning om vårdslöshet med hemlig uppgift som senare ledde till att Transportstyrelsens generaldirektör Maria Ågren straffades med dagsböter.

Den it-säkerhetsrapport som Dagens Nyheter i dag kan presentera är alltså ett svar på ett uppdrag från regeringen själv angående just informationssäkerhet. Enligt DN:s källor fick den politiska ledningen på näringsdepartementet information om rapporten, men den delgavs inte övriga departement och togs inte upp på något regeringssammanträde.

DN har sökt infrastrukturminister Tomas Eneroth, men han vill inte ställa upp på någon intervju. Näringsdepartementets expeditionschef Fredrik Ahlén hänvisar till den pågående KU-utredningen.

Förra veckan inledde konstitutionsutskottet (KU) sin granskning av it-skandalen på Transportstyrelsen. Först till senvintern och våren räknar KU med att hålla utfrågningar med statsråd.

Senast i januari nästa år blir regeringens egen utredning klar om hur det gick till när Transportstyrelsen begick lagbrott i hanteringen av känsliga uppgifter. Den leds av Thomas Bull, justitieråd i Högsta förvaltningsdomstolen.

Detta har hänt.

April 2015: IBM får ett kontrakt på 800 miljoner kronor för att ta över Transportstyrelsens it-drift. Den ska förläggas till underleverantörer i utlandet.

Maj 2015: Generaldirektör Maria Ågren beslutar att göra avsteg från lagens krav på säkerhetskontroll av den utländska personalen, för att snabba på processen.

Sommaren 2015: Flera medarbetare på myndigheten reagerar och protesterar mot lagbrottet. Säkerhetspolisen får information om vad som håller på att hända.

September 2015: Säkerhetspolisen informerar justitiedepartementet om ärendet. All information om mötet hålls än i dag hemligt av både Säpo och regeringskansliet. I normala fall leds denna typ av möten av ansvarig statssekreterare, vilket vid tidpunkten var Ann Linde.

25 november 2015: Säpo rekommenderar omedelbart stopp för outsourcingen.

18 december 2015: Trots Säpos varning så tar IBM över driften.

26 januari 2016: Åklagare inleder förundersökning om vårdslöshet med hemlig uppgift.

Januari 2016: Inrikesminister Anders Ygeman informeras om ärendet.

Mars 2016: Försvarsminister Peter Hultqvist informeras om säkerhetsbristerna.

Våren 2016: Statssekreteraren åt infrastrukturminister Anna Johansson informeras flera gånger, men för inte informationen vidare.

Januari 2017: Statsminister Stefan Löfven och infrastrukturminister Anna Johansson, som ansvarar för myndigheten, får vetskap om problemen.

6 juli 2017: DN avslöjar att Maria Ågren erkänt och fått strafföreläggande på 70 dagsböter på 1 000 kronor för grov oaktsamhet genom att röja sekretessbelagda uppgifter den 30 september 2015 till den 31 mars 2016.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.