Det är Dagens Nyheter som kommer med avslöjandet om de allvarliga bristerna i lönesystemet som används av ett stort antal svenska kommuner, regioner och myndigheter. 

Leverantören, det kanadensiska företager CGI har, enligt uppgifter i DN,  tidigare tecknat ett avtal med svenska staten som skulle omfatta närmare hälften av löneutbetalningarna till statsanställda i landet, ett avtal värt runt en kvarts miljard.

Både Sundsvalls kommun och Region Västernorrland använder Heroma för bland annat lönehantering för runt 15 000 anställda.

Tyst från FRA och Säpo

IT-ansvariga på Sundsvalls kommun som SVT talat med uppger att man inte fått information direkt från vare sig FRA, Åklagarmyndigheten eller Säpo om de allvarliga säkerhetsproblemen.  Inte heller har man kontaktats av leverantören, CGI, efter avslöjandet om bristerna.

Samtidigt uppger man på kommunen att man inte använder de mest riskutsatta systemdelarna. ”Vi är ganska säkra på att vi inte är exponerade, men vi följer förstås det här mycket noga”.

Problemen upptäcktes i höstas i samband med en säkerhetsgranskning på Åklagarmyndigheten och bedömningen var att det fanns allvarlig risk att känsliga personuppgifter kunde läcka ut till obehöriga.

FRA kopplades in för säkerhetsgranskning

Både säkerhetspolisen och MSB, Myndigheten för säkerhet och beredskap, kontaktades samtidigt som FRA kopplades in för att göra en säkerhetsgranskning av Heroma.

FRA kunde inte bara bekräfta tidigare misstankar om säkerhetsproblem, utan hittade ytterligare brister.

Risk att lönepengar kan förskringras

Enligt Dagens Nyheters källor finns risk att obehöriga  kommer åt känsliga uppgifter i systemet vilket kan ge möjlighet att redigera och förändra data som ett led i försök att förskringa pengar.

Heroma beskrivs som fortfarande sårbart och bedömningen är att problemen kommer ta mycket lång tid att rätta till.

Redan när systemet infördes för fyra år sedan rapporterade SVT om stora problem – anställda fick bland annat felaktiga löneutbetalningar.