Transportstyrelsens IT-upphandling
Transportstyrelsens IT-upphandling blev en stor nyhet med start tidigt i juli 2017 och kom att utvecklas till att främst handla om IT-säkerhet och svensk inrikespolitik:
- Transportstyrelsens bristande hantering av skyddsvärda IT-system och data samt outsourcing[a] av viss offentlig verksamhet i allmänhet
- Regeringen Löfvens bristande interna och externa kommunikation och i viss mån Alliansens ovilja att vid tiden tillträda regeringsmakten
Media rapporterade den 6 juli att Transportstyrelsens tidigare generaldirektör, Maria Ågren, hade fått ett strafföreläggande och att hon, sedan hon lämnat sitt uppdrag i januari samma år, hade brottsutretts för att ha röjt sekretessbelagda uppgifter som hotade rikets säkerhet.[1] Drygt en vecka senare tilltog medias granskning då det framkom att i stort sett hela Transportstyrelsens IT-miljö, varav väldigt mycket i systemen bedömdes vara skyddsvärt, hade gjorts tillgänglig för icke säkerhetskontrollerad personal.
Oppositionen i Sveriges riksdag avsåg väcka misstroendevotum mot regeringens infrastrukturminister Anna Johansson, inrikesminister Anders Ygeman och försvarsminister Peter Hultqvist. De två förstnämnda avgick den 27 juli i samband med att statsminister Stefan Löfven ombildade sin regering.
Statsminister Stefan Löfven och ytterligare fyra ministrar samt två statssekreterare anmäldes till Konstitutionsutskottet. Tidigare statsministern Fredrik Reinfeldt och regeringen Reinfeldt anmäldes också. Granskningarna blev klara i juni 2018.
Bakgrund
[redigera | redigera wikitext]Huvuddelen av Transportstyrelsens verksamhet består av Trafikregistret och därtill hörande verksamhet, som har funnits i Örebro sedan år 1973.[källa behövs] När Trafikregistret överfördes till Vägverket 1993, inordnades IT-driften i Vägverkets samlade IT-drift.[källa behövs] Vägverket, sedermera Trafikverket, fortsatte att hantera IT-driften efter det att Trafikregistret år 2009 fördes över till Transportstyrelsen.[källa behövs] Genom en omorganisation i Transportstyrelsen år 2012 fördes ansvaret för IT-driften av Trafikregistret till Transportstyrelsens IT-avdelning[källa behövs]. Transportstyrelsen hade 2014 fyra egna datahallar i Örebro.[2] Myndighetens IT-tjänster (drift av IT-infrastruktur och applikationer) hade sedan myndighetens grundande 2009 skötts av Trafikverket.[2]
Redan sedan Transportstyrelsen bildades 2009 hade ett hårt effektiviseringsprogram pågått, något som var en viktig del i verksamheten och var en viktig anledning till att myndigheten outsourcade IT-driften.[3] Staffan Widlert ledde Transportstyrelsen 2009–2015.
” | När jag var ny på myndigheten blev jag uppkallad till Säpo och MUST och blev informerad om de hemligaste delarna av verksamheten. Då var budskapet från deras sida att ju mindre man pratade om detta, desto bättre, och ju mindre du själv vet om det desto bättre [så] vi pratade väldigt lite, egentligen ingenting alls, i ledningsgruppen om de här allra känsligaste frågorna. De flesta visste inte alls att vi sysslade med hemliga identiteter och sådana saker. I efterhand kan man se att det inte var bra. Det bidrog nog till att alla var lite naiva när vi gick in i upphandlingen. | „ |
– Staffan Widlert, generaldirektör för Transportstyrelsen 2009–2015.[4] |
I januari 2011 hade Riksrevisionen överlämnat utredningen "IT inom statsförvaltningen"[5] där myndigheten beräknade att statens IT-kostnader uppgick till mellan 20 och 25 miljarder kronor per år, vilket var den största kostnaden i staten efter löner och lokaler.[5][6] Riksrevisionen ansåg att regeringen borde se till att det togs fram riktlinjer för hur myndigheterna prövade frågan om outsourcing av IT-tjänster.[6]
” | Forskning, teori och praktik säger att korrekt utförd outsourcing kan vara ett effektivt sätt att både öka kvaliteten och sänka kostnaderna i olika verksamheter. Detta gäller i högsta grad IT-verksamhet där exempelvis skalfördelar, specialisering och spetskompetens kan vara viktiga faktorer för att få till en effektiv och rättssäker verksamhet. [...] Att outsourca ett system eller en tjänst kan vara ett sätt att uppnå högre informationssäkerhet än om systemet eller tjänsten hanteras internt, såväl som en risk för försämrad informationssäkerhet. [...] Kraven på informationssäkerhet kan mycket väl upprätthållas vid en eventuell outsourcing men det förutsätter en noggrann analys och god kravställning. | „ |
– Ur Riksrevisionens utredning "IT inom statsförvaltningen"[5] |
Regeringen Reinfeldt uppgav i en skrivelse i maj 2011 att den "delar Riksrevisionens bedömning att det är önskvärt att en större del av myndigheternas it-behov tillfredsställs med hjälp av outsourcing" och underströk då att det var av central betydelse att statsförvaltningen hushöll med allmänna medel.[6] Riksrevisionen hade dock inte gjort någon sådan bedömning i sin rapport.[7]
Under alliansregeringens tid vid makten initierades och förbereddes upphandlingen[förtydliga] när statsminister Fredrik Reinfelt styrde regeringen och Catharina Elmsäter-Svärd var infrastrukturminister.[källa behövs] Dialogen med entreprenörerna hölls och offerförfrågan gjordes 2014.[källa behövs]
Regeringen Löfven I hade vintern 2014/2015 inrättat det säkerhetspolitiska rådet på regeringskansliet för att regelbundet kunna diskutera en samordnad hantering av frågor som rör Sveriges säkerhet i bred bemärkelse som ett beredande och koordinerande organ mellan de statsråd som förväntas ha mest inblandning den typen av frågor och för att deltagarna skulle kunna informera sig så att ansvarigt statsråd kunde veta vad de kunde komma att behöva förbereda som regeringsbeslut.[8] Löfven nämnde i mars 2015 IT-säkerhet som ett av fyra exempel.[8][9]
Sedan den 4 april 2016 har svenska statliga myndigheter genom den obligatoriska IT-incidentrapporteringen en skyldighet att rapportera IT-sårbarheter till Myndigheten för samhällsskydd och beredskap (MSB).
IT-upphandlingen
[redigera | redigera wikitext]Meningen var att jag skulle ha tagit de besluten innan jag slutade, men upphandlingsarbetet fördröjdes och jag slutade lite före pensionsåldern beroende på hur regeringen förlängde förordnandet. Så [Maria Ågren] hamnade i en svår situation. |
– Staffan Widlert, under vars chefstid upphandlingen hade påbörjats 2014[4] |
Transportstyrelsen påbörjade 2014 under ledning av dåvarande generaldirektören Staffan Widlert en IT-upphandling.[10][4] När Transportstyrelsen utlyste upphandlingen vägrade den nuvarande leverantören av tjänsterna, Trafikverket, att delta i upphandlingen eftersom juridikavdelningen på den myndigheten satte stopp, men utan att meddela någon tillsynsmyndighet.[11]:1h22m23s
På uppdrag av Widlert genomfördes outsourcingen av den dåvarande IT-chefen, som senare i SÄPO:s förundersökning uppgav att han saknade en bild över vad det fanns för skyddsvärda hemliga uppgifter inom Transportstyrelsen som helhet. SÄPO hade inte tillfrågats under upphandlingen, utan först i maj 2015 när IBM ville få säkerhetsgodkännande av utländsk personal.[12] Widlert hann inte slutföra upphandlingen innan han slutade, dels för att upphandlingsarbetet hade fördröjts, dels för att han slutade något före den vanliga pensionsåldern, beroende på hur regeringen förlängde hans förordnande.[4] När hans efterföljare Maria Ågren tillträdde som generaldirektör i januari 2015, var upphandlingen i slutfasen och färdigförhandlad.[10] Ågren fick en timmes överlämningsmöte med Widlert och där migreringen och outsourcingen behandlades som en av flera punkter.[10]
Enligt Ågren fick hon tidigt information att outsourcingen och migreringen var angelägna projekt där det inte fanns utrymme för förseningar, och strax därefter signaler om just risk för förseningar. Hon hade hon ett första möte med Anna Johanssons statssekreterare den 23 mars 2015. Därefter följde flera möten där departementet fick lägesrapporter och information om Säpos tillsyn.[13] Det var först vid ett möte med SÄPO i början av februari 2016 som Ågren fick insikt om vidden av problematiken, och hon insåg att Transportstyrelsen befann sig i en återvändsgränd. Den 12 februari 2016 hade Ågren ett möte med tjänstemän på Infrastrukturdepartementet där hon berättade utförligt om de avsteg som var gjorda samt vilka åtgärder som vidtogs.[14]:406-407
Avtalet med IBM Svenska AB slöts i april 2015 och planen var att IBM skulle ta över driften redan 1 september samma år.[15] Tidsplanen på cirka 4 månader inklusive semestermånad ansågs i efterhand vara mycket optimistisk, men som baserades på en ursprunglig mer rymlig tidsplan som hade fördröjts, dock med ett fastlagt slutdatum eftersom avtalet med Trafikverket inte hade förlängts.[12]
Upphandlingen, som var i storleksordningen 700-800 miljoner kronor, vanns av IBM Svenska AB.[16][17] Hantering av myndighetens sekretessbelagda uppgifter lades ut på länder som Rumänien, Tjeckien och Serbien[18],[19] för att hanteras av utländsk personal. Dessa måste enligt svensk lag vara säkerhetskontrollerad, men det visade sig vara tidsödande att göra (och i en del fall kanske omöjligt), varför de fick arbeta utan säkerhetsgodkännande.[20] Transportstyrelsen hade inte krävt att driften skulle vara placerad i Sverige, och att den skulle komma att placeras utomlands märkte Transportstyrelsen först efter att kontraktet var påskrivet.[21][12]
Uppgifterna gjordes därmed tillgängliga för obehöriga. Transportstyrelsen bröt mot såväl sina egna riktlinjer som personuppgiftslagen, offentlighets- och sekretesslagen och säkerhetsskyddslagen.[22] Detta skedde trots att Transportstyrelsen är en av de svenska myndigheter som anses vara speciellt kompetenta inom säkerhetsskydd och som fått ansvar av SÄPO att hantera hemliga uppgifter och även kunna undervisa, ge råd till andra och idka tillsyn.[23] Outsourcingen till IBM skedde trots att Säkerhetspolisen den 25 november 2015 hade varnat för det och rekommenderat Transportstyrelsen att avbryta den.[24] Trafikverket, som skötte den praktiska driften av databaserna före och under outsourcingen till IBM, kunde inte behålla driften, eftersom Transportstyrelsen hade sagt upp överenskommelsen med Trafikverket som leverantör med slutdatum den 31 december 2015. Trafikverket hade därmed påbörjat avvecklingen av sin organisation och många kompetenta personer hade redan bytt arbetsgivare. Transportstyrelsen själv hade inte detaljkunskapen.[20][4] De mest känsliga delarna av datan ansågs så känsliga att de som kände väl till dem, i första hand inom SÄPO och Trafikverket, inte pratade om dem, varvid Transportstyrelsens chefer inte visste mycket och därför inte heller frågade om dem.[12]
Att IT-driften kunde komma att hanteras av utländsk personal som inte var säkerhetskontrollerad ansågs kunna skada rikets säkerhet.[19] Teknikerna fick full tillgång till databaserna och hade därmed möjlighet att kopiera datafiler och därefter sopa igen spåren i loggarna.[25] I början av 2016, när en betydande del av den utländska personalen fortfarande inte blivit säkerhetsgodkända, avtalades med IBM om att driften ska flyttas till Sverige.[20] Detta gjordes skyndsamt, trots att den svenska personalen säkerhetsgodkändes först i efterhand.[20]
Omfattning
[redigera | redigera wikitext]Omfattningen jämfördes med Stig Bergling-affären.[23][25] Åratal av arbete riskerade att raseras.[25] I stort sett hela Transportstyrelsens IT-miljö gjordes tillgängligt, varav väldigt mycket i systemen bedömdes vara skyddsvärt.[22] Inget i databasen var krypterat.[26]
Den sedan våren 2017 nye generaldirektören för myndigheten, Jonas Bjelfvenstam, sade den 21 juli att myndigheten inte förrän hösten 2017 kunde garantera att icke säkerhetsklassade personer i andra länder inte längre hade tillgång till hemlig och känslig information i myndighetens datasystem.[27]
Infrastrukturminister Anna Johansson kommenterade den 29 juli att det inte fanns några indikationer på att uppgifter kommit i orätta händer.[28]
Uppgifter som hanterades var:
- efterlysta fordon[19]
- bepansrade fordon[19]
- Vägtrafikregistret[29] ("Fordonsregistret")[30] som bland annat innehöll:
- information om personer med skyddad identitet[19]
- vissa fordon som även fanns i det militära fordonsregistret[29]
- när och var värdetransportbilar kör[19]
- Körkortsregistret[30]
- alla svenska körkortsbilder[31][22] (vilka sedan 1 juli 2004 varit sekretessbelagda)[32]
- företagshemligheter[22]
- loggar över vad handläggarna gör[22]
- Belastningsregistret[18]
- Misstankeregistret[18]
- Swedish Government Secure Intranet (SGSI)[18] (statens krypterade kommunikationssystem mellan 34 myndigheter genom vilket myndigheterna får tillgång till andra myndigheters databaser, kan sända skyddad e-post och hålla skyddade videokonferenser.[18] Swedish Government Secure Intranet är också anslutet till det skyddade EU-nätet Secure Trans European Services for Telematics between Administrations (Stesta).[18])
- känslig information om broar, Stockholms tunnelbana, vägar och hamnar[30] (men inga militära hamnar)[33]
- identiteter (kvalificerad skyddsidentitet) för svenska hemliga agenter som arbetar för polisen, Säpo och Försvarsmaktens hemliga organ Kontoret för särskild inhämtning (KSI).[25] Personerna bedömdes ha utsatts för direkt livsfara.[25]
- samtliga adresser för civila piloter, vilket omfattar hemadresser, privata bilar och telefoner till svenska stridspiloter med civila flygcertifikat[26]
- tillstånd för förarbevis som i många fall kräver ett läkarintyg vilka handlar om exempelvis alkohol- eller narkotikamissbruk, medicinering, kontakter med psykvård, brottsregister och om personen har adhd, diabetes eller andra hälsotillstånd[34]
- samma uppgifter för personal vid någon järnväg i Sverige som är förare, signaltekniker (inkl.inkopplingsansvarige som ska vara registerkontrollerade), spårtekniker och tågklarerare.
- vilka läkare som är transportläkare
- Uppgifter om Blekinge flygflottilj (F17), Skaraborgs flygflottilj (F7) och Norrbottens flygflottilj (F21)[33]
- Luftstridsskolan i Uppsala och Malmens flygplats i Linköping (enbart de civilt godkända delarna av flygplatsernas verksamhet och infrastruktur)[33]
- Uppgifter om farleder och utmärkning med sjömärken, inklusive "Försvarsmaktens ägande av utmärkningar"[33]
Försvarsmakten begärde svar från Transportstyrelsen på vilken "röjd information" som berörde militära förhållanden och fick ett svar på totalt åtta sidor. När Svenska Dagbladet begärde att ta del av handlingen hade ungefär hälften strukits bort vid sekretessprövningen innan handlingen lämnades ut. Skälet var försvarssekretess och att "det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs".[33]
Uppdagandet
[redigera | redigera wikitext]Den 6 juli 2017 gick en reporter på Nyhetsbyrån Siren rutinmässigt igenom den lista med strafförelägganden som samma morgon hade inhämtats från Åklagarmyndigheten. Där framgick att Maria Ågren hade fått ett strafföreläggande för vårdslöshet med hemlig uppgift. En kollega kontaktade pressansvariga vid Transportstyrelsen för att få en kommentar, men de kände inte till strafföreläggandet. Nyhetsbyråns uppgift om strafföreläggandet fick stor spridning i medierna.[35]
Konsekvenser
[redigera | redigera wikitext]Konsekvenser för Transportstyrelsen
