Skip to content

"Onödigt hemlighetsmakeri" och okunskap - därför inträffade IT-skandalen vid Transportstyrelsen

Thomas Bull har granskat Transportstyrelsen. Foto: Erik Simander/TT och Jessica Gow/TT

Cheferna visste inte vilken hemlig information som fanns och hade ingen aning om inte hur den skulle hanteras. Justitierådet Thomas Bull riktar hård kritik mot Transportstyrelsen om hur myndigheten under tidspress och av misstag outsourcade IT-driften till IBM i utlandet - för att spara pengar.

 

Thomas Bull - justitieråd vid Högsta förvaltningsdomstolen och tidigare professor i konstitutionell rätt - har utrett den så kallade IT-skandalen vid Transportstyrelsen. Nu har hans slutsatser kommit.

Huvudorsaken till att det gick snett när Transportstyrelsen skulle outsourca sin IT-drift var enligt Thomas Bull att myndighetens personal och chefer saknade kunskap om vilka hemliga uppgifter som fanns inom myndigheten och inte visste hur dessa skulle hanteras.

De säkerhetsfunktioner som skulle ansvara för informationssäkerheten var dessutom enligt Bull "splittrade, svaga och ganska illa samordnade" samtidigt som man inom myndignheten ägande sig åt ett "onödigt hemlighetsmakeri".

Efter att ha gått igenom en omfattande dokumentation och gjort ett stort antal intervjuer för att reda ut alla turer kring den havererade upphandlingen är Thomas Bull mycket hård i sin kritik.

Tidspress för att spara pengar
Bull konstaterar också att Transportstyrelsen inledde tre omfattande upphandlingar av kärnfunktioner samtidigt och drev dem parallellt vilket gjorde att man fick en för hög arbetsbelastning och hamnade i tidspress.

Tidsgränsen för hur snabbt det skulle gå för IBM att ta över IT-driften var fyra månader med en sommar emellan. Det fanns inte heller någon förberedande klassificering eller anlays gjord av det känsliga materialet utan allt skulle göras under tiden man förde över driften till IBM.

"Det hanns inte med", konstaterar Thomas Bull. Orsaken till tidspressen var att generaldirektören Maria Ågren hade "höga ambitioner att göra kostnadsbesparingar".

Sedan uppdagades det att IBM:s leverans omfattade utländska underleverantörer. Det hade Transportstyrelsen missat i sitt upphandlingsunderlag.

Generaldirektörernas fel
Ansvaret för upphandlingen var spilltrat inom myndigheten och det rådde enligt Bull "oklara ansvarsförhållanden där frågor föll mellan stolarna". Kommunikationen fungerade inte och varken styrelsen eller regeringskansliet fick någon informaiton om de uppkomna problemen med informationssäkerheten. 

När det gäller ansvarsfrågan landar den enligt Thomas Bull på myndighetens ledning där han pekar ut både den tidigare generaldirektören Staffan Widlert och Maria Ågren. Men även styrelsen har enligt Bull haft ett ansvar för de strukturella bristerna inom myndigheten.

Förtroendeskada mot medborgarna
Kontentan av Bulls granskning är att säkerhetsfunktionerna på en myndighet måste vara "mer samlad och bättre förberedd" när det gäller informationssäkerhet.

Bull pekar särskilt på att Transportstyrelsen inte ens har haft en säkerhetschef. Han slår också fast att Transportstyrelsens misslyckande har inneburit en "förtroendeskada" både gentemot de svenska medborgarna och mot utländska aktörer.

 

Fakta:
Det var 2014 som Transportstyrelsen påbörjade en IT-upphandling under ledning av dåvarande generaldirektören Staffan Widlert. När hans efterföljare Maria Ågren tillträdde som generaldirektör i januari 2015, var upphandlingen i slutfasen och färdigförhandlad med IBM.

I maj 2015 ville IBM få säkerhetsgodkännande av utländsk personal i Rumänien, Tjeckien och Serbien, vilket gjorde att Säkerhetspolisen fick upp ögonen för vad som hade hänt.

I juli 2017 godkände Maria Ågren ett strafföreläggande för vårdslöshet med hemlig uppgift för att mellan den 30 september 2015 och den 31 mars 2016 ha gjort "avsteg från gällande lagstiftning och Transportstyrelsens riktlinjer för åtkomst till system och servrar".

  • Anna Wetterqvist

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt