2017-07-10 09:58

Skyddsvärda uppgifter och outsourcing – en känslig affär

Som vi skrivit om flera gånger tidigare här på energisäkerhetsportalen när det gäller säkerhetsskydd så är det viktigt att varje företag eller berörd organisation gör riskanalys och säkerhetsanalys i enlighet med gällande föreskrifter. Än viktigare är att se till att man hanterar skyddsvärd information korrekt, d.v.s. att man vidtar adekvata åtgärder för att nå en säkerhetsmässigt acceptabel nivå i hanteringen. Vi har i andra artiklar beskrivit hur man i andra länder avbrytit outsourcingaffärer eller att man på grund av dåligt hanterad säkerhet, i samband med upphandlingen eller av outsourcingpart, tagit hem delar av driften som följde med i outsourcingaffären. Det har nu blivit känt att vi i Sverige har ett eget fall inom detta område som förtjänar närmare analys och kommentarer.

Generaldirektören för transportstyrelsen blev av regeringen avskedad i början av 2017, vilket kom som en överraskning för alla som inte var inblandade eller tillhörde den lilla grupp personer med direkt insyn i affären. Officiellt angavs ”olika syn på hur arbetet ska bedrivas” som skäl för avsked. Nu, efteråt, när nyheten om att Transportstyrelsen gjort affärer med en utländsk leverantör där uppgifter som är känsliga för rikets säkerhets involverats, och att den avskedade GD:n får böter för sitt, och därmed myndighetens, agerande, så hamnar det tidigare angivna skälet till avsked aningen i skymundan.

Det var i samband med SÄPOs tillsyn hos transportstyrelsen under 2015 som hela affären började rullas upp. Transportstyrelsen har i en stor outsourcingaffär lagt ut IT-drift av servrar och IT-infrastruktur till IBM, som i sin tur flyttat mycket av informationen till servrar som är utplacerade i andra länder.  En utkontrakteringsaffär innebär vanligtvis att leverantörens olika medarbetare, som ofta är uppdelade i funktionella team utspridda över många länder och ibland hela världen, kan komma åt, och ta del av, informationen. Det kan finnas vissa inskränkningar, men ofta är det på teamnivå av typen "Databasadministratörerna i Oraclegruppen",  "Nätövervakning" eller "SAP-utvecklare". Detta är helt naturligt och sker i princip i alla utkontrakteringsaffärer.

Svenska Dagbladet skriver:
"Av åklagarens beslut framgår att brottet ska ha begåtts mellan 30 september 2015 och 31 mars 2016 i Sverige. Ågren ska ha brutit både mot lagen och Transportstyrelsens egna riktlinjer för åtkomst till system och servrar. Hon ska dock inte ha haft som syfte att "gå främmande makt tillhanda"
Så brottet uppstod i anslutning till att man tagit beslutet om outsourcingaffären, även om man inte avsåg att uppsåtligen ville sprida handlingarna.

Svt uppger:
I Transportstyrelsens databas finns bland annat information om alla fordon i hela Sverige – privata, polisens och militärens. Och även alla körkortsinnehavares personuppgifter. Det är dessa uppgifter som kan ha läckts till främmande makt.

I intervjun i Dagens Nyheter så säger Säpos presschef:
"– Utan att gå in på det specifika fallet kan jag säga att vi ofta ser stora brister när det gäller statlig offentlig upphandling där säkerhetsperspektivet glöms bort när verksamhet outsourcas"

Händelsen med transportstyrelsens outsourcingaffär är allvarlig ur många aspekter och visar på hur viktigt det är att detta arbete bedrivs professionellt och att säkerhetsfrågorna måste tas på allvar, inte minst i samband med outsourcingaffärer. Skadan som uppstår i samband med en sådan här händelse kan vara något som består i många år. Även om servrar tas hem, så kan informationen ha blivit kopierad, röjd till obehörig, såld, analyserad, såld igen osv. på ett sätt och i en skala som inte är möjlig med icke-digitala artefakter.

Svenska kraftnäts arbete inom området fortgår alltjämt. Under året så har det varit informationsdagar om säkerhetsskydd på Arlanda och nya informationsdagar är inplanerade i höst. En ny bilaga till vägledningen om IT-säkerhetsarkitektur, bilaga 2, som handlar om krav vid utläggning av drift, är också under framtagande.


Mer information om säkerhetsskydd inom elkraftssektorn hittar du här:
http://www.svk.se/aktorsportalen/sakerhetsskydd
http://www.svk.se/siteassets/om-oss/foreskrifter/svkfs-2013-1-webb.pdf
http://www.svk.se/aktorsportalen/sakerhetsskydd/fragor-och-svar/
https://www.energisakerhetsportalen.se/media/1054/vaegledning-informations-och-it-saekerhet-samt-saekerhetsskydd.pdf

Olika artiklar om Transportstyrelsens säkerhetsskyddsbrott:
Säpos tillsyn avslöjade brottet
http://www.dn.se/nyheter/sverige/sapos-tillsyn-avslojade-brottet/

"Uppgifter: It-affär blev Maria Ågrens fall"
http://www.dn.se/nyheter/sverige/uppgifter-it-affar-blev-maria-agrens-fall/

"Transportstyrelsens förra generaldirektör Maria Ågren röjde sekretessbelagda uppgifter"
https://www.svt.se/nyheter/inrikes/transportstyrelsens-forra-gd-rojde-sekretessbelagda-uppgifter

" SVT Nyheter avslöjar: Läckte uppgifter vid dataupphandling"
" Transportstyrelsens förra chef Maria Ågren tillgängliggjorde sekretessbelagda uppgifter för främmande makt. Nu kan SVT Nyheter avslöja att det handlar om en stor dataupphandling som myndigheten gjorde 2015."
https://www.svt.se/nyheter/inrikes/svt-avslojar-dataupphandling-agrens-fall

"Löfven bekräftar: ”Utreddes för brott mot rikets säkerhet”
https://www.svd.se/lofven-bekraftar-utreddes-for-brott-mot-rikets-sakerhet/om/sverige