Jag läste Säpos granskning av IT-skandalen i Transportstyrelsen – så du slipper

En generaldirektör upprättar protokoll om att hon ska bryta mot lagen. Eller rättare sagt tre lagar. Resultatet blir att uppgifter som kan ha betydelse för rikets säkerhet hamnar i utländska händer utan säkerhetsprövning. Det är upprinnelsen till den IT-säkerhetsskandal inom Transportstyrelsen som ser ut att bli en av de största i modern tid.

Det är så förbluffande att man inte vet vad man ska tro eller tänka. Var det ingen som varnade? Hur kunde allt det här ske?
Jag har plöjt igenom hundratals sidor ur Säpos förundersökningsprotokoll för att försöka förstå. Det här är en berättelse om säkerhetsspecialister som behandlas som paranoida kufar. Om stressade IT-chefer, om usla beställningar och en ofattbar brist på kunskap och kompetens kring hur man skyddar Sveriges data.

Här finns mycket att lära för alla företag som berörs av IT-säkerhet.

Det börjar med ett logiskt beslut

Allt börjar 2012. Då driftar Trafikverket all Transportstyrelsens data, men det görs på ett otillräckligt sätt, upplever Transportstyrelsen. Dels tekniskt, dels för att all data hanteras i samma lokaler. Skulle en olycka vara framme skulle allt gå förlorat.

Dåvarande generaldirektör Staffan Widlert får kännedom om det och tillsammans med insikten om att ett outsourcande skulle spara myndigheten 200-300 miljoner kronor blir beslutet enkelt: en extern upphandling påbörjades.

Det är en logisk slutsats, men den görs på bristande underlag. Knappt någon på Transportstyrelsen vet nämligen vad man äger som är skyddsvärt.

Det låter häpnadsväckande, men gång på gång berättar anställda om det i förhör. De flesta verkar veta att själva körkortsproduktionen är skyddsvärd, men i övrigt? Knappt något. Inför upphandlingen görs därför ingen säkerhetsanalys. Och eftersom upphandlingen i sig inte är säkerhetsskyddad har inte de företag som deltog i upphandlingen ens en teoretisk möjlighet att få del av vilken data Transportstyrelsen har som är skyddsvärd.

Det enda, uppges det i förhör, som berättas inför upphandlingen är att “säkerhetsskyddslagen ska vara uppfylld” tillsammans med påskrivna säkerhetsskyddsavtal. Att det i praktiken skulle innebära en mängd säkerhetskontroller och en säkerhetsstruktur för att anställda ens ska få se någon data, tydliggjordes inte.

Högsta chefen byts ut

Upphandlingen fortsätter. Sista februari 2015 går generaldirektören för Transportstyrelsen, Staffan Widlert, i pension. Maria Ågren blir ny generaldirektör, men får bara en timmes överlämningsmöte. I övrigt förekommer inget överlämnande, uppger Widlert i förhör, eftersom några sådana rutiner inte finns vid tidpunkten. Under denna timme behandlas migreringen och outsourcingen, men som en av flera punkter. Vid den här tiden är det mesta i upphandlingen i slutfasen och färdigförhandlat.

En månad senare, 1 april, signerar den nya generaldirektören Maria Ågren det avtal som tilldelar IBM driftuppdraget för Transportstyrelsen. Det är en beställning värd 800 miljoner kronor och affären får uppmärksamhet i svensk press. Trafikverket och Transportstyrelsen har nu kommit överens om att Trafikverket ska avveckla hela sin drift senast 31 december 2015.

Fadäsen uppenbaras – avsteget blir “räddningen”

Nu påbörjas migreringen och problem uppstår direkt: Transportstyrelsens säkerhetsansvariga säger att de inte fick något gehör när de lyfte frågor om säkerhetsskydd under upphandlingen och när driften nu ska sjösättas upptäcker man snart att de nya konsulterna inte kan ges access eftersom de inte genomgått någon säkerhetsprövning. Att göra en prövning för så många konsulter skulle ta tid.
Dessutom: Flera av konsulterna kom från och arbetade i till exempel Tjeckien, Serbien och Rumänien. Här behövs en särskild prövning och säkerhetsstruktur som verifieras av Säpo.

Allt detta medan klockan tickade.

Migreringen behövde vara delvis klar om bara fyra månader och helt klar efter åtta. Trafikverkets lokaler och personal var redan uppsagda.

