Inrikes

Så läckte hemligheterna step-by-step – avgör själv vem som är ansvarig

Jan Hägglund
Publicerad i
#111
Lästid 6 min

Vi ska göra ett allvarligt försök att ”beskriva det obeskrivliga” som hänt i och omkring Transportstyrelsen. Step by step.

Vad detta handlar om – och vad det inte handlar om
Det handlar naturligtvis om läckorna, dels av hemligt material av militär karaktär rörande ”rikets säkerhet”, dels av sekretessbelagt material rörande exempelvis personer som levt under skyddad identitet. I båda fallen finns i skrivande stund risken att dessa uppgifter idag återfinns hos andra länders underrättelsetjänster men även hos företag, kriminella organisationer samt privatpersoner.

För att beskriva det obeskrivliga – eller ”haveriet” som Stefan Löfven har kallat processen fram till säkerhetsläckorna och lagbrotten – behöver vi en grund att stå på. Grundens ena del består i att fastställa den tidsperiod under vilket ”haveriet” ägde rum. Denna period varade under fyra år och inleddes i januari 2011 och sträckte sig fram till slutet av år 2015. Grundens andra del ger därmed sig själv. Det fyraåriga ”haveriet” ägde rum under både regeringarna Reinfeldt och Löfven. Alliansen och S har alltså ett kollektivt ansvar för den process som ledde fram till haveriet.

Vi måste även göra ytterligare ett klarläggande. Det är skillnad på vad som är olagligt och på vad som är olämpligt. Den granskning som Konstitutionsutskottet gör kommer huvudsakligen att klarlägga vad som har varit olagligt. Alliansens misstroendevotum mot tre S-märkta ministrar byggde på att M, C, L, KD samt SD ansåg att ministrarna inte klarat av att hantera ”haveriet” – efter att haveriet ägt rum. Oavsett åsikt om Alliansens agerande så följde AKB och övriga borgerliga partiledare spelreglerna i kampen om makten då de gick ut med sitt misstroendevotum. Detsamma gäller för Löfvens motdrag genom sin regeringsombildning. När detta är klarlagt har vi lagt den grund vi behöver för att gå vidare och försöka kartlägga vad som hände. Step by step.

Fyraårsperioden 2011 till 2015
2011: Statliga myndigheter borde lägga ut mer IT-tjänster på entreprenad hos privata företag, detta enligt en utredning presenterad av Riksrevisionen. Statens årliga kostnader för denna verksamhet låg då på dryga 20 miljarder kr. Regeringen Reinfeldt instämmer.
2012: Transportstyrelsen vaknar. Dåvarande generaldirektör Staffan Widlert inleder en upphandling hos privata företag av IT-tjänster. Vid denna tidpunkt tillgodosåg Trafikverket behovet av IT-tjänster hos Transportstyrelsen. Genom upphandlingen hoppades Widlert spara dryga 200 miljoner per år. Regerar gör Alliansen.
2014: Avtalet med Trafikverket sägs upp av Transportstyrelsen i början av året. Alliansen regerar.
2015: Sverige har nu bytt regering och landet styrs av S och MP. I mars 2015 får Transportstyrelsen en ny generaldirektör vid namn Maria Ågren. Månaden därefter beslutas att ansvaret och skötseln av flera av myndighetens register ska övertas av IBM – ett internationellt IT-företag med nära kontakter till den amerikanska militären.

Avtalet med IBM omfattade cirka 1100 servrar med hemligstämplad information, däribland information rörande alla fordon i Sverige samt personuppgifter om körkortsinnehavare (även de med skyddad identitet). Avtalet var värt 700-800 miljoner kr över en femårsperiod och fick Transportstyrelsen att ”stå ut” inom myndighets-Sverige.

I samband med att IBM ska ta över börjar generaldirektören ”göra avsteg” från de lagar som ska skydda sekretessbelagda och hemliga uppgifter. Maria Ågren beslutar sig att bryta mot Säkerhetsskyddslagen, Personuppgiftslagen, Offentlighets- och sekretesslagen samt även kraven på informationssäkerhet på Transportstyrelsen. Detta sker efter ”interna diskussioner” på Transportstyrelsen – vilket innebär att generaldirektör Ågren har medbrottslingar!

Bakgrunden till de allvarliga lagbrotten uppges bland annat vara att IBM:s utländska tekniker inte har säkerhetsgranskats. Då avtalet med IBM innebär en ”vidare-outsourcing” till underleverantörer i Serbien, Tjeckien och Rumänien skulle en sådan granskning vara tidkrävande och innebära att arbetet med IBM:s övertagande av IT-verksamheten inte skulle hinna bli klart innan avtalet löper ut med den tidigare IT-leverantören Trafikverket. Detta skulle i sin tur innebära att vissa av Transportstyrelsens register skulle sakna IT-operatör och därför tvingas stänga ned under en period.

