I mars 2012 hackades en server där personuppgifter från Skatteverket, Polisen och Kronofogdemyndigheten lagrades i flera känsliga databaser. Foto: TT

Personuppgifter läckte från outsourcad myndighetsdata redan 2012

Uppdaterad
Publicerad

Redan för fem år sedan läckte känsliga personuppgifter ut på nätet efter att svenska myndigheter hade outsourcat sin datalagring utan att ställa tillräckliga krav på säkerhet.

– Om vi hade tagit den här diskussionen redan då hade vi inte behövt ta den nu, säger IT-säkerhetsexperten Robert Malmgren, som jobbade med att hantera intrånget för fem år sedan.

Han menar att enda anledningen till att det inte blev politisk kris den gången var att medierna hade allt fokus på Saudiaffären, som avslöjades samtidigt.

IT-läckan på Transportstyrelsen är inte första gången känsliga uppgifter har läckt ut till obehöriga.

IT-skandalen

LÄS MER: 150 allvarliga IT-incidenter hos svenska myndigheter bara i år

I mars 2012 hackades en server där personuppgifter från Skatteverket, Polisen och Kronofogdemyndigheten lagrades i flera känsliga databaser. Bland annat låg Polisens särskilda personregister och Kronofogdemyndighetens gäldenärsregister på servrarna.

Servern hanterades av det privata företaget Logica, dit myndigheterna hade outsourcat lagringen av datan. Servern var placerad i Sverige, men myndigheterna hade inte heller den gången gjort tillräckliga säkerhetsanalyser, menar Robert Malmgren.

– Flera av de säkerhetshål som upptäcktes hade man kunnat avtala bort. Man hade också kunnat be FRA komma dit och testhacka servern för att pröva säkerheten. Det gjorde man aldrig.

LÄS MER: FRA – Kan ta en timme att hacka sig in i myndigheternas IT-system

Personer tvingades flytta

Personuppgifterna publicerades på nätet och personer med skyddad identitet tvingades flytta efter det inträffade. 

Gottfrid Svartholm Warg, en av grundarna till Pirate Bay, dömdes sommaren 2013 till två års fängelse för dataintrång, grovt bedrägeri och försök till grovt bedrägeri. En 36-årig man från Dalarna dömdes också till skyddstillsyn. Senare sänktes dock straffet, men Svartholm Varg ansågs fortfarande skyldig till intrånget i servern där myndigheternas data lagrades.

LÄS MER: Svartholm Varg får två års fängelse

LÄS MER: Sänkt straff för Pirate Bay-grundare

– Vad jag är förbannad på är att alla sa att ”Det var Logica som gjorde fel”. Men varför hade myndigheterna inte bättre koll på sin data? undrar Robert Malmgren.

LÄS MER: Säkerhetsexperten – IT-skandalen beror på dåligt ledarskap

Redan då pekade säkerhetsexperter på att myndigheter inte kan frånsäga sig ansvaret för data de lägger ut hos en extern leverantör. 

Robert Malmgren satt med i regeringens IT-kommission som lade fram sitt första förslag till en IT-haverikommission redan den 18 januari år 2000.Tanken var att skulle samla inträffade IT-incidenter för att andra myndigheter skulle lära sig av dem och inte göra samma misstag.

– Om vi hade en IT-haverikommission skulle alla myndigheter tvingas göra samma säkerhetsåtgärder efteråt, i stället för att varje incident ses som något enskilt som inträffar.

LÄS MER: Senast något sådant här hände var Stig Bergling-affären

”Hamnade i skuggan av Saudiaffären”

Intrånget i mars 2012 var allvarligt, men att det inte blev någon större politisk diskussion där ministrar tvingades avgå den gången tror Robert Malmgren främst beror på att Sverige just då var upptaget med en annan politisk kris – nämligen Saudiaffären som avslöjades av Sveriges Radio samtidigt.

– Vi klarar uppenbarligen inte av mer än en diskussion samtidigt.

Han jämför med Danmark, som drabbades av samma sak samtidigt. Också där hade myndigheterna outsourcat datahantering till ett externt företag, vars servrar hackades av Gottfrid Svartholm Warg. Där blev den politiska diskussionen mycket starkare.

LÄS MER: Varg misstänks för intrång i danska polisregister

Oppositionen kritiserade regeringen både för hanteringen och för att den inte hade informerat riksdagen, ungefär som den debatt vi haft i Sverige de senaste veckorna. I efterdyningarna av det inträffade tog Danmark fram en ny cybersäkerhetsstrategi, undertecknad av sju ministrar, och nya riktlinjer för hur man skulle hantera personuppgifter.

– Om vi hade gjort samma sak i Sverige redan då hade förutsättningarna för att det som nu hänt på Transportstyrelsen skulle kunna flyga under radarn varit betydligt mindre, säger Robert Malmgren.  

LÄS MER (på danska): Partier chockerade over rigspolitiets data-sloseri

”Brister i kravställan”

Outsourcing i sig behöver inte vara sämre än när myndigheter hanterar sin data själv.

– Det gäller att ställa rätt säkerhetskrav och veta vad man har i systemen. Men vi ser många brister i att man inte gör en bra kravställan från början.

LÄS MER: Expert – därför är läckan så allvarlig

Om det finns säkerhetsklassad information ska ett särskilt avtal om en säkerhetsklassad upphandling upprättas .

Nu kommer det också förslag på att myndigheters data ska samlas centralt, i ett statligt ”moln”. Men det är inte heller någon helsäker lösning, menar Robert Malmgren.

– Då lägger man alla ägg i en korg. Om man hackar den så hackar man allt på samma gång. På sätt och vis är det bättre att det blir små bränder istället för en jättebrasa.

 – Alla har så bråttom att lösa allt på en gång nu. Man måste tänka igenom hela problemet och inte bara snabbt lösa enskilda kriser.

LÄS MER: Transportstyrelsens IT-affär: Detta har hänt

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.

IT-skandalen

Mer i ämnet