Patrik Jakobsson tf administrativ chef på Region Västernorrland berättar om den information man har om säkerhetsbristerna i systemet Heroma

Allvarliga säkerhetsbrister i lönesystem

Uppdaterad
Publicerad

FRA, Försvarets Radioanstalt, larmar om stora säkerhetsbrister HR-systemet Heroma. Systemet används av ett stort antal kommuner, regioner och myndigheter i landet, bland annat av Region Västernorrland och Sundsvalls kommun för att bland annat betala ut löner. Enligt FRA kan obehöriga komma åt känsliga uppgifter.

Det är Dagens Nyheter som kommer med avslöjandet om de allvarliga bristerna i lönesystemet som används av ett stort antal svenska kommuner, regioner och myndigheter. 

Leverantören, det kanadensiska företager CGI har, enligt uppgifter i DN,  tidigare tecknat ett avtal med svenska staten som skulle omfatta närmare hälften av löneutbetalningarna till statsanställda i landet, ett avtal värt runt en kvarts miljard.

Både Sundsvalls kommun och Region Västernorrland använder Heroma för bland annat lönehantering för runt 15 000 anställda.

Tyst från FRA och Säpo

IT-ansvariga på Sundsvalls kommun som SVT talat med uppger att man inte fått information direkt från vare sig FRA, Åklagarmyndigheten eller Säpo om de allvarliga säkerhetsproblemen.  Inte heller har man kontaktats av leverantören, CGI, efter avslöjandet om bristerna.

Samtidigt uppger man på kommunen att man inte använder de mest riskutsatta systemdelarna. ”Vi är ganska säkra på att vi inte är exponerade, men vi följer förstås det här mycket noga”.

Problemen upptäcktes i höstas i samband med en säkerhetsgranskning på Åklagarmyndigheten och bedömningen var att det fanns allvarlig risk att känsliga personuppgifter kunde läcka ut till obehöriga.

FRA kopplades in för säkerhetsgranskning

Både säkerhetspolisen och MSB, Myndigheten för säkerhet och beredskap, kontaktades samtidigt som FRA kopplades in för att göra en säkerhetsgranskning av Heroma.

FRA kunde inte bara bekräfta tidigare misstankar om säkerhetsproblem, utan hittade ytterligare brister.

Risk att lönepengar kan förskringras

Enligt Dagens Nyheters källor finns risk att obehöriga  kommer åt känsliga uppgifter i systemet vilket kan ge möjlighet att redigera och förändra data som ett led i försök att förskringa pengar.

Heroma beskrivs som fortfarande sårbart och bedömningen är att problemen kommer ta mycket lång tid att rätta till.

Redan när systemet infördes för fyra år sedan rapporterade SVT om stora problem – anställda fick bland annat felaktiga löneutbetalningar. 

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.