Bostadsförmedlingens system kraschade – haveriet tystades ner

Publicerad 2017-06-30

Bostadsförmedlingens datasystem havererade – så att obehöriga kunde ändra uppgifter om personer i bostadskön, kan Aftonbladet avslöja.

Men skandalen tystades ner.

Bostadsförmedlingen ska också utreda uppgifter om att handläggare misstänks sälja hyresrätter.

Skandalen tystades ner

I dag står det över 550 000 personer i kön hos Bostadsförmedlingen i Stockholm.

Kostnaden för en plats i kön är 200 kronor per år.

I fjol drog förmedlingen in närmare 91 miljoner på köavgifterna.

Ska utredas

Samtidigt gjorde man en vinst på verksamheten på närmare sex miljoner kronor.

Efter att Aftonbladet i mitten av juni publicerade uppgifter om misstänkt fusk - där handläggare uppges ha manipulerat systemet och sålt hyreskontrakt - har Bostadsförmedlingen tillsatt en utredning.

Granskningen ska ledas av en extern revisionsbyrå.

– Vi är i gång så till vida att vi håller på att formulera uppdraget, säger Jannike Siljan, tillförordnad vd på Bostadsförmedlingen.

Drabbades av datorhaveri

Aftonbladet kan nu också avslöja att Bostadsförmedlingens datorsystem tidigare har havererat – och att obehöriga då kunde se och ändra privata uppgifter hos personer i bostadskön.

Haveriet inträffade i samband med en systemuppdatering och resulterade i att man av misstag kunde loggas in på andras konton.

”Vi vill gärna ange exakta siffror men det finns inga uppgifter om hur många som blev inloggade på fel sidor. Däremot vet vi att 674 personer gjorde någon form av ändring i sina uppgifter”, skriver Jannike Siljan i en kommentar.

Hon fortsätter:

”Det vi kan se är att felet enbart kunde uppstå för de personer som loggade in under den aktuella helgen och som själva inte avslutade sin inloggning på Mina sidor, detta samtidigt som någon annan loggade in”.

Mörkade händelsen

På ”Mina sidor” står bland annat årsinkomst, adress, telefonnummer, sysselsättning och hur man vill bli kontaktad om man skulle bli kallad på en visning.

Haveriet inträffade i december 2013 och Bostadsförmedlingen valde att mörka omfatttningen.

Ingen information skickades ut direkt till alla de som står i bostadskön om att de riskerade få sina uppgifter ändrade.

Personer som har skyddade personuppgifter kan registrera sig hos Bostadsförmedlingen.

Inte heller de fick någon riktad information om att obehöriga riskerade komma åt användarkonton.

Förmedlingen gick istället bara ut med att de hade ”problem med inloggningen”.

”Borde ha informerat”

”Vi kan konstatera att vi idag skulle ha gjort vissa saker annorlunda. Det gjordes en bedömning att det var få som var direkt berörda av den felaktiga inloggningen och att den inte påverkade kötider eller förmedling av lägenheter. Det vi kan konstatera i efterhand är att vi borde ha informerat alla som stod i bostadskön. Idag hade vi hanterat detta på ett annat sätt”, kommenterar Jannike Siljan.  

Systemuppdateringen genomfördes en fredag.

I Bostadsförmedlingens logg framgår att användare slog larm via mail om att det gick att komma in på andras konton redan under lördagen.

Stängdes ner

På söndagen fick förmedlingen ytterligare mail om samma problem.

På måndag fortsatte mail att strömma in om problem med inloggningen.

Det var först då som den stängdes ner.

I en intern säkerhetsrapport som Aftonbladet tagit del av framgår att krishanteringen försenades:

”I och med att problemet uppmärksammades utanför kontorstid och uttalad jourtjänstgöring inte finns på varken Bostadsförmedlingen eller SLK IT försenades hanteringsinsatserna”, konstaterar rapporten.

Inget dataintrång

I samma rapport står det att man startade upp en krisledning.

”Fokus för krisarbetet var teknisk hantering av IT-incidenten, kommunikation till kunder samt kommunikationsförberedelser för eventuell medial uppmärksamhet”.

Enligt Jannike Siljan fanns inga indikationer på dataintrång.

”Vi undersökte systemet noga och verifierade ursprunget till problemet. Ingenting visade på att det kunde ha varit en attack”, skriver hon.

Nya rutiner

Jannike Siljan uppger att Bostadsförmedlingen kontaktade alla som ”befann sig i en förmedlingsprocess för att säkerställa att inget blivit fel”.

Efter haveriet har man nu ändrat sina rutiner.

”Sedan december 2013 har både vi och Stockholms stad en helt annan incidenthantering med beredskap dygnet runt vilket gör att driftfel upptäcks även om vår egen verksamhet har ”helgstängt”. Det gör att det idag går mycket snabbare både att upptäcka fel och att stänga ner ett system”, kommenterar Jannike Siljan.