IT-säkerhetsskandalen. – Vi brukar ”debreifa” varandra när vi dricker öl om hur illa det är. Det säger Lars Mårelius, It-säkerhetsexpert som har jobbat på olika myndigheter i Sverige. Han är inte förvånad över vad som framkommit i Transportstyrelseaffären.
Skyddsvärd svensk data har hamnat i fel händer utan särskild säkerhetsprövning. IT-säkerhetsskandalen inom Transportstyrelsen som ser ut att bli en av de största i modern tid. Det är också regeringens absolut största kris som ingen ser slutet på än. Under de senaste dagarna har flera källor kommenterat just den aningslösa hanteringen av säkerhetsklassade uppgifter. En av IT-säkerhetsexperterna som har uttalat sig är Lars Mårelius, som arbetat på flera svenska myndigheter.
Han säger att han inte är förvånad över vad som har kommit fram i Transportstyrelsens skandal och att det är väl känt bland IT-experter.
– Vi brukar ”debreifa” varandra när vi dricker öl om hur illa det är, säger han till SVT.
Stefan Löfvens uttalande att en av lösningarna är att man har sådana här saker “in house” imponerar inte på Mårelius.
– Teknik har aldrig räddat dåligt ledarskap. Teknik kan inte rädda oss, det handlar om ledarskap och människor.
Går det att täppa till luckorna om den här informationen finns ute? undrar SVTs reporter.
– Nej. Du kan bara reparera skadorna. Du får byta körkort på människorna, bygga nya broar som håller för pansarvagnar, bygga nya bergrum. Den gamla informationen är läckt.
En utredning gjord av de som har ställt till det är inte tillräcklig, menar han.
– Teknik kan inte rädda oss. Är det en dålig säkerhetskultur i en organisation brukar man få kapa bort hela ledningen. Det handlar om ledarskap. I slutändan handlar det om människor.
Skadlig kultur
Lars Mårelius uttalande är ännu ett av alla oroväckande om vilken olycklig kultur som råder på svenska myndigheter. Under IT-säkerhetsskandalens briserande har liknande uttalanden avlöst varandra.
Säpochefen Anders Thornberg säger till TV4 att man under fem år påtalat dessa problem.
– Vi har varnat för detta i fem år från Säpo. Generellt gäller det bristande säkerhet, dåliga säkerhetsanalyser och outsourcing.
Även myndigheten Statens servicecenter varnade i början av året regeringen för riskerna med outsourcing av IT-drift. Generaldirektör Thomas Pålsson säger att han inte tror att man har förstått omfattningen av problemet.
Kultur att göra ”avsteg”
I en artikel har sajten Breakit gått igenom Säpos utredning om Transportstyrelsen och funnit uppseendeväckande detaljer. Förutom att förre generaldirektör Maria Ågren upprättade protokoll om att hon ska bryta mot lagen nämner man att förre generaldirektören Staffan Widlert säger ”att det har funnits en kultur på Transportstyrelsen av att göra “avsteg” kring upphandlingar tidigare, något som var ett problem”.
”Avsteg” är helt enkelt ett annat ord för att medvetet bryta mot lagen. I det här fallet personuppgiftslagen, offentlighets- och sekretesslagen och säkerhetsskyddslagen.
Men reportern pekar ut att det viktiga är att Ågren också erkänner: “enligt en formell terminologi så är ju de skyddsvärda uppgifterna att betrakta som röjda”.
Vet inte vad som är skyddsvärt
Reportern menar att det anmärkningsvärda är att cheferna inte ens har koll på vad som är skyddsvärd information.
”Detta är det stora haveriet. Att en myndighet kan skötas under så många år, av så många chefer, utan att ha riktig koll på hur mycket av den egna data som är skyddsvärd. Och när man väl får reda på det, agera så arrogant kring ett eventuellt hot att man kallar det teoretiskt.”