Artikel top billede

Derfor gik det for alvor galt i den svenske styrelse: Tid, penge og en stor portion naivitet fik it-skandalen til at rulle

Tidnød, krav om besparelser og naivitet er de klassiske ingredienser i den kæmpe offentlige it-skandale, der lige nu buldrer for fuld kraft i Sverige.

Det er de tre klassiske ingredienser i en it-skandale, som nu har ramt Sverige med sådan en kraft, at hele det svenske politiske establishment er på den anden ende og den svenske mindretalsregering er i fare, skriver svensk tv (SVT) i en analyse af sagen, som begynder med fatale beslutninger i den svenske Transportstyrelsen.

Ingredienserne er tid, penge og naivitet i rigelige mængder, skriver SVT, efter at have læst rapporten om det svenske sikkerhedspolitis forundersøgelse af sagen.

Vi skal spare

I 2013 begyndte Transportstyrelsen at kigge på udgifterne til sine it-systemer, som blev driftet af den svenske myndighed Trafikverket. Prisen var angiveligt for høj, og styrelsen valgte som bekendt efter at overlade driften til IBM.

Styrelsen forventede dels at spare penge på dette træk, dels at få en mere stabil it-drift.

Det kan du læse mere om i dette interview med Transportstyrelsen daværende CIO Daniel Karlsson, som Computerworlds svenske søstermagasin ComputerSweden bragte i april 2015.

Vi er i tidsnød

Nærmest samtidig fik Styrelsen en ny chef - Maria Ågren - og som noget af det første underskrev hun aftalen med IBM. Derefter fik man travlt - alt for travlt - i styrelsen, for driftsaftalen med Trafikverket var tæt på at løbe ud.

Tidligere er det kommet frem, at IBM selv havde besluttet at overlade driften af Transportstyrelsens systemer til underleverandører i Østeuropa - blandt andet i Serbien og Tjekkiet

SVT skriver i analysen, at IBM’s teknikere i udlandet var færd med at blive kontrolleret og sikkerhedsgodkendt, men godkendelsen trak ud, og teknikerne var tvunget til at modtage og behandle data fra styrelsen, hvis ikke styrelsens systemer simpelthen skulle gå i sort.

Derfor underskrev Maria Ågren den første beslutning om give teknikerne adgang til de klassificerede data, selv om teknikerne ikke var sikkerhedsgodkendt. Det skete i maj 2015, og det var første gang, hun brød svensk lovgivning.

Vi vidste ikke, at oplysningerne var fortrolige

Selvom det lyder utroligt, så tyder alt dog på, at Maria Ågren i begyndelse faktisk slet ikke var klar over, at Transportstyrelsen håndterede data, som var beskyttet af lovgivning, og som det krævede sikkerhedsgodkendelse at få adgang til.

Det fremgår tydeligt af det forhør, det svenske sikkerhedspoliti har foretaget af hende.

Senere, da ansatte i styrelsen alarmerede sikkerhedspolitiet, som derfor gik ind i sagen, dæmrede det for Maria Ågren, men alligevel fortsatte hun med at skrive under på, at udenlandske teknikere kunne få adgang til data uden sikkerhedsgodkendelse, skriver SVT i analysen.

Det handlingsmønster stoppede først i marts 2016 efter skarp irettesættelsen fra sikkerhedspolitiet.

SVT skriver i analysen, at det er en gåde, hvorfor det svenske erhvervsministerium, som var i daglig kontakt med Maria Ågren, ikke på et langt tidligere tidspunkt har stoppet sagen, for ingen bør have været i tvivl om, at Transportstyrelsen håndterer følsomme oplysninger.

Læs også:
Den svenske it-skandale: Her er de utrolige detaljer, og hvad vi ved om forløbet indtil nu




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere