Chefen: 31 tekniker i Tjeckien fick behörighet
Publicerad 2017-07-23
Transportstyrelsens okunskap om säkerheten har satt dem i krisen, konstateras i Säpos förundersökning.
En chef uppger att 31 tekniker från Tjeckien fick inloggningar under 2015.
– Man är inte medveten om vilka risker man utsätter människor för, säger en källa med insyn i upphandlingen, till Aftonbladet.
Tre eller fyra personer i utlandet ska ha fått full tillgång till ”stordatorn”.
Skandalen kring Transportstyrelsen, som läckt känsliga uppgifter till utlandet, växer för varje dag.
Aftonbladet har talat med en person med insyn i hur det gick till när Transportstyrelsen lade ut driften till företaget IBM.
Ledningen för it-avdelningen var mest intresserad av att driva igenom upphandlingen så fort som möjligt och tog inte tillräcklig hänsyn till säkerhetsriskerna, enligt källan.
– Att följa riktlinjer var man inte särskilt intresserad av, säger källan till Aftonbladet.
”Semesteruttag har fått konsekvenser”
Tiden var knapp år 2015, då it-driften skulle överföras till IBM.
Tidigare hade det varit Trafikverket som skött driften av Transportstyrelsens it-system.
Avtalet med Trafikverket skulle löpa ut vid årsskiftet och den nya upphandlingen var försenad, framgår av Säpos förundersökning:
Då kunskapsöverföringen i sig visat sig vara mera komplicerad än projektet förutsett och semesteruttag fått större konsekvenser än planerat, är projektet redan försenat, står det i ett av dokumenten.
För att undvika att Transportstyrelsen skulle stå utan leverantör gjorde man avsteg från Säkerhetsskyddslagen, Personuppgiftslagen (PUL) och Offentlighets- och sekretesslagen (OSL).
Att generaldirektören Maria Ågren undertecknade dessa dokument skulle leda till hennes avgång och ett strafföreläggande på 70.000 kronor, avslöjade Dagens Nyheter i början av juli.
31 tekniker i Tjeckien fick tillgång
Pär-Anders Fredriksson på Transportstyrelsen var ansvarig för att sköta leveransen av data till IBM och dess underentreprenörer. Han förhördes av Säkerhetspolisen i maj 2016, och titulerar sig som en ”driftschef utan personalansvar”.
Han uppger att Transportstyrelsen hade gjort uppdelningen att Tjeckien skulle sköta lagringen, Rumänien applikationsdriften och Kroatien nätverksstrukturen.
Trots att Transportstyrelsen hade skrivit ett säkerhetsskyddsavtal med IBM hade man upptäckt att företagets personal i utlandet inte varit säkerhetsklassad.
Flera fick högsta behörighet
Det gjordes två olika sorters behörigheter för den personal som släpptes in i systemen. Av den högsta klassen delades 3–4 behörigheter ut till utländska medborgare, uppger Pär-Anders Fredriksson i förhör.
De som haft den högsta behörigheten hade möjlighet att tanka ur all information i stordatorn, som bland annat förvarade bil- och körkortsregister.
Innan förhöret hade Pär-Anders Fredriksson kollat upp hur många av IBM:s personal i Tjeckien som fått behörighetstilldelning. Svaret: 31 personer, under tiden augusti 2015 till december 2015.
Huvudregeln är svenskt medborgarskap
Fram till dess att det var dags att påbörja leveransen av data visste man inte hur svårt det skulle vara att göra säkerhetskontroller av utländsk personal, säger Pär-Anders Fredriksson avslutningsvis i förhöret.
Vanligtvis är det bara svenska medborgare som registerkontrolleras och prövas av Säkerhetspolisen.
– Huvudregeln är att man ska ha svenskt medborgarskap, men det är inte alltid det krävs. Det är en fråga om undantag, säger Karl Melin vid Säkerhetspolisens presstjänst.
Aftonbladets källa med insyn i upphandlingen är mycket kritisk till hur säkerheten har åsidosatts.
– Har man misskött en upphandling så grovt så tycker jag även att en it-avdelning ska ställas till svars, det är de som sitter på kompetensen. Även om generaldirektören och politikerna har det övergripande ansvaret, säger källan till Aftonbladet.
– Man har varit omedveten om vilka risker man utsätter människor för.
Aftonbladet har sökt Per-Anders Fredriksson utan framgång. Transportstyrelsens presstjänst uppger att citaten i förundersökningen är offentliga och kan återges.