Transportstyrelsen ställs inför en allt mer kaosartad situation. Skulle driften inte vara säkrad skulle ett samhällskritiskt system behöva stänga ner i Sverige.

Det är nu idén om “avsteg” tvingas fram.

IT-säkerhetsansvarige på Transportstyrelsen vill att någon i högsta ledningen ska förstå vad det innebär att okontrollerad personal får tillgång till systemet.

“Om de aktivt skulle behöva skriva under ett beslut om “avsteg” skulle väl projektet stoppas?”, tänker hen.

IT-säkerhetsansvarige författar därför i stora delar avsteget som går hela vägen upp till generaldirektören. Ytterligare IT-chefer skriver tillägg – bland annat en konsekvensanalys kring vad som skulle hända ifall man stoppar projektet nu.

Det är detta protokoll som alltså - till och med i rubriken - formulerar ett öppet medgivande om lagbrott: “Avsteg från gällande lagstiftning”.

I dokumentet formuleras två alternativ. Det ena med konsekvensen att projektet med migrering blir försenat. I det andra uppges konsekvensen vara röjande av skyddsvärd information, negativ publicitet, brott mot tre lagar: säkerhetsskyddslagen, personuppgiftslagen, och offentlighets- och sekretesslagen samt en av Transportstyrelsens riktlinjer.

Avsteget godkänns

Det är förbluffande läsning. Det verkar som ett enkelt beslut – att inte bryta mot lagen – men när generaldirektör Maria Ågren får underlaget är hon, enligt förhörda personer inom organisationen, under stor press och helt ny på jobbet. Hon tar några dagar på sig att fundera, innan hon till slut skriver på.

Hon gör det utan att konsultera Transportstyrelsens chefsjurist. Däremot diskuterar hon med sin närmaste chefskrets - och med säkerhetschefen. I förhör uppger Ågren att det “har sina orsaker” att hon inte lyssnade på säkerhetschefens skepsis, eftersom hans “personlighet” gör att allt han för fram blir “jättestort”.

Vidare säger Ågren i förhör att hon fick förklarat för sig att Transportstyrelsen tidigare gjort “avsteg”, även om det då handlat om upphandling och inte om just dessa lagar.

När säkerhetschefen senare förhörs av Säpo om händelseförloppet tar han Ågren i försvar: Eftersom beslutet hamnade i Ågrens knä första månaden på jobbet hade hon en enormt svår uppgift. Han förstår hur hon resonerat, även om han fortfarande menar - och också uttryckte det direkt till Ågren - att beslutet är fel. Säkerhetschefen menar att mycket skuld istället ligger på tidigare generaldirektören, Staffan Widlert.

I förhör försvarar även Staffan Widlert Ågrens beslut och förklarar vilken knivig situation hon befann sig i. Widlert säger också att det har funnits en kultur på Transportstyrelsen av att göra “avsteg” kring upphandlingar tidigare, något som var ett problem.

När "avsteget" till slut signeras beläggs det med sekretess, vilket innebär att få personer i organisationen får läsa det. Ändå hänvisas det till flitigt för att nu forcera migreringen. Säkerhetsavdelningen väljer nu själv att stiga åt sidan, man vill inte längre vara en del av processen. Få protesterade, eftersom de ändå mest sågs som en “nagel i ögat”, uppger säkerhetspersonalen själva i förhör.

Under sommaren pågår arbetet med migreringen. “Avsteget” förlängs i tid några gånger av generaldirektören. Konsulter från flera länder utanför Sverige får under den här tiden högsta behörighet. Det innebär, enligt IT-säkerhetschefen, att de bland annat får teoretisk möjlighet att kartlägga Sveriges bepansrade fordon, ta del av alla körkortsbilder och “extremt mycket företagshemligheter eftersom Transportstyrelsen beviljar tillstånd för t.ex. nya fordon”.

Avsteget upptäcks internt

Under sommaren får Transportstyrelsens internrevision nys om avsteget. Revisorn upprättar därför underlag för att försäkra sig om att både generaldirektör och styrelse blivit informerade om avsteget - och inte kan undkomma ansvar. I det lilla är hennes gärning viktig, eftersom ansvaret här blir protokollfört och omöjligt för de inblandade att backa från.

Styrelsen hade inga problem med beslutet när det begav sig. Frågan om “avsteg” fick aldrig någon större uppmärksamhet – det nämns knappt ens i styrelseprotokollen. Styrelseordförande berättar själv i förhör hur illa insatt han var i säkerhetsskyddsfrågor. Alla chefer närmast generaldirektören är istället fokuserade på att lyckas med migreringen innan årets slut.

Säpo kopplas in

Säkerhetscheferna på Transportstyrelsen är oroade och börjar samtala om vad de kan göra åt situationen. De inser att det finns en lösning, eftersom det också ligger i deras ansvar att delge Säpo om avstegen.

De beslutar att skicka kopior på avsteget till Säpo. Det möts av visst motstånd.

IT-säkerhetsansvarige uppger i efterhand att hans kollega ifrågasätts när beslutet att skicka information till Säpo fattas och “om det står någonstans att vi är skyldiga att rapportera om det.”

Efter denna åtgärd började saker hända på högre nivå - Säpo tar uppgifterna på största allvar. I november 2015 – alltså ett halvår efter att avsteget skrivs på – skickar Säpo en rekommendation till Transportstyrelsen om “omedelbara säkerhetsskyddade åtgärder”. Det innebär i praktiken att man behöver avbryta hela projektet.

Det gör inte Transportstyrelsen. Inte heller rapporter styrelse eller generaldirektör, enligt förhör, om händelsen till regeringen under hela 2015.

Först efter att Säpo inledde en förundersökning mot generaldirektör Ågren om “obehörig befattning med hemlig handling” reagerar hon. Nu, i februari 2016, rapporterar hon för första gången till sitt departement och dess statssekreterare, enligt egen utsago. Denne antecknar, men ger inga direktiv, enligt Ågren. Ågren berättar för statssekreteraren att hon inte har för avsikt att avbryta projektet.

När Ågren i förhör får försvara hur det kunde gå så långt och göras så många fel hänvisar hon till att hon 1) fick en dålig överlämning av tidigare generaldirektör. 2) Hade en säkerhetschef som var otydlig med allvaret. Denne säkerhetschef har en personlighet som gör att “allt han för fram blir jättestort” och att det gjorde att Ågren hade svårt att ge hans oro gehör. Och till sist 3) att varken regering eller styrelsen protesterade - och inte heller hennes närmaste IT-chefer ville avbryta.

Var är vi nu?

Kort sammanfattat har skyddsvärd svensk data hamnat i fel händer utan särskild säkerhetsprövning. Det har lett till att Transportstyrelsens generaldirektör Maria Ågren accepterat dagsböter på 70.000 kronor och fått sparken. Även styrelseordföranden har fått gå. Just nu pågår också en politisk maktkamp som vi ännu inte sett slutet på. 

Men: Har främmande makt kommit över svenska hemligheter? Ingen vet och ingen kan veta. Maria Ågren uppger i förhör att hon inte har några indikationer på det. Samtidigt är det så att den med högsta behörighet - och det har personal som arbetat i till exempel Tjeckien haft - kunnat kopiera all data och sopa igen sina egna spår.

Men allt det är egentligen oviktigt. Det viktiga här är det som Ågren också erkänner: “enligt en formell terminologi så är ju de skyddsvärda uppgifterna att betrakta som röjda”.

Detta är det stora haveriet. Att en myndighet kan skötas under så många år, av så många chefer, utan att ha riktig koll på hur mycket av den egna data som är skyddsvärd. Och när man väl får reda på det, agera så arrogant kring ett eventuellt hot att man kallar det teoretiskt.

Här finns kanske svaret på hur det har kunnat ske. För alldeles för många företag är just IT-säkerhet något lågprioriterat, jobbigt, svårt och dyrt. Det finns alltid någon IT-säkerhetsgubbe som är för alarmistisk och dystopisk. De hanteras som den lägsta gradens pessimister. För hur troligt är det egentligen att någon skulle stjäla just ditt företags data?

Om det finns någon positiv effekt efter denna katastrof är det kanske just det: att revisorers och säkerhetschefers status nu höjs något i organisationer. Att det de säger och deras uppgift tas på större allvar. Inte för att det de säger alltid är roligt, utan för att det kan rädda företag och myndigheter från haverier som tar historiska proportioner.

Det hade kunnat rädda Transportstyrelsen.