10 okt 2017 06:00

10 okt 2017 06:00

Regeringen glömde sopa framför egen dörr

LEDARE

Efter avslöjandet att Transportstyrelsen outsourcat hemliga och känsliga uppgifter till utlandet och icke säkerhetsprövad personal hörde regeringen av sig till flera myndigheter för att vara säker på att det inte väntade fler skandaler. Nu visar det sig att de bara hade behövt ringa regeringskansliet.

Sedan 2012 har hantering av centrala delar av regeringskansliets it-system lagts ut på externa aktörer, rapporterar Dagens Nyheter (9/10). Det är inte ett problem i sig, men det har gjorts utan säkerhetsskyddsavtal.

Regeringskansliets agerande är på en och samma gång både mindre och mer allvarligt än det som skedde på Transportstyrelsen.

Transportstyrelsens dåvarande generaldirektör Maria Ågren valde att lägga ut hanteringen av väldigt känsliga uppgifter på icke säkerhetsprövad personal, fullt medveten om att det innebar ett ”avsteg från gällande lagstiftning”.

Varför regeringskansliet har agerat som det har gjort är inte känt. Men en god gissning är att man faktiskt inte förstod bättre. Det må vara sorgligt, men att ta it-säkerhet på allvar är i allra högsta grad en nymodighet i Sverige. Det är först de senaste åren som vikten av det har börjat sjunka in.

Enligt DN började det 2012. Av allt att döma förstod man inte att det faktiskt fanns en säkerhetsrisk inblandad. Det handlar om utrustning i ett tiotal byggnader och kopplingen mot ambassader och generalkonsulat. Tanken verkar ha varit att det ju inte är känsliga uppgifter inblandade, bara skötsel av tekniska grejer. Detta stöds av uttalandet från regeringskansliet till DN. Där står att konsulterna faktiskt inte har tillgång till informationen i nätverket. Att känsliga data är viktiga har alltså gått fram, men inte att nätverken i sig är skyddsvärda.

Ann-Marie Eklund, säkerhetschef på Internetstiftelsen i Sverige, förklarar för DN att den som kontrollerar ett nätverk också har stor kontroll över informationen som passerar däri. ”Man skulle kunna åstadkomma rätt mycket skada, till exempel leda om trafiken temporärt – förmodligen utan att bli upptäckt.”

Att det har inträffat är förstås allvarligt i sin helhet. Men det tjänar ingenting till att låtsas som att medvetenheten kring detta var så stor för fem år sedan som den är nu. Och när det väl är gjort löper det naturligtvis bara på.

Det är däremot högst anmärkningsvärt att regeringskansliet så sent som 1 september i år slöt ett likadant avtal med ett nytt företag. Detta efter en landsomfattande debatt om it-säkerhet och en skandal med en myndighet som använde icke säkerhetsprövad personal för väldigt känsliga arbetsuppgifter. Allra senast då kan det inte längre anses finnas några ursäkter. I det läget måste det kunna krävas att personalen förstår hur viktigt detta är.

Det finns uppenbarligen åtskilligt att åtgärda på regeringskansliet. Regeringen har låtit påskina att den har varit väldigt tydlig mot alla myndigheter om vikten av it-säkerhet. Det är svårt att tro när regeringskansliet inte ens verkar förstå grunderna.

Daniel Persson/SNB

Sedan 2012 har hantering av centrala delar av regeringskansliets it-system lagts ut på externa aktörer, rapporterar Dagens Nyheter (9/10). Det är inte ett problem i sig, men det har gjorts utan säkerhetsskyddsavtal.

Regeringskansliets agerande är på en och samma gång både mindre och mer allvarligt än det som skedde på Transportstyrelsen.

Transportstyrelsens dåvarande generaldirektör Maria Ågren valde att lägga ut hanteringen av väldigt känsliga uppgifter på icke säkerhetsprövad personal, fullt medveten om att det innebar ett ”avsteg från gällande lagstiftning”.

Varför regeringskansliet har agerat som det har gjort är inte känt. Men en god gissning är att man faktiskt inte förstod bättre. Det må vara sorgligt, men att ta it-säkerhet på allvar är i allra högsta grad en nymodighet i Sverige. Det är först de senaste åren som vikten av det har börjat sjunka in.

Enligt DN började det 2012. Av allt att döma förstod man inte att det faktiskt fanns en säkerhetsrisk inblandad. Det handlar om utrustning i ett tiotal byggnader och kopplingen mot ambassader och generalkonsulat. Tanken verkar ha varit att det ju inte är känsliga uppgifter inblandade, bara skötsel av tekniska grejer. Detta stöds av uttalandet från regeringskansliet till DN. Där står att konsulterna faktiskt inte har tillgång till informationen i nätverket. Att känsliga data är viktiga har alltså gått fram, men inte att nätverken i sig är skyddsvärda.

Ann-Marie Eklund, säkerhetschef på Internetstiftelsen i Sverige, förklarar för DN att den som kontrollerar ett nätverk också har stor kontroll över informationen som passerar däri. ”Man skulle kunna åstadkomma rätt mycket skada, till exempel leda om trafiken temporärt – förmodligen utan att bli upptäckt.”

Att det har inträffat är förstås allvarligt i sin helhet. Men det tjänar ingenting till att låtsas som att medvetenheten kring detta var så stor för fem år sedan som den är nu. Och när det väl är gjort löper det naturligtvis bara på.

Det är däremot högst anmärkningsvärt att regeringskansliet så sent som 1 september i år slöt ett likadant avtal med ett nytt företag. Detta efter en landsomfattande debatt om it-säkerhet och en skandal med en myndighet som använde icke säkerhetsprövad personal för väldigt känsliga arbetsuppgifter. Allra senast då kan det inte längre anses finnas några ursäkter. I det läget måste det kunna krävas att personalen förstår hur viktigt detta är.

Det finns uppenbarligen åtskilligt att åtgärda på regeringskansliet. Regeringen har låtit påskina att den har varit väldigt tydlig mot alla myndigheter om vikten av it-säkerhet. Det är svårt att tro när regeringskansliet inte ens verkar förstå grunderna.

Daniel Persson/SNB