[redigera | redigera wikitext]I juni 2015 inledde Säpo en granskning av upphandlingen,[25] och den 25 november 2015 rekommenderade de ett omedelbart stopp för outsourcingen. Trots detta fortsatte processen, och den 26 januari 2016 inleddes en förundersökning vid Riksenheten för säkerhetsmål.[25][1]
I januari 2017 tvingades Maria Ågren att lämna sitt uppdrag som generaldirektör för Transportstyrelsen,[1] för att, med bibehållen månadslön på 115 200 kronor, arbeta i regeringskansliet med ett internt utredningsjobb i Näringsdepartementet under återstoden av tiden för generaldirektörsförordnandet. Regeringen begärde hos Statens ansvarsnämnd den 20 juli 2017 att hon skulle avskedas.[36]
I juli 2017 godkände[37] Ågren ett strafföreläggande för vårdslöshet med hemlig uppgift för att mellan den 30 september 2015 och den 31 mars 2016 ha gjort "avsteg från gällande lagstiftning och Transportstyrelsens riktlinjer för åtkomst till system och servrar" och därmed "röjt sekretessbelagda uppgifter vars uppenbarande för främmande makt kan medföra men för Sveriges säkerhet" men också att det varit "utan syfte att gå främmande makt tillhanda".[1] Totalt var det fyra avsteg.[38] Hon fick böter på 70 dagsböter à 1 000kr, det vill säga totalt 70 000kr i böter[39] Att Ågren fick ett strafföreläggande och aldrig åtalades ifrågasattes eftersom straffet vårdslöshet med hemlig uppgift skärptes i juli 2014 och det inte fanns en enda dom att utgå från sedan dess.[40] Flera rutinerade åklagare kommenterade att de undvek strafföreläggande i ärenden där det inte fanns vägledande domar.[40]
Den tjänsteman som på Transportstyrelsen som ålades att överföra behörigheterna till systemen till underleverantören vägrade först att göra det och påtalade att det gick emot lagen, och utförde uppgiften (med reservationer) först efter ett av Ågrens beslut om avsteg från lagen.[11]:1h14m35 I samband med sitt examensarbete[41] om statstjänstemannarätt undersökte Edgar Modin varför åklagaren inte hade åtalat tjänstemannen för tjänstefel, men fick inga svar.[11]:1h7m24s
Staffan Widlert, under vars chefstid upphandlingen hade påbörjats 2014, tog på sig delar av ansvaret och sade att Ågren hamnade i en mycket svår sits.[4]
I samband med att uppgifterna blev offentliga i juli 2017, entledigades Transportstyrelsens styrelseordförande Rolf Annerberg och ersattes av Anita Johansson.[42]
Regeringen Löfven I lade skulden på Transportstyrelsen,[19][b] men åklagaren som utrett Ågren bedömde att den bristande respekten för säkerhetsskyddet förekom bland många myndigheter och inte var isolerat till Transportstyrelsen.[19] Ågren för sin del hävdade att hon redan i februari 2016 hade informerat tjänstemän på näringsdepartementet att hon hade beslutat om att göra avsteg från gällande lagstiftning, att tjänstemännen lyssnade men inte kom med några direktiv i frågan.[24]
En säkerhetsexpert som SVT intervjuade ansåg det illa nog att enskilda personuppgifter lämnats ut, men att information som var säkerhetsklassad enligt offentlighets- och sekretesslagstiftningen blivit tillgänglig var särskilt allvarligt.[23] Han sade att det inte var en enskild person som har gjort fel och att felet låg i hela organisationen,[23] något som bekräftades av en intern rapport upprättad i mars 2017 där myndigheten fick underkänt på tio av elva områden, att problemen funnits länge och att IT-säkerheten inte heller hade prioriterats av myndigheten 2009–2015 och före Ågrens tid.[44]
Den 5 september 2017 framkom uppgifter om att Maria Ågren hade vidarebefordrat 100 mejl angående Transportstyrelsens upphandling till sin egen privata mejladress hos Google.[45] Tidpunkten när mejlen vidarebefordrades var samtidigt som förundersökningen mot Ågren pågick. Dennis Töllborg, professor i juridik, påpekade att man inte vanligtvis får skicka över myndighetsmaterial till sig själv. Detta gäller i huvudsak sekretessbelagda uppgifter. Däremot menar Sven-Erik Alhem, rättsexpert och f.d. överåklagare, att man får säkra bevismaterial för egen skull om man ska kunna driva sin sak arbetsrättsligt. Det är Europakonventionen som ger denna rättighet men man får inte röja sekretessbelagda uppgifter. Maria Ågren själv hävdar att det inte fanns någon sekretessbelagd information i mejlen.
Ågrens stämningsansökan i Arbetsdomstolen
[redigera | redigera wikitext]I december 2017 lämnade Ågrens fackförbund Sveriges Ingenjörer in en stämningsansökan till Arbetsdomstolen.[37] I stämningsansökan menade Ågren att även om hon undertecknat de aktuella avstegsbesluten borde det inte få straffrättsliga konsekvenser.[37] Hon ville att avskedandet från regeringskansliet skulle ogiltigförklaras, och begärde skadestånd samt allmänt skadestånd.[37] Fackförbundet påpekade de avsteg som dåvarande rikspolischefen Dan Eliasson gjorde utan att det fick arbetsrättsliga följder. Facket menade att avstegskulturen hade accepterats av regeringen och att det inom Transportstyrelsen, redan innan Ågren tillträdde, fanns en egen "utpräglad avstegskultur".[38]
Det finns anledning att rikta allvarlig kritik mot Maria Ågren men samtidigt var det en mycket särpräglad situation. Hon kan ha hamnat i en situation som hon inte helt rår över och det har vi tagit i beaktande. |
– Cathrine Lilja Hansson, ordförande i Arbetsdomstolen, mars 2019.[46] |
I mars 2019 kom Arbetsdomstolen fram till att det inte var styrkt att Maria Ågren gjort sig skyldig till brott och domstolen dömde till Ågrens fördel. Avskedandet ogiltigförklarades och Ågren återfick på dagen för domen sin anställning på Regeringskansliet till dess att förordnandet löper ut den 28 februari 2021.
Frågan om outsourcing, datormoln och IT-säkerhet i allmänhet
[redigera | redigera wikitext]Våren 2016 hade Statens servicecenter tilldelats ett uppdrag att utreda vilka myndighetsfunktioner som kunde flyttas från Stockholm till andra delar av landet.[47] Under det uppdraget upptäckte myndigheten att delar av de statliga myndigheternas datasystem var outsourcade.[47] I januari 2017 överlämnade myndigheten en rapport till civilminister Ardalan Shekarabi, där den varnade för säkerhetsrisker vid outsourcing av IT-drift.[48] Även FRA, Säpo och Försvarsmakten menade att myndigheternas data bör ligga på statliga servrar i statliga datahallar.[48]
Integritetskommittén hade 2017 pekat på risker med att myndigheter outsourcar tjänster och kommit med förslag som statliga myndighetsmoln eller andra för myndigheterna gemensamma IT-tjänster.[49] Även Statens servicecenter hade i februari 2017[50] föreslagit en molntjänst för datorkraft och lagring för att förbättra skydd av personuppgifter.[49] Internetexperten Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen i Sverige (IIS), med flera instämde i kravet på en statlig molntjänst och efterlyste en sammanhållen statlig strategi och infrastruktur för it-drift för att skapa säkerhet, snabbhet och kostnadseffektivitet.[50] Pehr Jern menade i en replik att debatten felaktigt hade kommit att handla mer om säkerhet än om den bristfälliga upphandlingen.[51]
Svenska Dagbladet publicerade en lista med ett 40-tal myndigheter som hade outsourcat hela, eller delar av, sin IT-drift på privata bolag.[52] I den listan förekom bland annat Datainspektionen, E-hälsomyndigheten, Elsäkerhetsverket, Exportkreditnämnden, Kronofogden, Medlingsinstitutet, Pensionsmyndigheten, Sametinget, Skatteverket, Statens energimyndighet, Statens servicecenter, Tandvårds- och läkemedelsförmånsverket, Tillväxtverket och Upphandlingsmyndigheten.[52]
Per Wallentin kommenterade att "Åratal av försummelse av ett samhällskritiskt politikområde måste ersättas av mer strategiskt och effektivt arbete för att skydda svenska folkets integritet och stärka samhällets förmåga att stå mot attacker och försök till informationsstöld" och att "svagheter i myndigheternas informationshantering [har] varit alarmerande på ett stort antal myndigheter under lång tid". Vidare skrev han att det inte var en lösning att i högre grad förlita sig på myndigheternas interna kapacitet när det ofta är myndigheterna själva som brister i IT-säkerhetsarbetet samt att i förlegade organisationsstrukturer riskerade experter på IT-säkerhet att uppfattas som besvärliga och lätt konspiratoriska.[53] Även Peder Qvist instämde i att myndigheternas IT-säkerhet inte hade tagits på allvar och menade att det nu skulle bli dyrt att åtgärda.[54] Tre IT-experter skrev att "Beslutsfattare måste sätta sig in i vad som är verkligt skyddsvärt, och se till att förbättra säkerheten för just detta" och lyfte risken med att produkter, nya som gamla, som tidigare aldrig hade kopplats upp mot Internet nu hade börjat kopplas in och att man därmed riskerade att bygga in sårbarheter som inte finns i en normal IT-miljö.[55]
Transportstyrelsens IT-upphandling ledde till att statens IT-säkerhet uppmärksammades. I en rapport[förtydliga] från Säkerhetspolisen och FRA pekades flera brister ut.[56]
Regeringen föreslog att Säkerhetspolisen skulle få veto vid framtida outsourcing av myndigheters säkerhetskänsliga verksamheter.[57] Förändringen i säkerhetsskyddsförordningen föreslogs börja gälla den 1 december 2017.[57]
Konsekvenser för Regeringen Löfven
[redigera | redigera wikitext]Anna Johansson sade att hon inte blivit informerad av sin dåvarande statssekreterare och därför inte kände till bristerna[58] förrän i januari 2017[59], medan både försvarsminister Peter Hultqvist och inrikesminister Anders Ygeman hade känt till dem redan över ett år tidigare än Johansson[58], i januari 2016.[59]
Statsminister Stefan Löfven sade att han inte fick kännedom om saken förrän i januari 2017.[60] Anders Ygeman hävdade att han inte haft möjlighet att informera statsminister Löfven då det inte fanns någon säker lokal.[60] Detta trots att både Ygeman och Löfven ingår i det säkerhetspolitiska rådet som inrättades av Löfven 2014/2015 och som sammanträdde i genomsnitt en gång i månaden. Moderaten Erik Randberg undrade om inte rådet höll sina möten i säkra lokaler.[61] En begäran från moderate riksdagsmannen Jan Ericson om dokumentation kring rådet visade att det inte fanns någon dokumentation som tydde på att rådet någonsin existerat.[62] Enligt Ulf Adelsohn kunde den sena informationen till Löfven förklaras med att statsministern skulle ges möjlighet att förneka egen kännedom om saken, så kallad trovärdig förnekbarhet.[63]
Den bristfälliga kommunikationen inom regeringen liknades vid Wennerströmaffären, Stig Berglings rymning, Ebbe Carlsson-affären och Tsunamiärendet.[64]
Alliansens fyra partiledare sade den 26 juli att de avsåg väcka misstroendeförklaring mot ministrarna Anna Johansson, Anders Ygeman och Peter Hultqvist. Vid en presskonferens den 27 juli[65] meddelade statsminister Löfven att han ombildade sin regering och att Johansson och Ygeman avgick från sina poster, medan Hultqvist satt kvar.[66] Ygeman blev istället gruppledare för Socialdemokraternas riksdagsgrupp. Oppositionen var kritisk till att Hultqvist kvarstod i regeringen mot bakgrund av att han trots sin kännedom om säkerhetsrisken redan i mars 2016, varken hade vidtagit några åtgärder, kontaktat andra ministrar, informerat statsministern eller dragit ärendet i det säkerhetspolitiska rådet.[67]
Därefter framkom att även EU- och handelsminister Ann Linde, som vid tiden var Anders Ygemans statssekreterare, redan i september 2015 fick information från Säpo om upphandlingens risker och fick i november 2015 reda på att Säpo rekommenderade ett omedelbart stopp för outsourcingen.[68] Linde var den på regeringskansliet som först informerades om säkerhetsriskerna.[69] 2017 sökte Dagens Nyheter Linde i flera dagar för att få uppgifterna bekräftade, men när uppgifterna framkom gav Linde istället en kort kommentar till TT och var därefter otillgänglig i över två månader för att intervjuas om frågan,[70][69] vilket hindrade tidningen från att få svar på sina frågor.
Tjänstemän på näringsdepartementet, där statsrådet Mikael Damberg är chef, fick information i början av 2016.[9]
Dagens Nyheter uppskattade att minst 20 personer på regeringskansliet kände till säkerhetsbristerna långt innan statsministern informerades,[70] och det bedömdes som i det närmaste otänkbart att justitiedepartementet och näringsdepartementet skulle ha väntat över ett år med att informera statsministerns kansli.[71]
Trots att både Anders Ygeman och Anna Johansson tvingades lämna sina ministerposter och senare kritiserades i Konstitutionsutskottet var de Socialdemokraternas förstanamn på valsedlarna för Sveriges två största kommuner Stockholms kommun[72] respektive Göteborgs kommun[73]. Efter riksdagsvalet i Sverige 2018 blev Ygeman åter minister i Regeringen Löfven II när denna tillrädde i januari 2019 och Ygeman utsågs till energi- och digitaliseringsminister. Ann Linde, den som av Konstitutionsutskottet fanns vara den som inte minst brast i att informera Statsrådsberedningen,[14]:420 utsågs till utrikesminister i Regeringen Löfven II den 10 september 2019.
Stefan Löfvens statssekreterare och närmaste medarbetare avgick med omedelbar verkan och utan avgångsvederlag från regeringskansliet i augusti 2017,[74] men bara fem dagar senare beslutades att hon skulle få ett avgångsvederlag på 1,3 miljoner från Socialdemokraternas partikassa.[75][förtydliga] Statssekreteraren hade deltagit på två möten där Säpo tagit upp Transportstyrelsen men förde inte informationen vidare till statsministern, något som konstitutionsutskottet riktade enig kritik mot.[76] Statssekreteraren vägrade svara på frågor från medier.[77] Enligt Helena Dyrssen och Irene Wennemo 2024 avgick statssekreteraren för att skydda statsminister Stefan Löfven.[78] Drygt två år senare anställdes hon åter som statssekreterare med ansvar för budgetfrågor hos finansminister Magdalena Andersson,[79][80] och fortsatte att vara Anderssons statssekreterare när Andersson blev statsminister i slutet av 2021.[76] Som statsministerns statssekreterare ansvarar hon bland annat för regeringens krisberedskap.[76]
-
Statsminister Stefan Löfven sade att han inte fick kännedom om säkerhetsriskerna förrän i januari 2017.
-
Infrastrukturminister Anna Johansson informerades i januari 2017 och sade att "det fulla ansvaret för hela den här processen [ligger hos Transportstyrelsen]".
-
Inrikesminister Anders Ygeman, kände till säkerhetsriskerna redan i januari 2016 men sade sig inte kunna informera statsministern då det saknades "speciell lokal".
-
Försvarsminister Peter Hultqvist kände till säkerhetsriskerna redan i januari 2016, men informerade inte statsministern.
-
Ann Linde, vid tiden Anders Ygemans statssekreterare, var den på regeringskansliet som först informerades om säkerhetsriskerna, redan i september 2015.
Analyser
[redigera | redigera wikitext]Det ansågs besvärande för regeringen att många åtgärder presenteras först efter den massiva medieuppmärksamheten.[81] Den nytillträdde infrastrukturministern Tomas Eneroth tillsatte den 3 augusti två utredningar.[82] Den ena att granska händelsekedjan som ledde fram till att sekretessbelagda uppgifter hanterades i strid med lagen, och den andra att kartlägga vilken information på Transportstyrelsen som hade hanterats felaktigt och hur det kunde förhindras att hända igen.[82]
Statsvetaren Katarina Barrling belyste hur fokus skiftade från att handla om bristerna i regeringens arbete för att istället handla om annat, till exempel Alliansen.[83] Mot bakgrund av de brister i regeringen som helhet som Alliansen hade lyft fram undrade hon varför de inte hade riktat misstroendet mot statsminister Stefan Löfven och hon kommenterade att de politiska konsekvenserna av händelsen, att Alliansen ville försvaga regeringen men inte själva tillträda, förde tankarna till Decemberöverenskommelsen.[83]
Även Stefan Hedlund belyste det snabba fokusskiftet från sakfrågan till det politiska spelet.[84] Han undrade om statsministern överhuvudtaget hade tänkt informera riksdagen om det allvarliga som hade skett.[84] Att Allianspartierna inte hade riktat misstroende direkt mot Löfven menade han endast kunde förklaras med en panisk skräck över att själva behöva axla ansvaret för att styra landet.[84]
Tomas Ramberg sade att man med fog kunde misstänka regeringen Löfven för att ha försökt mörka händelsen för allmänheten och riksdagen.[85] Han kallade oppositionens agerande för en kompromiss som blev konstig då de varken störtade eller samarbetade med regeringen utan istället försökte lägga krokben för den och avsätta ministrar.[85]
Övrig relaterad debatt
[redigera | redigera wikitext]Inga-Britt Ahlenius efterlyste ett utökat tjänstemannaansvar.[86] Statsvetare Marja Lemne var positiv men Britta Lejon, ordförande för Fackförbundet ST, menade att det var ett större problem att staten hade fokuserat för ensidigt på effektivitet på bekostnad av rättssäkerhet, demokrati, öppenhet och säkerhet.[86] Ahlenius menade också att regeringen konsekvent borde tillämpa en öppen rekryteringsprocess för verkschefer där tjänsterna utlyses offentligt och med tydliga meritkrav.[87]
Granskningar
[redigera | redigera wikitext]Transportstyrelsens interngranskning
[redigera | redigera wikitext]Transportstyrelsen fick i uppdrag av regeringen att utreda händelsen och överlämnade rapporten[88] den 23 januari 2017. Utredningen leddes av ställföreträdande generaldirektör Ingrid Cherfils. Enligt utredningen hade obehörig personal "stor tillgång till system och data" och hemliga uppgifter mellan maj 2015 och oktober 2017. Totalt hade 80 icke säkerhetsklassade personer åtkomst till informationen.[89]
Generaldirektören Jonas Bjelfvenstam kommenterade att informationen i formell mening var att betrakta som röjd, men att den inte hade spridits.[90]
Regeringens granskning
[redigera | redigera wikitext]Regeringens granskning[12] genomförd av Thomas Bull presenterades den 23 februari 2018 och lyfte främst tre orsaker:[15]
- Eftersatt arbete med informationssäkerhet
- Orealistisk tidsplan
- Brist på kommunikation (både inom och mellan myndigheter[3])
Transportstyrelsens effektiviseringsprogram, som pågått sedan myndigheten bildades 2009, uppfattades som så viktigt att myndigheten inte hann med att göra rätt vid outsourcingen av IT-driften.[3] Bull sade att det var en felbedömning att inte diskutera hanteringen av de hemliga uppgifterna utanför en mycket liten grupp.[3] Han kommenterade även att det (enligt nödparagrafen i Brottsbalken) är möjligt att bryta mot lagen i de fall då det handlar om människoliv eller mycket stora samhällsvärden, men då ska det göras så öppet som möjligt och på ett sätt där ansvar kan utkrävas.[3] I det fallet hade Transportstyrelsen ett dilemma eftersom det rörde sig om frågor som rörde rikets säkerhet.[3]
Konstitutionsutskottets granskningar
[redigera | redigera wikitext]Anmälningar inkom till konstitutionsutskottet från Kristdemokraterna, Socialdemokraterna och Moderaterna.
