Svensk it-skandale vokser: 80 udenlandske it-teknikere kunne se hemmelige data

Betydeligt flere uautoriserede it-teknikere i Øst- og Centraleuropa, end man tidligere har haft kendskab til, fik adgang til hemmelig information, i forbindelse med at den svenske Transportstyrelse lagde følsom it-drift ud til andre aktører.

Skandalen om persondatasikkerhed i Sverige vokser i omfang. Langt flere teknikere end hidtil antaget har nemlig haft adgang til at se persondata fra den svenske transportstyrelse. Tidligere har det været fremme, at lækket eksempelvis omfatter hemmelige identiteter på svenske sikkerheds- og militærfolk og politibetjente.

Konklusionen kommer i forbindense med en redegørelse, som Transportstyrelsen har om hændelsen på bestilling fra den svenske regering. I den gennemgår man hændelserne i sikkerhedsskandalen i styrelsen, der blev afsløret sidste sommer. Årsagen var, at it-driften i 2015 blev udliciteret til it-kæmpen IBM, uden at reglerne om beskyttelse af følsomme persondata blev efterfulgt.

I udredningen kommer myndigheden til den konklusion, at cirka 80 teknikere fra IBM’s kontorer i Serbien, Rumænien, Ungarn og Tjekkiet fik adgang til myndighedens samlede data. Det drejede sig om perioden fra maj 2015 til oktober 2017.

»Man har endog haft adgang til hemmelige oplysninger, som det er muligt at fremskaffe via Transportstyrelsens forskellige it-systemer,« står der i udredningen.

»Vi må betragte samtlige oplysninger som officielt lækkede, selv om vi ikke har indikationer på, at de er landet i de forkerte hænder,« sagde Ingrid Cherfils, konstitueret generaldirektør, på et pressemøde, ifølge Ny Teknik..

Teknikere var sikkerhedsgodkendte

Da hændelsen blev opdaget sidste år, hævdede den dengang ansvarlige - siden fratrådte - den socialdemokratiske infrastrukturminister Anna Johansson (S), at kun en begrænset mængde data var blevet håndteret forkert.

»Jeg går ud fra, at hun baserede dette på den information, hun lå inde med på daværende tidspunkt,« siger Johanssons afløser på posten, Tomas Eneroth, til TT.

Udredningen er ifølge ham - sammen med den udredning, som højesteretsdommer Thomas Bull kommer med om en måned - vigtige for at nå til bunds i, hvad der skete, og hvordan myndigheder fremover bør beskytte følsomme oplysninger.

Han understreger, at heller ikke hverken Säpo eller Försvarsmakten har set indikationer på, at lækket af oplysningerne er blevet brugt til at skade nogen personer eller riget sikkerhed.

De 80 teknikere var sikkerhedsgodkendte af og havde underskrevet en tavshedspligt for IBM. Men dette er ikke nok til at opfylde de krav, der stilles i svensk lov på området.

Sikkerhedsbristerne førte til, at tidligere generaldirektør Maria Ågren blev nødt til at forlade sit job i 2017. Hun accepterede anklagen om at have brudt brudt loven om beskyttelse af sensitive data og dermed have lækket klassificeret information, hvilket kan skade Sveriges sikkerhed.

»Vi har betydeligt bedre kontrol i dag, men vi må fortsætte med at forbedre os,« siger Bjelfvenstam.

Han vurderer, at hændelsen har skadet på Transportstyrelsens omdømme. Det har også forårsaget meget ekstraarbejde, også for andre myndigheder.

Denne artikel har tidligere været publiceret på nyteknik.se.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Frimann

Jeg er godt nok grænsende til inhabil, når vi kommer til den her snak. Men Igen så er og bliver det den offentlige dataansvarlige myndighed, der har ansvaret for at købe og vælge de rigtige services hos databehandlerne.

Det nytter ikke at man køber en billig cloud PAAS service (f.eks. et operativsystem image) hos en cloud leverandør og så ikke forholder sig til fysisk placering, hvem der har fysisk adgang, operativ systems adgang, overvågnings software adgang etc. etc. i kontrakten Og tror at så længe at folk ikke har applikations/database adgang så er den hellige grav i orden.

Igen så skal man have respekt for IT-fagligheden.

// Jesper

  • 6
  • 0
Bjarne Nielsen

fordi man i Sverige - i modsætning til Danmark - faktisk tager den slags alvorligt

Sverige: et par snese på forhånd sikkerhedsgodkendte og udvalgte personer fra et EU land, personer som er underlagt tavshedspligt, har haft en teoretisk mulighed for at kunne have kigget i data, som de ikke skulle, så det må vi regne med at de har.

Danmark: kinesere får tilsendt en CD med personlige oplysninger om hele landets befolkning, heraf mange følsomme oplysninger, men de siger selv, at de ikke har kigget, så det må vi regne med at de ikke har.

Ja, vi er meget tillidsfulde i Danmark.

  • 6
  • 0
Jesper Frimann

Sverige: et par snese på forhånd sikkerhedsgodkendte og udvalgte personer fra et EU land, personer som er underlagt tavshedspligt, har haft en teoretisk mulighed for at kunne have kigget i data, som de ikke skulle, så det må vi regne med at de har.


Det er ikke helt, hvad der sådan faktisk står Bjarne. Man vil gerne have at folk kommer til en konklusion, som det du skriver.

Det artiklen og den oprindelige svenske skriver er:

De 80 teknikere var sikkerhedsgodkendte af og havde underskrevet en tavshedspligt for IBM.

De 80 teknikerna var säkerhetsprövade av, och hade skrivit sekretessavtal med, IBM.

Det er ... en standard ansættelseskontrakt og baggrunds check hverken mere eller mindre.

// Jesper

  • 0
  • 0
Log ind eller Opret konto for at kommentere