De senaste dagarna har frågetecknen kring Transportstyrelsen och myndighetens hantering av känsliga uppgifter blivit fler och fler.
Kärnan i härvan är en upphandling av IT-system som myndigheten genomförde mellan 2013-2015, där driften av själva IT-systemen outsourcades från Transportstyrelsen till IBM. Väl på IBM hanterades känsliga uppgifter av personal utan säkerhetsklassning. Bland annat det svenska körkortsregistret och information om infrastrukturnätet omfattades av upphandlingen, alltså ytterst känsliga uppgifter. Det har dessutom framkommit att styrelsen inte hörsammat den oro som myndighetens egen internrevisor lyft i samband med att upphandlingen genomfördes. För detta har den tidigare generaldirektören Maria Ågren accepterat ett strafföreläggande och dagsböter på 70 000 kronor, och avskedats från sin tjänst. Så sent som för några dagar sedan har delar av myndighetens styrelse entledigats, och en ny ordförande tillsatts av regeringen.
Det här är onekligen mycket allvarligt. Infrastrukturministern och statsministern har KU-anmälts, och väntas inställa sig i riksdagen för att berätta hur regeringen hanterat ärendet. Riksdagens trafikutskott och försvarsutskott kommer också att ha extra sammanträden i ärendet under sommaren.
Det allra viktigaste är att alla svenska medborgare ska kunna lita på att de statliga myndigheterna kan hantera känsliga uppgifter. Personer med skyddad identitet ska inte behöva känna en ytterligare oro över att adresser och personnummer kan hamna i orätta händer. Myndigheten har ett stort arbete i att återupprätta allmänhetens förtroende.
Att det finns stora brister i myndigheternas IT-skydd konstaterades av Myndigheten för samhällsskydd och beredskap redan förra året. I november berättade man att det under drygt ett halvår rapporterats in 165 olika it-incidenter från de övriga myndigheterna.
Förra året granskade Riksrevisionen IT-säkerheten i nio statliga myndigheter. Slutrapporten är ingen munter läsning. Den samlade säkerheten i de undersökta myndigheterna är ”på en nivå som är märkbart under vad som är tillräckligt”. På ämbetsmannasvenska är det ett kraftigt underbetyg till hur svenska myndigheter arbetar med informationssäkerhet.
Den nya frontlinjen för främmande makt finns i informationsutbytet. I härvan runt Transportstyrelsen har det framkommit att man tagit informationssäkerhetsarbetet på väldigt lite allvar. Det är besvärande, för att uttrycka det milt. I vår tid kan säkerhet inte bara uppfyllas genom skottsäkra glas och skalskydd - det krävs också säkra, stabila system för hantering av känslig information. Det arbetet måste växlas upp.
Ett antal frågor måste ställas på sin spets. Är det rimligt att upphandla och lägga ut på entreprenad sådan verksamhet som hanterar mycket känsliga uppgifter? Har alla myndigheter rätt verktyg för att kunna ha ett effektivt skydd av information?
Det räcker inte att bara gå till botten med vad som skett i fallet IBM och Transportstyrelsen. Alla myndigheter måste förstärka arbetet med att skydda känsliga uppgifter och rusta IT-säkerheten. Ytterst är det politikernas ansvar.