I mitten av juli[förtydliga] anmälde Kristdemokraterna Stefan Löfven och Anna Johansson för den bristande hanteringen av ärendet.[91] Den 10 augusti anmälde Moderaterna även Peter Hultqvist, Ann Linde, Anders Ygeman samt två av Stefan Löfvens statssekreterare.[91] Oppositionen kritiserade regeringen för att, med hänvisning till kommande KU-granskning, inte svara på frågor från media.[82]
Socialdemokraterna anmälde[förtydliga] regeringen Reinfeldt för granskning om ministrar hade givit sitt godkännande till outsourcingen.[92] Senare anmäldes även tidigare statsministern Fredrik Reinfeldt.[93]
Konstitutionsutskottet påbörjade sitt arbete med ärendet i ett första möte den 17 augusti 2017 och beräknade vara klar 2018.
Det framstår för utskottet som självklart att händelser av detta allvarliga slag bör tas upp direkt med statsministern och andra berörda statsråd. |
– Konstitutionsutskottet, 2017/18:KU20 Granskningsbetänkande[14]:420 |
Granskningen, som blev utskottets mest omfattande ärende på många år, resulterade i juni 2018 i att dåvarande ministrarna Anders Ygeman och Anna Johansson kriserades för att inte ha spritt informationen om it-upphandlingen i Regeringskansliet.[94] Utskottet ansåg att Ygeman borde ha varit tillräckligt insatt för att förstå behovet av att följa utvecklingen och att berörda departement och Statsrådsberedningen informerades. Utskottet menade att justitiedepartementet, och inte minst inrikesministerns statssekreterare (Ann Linde), brast i dessa avseenden och att Ygeman bar ansvaret för de bristerna.[14]:420
Utskottet konstaterade att näringsdepartementet och justitiedepartementet inte hade varit tillräckligt samordnade,[94] att tillämpningen av rutinerna för informationsspridning i regeringskansliet hade brustit och att statsminister Stefan Löfven, som regeringschef, bar det yttersta ansvaret för att rutinerna inte hade fungerat.[94]
Om regeringen Reinfeldt skrev utskottet att det inte framkommit något som visade att regeringen hade varit informerad om, eller delaktig i, Transportstyrelsens planer på att outsourca sin it-drift. Inte heller framkom att regeringen eller Regeringskansliet hade fått information om att Transportstyrelsen inte hade genomfört någon säkerhetsanalys förrän 2014.[14] Utskottet noterade dock att arbetet med informationssäkerhetsfrågor på ett allmänt plan var eftersatt och att regeringen Reinfeldt inte gjorde tillräckligt för att åtgärda brister.[14] Utskottet kritiserade[94] Anna-Karin Hatt, dåvarande IT-minister i regeringen Reinfeldt och med samordningsansvar för frågor om samhällets informationssäkerhet,[14]:364 bland annat för att ha lämnat bristfälliga uppgifter till Konstitutionsutskottet.[14]:364
Riksrevisionens granskningar
[redigera | redigera wikitext]I april 2017 hade Riksrevisionen påpekat bristande rutiner för behörighetstilldelning och uppföljning.[95]
- Tilldelade behörigheter var inte fullt ut behovsanpassade.
- Det gjordes ingen regelbunden uppföljning och validering av tilldelade behörigheter.
- Det gjordes ingen systematiskt uppföljning av loggar.
Riksrevisionen kommenterade att "Bristande rutiner inom området behörighetshantering medför en ökad risk för obehörig åtkomst till applikationer eller information. [...] Riksrevisionen har även tidigare år rapporterat om dessa brister och anser att det är viktigt att Transportstyrelsen vidtar åtgärder."[95]
I maj 2018 kostaterade Riksrevisionen att tidigare avrapporterade brister inte hade åtgärdats och att den tidplan för genomförande av åtgärder som Transportstyrelsen hade beslutat inte hade följts.[96] Riksrevisionen kostaterade också att ett stort antal användare hade administratörsrättigheter.[96] Av dessa hade cirka två tredjedelar databasbehörighet och samtliga av dessa tillhörde den externa driftleverantören.[96] Vid granskningstillfället kunde Transportstyrelsen inte verifiera att dessa användare hade behov av behörighetsnivån.[96]
I september 2018, när Riksrevisionens senaste rapport uppmärksammades i media, medgav Transportstyrelsen bristerna men sade att problemen med administratörsrättigheterna var åtgärdade.[97] Avdelningsdirektören vid Transportstyrelsen ville dock inte kommentera om känsliga uppgifter riskerat att hamna i orätta händer.[97]
Mediarapporteringen
[redigera | redigera wikitext]Mediarapporteringen inleddes efter att Dagens Nyheter den 6 juli 2017 först[64], och därefter SVT Nyheter,[98] rapporterade om att Maria Ågren, sedan hon lämnat sitt uppdrag, hade brottsutretts.[1] Den 14 juli rapporterade Dagens Nyheter att stora mängder data hade legat lättåtkomliga för personal utomlands som aldrig hade säkerhetskontrollerats.[99]
Omkring den 21 juli publicerade Nyheter Idag Säkerhetspolisens förundersökningsprotokoll.[100]
Parallellt med rapporteringen i media efter den 20 juli pågick en intensiv diskussion i en tråd på Internetforumet Flashback.[101]
Kristoffer Örstadius tilldelades utmärkelsen Årets Säkerhetsprofil 2018 med motiveringen "Han har med stort engagemang, envishet, nyfikenhet och vass penna visat oss på tydliga brister i de svenska myndigheternas informationssäkerhet och därmed förhoppningsvis skapat jordmån för ett bättre framtida säkerhetsarbete och framför allt en höjd riskmedvetenhet i alla led."[102]
Uppmärksammade interna kritiker vid Transportstyrelsen
[redigera | redigera wikitext]Flera individer inom organisationen som på olika sätt försökte förhindra det inträffade fick i efterhand uppskattning. De som främst omnämndes var Internrevisionschefen Annette Olofsson, säkerhetsskyddschefen Jens Johanson, it-säkerhetsansvarig Johan Eriksson, informationssäkerhetsansvarig Tobias Ander och it-säkerhetsarkitekten David Heed. Dessa individer har även hanterats tveksamt från myndighetens sida där repressalier och hot har förekommit.[103][104][105]
Visselblåsarna och individerna fick flera priser för deras engagemang och sättet de agerade innan och under IT-upphandlingen.
