It-skandalen leder till gräns för utkontraktering

Transportstyrelsen it-skandal, som innebär att säkerhetsklassade uppgifter bearbetats i andra länder efter en upphandling av it-system. IBM, som vann upphandlingen, har låtit it-tekniker i bland annat Tjeckien ta del av exempelvis uppgifter om alla fordon i hela Sverige, även polisens och militärens fordon. Dessutom finns personuppgifter om alla körkortsinnehavare, även svenska agenter i utlandet.

Detta har lett till att Transportstyrelsens generaldirektör Maria Ågren fått sparken och att Transportstyrelsens styrelseordförande Rolf Annerberg avgått. Iinfrastrukturminister Anna Johansson (S) och statsminister Stefan Löfven har också anmäls till riksdagens konstitutionsutskott, KU.

It-skandalen leder nu också till en gräns för utkontraktering av skyddsvärd information. Detta meddelades på en pressträff som statsminister Stefan Löfven anordnat i Rosenbad.

Där meddelades också att regeringen ska utreda händelseförloppet samt förändra it-driften hos Transportstyrelsen.

Enligt Säkerhetspolisen innebär outsourcing och utkontraktering av verksamheter som hanterar skyddsvärd information en ökad säkerhetsrisk. Säkerhetspolisens erfarenhet är att myndigheter missar att ställa rätt krav på leverantörer och att säkerhetsskyddsavtal är så allmänt hållna att de är svåra att följa upp. Säkerhetspolisen uppger också att de får fler och fler förfrågningar från myndigheter som avser att utkontraktera verksamheter utomlands.

“Det här är allvarligt. Ett gott hushållande av våra gemensamma medel får inte ske på bekostnad av rikets och människors säkerhet. Därför avser regeringen att begränsa möjligheterna att utkontraktera skyddsvärd information”, står det i ett informationsmaterial (pdf) som regeringen tagit fram.

En utredning tillsattes redan i mars 2017 i syfte att kartlägga behovet av och föreslå förebyggande åtgärder, som exempelvis tillståndsprövning innan utkontraktering får ske av säkerhetskänslig verksamhet.

Nu kommer regeringen aviserar att sätta skarpare gränser för vad som ska vara möjligt att utkontraktera.

En utredningen ska bland annat överväga om tillståndsprövning ska utföras innan utkontraktering får ske. Utredningen ska också föreslå ett system med sanktioner i säkerhetsskyddslagen , något som saknas i dag, och se över tillsynsstrukturen när det gäller säkerhetsskyddet. Utredare blir Stefan Strömberg. Utredningen ska redovisa sina förslag senast den 1 maj 2018.

Betänkandet om en ny säkerhetsskyddslag, SOU 2015:25, bereds för närvarande i Regeringskansliet. I betänkandet föreslås en utvidgning av det område som träffas av säkerhetsskyddslagen. Gällande säkerhetsskyddslag träffar, enligt regeringen exempelvis bara it-system om dessa innehåller hemliga uppgifter som gäller rikets säkerhet, men i det nya lagförslaget ställs krav på skydd för it-system som bedöms vara av betydelse för rikets säkerhet, även om dessa inte innehåller hemliga uppgifter. Lagstiftningen kommer också att i större utsträckning träffa näringslivet. Arbetet med betänkandet pågår och en ny lagstiftning kan träda i kraft den 1 januari 2019.

Regeringen har i regleringsbreven för 2017 gett samtliga 46 så kallade bevakningsansvariga myndigheter1 i uppdrag att redovisa vilka övergripande åtgärder som har vidtagits för att bedriva ett systematiskt säkerhetsskyddsarbete. Uppdragen ska redovisas senast den 22 februari 2018.

Därutöver kommer regeringen ge Post- och telestyrelsen (PTS) i uppdrag att ta fram en förvaltningsmodell för samhällskritisk verksamhet som hanterar mycket hög skyddsklassad information. Ambitionen är att genom insourcing skapa en säker it- drift i säkra utrymmen.

Säkerhetspolisen får i uppdrag att redovisa vilka generella brister som finns i säkerhetsskyddet bland myndigheterna med mest skyddsvärd verksamhet. Redovisningen ska särskilt belysa problematiken med utkontraktering.

Dessutom kommer regeringen att tillsätta en utredare att kartlägga det händelseförlopp rörande förändrad it-drift hos Transportstyrelsen som lett fram till att säkerhetsskyddad information i myndighetens register och system har hanterats på ett sätt som strider mot svensk lag.