Baggrund
Læsetid: 4 min.

Svenske agenters oplysninger er endt i Rumænien. Her er fem ting, du skal forstå om skandalen

Et massivt datalæk i Sveriges Transportstyrelse udsætter agenter og militærfolk for fare. Trods advarsler fra sikkerhedstjenesten Säpo har tophemmelige informationer været åbent tilgængelige for østeuropæiske it-teknikere i månedsvis. Her er fem ting, du skal forstå om skandalen, der truer med at vælte flere ministre og måske hele regeringen
Ved et pressemøde mandag lovede den svenske statsminister, Stefan Löfven, at regeringen vil foretage en undersøgelse af hele sagsforløbet omkring Transportstyrelsens udlicitering. Desuden vil den fremsætte ny lovgivning, der skal stramme it-sikkerheden i Sverige.

Ved et pressemøde mandag lovede den svenske statsminister, Stefan Löfven, at regeringen vil foretage en undersøgelse af hele sagsforløbet omkring Transportstyrelsens udlicitering. Desuden vil den fremsætte ny lovgivning, der skal stramme it-sikkerheden i Sverige.

Patrik C Österberg

Udland
25. juli 2017

1. IT-skandale i Sverige – vad fan er der sket?

Transportstyrelsen i Sverige har givet østeuropæiske it-teknikere uden sikkerhedsgodkendelse adgang til en stor mængde ekstremt følsomme data om svenske statsborgere.

Ifølge Expressen drejer det sig om registre over svenske jagerpiloters private adresser, lister med militære køretøjer samt data, der gør det muligt at identificere Sveriges hemmelige agenter. Der er tale om agenter hos politiet, sikkerhedstjenesten Säpo og militæret.

De udenlandske teknikere »fik nøglerne til Kongeriget«, lyder beskrivelsen fra en ansat i Transportstyrelsen til SVT. Ifølge Dagens Nyheter kan lækagen også have ødelagt flere års arbejde med at opbygge skjulte identiteter for f.eks. voldsofre og politiets informanter.

Sveriges regering oplyser, at de ikke ved, om oplysningerne er blevet misbrugt eller lækket.

2. Hvem har fået adgang til oplysningerne?

Ifølge Dagens Nyheter har mindst tre IBM-administratorer i Tjekkiet haft fuld adgang til alle data samt mulighed for at slette sporene efter sig i systemets logfiler. Også teknikere i Rumænien og Kroatien har haft adgang.

Skaden er sket, fordi Transportstyrelsen i april 2015 besluttede at skifte it-leverandør til IBM, der har datterselskaber i flere østeuropæiske lande. IBM’s teknikere måtte kun få adgang til de følsomme oplysninger, hvis de var sikkerhedsgodkendte. Men i maj 2015 besluttede Transportstyrelsens generaldirektør Maria Ågren »at gøre undtagelser fra gældende lov« og fravige kravet om sikkerhedsgodkendelse. Herfra fik teknikerne fri adgang til de følsomme oplysninger.

Foruden lækket har svenske medier afdækket, at datateknikere i Serbien har kunnet overvåge datatrafikken mellem Transportstyrelsen og 34 svenske myndigheder på regeringens topsikrede netværk, kaldet ’Swedish Government Secure Internet’.

Endelig har det samlede svenske kørekortregister med billeder også været tilgængeligt. Det er også alvorligt, men blegner i det store billede.

Alle servere er sidenhen trukket tilbage til Sverige, hvor kun svensk personale nu har adgang til oplysningerne.

3. Blev Transportstyrelsen advaret om faren?

I juni 2015 satte en intern revision spørgsmålstegn ved Maria Ågrens beslutning om at ignorere kravet om sikkerhedsgodkendelse. Men ledelsen i Transportstyrelsen reagerede ikke.

25. november 2015 advarede sikkerhedstjenesten Säpo, den svenske pendant til PET, om risikoen for datalæk. Säpo opfordrede Transportstyrelsen til at afbryde udliciteringen af dens datasystemer til IBM, men det blev ignoreret.

Det er fortsat uklart, hvordan Transportstyrelsen – og i særdeleshed Maria Ågren – kunne sidde advarslerne fra Säpo overhørigt. Den 40-årige civilingeniør Ågren beskrives i svenske medier som en blændende dygtig embedsmand, der har gjort kometkarriere og bestredet flere topposter i staten. Ved en afhøring foretaget af Säpo 2. marts 2017 forklarede hun, at det ikke er unormalt at afvige fra gældende lov.

»Det er en del af rutinen, som man kunne gøre, når det var nødvendigt,« sagde hun under afhøringen.

Om advarslerne fra Säpo, der anbefalede at »indføre øjeblikkelige sikkerhedsprocedurer« svarede Ågren, at hun stolede på, at Transportstyrelsens sikkerhedschef havde styr på at overholde loven om persondatasikkerhed.

For sin rolle i sagen blev Maria Ågren i juni idømt 70.000 svenske kroner i bøde. I juli fratog regeringen hende titlen som generaldirektør, men hun fastholder ifølge Expressen sin månedsløn på 115.000 svenske kroner i op til fire år, svarende til omtrent 4,8 mio. svenske kroner.

4. Hvorfor truer det så regeringen?

Ifølge svenske medier har flere ministre været bekendt med skandalen i månedsvis uden at informere offentligheden. Hverken Riksdagen eller befolkningen blev orienteret om lækket før 6. juli 2017, da Maria Ågren modtog sin bøde for at bryde reglerne om håndtering af persondata.

På den baggrund har oppositionspartierne Alliansen, Sverigedemokraterna og Vänsterpartiet truet med at udtrykke mistillidsvotum til flere ministre og potentielt hele regeringen.

Ved et pressemøde mandag indrømmede statsminister Stefan Löfven efter længere tids tavshed, at han personligt har kendt til lækket siden januar 2017. Hvorfor han ikke delte sin viden med offentligheden forklarede statsministeren med, at hans »førsteprioritet var at sikre informationerne«. Han kaldte hændelsen i Transportstyrelsen »et tilsyneladende alvorligt uheld, som er i strid med loven«.

Men ifølge SVT har indenrigsminister Anders Ygeman (S) og forsvarsminister Peter Hultqvist kendt til datalækket i længere tid, måske så tidligt som siden begyndelsen af 2016.

Löfven blev ved pressemødet spurgt, hvorvidt det var mærkeligt, at Ygeman og Hultqvist ikke straks informerede deres statsminister. Löfven svarede, at »respektive ministre har ansvar for hver deres område«, men »at han gerne ville have haft oplysningerne tidligere«.

Tilbage i januar 2017 besluttede infrastrukturminister Anna Jonasson (S) at fjerne generaldirektør Maria Ågren fra sin post i Transportstyrelsen. Den officielle begrundelse var dengang »forskelligheder«. Ågren beholdt dog titlen som generaldirektør uden resortområde i Regeringskansliet, som i Sverige omtales 'elefanternes kirkegård'.

Først 18. juli 2017, efter skandalen rullede, besluttede minister Anna Jonasson at fyre Transportstyrelsens bestyrelsesformand, Rolf Annerberg. Det har fået flere politikere til at kritisere Jonassons håndtering af sagen, men ved pressemødet udtrykte statsminister Löfven sin fortsatte tillid til sin infrastrukturminister.

Det er i skrivende stund uvist, hvordan oppositionen vil reagere på statsministerens redegørelse i sagen.

5. Hvad gør de nu?

Ved pressemødet mandag lovede Stefan Löfven, at regeringen vil foretage en undersøgelse af hele sagsforløbet omkring Transportstyrelsens udlicitering. Desuden vil regeringen fremsætte ny lovgivning, der skal stramme it-sikkerheden i Sverige og gøre det sværere at udlicitere håndteringen af personfølsom data.

»Den lange periode med privatisering og outsourcing ligger bag os,« sagde statsministeren.

Regeringen forventer, at loven kan træde i kraft 1. januar 2019.

Følg disse emner på mail

Vores abonnenter kalder os kritisk,
seriøs og troværdig.

Få ubegrænset adgang med et digitalt abonnement.
Prøv en måned gratis.

Prøv nu

Er du abonnent? Log ind her

Per Ulrik Hansen

Sådan kan det gå, når trangen til udlicitering bliver for stor.

Torben Arendal, Eva Schwanenflügel, Karsten Aaen, kjeld jensen, Rolf Andersen, Michael Hullevad, Bjarne Bisgaard Jensen, Christian de Thurah, Arne Lund, Hans Aagaard, Trond Meiring og Dorte Sørensen anbefalede denne kommentar
Dorte Sørensen

I Danmark har "vi" da også lignende sager. Fx. kokset med kørekort oplysninger , osv...