- Årets GRC Profil 2017: Annette Olofsson, Jens Johanson, Johan Eriksson och Tobias Ander med motiveringen "Grupperingen från Transportstyrelsen är fyra starka individer som har gett prov på oberoende integritet och civilkurage utöver det vanliga. De har under händelserna på Transportstyrelsen visat på stor uthållighet och saklighet och fortsatt kämpa i motvind för GRC-frågorna. De har organiserat sig och kämpat gemensamt över funktionerna för att skydda samhällsviktig information."[106]
- Årets Visselpipa 2018: Annette Olofsson och Jens Johanson, Transportstyrelsen med motiveringen "Redan sommaren 2015 larmade de om myndighetens avsteg från lagkrav för säkerhetskontroll inom Transportstyrelsen. De möttes av motstånd och likgiltighet från både verksledning och styrelse. Uthålligt har Annette Olofsson och Jens Johanson utifrån sina respektive yrkesroller kämpat för att skydda samhällsviktig information. Annette Olofsson följde de interna rapporteringsvägarna utan respons. Jens Johanson larmade externt till Säpo. Deras agerande avseende säkerhetsriskerna visar på civilkurage, som i sin tur i högsta grad bidrog till att IT-skandalen inom Transportstyrelsen kunde avslöjas sommaren 2017"[107]
- Årets Kjell Hultman pris 2018: David Heed och Jens Johanson med motiveringen "Två personer som genom sitt agerande i en kritisk situation med svåra prioriteringar stått upp för de professionella principer hans yrkesroll är avsedd att upprätthålla. Konsekvensen har blivit ett fokus på informationssäkerhet som påtagligt kommer att öka skyddet av känslig information hos såväl offentlig sektor som näringsliv. De har satt informationssäkerhet på den nationella kartan för digitalisering"[108]
Se även
[redigera | redigera wikitext]- Lista över databaser som har läckt uppgifter
- E-delegationen
- E-hälsomyndighetens lagring och hantering av känsliga personuppgifter[50]
- Regeringskansliets outsourcing av IT-system[109]
Fotnoter
[redigera | redigera wikitext]Anmärkningslista
[redigera | redigera wikitext]- ^ "Outsourcing", eller "utkontraktering", av en affärsprocess innebär att en part (beställaren) överlåter till en annan part (leverantören) att sköta den verksamheten åt beställaren. Det kan innebära, men behöver inte innebära, att processen förläggs i ett annat land. Att förlägga en process hos en part i ett annat land kallas "offshore outsourcing" eller "utlandsentreprenad".
- ^ Infrastrukturminister Anna Johansson sade vid sin pressträff att "det fulla ansvaret för hela den här processen har legat, och ligger, hos myndigheten, det vill säga Transportstyrelsen".[43]
Referenser
[redigera | redigera wikitext]- ^ [a b c d e] Kristoffer Örstadius, Clas Svahn. "Sparkad generaldirektör röjde sekretessbelagda uppgifter", Dagens Nyheter, 6 juli 2017. Åtkomst den 19 juli 2017.
- ^ [a b] Lars Danielsson. "Miljardupphandling på Transportstyrelsen", Computer Sweden, 10 november 2014. Åtkomst den 23 juli 2017.
- ^ [a b c d e f] "Poddavsnitt #1 Skandal", statskontoret.se, 5 april 2018. Åtkomst den 12 juli 2018.
- ^ [a b c d e f] Mikael Delin. ”Han inledde it-affären som slutade med skandal: 'Vi var naiva'”. Arkiverad från originalet den 25 juli 2017. https://web.archive.org/web/20170725150115/https://www.dn.se/nyheter/sverige/han-inledde-it-affaren-som-slutade-med-skandal-vi-var-naiva/. Läst 26 juli 2017. Dagens Nyheter, 25 juli 2017.
- ^ [a b c] "IT inom statsförvaltningen Arkiverad 4 augusti 2017 hämtat från the Wayback Machine." (Dnr: 31-2009-1505), Riksrevisionen, 12 januari 2011. Åtkomst den 26 juli 2017.
- ^ [a b c] Jerräng, Marcus (23 maj 2011). ”Regeringen vill se mer outsourcing”. Computer Sweden. Arkiverad från originalet den 25 juli 2017. https://web.archive.org/web/20170725052254/https://computersweden.idg.se/2.2683/1.387191/regeringen-vill-se-mer-outsourcing. Läst 23 juli 2017.
- ^ Kjell Vowles. "Outsourcingskandalen: Alliansens ministrar försökte vilseleda riksdagen", ETC, 1 augusti 2017. Åtkomst den 2 augusti 2017.
- ^ [a b] Hans Wallmark et al. "Interpellation 2014/15:269 Säkerhetspolitiskt råd på Regeringskansliet" (video), riksdagen.se, 3 mars 2015. Åtkomst den 29 juli 2017.
- ^ [a b] Claes Lönegård "'En gåta – kan finnas två skäl att Löfven inte informerats'", Svenska Dagbladet, 2 augusti 2017. Åtkomst den 9 augusti 2017.
- ^ [a b c] Emanuel Karlsten. "Jag läste Säpos granskning av IT-skandalen i Transportstyrelsen – så du slipper", breakit.se, 24 jul 2017. Åtkomst den 26 juli 2017.
- ^ [a b c] ”Edgar Modin om tjänstemannaansvar och Transportstyrelseskandalen”. Arkiverad från originalet den 23 augusti 2022. https://web.archive.org/web/20220823203101/https://feeds.soundcloud.com/stream/1329234496-aronflam-edgar-modin-om-tjanstemannaansvar-och-transportstyrelseskandalen.mp3. Läst 24 augusti 2022., Dekonstruktiv kritik, 22 augusti 2022.
- ^ [a b c d e] "”Granskning av Transportstyrelsens upphandling av it-drift”. Arkiverad från originalet den 23 februari 2018. https://web.archive.org/web/20180223155348/http://www.regeringen.se/4929a7/contentassets/66c5a2ed9b824a8fb56d9addc7c0934f/ds-2018_6.pdf. Läst 23 februari 2018." (ISBN 978-91-38-24768-6 ISSN 0284-6012), 23 februari 2018. Åtkomst den 23 februari 2018.
- ^ Claes Petersson. ”Regeringen fick information 'under hela 2015'”. Arkiverad från originalet den 29 september 2019. https://web.archive.org/web/20190929132034/https://www.expressen.se/nyheter/regeringen-fick-information-under-hela-2015/. Läst 19 mars 2022. Expressen, 31 augusti 2017.
- ^ [a b c d e f g h] "Konstitutionsutskottets betänkande 2017/18:KU20 Granskningsbetänkande, pressupplaga, ej trycklovskontrollerad", riksdagen.se, 7 juni 2018. Åtkomst den 7 juni 2018.
- ^ [a b] "Brister i Transportstyrelsens hantering av it-upphandling" via regeringen.se, Thomas Bull pressträff, 23 februari 2018. Åtkomst den 23 februari 2018.
- ^ "Frågor och svar kring uppgifter i media om vår it-upphandling, Vad har hänt? ", transportstyrelsen.se. Åtkomst den 28 juli 2017.
- ^ Karin Lindström. "IBM tog Transportstyrelsens miljardkontrakt", Computer Sweden, 15 april 2015. Åtkomst den 23 juli 2017.
- ^ [a b c d e f] Mikael Holmström. "DN avslöjar: Polisens hemliga register låg öppna för obehöriga", Dagens Nyheter, 20 juli 2017. Åtkomst den 20 juli 2017.
- ^ [a b c d e f g h] "Transportstyrelsens ordförande avgår efter skandalläckan", Sveriges Radio, 18 juli 2017. Åtkomst den 19 juli 2017.
- ^ [a b c d] utdrag ur SÄPO:s utredning, Twitter, Emanuel Karlsten
- ^ Tidigare generaldirektören: Alliansregeringen gjorde inget fel
- ^ [a b c d e] Kajsa Olsson, Isabelle Strengbom. "Turerna kring Transportstyrelsen - detta har hänt", Sveriges Radio, 19 juli 2017. Åtkomst den 19 juli 2017.
- ^ [a b c d] Malin Crona. ""Senast något i den här omfattningen hände var Stig Bergling-affären", Sveriges Television, 21 juli 2017. Åtkomst den 21 juli 2017.
- ^ [a b] Adam Svensson. "Regeringen fick information om myndighetens lagbrott – men reagerade inte", Dagens Nyheter, 19 juli 2017. Åtkomst den 21 juli 2017. Version utan betalning: http://archive.is/3wGTt
- ^ [a b c d e f g] "Svenska hemliga agenters identiteter kan ha röjts", Dagens Nyheter, 22 juli 2017. Åtkomst den 22 juli 2017.
- ^ [a b] Josephine Freje. "Svenska stridspiloters adresser hotade i läckan", Expressen, 20 juli 2017. Åtkomst den 23 juli 2017.
- ^ TT. "Transportstyrelsens gd: Säkerheten kan garanteras först i höst", Dagens Nyheter, 21 juli 2017. Åtkomst den 22 juli 2017.
- ^ Ulrika By. "Anna Johansson: Stefan Löfven har visat prov på starkt ledarskap", Dagens Nyheter, 28 juli 2017. Åtkomst den 29 juli 2017.
- ^ [a b] "Nyheter om åtgärder kring utkontraktering av skyddsvärd information Arkiverad 24 juli 2017 hämtat från the Wayback Machine." via regeringen.se, Statsminister Stefan Löfvens pressträff, 24 juli 2017. Åtkomst den 24 juli 2017.
- ^ [a b c] Aktuellt, Sveriges Television, 21 juli 2017.
- ^ Oskar Jönsson. "Transportstyrelsens styrelseordförande Rolf Annerberg kände till lagbrotten", Sveriges Television, 14 juli 2017. Åtkomst den 19 juli 2017.
- ^ Tomas Carlsson. "Är pass- och körkortsbilder offentliga handlingar? Arkiverad 23 juli 2017 hämtat från the Wayback Machine.", expressen.se/kvalitetsbloggen, 1 december 2015. Åtkomst den 19 juli 2017.