Uppenbarligen börjar ”haveriet” med en katastrofal upphandling. Haveriets omfång accelererar sedan genom lagbrotten som i sin tur innebär ett möjligt röjande av sekretessbelagda och hemliga uppgifter rörande bland annat ”rikets säkerhet”. Som om detta inte vore nog beslutar Maria Ågren att hennes ”avsteg” från lagarna om sekretess ska sekretessbeläggas! (Detta är att beskriva det obeskrivliga.)

Transportstyrelsens egna IT-säkerhetsansvariga motsätter sig lagbrotten och hanteringen av känsliga uppgifter. Detta leder till att de säkerhetsansvariga kopplas bort från ärendet. Som en sista åtgärd lämnar dessa, i juni 2015, uppgifterna om lagbrotten i samband med upphandlingen till Säpo. Under sommaren, efter att ha gjort en säkerhetsmässig granskning av IBM:s ”vidare-outsourcing” av IT-driften till länder i Östeuropa, hävdar Säpo att de känsliga uppgifterna inte är säkra. Transportstyrelsens egna internrevisorer ifrågasätter också beslutet om ”vidare-outsourcing”. Men myndighetens styrelse reagerar inte. Maria Ågren godkänner istället fler avsteg (!) vad gäller säkerhetsgranskning av IBM:s personal.

I november skickar Säpo en rekommendation om ”omedelbara säkerhetsskyddande åtgärder” till Transportstyrelsen. I praktiken innebär detta att ”vidare-outsourcingen” ska stoppas. Detta lämnas dock utan åtgärd från de som nås av denna varning. Resten är historia.

I början av 2016 inleder Säpo en förundersökning mot Maria Ågren. Misstanke finns om att hennes beslut om ”avsteg” kan ha röjt hemliga uppgifter. Vid denna tidpunkt får inrikesminister Anders Ygeman reda på vad som hänt. Maria Ågren informerar för första gången den ansvarige statssekreteraren på det departement som hon borde ha lytt under om sina ”avsteg” samt om den förundersökning som har inletts mot henne. Det är den fortsatta politiska handläggningen av det som jag nu har redogjort för, som 2½ år senare lett fram till dagens politiska kamp i form av misstroendevotum och regeringsombildning.

Tragikomiskt efterspel
Efter denna tragiska historia måste vi muntra upp oss med mörk, men dock, humor. Sjuk humor. Personal på IBM sände av misstag ut uppgifter om fordonsägare – även de som hade en skyddat identitet – till en mängd svenska och utländska företag. Ett gigantiskt misstag. För att ”åtgärda” misstaget beslutade därefter Transportstyrelsen att sända ut ett andra mejl. För att sitt gigantiska göra misstag till ett historiskt misstag innehöll mejl nummer två samtliga registrerings- och chassinummer på alla bilar som ägdes av personer med skyddad identitet. I detta andra mejl ombads företagen att själva rensa ut de sekretessbelagda uppgifterna! Som vi tolkat detta skapade Transportstyrelsen ett skräddarsytt ”register” som direkt pekade ut personerna med skyddad identitet! Om detta stämmer måste det – åtminstone moraliskt – motsvara mordförsök.

Vad har läckt – som vi vet
– Körkortsregister med namn och körkortsnummer på samtliga personer med körkort i Sverige – däribland de med skyddad identitet,
– Bilregister på samtliga personer med bilar i Sverige,
– Register över Sveriges militärfordon (inklusive fordon som bland annat innehållet uppgifter om stridspiloter),
– Uppgifter om infrastruktur av typen tunnlar och broar som gör landet militärt sårbart.

Summering
Det är svårt att avgöra exakt hur allvarligt detta är militärt sett. Men dubbelutskicket, som kan utsätta personer med skyddad identitet för livsfara, tillhör det mest makabra med detta ”haveri”. Detta är skälet till formuleringen att beskriva det obeskrivliga. Vi får se vad KU:s granskning kommer fram till. Men vi ska inte vänta oss för mycket. Ansvaret för det som ägt rum under de fyra åren 2011 till 2015 vilar tungt både på Alliansen och på Socialdemokraterna.

Källor: Sydsvenskan, Metro, Computer Sweden, Svt Nyheter, DN och Säpos förundersökningsprotokoll.

Jan Hägglund

Ansvarig utgivare

1 svar på ”Så läckte hemligheterna step-by-step – avgör själv vem som är ansvarig”

  1. Ansvarig var väl Mehmet Kaplan som var IT-minister fram till 2016….och han är väl den som borde också förhöras i KU?

    Svara

Lämna en kommentar