Cornucopia?

2017-07-07 08:39

Transportstyrelsen flyttade sekretessbelagda databaser utomlands - sparkad GD bötfälld

Eftersom bloggen var den som släppte att Transportstyrelsens generaldirektör fick sparken tidigare i år, kan en kommentar om varför vara aktuell nu när hon fått ett straffföreläggande om 70 000 kronor för vårdslöshet. Generaldirektören tog ytterst beslutet att flytta all transportstyrelsens data till molnet och sekretessbelagd data hamnade utomlands i strid mot svensk lag. Flera chefer inom myndigheten har också lämnat Transportstyrelsen, men det finns inga uppgifter om dessa också utreds för brott.

Transportstyrelsen hanterar mycket sekretessbelagd information. Fantasilöst nämns körkorts- och fordonsregistret, men det är inte dessa som avses. 

Transportstyrelsen utövar tillsyn av svensk transportinfrastruktur, inklusive järnväg, sjöfart, vägtrafik och flygtrafik. Det inkluderar exempelvis transporter av farligt gods, bärigheter hos rullbanor (flygplatser) och vägar och tillsyn av militär luftfart.


Att t ex flytta en databas med bärighetsklasser för varenda svensk väg och enskild bro utomlands kan ju utgöra men för Sveriges säkerhet. Det samma gäller förstås hur tunga flygplan som kan landa och starta på olika flygplatser. Eller för den delen tillsynen av svensk militär luftfart.

Militär trafik kan som bekant vara rätt tung och alla vägar eller broar är inte lämpade för detta.

Myndighetens IT-chefer och generaldirektören fick för några år sedan feeling och upphandlade en affär med IBM värd 800 miljoner kronor, där alla myndighetens data skulle flyttas till molnet.
"Upphandlingen gäller driften av runt 1 100 fysiska och virtuella servrar, datahallens infrastruktur, applikationsdrift och viss support. Dessutom ingår konsulttjänster för projekt som är relaterade till driften."
Dåvarande IT-chefen sade vid tillfället till Computer Sweden:
"Det blir en väldigt bra lösning, vi har inget behov av fysiska hårdvara i egna lokaler. En del av den analys som vi gjort är att vi ska köpa det som tjänst i stället."
IT-chefen avgick på egen begäran en vecka innan generaldirektören fick sparken enligt uppgifter till bloggen. Av enhetscheferna inom IT-avdelningen har tre av fem också lämnat myndigheten. Ansvarig för upphandlingen har bytt jobb till upphandlingskonsultbolaget.

Beslutet att bryta mot lagen och flytta ut all myndighetens data var medvetet, men enligt strafföreläggandet mot generaldirektören har hon inte avsiktligt gett uppgifterna till främmande makt. Hon får 70 000 kronor i dagsböter för:
"grov oaktsamhet, utan syfte att gå främmande makt tillhanda, röjt sekretessbelagda uppgifter vars uppenbarande för främmande makt kan medföra men för Sveriges säkerhet"
Huruvida Säpo och Riksenheten för säkerhetsmål även utreder de tidigare cheferna för brott är inte känt idag. I sin senaste årsbok (för 2016) nämner Säpo specifikt outsourcing och offshoring som ett säkerhetshot:
"Hamnar en stor mängd hemlig information hos en enskild leverantör riskerar denne dessutom att bli ett attraktivt mål för bland annat andra länders underrättelseinhämtning."
samt
"Säkerhetspolisen kontaktas av fler myndig­heter än tidigare med anledning av att de lägger ut särskilt skyddsvärda delar av sin verksamhet till leverantörer i andra länder, så kallad offshoring. Myndigheterna har i dessa fall samma ansvar att ställa krav på säkerhetsskyddsåtgärder som om leverantören vore baserad i Sverige.Myndigheten måste först bedöma om verksamheten som ska läggas ut är särskilt skyddsvärd, vilket en väl genomförd och uppdaterad säkerhetsanalys ska kunna ge svar på. Är verksamheten särskilt skyddsvärd så ska ett säkerhetsskyddsavtal tecknas med krav på säkerhetsskyddsåtgärder. Uppföljning och kontroll ska genomföras.Vid outsourcing av verksamhet till en leverantör i ett annat land ska det i regel alltid finnas ett bilateralt säkerhetsskyddsavtal mellan Sverige och det land där leverantören har sitt säte.
[...]Det är alltid den upphandlande myndigheten som har det yttersta ansvaret för att säkerhetsskyddet är väl anpassat hos de leve- rantörer som hanterar de delar av verksamheten som bedömts som särskilt skyddsvärd. Ansvaret går inte att avtala bort."
Enligt uppgifter till bloggen frångick man i princip alla krav på säkerhet i sin iver att flytta ut alla servrar från landet. Man får förmoda att tjänstemän på myndigheten kontaktat Säkerhetspolisen, varpå detta uppdagats.