Eva Schwanenflügel, Michael Hullevad, Hans Larsen, Arne Lund og Hans Aagaard anbefalede denne kommentar

Det her er prisen for at ville udlicitere alting, også til folk, der ikke er til at stole på.
Herhjemme er den største leverandør af it til den danske stat, CSC, økonomisk afhængig af den amerikanske efterretningstjeneste, NSA.
Så vi har ikke belæg for at pege fingre af svenskerne. Tværtimod, så fjernes de ledende embedsmænd m/k efter at skandalen er kommet frem. Det gør vi ikke engang her i landet, for selvom der kunne være en berettiget mistanke om at NSA har lagt et dræn ind hos CSC, så tager danske politikere det helt roligt. Det er jo blot vore amerikanske venner, der får oplysningerne, og amerikanerne kan pr. definition ikke gøre noget forkert.

Torben Arendal, Espen Bøgh, Eva Schwanenflügel, Flemming Berger, Karsten Aaen, kjeld jensen, Steffen Gliese, Dorte Sørensen, Hans Larsen og Niels Duus Nielsen anbefalede denne kommentar
Christian Lucas

Dilettantisk udlicitering er noget vi kan nikke genkendende til herhjemme. CSC er et glimrende eksempel på et amerikansk firma der reet er en forlængelse af den nationale sikkerhedsstat. præcis som Alphabet (google). På det punkt er mange af de siste 15 års fremtrædende politikere ikke andet end nyttige idioter. Ikke for Lenin, men for den amerikanske super elite, ofte kendetegnet ved eg. Council on Foreign Relations medlemskab og dybe investeringer i det militær industrielle kompleks.

Torben Arendal, Eva Schwanenflügel, Flemming Berger, Arne Lund, kjeld jensen og Steffen Gliese anbefalede denne kommentar
Jesper Frimann Ljungberg

@Arne Lund
Du glemmer, at CSC faktisk blev hacket og at 'nogen' formodentlig stjal hele det danske kørekortregister + schengen registeret (husk på at schengen registeret er så hemmeligt, at du ikke kan få oplyst om du står i registret. Modsat normale andre offentlige registre, hvor du også kan få aktindsigt).
I det svenske tilfælde har normale andre EU borgere 'bare' haft adgang til data. Normale folk som du og jeg. Folk som godt nok ikke er sikkerhedsgodkendte.
Læg mærke til forskellen.. også i konsekvenser. I Sverige kan det koste regeringen livet.. i Danmark.. skete der ikke noget. Ud over at de formodede gerningsmænd, som nægtede sig skyldige fik straffe.

// Jesper

Torben Arendal, Espen Bøgh, Eva Schwanenflügel, Karsten Aaen, kjeld jensen, Steffen Gliese og Michael Hullevad anbefalede denne kommentar
Steffen Gliese

Det er fremragende, at det skete (og ikke skete her)! Nu bliver alle nødt til at indse, at udlicitering er en risikoadfærd, som ligger på grænsen til højforræderi.

Egon Stich, Eva Schwanenflügel og kjeld jensen anbefalede denne kommentar
Jesper Frimann Ljungberg

@Steffen Gliese
Det er inkompetencen, der er farlig. Du bliver jo nødt til at udlicitere noget af det. Staten producerer jo f.eks. ikke IT-udstyr. Staten producerer jo ikke operativ systemer, database systemer m.m. Du kan ikke drive statens IT behov uden at involvere store mængder af private virksomheder.
Med mindre du vil indføre total planøkonomi... og ja.. så går alting jo i stå.

// Jesper

Lars F. Jensen, Niels K. Nielsen, Anne Eriksen, Karsten Aaen og Rolf Andersen anbefalede denne kommentar
Johnny Winther Ronnenberg

Jesper Frimann Ljungberg
>>Det er inkompetencen, der er farlig. Du bliver jo nødt til at udlicitere noget af det.<<

Den del er jeg enig i, men det rigtige svar er at efteruddanne løbende, så man internt har ekspertise i sikkerhed, for hvis man ikke har det, så ved ingen hvad man skal stille krav om til eksterne leverandører.

Niveauet på IT-uddannelserne har simpelthen simpelthen været for lavt for længe, kombineret med at det offentlige er træge til at opgradere deres systemer.

Det er ikke ret længe siden at en lang række offentlige institutioner verden over blev lagt ned også i Danmark af den simple grund, at de stadig brugte Windows XP der stadig er fyldt med huller. Det viste med al tydelighed, at der mangler kompetencer omkring sikkerhed og til det er svaret efteruddannelse og ikke udlicitering. Samt selvfølgelig at man opgraderer løbende.

