Transportstyrelsens IT-miss har satt informationssäkerhet på agendan i Sverige. Det märktes under förra veckan på många av Sveriges myndigheter.
Samtidigt som Alliansen riktade en misstroendeförklaring mot tre socialdemokratiska ministrar – och bland annat infrastrukturministern Anna Johansson (S) avgick i efterdyningarna av IT-skandalen – började telefonsamtal och mejl trilla in hos flera stora svenska myndigheter.
Avsändaren? Regeringskansliet.
LÄS MER: Transportstyrelsens IT-affär: Detta har hänt
”Behöver svar snarast”
Samma dag som försvarsutskottet kallades till extrainsatta möten om IT-skandalen på Rosenbad, tisdagen den 25 juli, fick Skolverket ett mejl från en tjänsteman på Utbildningsdepartementet.
”Vi skulle behöva information om hur IT hanterats hos er när det gäller om Skolverket har outsourcat skötsel av IT/databaser? Jag skulle behöva svar snarast, helst innan lunch”, skriver tjänstemannen i mejlet som SVT Nyheter har tagit del av.
Dagen dessförinnan blev Försäkringskassan kontaktad av en representant på Socialdepartementet. Försäkringskassan ombads då i ett mejl svara på fyra frågor.
Departementet ville bland annat veta om Försäkringskassan svarar för några register där uppgifter om enskilda människor finns, om uppgifterna är bedömda som skyddsvärda, och om databaserna i så fall hanteras av en extern leverantör i ett annat land.
– Vi har svarat att vi har inget sådant hos oss, och vi har redan innan publicerat en kommentar om det på vår hemsida, säger Försäkringskassans pressekreterare Maikel Ilias.
LÄS MER: Stora brister i myndigheternas IT-skydd
Minst sex myndigheter fick frågan
Ytterligare fyra myndigheter bekräftar att de fått liknande frågor under veckan då det stormade på Rosenbad. Socialstyrelsen, Sjöfartsverket, Pensionsmyndigheten och Skolinspektionen blev alla kontaktade av tjänstemän från regeringskansliet per telefon.
Totalt rör det sig alltså om åtminstone sex myndigheter som under veckan har fått frågan, och minst tre olika departement som har ställt den. Det kan SVT Nyheter bekräfta efter en rundringning till ett tjugotal myndigheter.
LÄS MER: Få myndigheter rapporterar IT-problem
Skolverket: ”Vi visste redan svaret”
När SVT Nyheter kontaktar den tjänsteman som skickade mejlet till Skolverket, Tina Pettersson, uppger hon att frågan om outsourcing av IT-driften endast var en kontrollfråga.
– Det har ju sagts innan att vi ska säkerställa med alla myndigheter och djuploda kring det här, och det har vi gjort redan tidigare. Vi har kontinuerliga myndighetsdialoger med Skolverket. Så det var ingen ny information, säger Tina Pettersson.
Du menar att ni redan visste svaret på frågan i mejlet?
– Ja, informationen finns redan här, det är inga konstigheter.
Men varför skickade ni då mejlet?
– Det var ett sätt att samla information för att verifiera det vi redan visste under semestertider. Vi har ju mycket extrapersonal och så.
Det låter ju inte i mejlet som att ni redan vet svaret?
– Nej, men det är ju förstås en tolkningsfråga. Det är svårt att uttyda i skrift vad som menas.
LÄS MER: ”Sverige lär sig inget av alla IT-incidenter”
Socialdepartementet ville ”försäkra sig”
Även Victor Harju, pressekreterare för socialförsäkringsminister Annika Strandhäll, uppger att frågorna till bland annat Försäkringskassan och Pensionsmyndigheten syftade till att sammanställa den information som Socialdepartementet redan hade.
– Vi har ju ansvariga handläggare för varje myndighet som har till uppgift att föra en kontinuerlig diskussion med myndigheterna, det pågår hela tiden, säger han till SVT Nyheter.
Men om Socialdepartementet redan hade informationen – varför behövde ni då ställa frågorna?
– För att det ska bli en formell dialog, och ett formellt ärende. Huvudsyftet var att försäkra sig om att allt står rätt till, det är ju en naturlig åtgärd efter allt som har skett de senaste veckorna.
Krävs det inte fler åtgärder än ett mejl med frågor?
– Jo, men det ena utesluter inte det andra. Det här är ett rimligt första steg i det här läget.
”Visar vilken låg kompetens de har”
Men IT-säkerhetskonsulten Lars Mårelius anser att frågorna från departementen bekräftar det han redan vet: departementet har för låg kunskap om hur myndigheterna sköter sin information.
– Det är bisarrt. Det här visar ju verkligen vilken låg kompetens de har om hur IT-säkerheten sköts på myndigheterna.
Lars Mårelius poängterar också att Utbildningsdepartementets fråga bevisar att alltför mycket fokus ligger på vilket företag som hanterar IT-driften.
Departementen borde vara mer intresserade av hur informationssäkerheten säkerställs inom myndigheten, säger han.
– Om du på ett departement noterar att du inte vet hur säkerheten hanteras, så kan du inte börja med att ställa fel fråga. Frågan borde vara: när kan vi samlas i ett rum, med rätt inkallad kompetens, så att vi vet hur läget ser ut?
LÄS MER: MSB: Cirka 150 allvarliga IT-incidenter hos svenska myndigheter i år
Behövs mer insyn i IT-säkerhet
Enligt Anne-Marie Eklund Löwinder, kvalitets- och säkerhetschef på Internetstiftelsen, är det inte anmärkningsvärt att departementen inte vet hur IT-driften sköts på de enskilda myndigheterna.
Det ingår i förvaltningsmodellen att departementen inte ska detaljstyra myndigheter, resonerar hon.
– Men med tanke på vilken uppmärksamhet IT-säkerhet har fått i och med Transportstyrelsen, känner regeringskansliet förmodligen ett behov av att skaffa sig en bild som de inte haft tidigare.
Och en sådan bild kan nog behövas, menar Anne-Marie Eklund Löwinder – som länge har uppfattat att det finns ett behov av större insyn i myndigheternas IT-drift.
– Jag har försökt få departementen att införa ett krav på att myndigheterna ska redovisa årligen vad de har gjort för att trygga IT-säkerheten, på samma sätt som man redovisar hur man arbetar med miljö och andra frågor, säger hon.
LÄS MER: FRA – Kan ta en timme att hacka sig in i myndigheternas IT-system