Generaldirektören får alltså en rätt saftig bot från åklagaren. Men generaldirektören ska inte betala för att flytta hem sekretessbelagd information till Sverige igen. Det får vi skattebetalare göra.

Fast det kan förstås redan vara för sent. Enligt SVT har tjänsterna flyttats till länder i Östeuropa. Ukraina är en populär plats för offshoring.

Den som vill fundera lite kring vad för data som myndigheten flyttade utomlands kan titta över vad för blanketter och E-tjänster myndigheten erbjuder. Exempelvis vägtrafik, sjöfartluftfart och järnväg. Betänk sedan att alla dessa blanketter, även de som bara finns i pappersform, läses in i IT-system och att myndigheten även har egen tillsynsverksamhet utöver detta.
Nedanstående kommentarer är inte en del av det redaktionella innehållet och användare ansvarar själva för sina kommentarer. Se även kommentarsreglerna, inklusive listan med kommentatorer som automatiskt kommer raderas på grund av brott mot dessa.

24 kommentarer:

  1. Utmärkt med både sparken och dagsböter. Men varför i helvete ska vi medborgare behöva läsa bloggar för att förstå och få veta vad som hänt?

    Sen skulle man vilja ge en rejäl smocka till tidigare regeringar, framför allt Persson år 2000, som la ner försvaret. Riksrätt? Tjära och fjäder? Skampåle på Stortorget i Gamla Stan?

    SvaraRadera
    Svar
    1. Det är inte politiker som bestämmer ett lands val; de verkställer bara beslut som andra ljusskygga individer bestämt.

      Radera
    2. Vi har ett system i Sverige där partistyrelsen bestämmer hur riksdagsledamöterna skall rösta och agera. Det är hos dem makten ligger, inte hos de folkvalda. I regeringsformen står att vi röstar på partier, med något halmstrå möjlighet till personval. Högst odemokratiskt system skulle jag vilja säga då ingen sedan är ansvarig.

      Jämför hur regeringen vill införa censur nu genom "några ändringar i yttrandefrihetsgrundlagen". Hur initieras och trumfas dessa ändringar egentligen igenom? Vem dirigerade regimen Reinfeldts stora ändringar i grundlagen?

      Lagarna i Sverige är sedan palmegänget förberedda för diktatur (läs själva, de finns på internet). Tredje statsmakten tiger.

      Radera
    3. @GuDu 10:53
      Ca 80 % av de beslut som fattas i Riksdagen är redan fattade utomlands av utlänningar. Riksdagen är det tredje högsta lagstiftande organet i konungariket Sverige, efter det högsta Ministerrådet det andra högsta Europaparlamentet.

      Svenska Riksbanken styrs från Basel, vad jag har förstått.

      Radera
    4. dr Hedge
      Det var bara att titta på gårdagens Rapport så fick man veta det.

      Är det den stora kvoteringsivern som skördar sina offer?

      Radera
    5. Ja det är väl en viss andel kretiner som måste kvoteras in som generaldirektörer för att det skall vara rättvist! Alla skall med!

      Radera
  2. Tycker Maggan ska utse Zara Lean... f'låt Larsson till SÄPO-chef. :-))

    SvaraRadera
  3. Men varenda firma som nånsin jobbar åt Transportstyrelsen, eller annan myndighet, kör väl med M$ Office och därmed all e-post i molnet? Där ligger väl massa härliga hemligheter, nånstans där Gates har sina datahallar.
    Och myndigheterna kör väl också Office/Outlook på samma sätt?

    SvaraRadera
    Svar
    1. Är väl ganska vanligt med egna Exchange-servrar även nu för tiden?


      Annars tycker jag att det inte att det per automatik är dåligt eller osäkert att lagra data i molnet/utomlands. Med kryptering är ju datan ändå oanvändbar - även om du bryter dig in fysiskt i serverhallen och snor lagringsenheterna.

