Transportstyrelsen, framför allt dess avskedade generaldirektör Maria Ågren, har fått hård kritik för sitt sätt att bryta mot säkerhetsskyddslagen när man outsourcade it-tjänster.
Nu kommer Dagens Nyheter, DN, med uppgifter om hur Regeringskansliet outsourcat delar av sitt it-system där företag fått tillgång till kansliets nätverksinfrastruktur utan säkerhetsskyddsavtal.
I flera år har alltså extern personal från Cygate, utan registerkontroll, kunnat hantera utrustning som kunnat användas för sabotage, avlyssning eller exempelvis leda om nätverkstrafiken under en begränsad tid för att undgå upptäckt.
Inte heller med den tidigare leverantören Atea, som skötte underhåll och support från 2012 till i år, fanns något säkershetskyddsavtal.
Utan säkerhetsskyddsavtal sker ingen registerkontroll. Den görs av Säpo genom belastningsregistret, misstankeregistret och polisens allmänna spaningsregister. Dessutom är säkerhetsskyddslagen solklar: Ett säkerhetsskyddsavtal måste upprättas innan en myndighet ger ett uppdrag till en leverantör där det förekommer uppgifter som omfattas av sekretess med hänsyn till rikets säkerhet.
Regeringskansliet menar dock, i en kommentar till DN, att säkerhetsskyddsavtal inte krävs eftersom vissa uppgifter i dessa avtal omfattas av sekretess för säkerhetsåtgärder (18:8 OSL).
Dessutom anger de att de externa konsulterna inte har tillgång till den information som passerar i nätverket.
Enligt Dagens Nyheter har både Cygate och Atea kontrakterats genom att använda undantag i upphandlingslagarna, som det i 1 kapitlet 5:e paragrafen i Lagen om offentlig upphandling, för att föra i bevis att Regeringskansliet ansett säkerhetsriskerna varit så höga att undantaget använts.
I stället kan undantaget, som Regeringskansliet antyder, enligt Upphandlingsmyndigheten användas för upphandling som omfattas av sekretess, inte bara sådant som rör rikets väsentliga intressen. Upphandlingsmyndigheten har i sin frågeportal angett att “regeln är aktuell i de fall en upphandling omfattas av sekretess utan att det gäller rikets väsentliga säkerhetsintressen. Ett exempel som återfinns i propositionen är upphandling av en ombyggnation av ett museum vars övervakningssystem måste hållas hemligt.”.
Men en säkerhetschef som DN talat med är upprörd.
– Det är fullständigt obegripligt. Det här är förmodligen bara toppen av ett isberg. Det är inte så att situationen på Transportstyrelsen var unik. Det här visar att bristfällig hantering av informationssäkerheten är vanligare än vad vi tror, säger Ann-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige, till DN.
Nu avser också Kristdemokraterna att KU-anmäla statsminister Stefan Löfvén. Det meddelar partiets försvarspolitiske talesperson Mikael Oscarsson för DN.
Säkerhetspolisen har i sin Årsbok 2015 varnat för att om en stor mängd hemlig information hamnar hos en enskild leverantör riskerar denne att bli ett attraktivt mål för andra länders underrättelseinhämtning. ”Den mängd information som samlas hos en leverantör kan medföra att leverantörens verksamhet sammantaget är av stor betydelse för rikets säkerhet”, står det.
Med det menas inte bara den fysiska information som finns hos en leverantör, utan också den information som kan inhämtas av en leverantörs anställda.
”Det är alltid den upphandlande myndigheten som har det yttersta ansvaret för att säkerhetsskyddet är väl anpassat hos de leverantörer som hanterar de delar av verksamheten som bedömts som särskilt skyddsvärd. Ansvaret går inte att avtala bort”, står det också i årsboken.
Bli kvalificerad IT-upphandlare. Upphandling24 arrangerar en populär utbildning under två dagar för dig som idag jobbar med upphandling, men vill bli kvalificerad IT-upphandlare. Läs mer här.
Kommentatorerna ansvarar för sina egna kommentarer