Når man uddanner folk til det virksomhederne efterspørger, i stedet for til det de har brug for men ikke har viden om. Så vil skandalerne blive ved med at stå i kø.

Anne Eriksen, Eva Schwanenflügel og Jesper Frimann Ljungberg anbefalede denne kommentar

Jesper Frimann Ljungberg - Næh, det glemte jeg nu ikke. Gik ud fra, at de fleste læsere kunne huske tilbage.
Så skriver du, at det er inkompetencen, der er farlig. Javist, men til inkompetencen hører jo det ideologiske trang til at ville udlicitere alt hvad udliciteres kan. Fornuftige professionelle mennesker ved jo godt, at den slags blot er varm luft og et slag i luften.

Egon Stich, Eva Schwanenflügel og Karsten Aaen anbefalede denne kommentar
Karsten Aaen

Nej, den svenske trafikstyrelse valgte ikke pludselig IBM. de udliciterede til IBM, se her:

"Affæren begyndte i foråret 2015. Her udliciterede transportstyrelsen it-driften til IBM. For at det kunne ske hurtigt, blev en række bestemmelser i den svenske datalov ignoreret. Her kan følsomme oplysninger være sluppet ud, skriver flere svenske medier."
kilde: http://jyllands-posten.dk/international/europa/ECE9744615/svensk-forsvar...

Lars F. Jensen, Anne Eriksen, Eva Schwanenflügel og Flemming Berger anbefalede denne kommentar
Jesper Frimann Ljungberg

@Arne Lund
Alt hvad udliciteres kan, er jo nemt. Men at bruge underleverandører til det man ikke selv formår er svært.
Forskellen er at ved det sidste skal man vide hvad man gør.. til det første kan man holde illusionen af at man skærer det væk. Pist borte ude af sind, Somebody Elses Problem.
Problemet med udlicitering i offentlig regi, er at uvidende folk tror at fordi man outsourcer, så forsvinder ansvaret også. Det gør det ikke. Derfor skal man altid kun 'bruge underleverandører' når det giver mening.
Jeg mener det ville være hul i hovedet for den Danske stat selv at udvikle det computerhardware som skulle bruges til at afvikle offentlige systemer på.
Jeg mener det ville være hul i hovedet selv at udvikle database systemer og andet 'standard software'.
Man laver heller ikke selv biler, kuglepenne, maling, borde, stole i det offentlige.

Men før man ved, hvor det kan betale sig at lave tingene 'inhouse' eller eksternt, så skal man have den faglige kompetence til at kunne lave dette valg. Og den skal man have inhouse.

// Jesper

Finn Thøgersen

Nu er der vist lidt mere end bare outsourcing i det:

The leak seems to have happened over email after the
transport agency e-mailed the entire database in clear text messages to
marketers that subscribe to it – and when the error was discovered, the
agency merely sent a new list and told subscribers to delete the old
list themselves.

https://disq.us/url?url=https%3A%2F%2Fwww.theregister.co.uk%2F2017%2F07%...

Inkompetance er åbenbart en forudsætning for visse (offentlige) chefjobs, også hinsidan...

Det ser ud til at den samlede kongelige danske presse fuldtændigt har misset at der er tale om to helt separate problemstillinger:

1) Udliciteringen af driften til IBM, hvor flytningen til udlandet, og især suspensionen af sikkerhedsreglerne klart åbner mulighed for problemer.
Pt er der bare ikke nogen dokumentation for at der skulle være sket nogen skade af den grund, men det kan vel nåes endnu...

2) Det faktiske læk som er sket fra styrelsen i Sverige og som sandsynligvis nøjagtigt lige så vel kunne være sket selv om driften var forblevet i statslig regi...
Den "geniale" løsning på det oprindelige leak viser jo blot at inkompetancen er universel i de højere luftlag...

Lars F. Jensen og Jesper Frimann Ljungberg anbefalede denne kommentar
Jesper Frimann Ljungberg

@Christian Lucas.
Vi er værre.....