- ^ [a b c d e] Jonas Gummesson. "Transportstyrelsens militära läckor hemligstämplas", Svenska Dagbladet, 9 augusti 2017. Åtkomst den 9 augusti 2017.
- ^ Katarina Lagerwall. "Transportstyrelsen nedringd av kritiska svenskar", Dagens Nyheter, 22 juli 2017. Åtkomst den 22 juli 2017.
- ^ Linnéa Kihlström. ”Siren om handlingen som avslöjade IT-säkerhetsskandalen”. Arkiverad från originalet den 22 september 2017. https://web.archive.org/web/20170922194407/https://www.medievarlden.se/2017/08/siren-om-handlingen-som-avslojade-sakerhetsskandalen/. Läst 25 augusti 2022. medievarlden.se, 14 augusti 2017.
- ^ Arne Lapidus. "[1]", Expressen, 24 juli 2017. Åtkomst den 24 juli 2017.
- ^ [a b c d] Kristoffer Örstadius. "Maria Ågren godkände strafföreläggandet för att undvika medieuppmärksamhet", Dagens Nyheter, 12 december 2017. Åtkomst den 1 januari 2018.
- ^ [a b] Mikael Kindbom. "Facket: Det fanns en avstegskultur före Maria Ågren", lag-avtal.se, 3 september 2018. Åtkomst den 16 november 2018.
- ^ ”7 frågor och svar om it-skandalen på Transportstyrelsen”. Expressen. http://www.expressen.se/nyheter/6-fragor-och-svar-om-it-skandalen-pa-transportstyrelsen/. Läst 26 juli 2017.
- ^ [a b] TT. "Hanteringen av Ågren-fallet ifrågasätts", Sveriges Radio, 29 juli 2017. Åtkomst den 29 juli 2017.
- ^ Edgar Modin ”Svensk statstjänstemannarätt: Tjänstemannarättens effekter för tjänstemän i den civila statsförvaltningen, i ljuset av den s.k. transportstyrelseskandalen”. Arkiverad från originalet den 23 augusti 2022. https://web.archive.org/web/20220823181028/http://www.diva-portal.org/smash/get/diva2:1625759/FULLTEXT01.pdf. Läst 24 augusti 2022. diva-portal.org, 26 augusti 2021.
- ^ ”Regeringsbeslut om förändringar i Transportstyrelsens ledning”. Regeringskansliet. 20 juli 2017. http://www.regeringen.se/pressmeddelanden/2017/07/regeringsbeslut-om-forandringar-i-transportstyrelsens-ledning/. Läst 20 juli 2017.
- ^ "Regeringen beslutade om förändringar i Transportstyrelsens ledning Arkiverad 24 juli 2017 hämtat från the Wayback Machine." via regeringen.se, infrastrukturminister Anna Johansson pressträff, 20 juli 2017. Åtkomst den 24 juli 2017.
- ^ Mikael Holmström. "DN granskar: It-säkerheten döms ut – i intern rapport", Dagens Nyheter, 21 juli 2017. Åtkomst den 21 juli 2017.
- ^ ”SVT avslöjar: Maria Ågren skickade över 300 mejl till privata kontot efter att hon fått gå”. SVT Nyheter. https://www.svt.se/nyheter/inrikes/svt-avslojar-maria-agren-skickade-over-300-mejl-till-privata-kontot-efter-att-hon-fatt-ga. Läst 5 september 2017.
- ^ Ellinor Knoxborn, Bengt Hansell. "Fel att sparka Ågren – får jobbet tillbaka", sverigesradio.se, 6 mars 2019. Åtkomst den 6 mars 2019.
- ^ [a b] Adam Darab. "Statens Servicecenter varnade regeringen för outsourcing", Dagens Nyheter, 24 juli 2017. Åtkomst den 24 juli 2017.
- ^ [a b] Malin Jansson. "Regeringen varnades om riskerna med outsourcing", Svenska Dagbladet, 23 juli 2017. Åtkomst den 24 juli 2017.
- ^ [a b] TT. "Förslag: IT-moln för myndigheterna", Ny Teknik, 20 juli 2017. Åtkomst den 21 juli 2017.
- ^ [a b c] Anne-Marie Eklund Löwinder et al. "'Nu måste staten bygga en egen molntjänst'", Svenska Dagbladet, 26 juli 2017. Åtkomst den 27 juli 2017.
- ^ Pehr Jern. "'Egen IT-drift blir inte nödvändigtvis säkrare'", Svenska Dagbladet, 2 augusti 2017. Åtkomst den 9 augusti 2017.
- ^ [a b] Håkan Johansson. "Lång rad stora myndigheter har outsourcat it-driften", Svenska Dagbladet, 31 juli 2017. Åtkomst den 1 augusti 2017.
- ^ Per Wallentin. "'Tre viktiga lärdomar kan dras av it-skandalen'", Svenska Dagbladet, 7 augusti 2017. Åtkomst den 9 augusti 2017.
- ^ TT. "Myndigheternas it-problem kan bli dyrt", Svenska Dagbladet, 4 augusti 2017. Åtkomst den 9 augusti 2017.
- ^ Robert Lagerström, Jacob Henricson, Pontus Johnson. "'Ledningar måste ha bättre koll på vad som ska skyddas'", Svenska Dagbladet, 10 augusti 2017. Åtkomst den 10 augusti 2017.
- ^ Jani Pirttisalo Sallinen. "Statens it-säkerhet sågas i hemligstämplad rapport", Svenska Dagbladet, 7 september 2017. Åtkomst den 9 september 2017.
- ^ [a b] Aktuellt (vid 12m 45s), Sveriges Television, 11 september 2017.
- ^ [a b] Jon Lindhe. "Nya uppgifter: Även Peter Hultqvist (S) kände till IT-skandalen", Sveriges Television, 23 juli 2017. Åtkomst den 23 juli 2017.
- ^ [a b] Carl-Johan Kullving. "Löfven: Det är ett haveri", 23 juli 2017. Åtkomst den 24 juli 2017.
- ^ [a b] "Ygeman: Därför informerades inte Löfven – 'Inget man tar på fikarasten'", Aftonbladet, 25 juli 2017. Åtkomst den 2 januari 2017.
- ^ Erik Randberg. "Så är det ju o därför har regeringskansliet sådana lokaler. Var har det säkerhetspolitiska rådet sina möten?", twitter.com, 25 juli 2017. Åtkomst den 2 januari 2017.
- ^ Lars Wilderäng. "Ingen dokumentation på att Löfvens säkerhetsråd någonsin existerat", Cornucopia, 19 augusti 2017. Åtkomst den 2 januari 2018.
- ^ "Om hur rättvisan ska hinna ifatt svenska IS-terrorister och om Maria Ågrens upprättelse." (Ulf Adelsohn vid 56m27s), Kvartal, 9 mars 2019. Åtkomst den 9 mars 2019.
- ^ [a b] "'Hade aldrig kunnat hända för 25 år sedan'", Studio Ett, Sveriges Radio, 24 juli 2017. Åtkomst den 24 juli 2017.
- ^ "Regeringsombildning 27 juli Arkiverad 28 juli 2017 hämtat från the Wayback Machine." via regeringen.se, Statsminister Stefan Löfvens pressträff, 27 juli 2017. Åtkomst den 29 juli 2017.
- ^ Gustafson, Linnea & Hedenmo, Fanny (27 juli 2017). "Här är Löfvens nya regering – Ygeman och Johansson får gå". SVT. Läst 27 juli 2017.
- ^ Jasmin Lindberg. "Hans Wallmark: Skillnaden mellan Peter Hultqvist och Anders Ygeman är marginella", Sveriges Radio, 28 juli 2017. Åtkomst den 30 juli 2017.
- ^ TT. "Ann Linde: fick informationen 2015", Sveriges Radio, 3 augusti 2017. Åtkomst den 4 augusti 2017.
- ^ [a b] Dan Lucas. "'Vare sig vi eller Säpo visste vad som skulle komma'", Dagens Nyheter, 5 oktober 2017. Åtkomst den 9 oktober 2017.
- ^ [a b] Kristoffer Örstadius. "Frågorna som ministern inte vill svara på", Dagens Nyheter, 4 oktober 2017. Åtkomst den 9 oktober 2017.
- ^ Ewa Stenberg. ”Ewa Stenberg: Lennartssons avgång kan vara draget som räddar försvarsministern”. Arkiverad från originalet den 30 augusti 2017. https://web.archive.org/web/20170830183830/http://www.dn.se/nyheter/politik/ewa-stenberg-lennartssons-avgang-kan-vara-draget-som-raddar-forsvarsministern/. Läst 21 december 2019. Dagens Nyheter, 27 augusti 2017.