      Radera
    2. Bortsett från att "varenda firma" inte fått mailat till sig all känslig information.

      Faktiskt bör man ju se till att man har en NDA upprättad ifall man skall dela med sig av känslig information, vare sig det är via mail eller annat kommunikationsslag (och även om firman enligt lag är förhindrade att föra informationen vidare).

      Radera
    3. Precis, hos företag så använder man ofta egna Exchange-servar för eposten. Behövs inga större grejor heller, är det ett mindre företag så räcker det bra med två fysiska servrar för att hantera hela IT systemet inkl. Exchange.

      Radera
    4. Jag vet inte hur transportstyrelsen arbetar men inom min bransch gäller inga email för allt som är sekretess. Man budar usb-stickor istället och dessa destrueras när uppdraget är över.

      Radera
  4. Tror att Rumänien är mest sannolikt för IBM.

    SvaraRadera
  5. Mitt tips är Moldavien apropå offshoring.
    http://trm.md/en/politic/ibm-i-i-spore-te-prezen-a-pe-pia-a-din-republica-moldova/

    SvaraRadera
  6. Staten borde bilda en separat myndighet vars uppgift det är att skapa ett statligt "moln" med serverhallar belagda i bergrum på ett flertal platser i Sverige. Sedan får alla statliga myndigheter utnyttja sig av detta för sin IT.

    Då har staten kontroll över all data och man kan se till att det finns tillräcklig redundans och säkerhet, och man slipper den här typen av idiotibeslut.

    SvaraRadera
    Svar
    1. Det vore bra - jag har ett förslag på namn - "Statens servicecenter".

      Ska kolla om det är ledigt ... .. http://www.statenssc.se/Sidor/default.aspx

      Hmm - en myndighet som heter Statens Servicecenter? Vad pysslar de med?

      "Statens servicecenter är en svensk myndighet under Finansdepartementet som inrättades den 1 juni 2012 för att förmedla administrativa tjänster åt andra myndigheter. Drygt hälften av myndigheterna under regeringen har överenskommelse med Statens servicecenter. Några av dessa är Arbetsförmedlingen, Skatteverket, Försäkringskassan, Kronofogden, Pensionsmyndigheten och länsstyrelserna[1]. Syftet med verksamheten är att bidra till en effektivare statsförvaltning genom att erbjuda övriga statliga myndigheter administrativa tjänster inom framförallt ekonomi, lön- och konsultrelaterade tjänster."

      Får kolla lite på deras hemsida:

      "Statens servicecenters mål är att 40 procent av de statligt anställda ska omfattas av våra tjänster år 2017. I dag köper cirka 150 statliga myndigheter
      administrativa tjänster av Statens servicecenter."

      Låter nästan som din ide?

      https://computersweden.idg.se/2.2683/1.675383/statlig-molntjanst-it-drift

      Thomas? Är det du? ;)

      Radera
    2. Väldigt bra förslag tycker jag!

      Radera
  7. Varför inte införa en 2 kammarriksdag igen? En kammare i Moskva och den andra Washington så slipper vi oro oss för eventuella läckor och påverkans operationer.

    SvaraRadera
  8. Transportstyrelsen utövar inte tillsyn för den militära luftfarten. Denna utförs av Militära Luftfartsinspektionen.
    Bärigheten för rullbanorna vid Sveriges civilt godkända flygplatser publiceras i AIP som ett PCN-värde. Dessa flygplatser inkluderar vissa flottiljer. Inget som är hemligt med andra ord.

    SvaraRadera
  9. Den här kommentaren har tagits bort av skribenten.

    SvaraRadera
    Svar
    1. Det är Transportstyrelsen som felat, inte Trafikverket. Två olika myndigheter.

      Radera
  10. Hon får säkert snart ett nytt jobb på en annan myndighet.
    Varför är det så att de som får sparken hos en kommun får ett nytt jobb hos grannkommunen strax därefter?

    SvaraRadera
  11. Tvångsflytta all känslig information till Bahnhof!

    SvaraRadera
  12. Då får man väl säga att Pia Plopp är motbevisad och att Bosse och Bettan inte alls var de värsta säkerhetsriskerna då. Man kunde önska att säkerhetsfolk tog lärdom någon gång men så lär väl inte vara fallet.

    SvaraRadera

Related Posts Plugin for WordPress, Blogger...