Varningar om Transportstyrelsens hantering kom från flera håll
Uppdaterad 2017-07-27 | Publicerad 2017-07-25
Det största hotet mot rikets säkerhet i modern tid.
Så beskrivs Transportstyrelsens it-skandal som nu rullas upp.
Men flera varnade för de märkliga besluten, visar Säpos utredning.
I april 2015 tecknade Transportstyrelsen avtal med it-företaget IBM om att de skulle ta över och sköta myndighetens it-verksamhet. IBM hade då verksamhet i Danmark, Irland, Serbien, Tjeckien och Rumänien. Med personal där skulle IBM sköta Transportstyrelsens datadrift från november 2015.
Under perioden maj-september 2015 fattade generaldirektören Maria Ågren tre gånger beslut om avsteg: från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretess-lagen. Och från myndighetens egen riktlinje om krav på informationssäkerhet.
Intern varning
Avsteget gällde säkerhetsprövning och utbildning av IBM:s personal. Allt framgår av förundersökningsprotokollet från Säpo, som Aftonbladet tagit del av.
Redan i juni 2015 flaggade Annette Olofsson, chef för internrevisionen på Transportstyrelsen, för att Ågrens beslut om avsteg var märkliga.
Olofsson frågar i ett mejl till Ågren om styrelsen informerats. ”Jag har inte tänkt på att styrelsen borde ta del av detta. Jag kan ta upp det på nästa styrelsemöte i augusti”, svarar Ågren.
När Olofsson kollade noteringarna efter mötet i augusti kunde hon inte se att avstegen tagits upp. Då tog Olofsson kontakt med ordföranden Rolf Annerberg och ytterligare en styrelseledamot. Det uppskattades inte: ”När Annette hade kontakt med Rolf Annerberg i frågan om avstegen och ställde sina frågor om informationen kommit styrelsen till del fick hon uppfattningen att han inte tog frågan på något större allvar. På frågan om Rolf Annerberg var irriterad för att Annette inte ville släppa frågan om styrelsen fått information om avstegen svarar hon att så var fallet”, skriver Säpo.
Granskades av Säpo
Sommaren 2015 fick Säpo upp ögonen för vad som var på gång och beslutade att genomföra en tillsyn av Transportstyrelsens säkerhetsskydd. Det ledde till att åklagare inledde en förundersökning om vårdslöshet med hemlig uppgift den 26 januari 2016.
Den 11 november 2015 uppmanade Säpo att överflyttningen skulle avbrytas, helt eller delvis, så att hemliga handlingar inte skulle komma i obehöriga händer. Myndigheten uppmanades att vidta omedelbara säkerhetsskyddshöjande åtgärder. Men trots varningen tog IBM över driften i december 2015.
I sin utredning har Säpo förhört en rad personer som arbetade med it- och datasäkerhet på Transportstyrelsen.
Beordrade avsteg
Många beskriver en situation där överföringen till IBM inleddes utan att en
ordentlig säkerhetsanalys gjorts innan.
David Heed, ansvarig för it-säkerheten, beskriver hur avstegen hela tiden förnyades när tiden inte räckte till. Själv gjorde han en tjänsteanteckning i augusti 2015 efter att han, mot sin vilja, beordrats att god-
känna avstegen.
”I hans värld ska inte Transportstyrelsen tilldela någon behörigheter utan att personen är registerkontrollerad”, skriver Säpo. Heed fick förklarat för sig att ”registerprövningarna skulle göras sen”.
Han uppger för Säpo att det från ledningen inte fanns någon vilja att hitta andra lösningar.
Uppgifter utomlands
Behörigheterna som delades ut, utan säkerhetsprövning, beskriver David Heed som ”nycklarna till kungariket”. ”Genom behörigheterna kan man få ändra och kopiera data och ge andra tillgång till data”, berättar han. Behörigheterna var tilldelade personer i Tjeckien, Serbien, Rumänien och även i Sverige.
Regeringen ovetande
Att avbryta projektet när Säpo varnade var inte möjligt, menade general-direktören Maria Ågren.
Först efter ett möte med Säpo i februari 2016 förstod hon att det då var för sent att göra de säkerhetsgranskningar som krävdes – det gick inte att granska personer i andra länder. Först då informerade hon regeringen, enligt förhören.
Dagen efter att Maria Ågran i januari fick sparken hördes hon av Säpo. Hon förnekade brott.
”Maria uppger att enligt en formell terminologi så är ju de skyddsvärda uppgifterna att betrakta som röjda”, står det i Säpos förhörsprotokoll från den 3 mars i år.
Maria Ågren dömdes nu i juli för vårdslöshet med hemlig uppgift och har fått ett strafföreläggande på 70 dagsböter.