- ^ "Arbetarepartiet Socialdemokraterna Stockholms kommun 0002-11794", val.se. Åtkomst den 18 september 2018.
- ^ "Arbetarepartiet Socialdemokraterna Göteborgs Kommun 0002-13861, val.se. Åtkomst den 18 september 2018.
- ^ Hans Olsson. ”Löfvens närmaste medarbetare avgår efter it-skandalen”. Arkiverad från originalet den 13 september 2017. https://web.archive.org/web/20170913054615/http://www.dn.se/nyheter/sverige/lofvens-narmaste-medarbetare-avgar-efter-it-skandalen/. Läst 21 december 2019. Dagens Nyheter, 27 augusti 2017.
- ^ Mats J Larsson. ”Emma Lennartsson får en fallskärm på över en miljon”. Arkiverad från originalet den 12 november 2017. https://web.archive.org/web/20171112143511/https://www.dn.se/nyheter/politik/emma-lennartsson-far-en-fallskarm-pa-over-en-miljon/. Läst 21 december 2019. Dagens Nyheter, 11 november 2017.
- ^ [a b c] Mikael Holmström, Evelyn Jones. ”M-kritik mot Anderssons statssekreterare – avgick efter skandal”. Arkiverad från originalet den 8 januari 2022. https://web.archive.org/web/20220108060126/https://www.dn.se/sverige/m-kritik-mot-anderssons-statssekreterare-avgick-efter-skandal/. Läst 10 januari 2022. Dagens Nyheter, 8 januari 2022.
- ^ "Ålen knäckte tyst PM, Samnytt och medieetiken, Nordegren och Epstein ut" (mp3) (vid 10m01s), Medierna, Sveriges Radio, 28 januari 2023.
- ^ Politikbyrån "Vad gör en SS?" (vid 26m46s), Sveriges Television, 13 mars 2024.
- ^ Johan Westerholm. ”En dyr och skitig historia”. Arkiverad från originalet den 20 december 2019. https://web.archive.org/web/20191220103314/https://ledarsidorna.se/2019/12/en-skitig-historia/. Läst 21 december 2019. ledarsidorna.se, 20 december 2019.
- ^ ”Ny statssekreterare på Finansdepartementet”. Arkiverad från originalet den 19 december 2019. https://web.archive.org/web/20191219135519/https://www.regeringen.se/pressmeddelanden/2019/12/ny-statssekreterare-pa-finansdepartementet/. Läst 21 december 2019. regeringen.se, 19 december 2019.
- ^ Karin Eriksson. "Karin Eriksson: Besvärande att statsråd som har ansvar för att skydda svenska intressen nu verkar fokuserade på att skydda sig själva", Dagens Nyheter, 25 juli 2017. Åtkomst den 30 juli 2017.
- ^ [a b c] Birgitta Johansson. "Moderat: Regeringen lägger locket på", Sveriges Radio, 3 augusti 2017. Åtkomst den 4 augusti 2017.
- ^ [a b] Aktuellt, Sveriges Television, 28 juli 2017.
- ^ [a b c] Stefan Hedlund. "'Alliansen borde riktat misstroende mot Löfven'", Svenska Dagbladet, 29 juli 2017. Åtkomst den 30 juli 2017.
- ^ [a b] "KU tar upp IT-läckan på Transportstyrelsen" (vid 4min), Sveriges Radio, 17 augusti 2017. Åtkomst den 17 augusti 2017.
- ^ [a b] "Behövs en etisk kod för tjänstemän?", P1-morgon, 18 augusti 2017. Åtkomst den 11 september 2017.
- ^ Inga-Britt Ahlenius. "Inga-Britt Ahlenius: 'En gåta att Löfven kunde undanhållas informationen'", svt.se, 17 augusti 2017. Åtkomst den 11 september 2017.
- ^ "”Kartlägga hanteringen av vissa uppgifter - Rapport till regeringen”. Arkiverad från originalet den 23 januari 2018. https://web.archive.org/web/20180123201828/https://www.transportstyrelsen.se/globalassets/kartlagga-hanteringen-av-vissa-uppgifter.pdf. Läst 23 februari 2018." (TSG 2017-2515), 23 januari 2018. Åtkomst den 23 februari 2018.
- ^ Isabella Ahmadi. "Efter it-skandalen: Transportstyrelsens egen utredning klar", Sveriges Radio, 23 januari 2018. Åtkomst den 23 januari 2018.
- ^ "I dag lämnas Transportstyrelsens rapport om hanteringen av skyddsvärda uppgifter Arkiverad 23 januari 2018 hämtat från the Wayback Machine.", transportstyrelsen.se, 23 januari 2018. Åtkomst den 23 januari 2018.
- ^ [a b] Jonas Gummesson. "M anmäler statsråd och statssekreterare till KU", Svenska Dagbladet, 10 augusti 2017. Åtkomst den 10 augusti 2017.
- ^ TT. "KU har bestämt datum för granskning av it-skandalen", Svenska Dagbladet, 2 augusti 2017. Åtkomst den 9 augusti 2017.
- ^ Anders Jelmin. "S KU-anmäler Fredrik Reinfeldt", Sveriges Radio, 22 september 2017. Åtkomst den 1 januari 2018.
- ^ [a b c d] Fredrik Furtenbach, Daniel Klaar. "Ministrar får kritik av KU efter it-skandalen", sverigesradio.se, 7 juni 2018. Åtkomst den 7 juni 2018.
- ^ [a b] "Transportstyrelsen Revisionsrapport – Rutiner och intern styrning och kontroll 2016" (pdf) (Dnr: 3.1.2-2016-0570), riksrevisionen.se, 18 april 2017. Åtkomst den 17 september 2018.
- ^ [a b c d] "Transportstyrelsen, brister gällande generella IT-kontroller i vägtrafikregistret 2017" (pdf) (Dnr: 3.1.2-2017-0689), riksrevisionen.se, 2 maj 2018. Åtkomst den 17 september 2018.
- ^ [a b] Adrian Sadikovic. "Transportstyrelsen gav IBM-personal tillgång till känsligt register", sverigesradio.se, 17 september 2018. Åtkomst den 17 september 2018.
- ^ Oskar Jönsson, Jon Lindhe, Andreas Ericson. "SVT Nyheter avslöjar: Läckte uppgifter vid dataupphandling", SVT Nyheter, 6 juli 2017 kl 22.18. Åtkomst den 29 juli 2017.
- ^ Mikael Holmström. "Statliga hemligheter kunde nås av främmande makt", Dagens Nyheter, 14 juli 2017. Åtkomst den 30 juli 2017.
- ^ "Här är Säpos 250 sidor långa hemliga utredning mot Transportstyrelsen", Nyheter Idag. Åtkomst den 29 juli 2017.
- ^ "Politiska konsekvenser av IT-skandalen på Transportstyrelsen", Flashback, 2017-07-20 kl 14:16. Åtkomst den 29 juli 2017.
- ^ ”Årets Säkerhetsprofil”. www.xn--skerhetsgalan-bfb.se. Arkiverad från originalet den 9 december 2018. https://web.archive.org/web/20181209123826/https://www.xn--skerhetsgalan-bfb.se/%C3%A5rets-s%C3%A4kerhetsprofil.html. Läst 8 december 2018.
- ^ ”Transportstyrelsen straffade anställda som larmade”. www.expressen.se. https://www.expressen.se/nyheter/sa-straffade-transportstyrelsen-i-it-skandalen/. Läst 8 december 2018.
- ^ ”Avslöjade it-skandal på Transportstyrelsen - vågar inte ta emot pris” (på amerikansk engelska). Revisionsvärlden. 3 februari 2018. https://revisionsvarlden.se/avslojade-it-skandal-pa-transportstyrelsen-vagar-inte-ta-emot-pris/. Läst 8 december 2018.
- ^ ”Vi försökte skydda känslig information” (på engelska). Voister. https://www.voister.se/artikel/2018/04/transportstyrelsen-forsokte-skydda-kanslig-information/. Läst 8 december 2018.
- ^ ”grc-profil | Årets GRC-Profil”. grc-profil. Arkiverad från originalet den 9 december 2018. https://web.archive.org/web/20181209124605/https://www.grc-profilen.com/arets-grc-profil-2017. Läst 8 december 2018.
- ^ ”Årets Visselpipa | Transparency - Sweden”. www.transparency.se. https://www.transparency.se/arets-visselpipa. Läst 8 december 2018.
- ^ ”Kjell Hultman stipendium”. Dataföreningen. Arkiverad från originalet den 9 december 2018. https://web.archive.org/web/20181209124014/https://dfs.se/kretsar/stockholm/kjell-hultmans-stipendium/. Läst 8 december 2018.
- ^ Kristoffer Örstadius. "Regeringskansliet outsourcade till bolag – utan säkerhetsskyddsavtal", Dagens Nyheter, 9 oktober 2017. Åtkomst den 9 oktober 2017.