// Jesper

Søren Jacobsen

Hvor mange gange er det nu lige alle danskernes cpr. nr., sundhedsdata osv. er blevet lækket de sidste åringer? Ja, jeg husker ikke lige antallet. Men det er mange. At udlicitere offentlig IT er uansvarlig. Det har de seneste år med al tydelighed vist. Hvor mange milliarder det har kostet samfundet kan jeg slet ikke tælle til. Udlicitering og privatisering er ikke rationel. Det er udelukkende ideologi og udelukkende i en lille økonomisk magtelites interesse, som tjener kassen uden at leverer og helt uden ansvar.

Søren Jacobsen

Starten burde etablere sit eget datacenter i Danmark, hvor alle de offentliges registre er lagret. Gennem udlicitering af de svenske nummerplade- og kørekørt registre til IBM er data blevet overført til servere beliggende i Tjekkiet og Serbien. En undersøgelse i Danmark for et par år siden viste i øvrigt, at mange offentlige myndigheder, herunder kommuner, ikke helt viste, hvor i verden deres data egenlig var opbevaret henne. Ikke særlig betrykkende.

Jesper Frimann Ljungberg

@Søren Jacobsen.

Det offentlige har deres egne datacentre. Både hos mange Kommuner, Regioner og Statens-IT har deres egne datacentre.
http://statens-it.dk/om-statens-it/nyheder/2013/fire-millioner-kroner-sp...
http://www.regionsjaelland.dk/nyheder/Sider/Nyt-datacenter-i-Ringsted-ti...
Og mange kommuner har også deres egne datacentre, især de større kommuner.

Det du desuden skal huske på er, at langt størstedelen af de skandaler du skriver om er det 'det offentlige' selv der står for skandalerne. Igen EFI var SKAT's projekt, KMD, IBM og CSC var 'bare' underleverandører. Læs udbudsmaterialet.
Sundhedsplatformen er Regionen hovedstaden og Sjællands projekt. (Igen f.eks. EPIC leverandøren mente at man skulle bruge et år mere på udvikling før man idriftsatte platformen).
Tabet af hele visum databasen var Statens IT's projekt.
CSC hacker sagen skete på systemer der var udviklet mens CSC var en statsejet Datacentralen. Den seneste sag med pladshenvisning's systemet man kunne se CPR numre var også et system udviklet mens KMD var en offentlig virksomhed.
CD-erne til det Kinesiske visum ansøgnings firma var.. det offentlige.
DAMD databasen var i region Syddanmark.
Skal jeg blive ved ...?

HVIS man skal tage IT hjem til det offentlige skal man også have ekspertisen. Det har man bare ikke, på nuværende tidspunkt.
Du kan tro at IBM's sikkerheds, arkitektur og løsning standarder er på et niveau, der er det offentlige Danmark's overlegent. Vi snakker superliga versus Danmarks serien her.

Så man kan simpelt hen ikke tage IT hjem til det offentlige, sådan wupti, "Peter går ikke før det virker". Sorry man solgte ud af de offentlige virksomheder fordi man var grådige og satte dem til at gå det private i bedene, og så ville man score en 'pis i bukserne' gevinst.
Når jeg snakker med venner og bekendte, der sidder i offentlig IT, så er det folk der er så frustrerede og stressede, at de bliver sygemeldt. De er så trætte af embedsmænd, der kun har øje for det 'politiske' spil, at tingene sejler. Som en udtrykte det, da vi sås her i ferien, "Jesper, det nytter jo ikke at man bruger metoder, der hører hjemme i udviklingen af spill apps til ipads, når man har med hemmelige data at gøre".
Mange af de ovenstående fadæser skyldes jo netop, at man har en ledelse der ikke stilles til ansvar, og er uinteresserede i fagligheden i det de er sat til at 'administrere'.

Når det så er sagt.. hvad gør vi så ? Vi (eller rettere inkompetente politikere og embedsmænd) har bragt os i en situation der er langt værre end den svenske.

Jo.. jeg har da mine ideer.. men jeg tror ikke at de vil være populære .. men de ville nok virker :)

// Jesper

Carsten Søndergaard

Er det virkelig nødvendigt for Information at falde i kvantumnysgerrighedsfælden? "Her er fem ting, du skal forstå..." Virkelig? Jeg SKAL forstå? Og hvorfor lige fem?

Det minder desværre om boulevardpressens klikhungrende overskrifter som "Her er tre ting, du ikke vidste om...", "Her er tre slankekure, som rent faktisk virker...", "Her er fire faldgruber, som...", "Her er fem alternativer til...", "Her er seks gode vine til prisen...", "Her er syv bud på...", "Her er otte topchefer, der..."

Virkelig?