Den tidigare regeringens ansvar för bristande säkerhetsrutiner och rutinmässiga avsteg från säkerhetsföreskrifter i samband med Transportstyrelsens IT-verksamhet

KU-anmälan 2017/18:15 (105-2017/18) av Hans Hoff (S)

Hans Hoff (S)

HANS HOFF
Riksdagsledamot (S)
2017-09-21
Dnr 105-2017/18

Granskning av den tidigare regeringens ansvar för bristande säkerhetsrutiner och rutinmässiga avsteg från säkerhetsföreskrifter i samband med Transportstyrelsens IT-verksamhet

I januari 2011 överlämnar Riksrevisionen en utredning om myndigheternas outsourcing till regeringen med slutsatsen att svenska myndigheter borde köpa mer av sina IT-tjänster externt. Myndigheten beräknar att statens IT-kostnader uppgår till mellan 20 och 25 miljarder kronor per år, den största kostnaden i staten efter löner och lokaler. I en skrivelse till riksdagen om Riksrevisionens rapport skriver regeringen att "det är önskvärt att en större del av myndigheternas IT-behov tillfredsställs med hjälp av outsourcing". Av skrivelsen framgår också att regeringen anser att "normalt inte ligger i myndigheternas kärnuppgifter att själva ta fram it-tjänster". Regeringen konstaterar vidare att det är viktigt att frågor kring informationssäkerhet tas på allvar i samband med outsourcing. Regeringens skrivelse behandlas av riksdagens finansutskott i betänkande 2011/12:FiU2 och en i det närmaste enig riksdag ställer sig bakom regeringens bedömning rörande vikten av att frågor kring informationssäkerhet tas på allvar i samband med outsourcing.

Vid den här tidpunkten hanteras Transportstyrelsens IT-tjänster av Trafikverket. I början av 2014 avbryter Transportstyrelsen det samarbetet och meddelar Trafikverket att man ämnar gå ut med en upphandling av IT-driften. Transportstyrelsen hanterade en lång rad uppgifter som om de röjs kan vara integritetskränkande för enskilda och även inverka menligt på rikets säkerhet. Till dessa uppgifter hör efterlysta fordon, fordonsregistret (som innehåller information om personer med skyddad identitet), körkortsregistret, belastningsregistret, misstankeregistret, känslig information om broar, Stockholms tunnelbana, vägar och hamnar samt kvalificerade skyddsidentiteter för svenska hemliga agenter som arbetar för polisen, Säpo och Försvarsmaktens hemliga organ Kontoret för särskild inhämtning (KSI).

Dagens Nyheter avslöjade den 14 september att den ställföreträdande generaldirektören Jacob Gramenius sommaren 2014 beslutade att göra avsteg från Transportstyrelsens riktlinjer om krav på informationssäkerhet. Gramenius meddelade muntligen sitt beslut i juni 2014 och fattade ett formellt beslut i augusti samma år.

Bakgrunden är att det parallellt med överföringen av IT-driften från Trafikverket till IBM också pågick ett byte av datorsystem. Projektet handlar (enligt Dagens Nyheter) om att all infrastruktur i den gamla stordatorn från 1970-talet byttes ut och att datorns källkod översattas till ett modernare programmeringsspråk. Av interna dokument framgår att det bland annat rör information som är av "sådan natur att de klassas som hemliga uppgifter", exempelvis uppgifter som kan identifiera hemlig underrättelsepersonal.

Trots att regeringen redan 2011 i en skrivelse till riksdagen påtalade att det är viktigt att frågor kring informationssäkerhet tas på allvar när beslut om outsourcing av IT-tjänster fattas och att riksdagen ställt sig bakom denna bedömning så är frågan om regeringen verkställde riksdagens beslut

En snabb genomgång av de regleringsbrev som regeringen har utfärdat till Transportstyrelsen mellan åren 2011 och 2014 visar att det inte funnits särskilda uppdrag från regeringen till myndigheten att se över informationssäkerheten och säkerställa denna vid outsourcing.

I en tidigare anmälan 2017-07-27 bad jag Konstitutionsutskottet att närmare granska vilken information den dåvarande regeringen Reinfeldt, främst infrastrukturminister Catharina Elmsäter-Svärd, hade om den planerade upphandlingen och vilka diskussioner som fördes på departementet och inom regeringen med anledningen av denna.

Med anledning av de nya uppgifter som framkommit om Transportstyrelsens bristande hantering av säkerhetsfrågor finns det även anledning för Konstitutionsutskottet att pröva om regeringen Reinfeldt, särskilt statsministern, underlåtit att verkställa riksdagens beslut om att ta hänsyn till informationssäkerhet i samband med outsourcing och brustit i ledning och tillsyn av Transportstyrelsen och arbetet med säkerhetsfrågor på regeringens myndigheter. Varför har inte uppdrag rörande informationssäkerhet i samband med outsourcing (som fanns med i riksdagens beslut) funnits i regleringsbreven? Har regeringen på annat sätt försäkrat sig om att arbete med informationssäkerhet pågick? I sådana fall, hur? Konstitutionsutskottet bör alltså granska om den tidigare regeringen brustit i ledning och tillsyn av Transportstyrelsen och arbetet med ITsäkerhetsfrågor på regeringens myndigheter.

Hans Hoff (S)