BLOGG Den bild som ges i medier om Transportstyrelsens hantering av den egna IT-driften samt övergång till att låta IBM sköta driften visar inte på långa vägar hur allvarligt läget är. Jag ska försöka förklara det så kortfattat det går.

Transportstyrelsen sitter på mängder med information, varav mycket är offentliga saker. Det kan vara vem som äger en bil och exempelvis fordonsuppgifter i allmänhet. De har även känsligare uppgifter som körkortsregister och annat.

Enligt förordning (2008:1300) med instruktion för Transportstyrelsen ansvarar myndigheten för en stor mängd information. I 5 § stadgas ett antal register som myndigheten svarar för.

1. Register över järnvägsinfrastruktur och järnvägsfordon.

2. Luftfartygs- och inskrivningsregistret.

3. Fartygs- och sjömansregistret.

4. Registrering av avtal om båtbyggnadsförskott.

5. Vägtrafikregistret

I 6 § stadgas vidare att ”Transportstyrelsen har myndighetsansvar för flygtrafiktjänst för civil och militär luftfart. Transportstyrelsen ska upprätta avtal med Försvarsmakten i fråga om den praktiska tillämpningen av myndighetsansvaret för flygtrafiktjänst som berör militär luftfart”.

Att Transportstyrelsen sitter på mängder med information som rör rikets säkerhet är inte svårt att räkna ut. Att exempelvis Ryssland kände till att IBM vann upphandlingen av driften kan vi utgå ifrån, det kunde man läsa redan den 20 maj 2015 på sajten offentliga affärer.

Och om ryssen nu var lat och inte orkar läsa mindre sajter bör de i vart fall noterat när Computer Sweden skrev om saken den 15 april 2015. Det framgår att det är en stor affär som är värd nästan en miljard kronor som IBM kammade hem.

De obehöriga fick tillträde till IT-systemen under hösten 2015, alltså hade ryssarna flera månader på sig att börja kartlägga vilka individer som skulle arbeta i denna jättelika outsourcing.

Du behöver inte heller vara raketforskare för att räkna ut att IBM kommer använda underleverantörer i affären. Och vilka underleverantörer IBM använder sig av går i stort sett att googla fram om man har några timmars tid över. De flesta företag redovisar normalt öppet vilka kunder de har.

Vi vet att Ryssland sedan länge visat intresse för svensk IT-infrastruktur. Egentligen har de visat intresse för den mesta IT-infrastruktur som finns i hela EU. De har även försökt köpa olika företag som hanterar kritisk infrastruktur, så intresset är knappast litet.

I vart fall, redan våren 2015 är det fullt troligt att Ryssland hade en någorlunda bra hum om vilka företag som kan tänkas arbeta med Transportstyrelsens IT-nätverk. Den informationen kan man i princip få fram genom öppna källor. Likaså att det finns skyddsvärd information på Transportstyrelsens servrar.

En av underleverantörerna till IBM var, och kanske fortfarande är, serbiska NCR. Serbien är ett land utanför EU och som är militärt allierad med Ryssland. Militärövningen ”Slavic Brotherhood” genomförs av Ryssland, Serbien och Vitryssland tillsammans. Faktum är att Serbiens militära infrastruktur är rysk, med allt vad det innebär.

Under fredagen avslöjade Nyheter Idag att en serbisk militär var en av de personer som fått tillgång till Transportstyrelsens IT-infrastruktur. Personen har varit yrkesmilitär i Serbien i 10 år där han arbetat med militära IT-system, men arbetar idag på det privata företaget NCR Serbien. Den kan man läsa innantill på Linkedin.

Vi kan utgå ifrån att personen fått sin militära utbildning i, eller av, Ryssland.

En person som arbetat 10 år som yrkesmilitär slutar aldrig vara ”militär”, även om denne nu arbetar i ett privat företag. Det är sannolikt att lojaliteten är större gentemot Serbiens och indirekt Rysslands intressen än vad den är gentemot ett privat företag. Det är liksom inget konstigt i det.

Samtidigt kan vi utgå ifrån att Ryssland känt till att denne individ haft tillgång till Transportstyrelsens IT-infrastruktur. Mycket, om inte all av den informationen, som leder till den här serbiska IT-killen finns så att säga öppet att läsa på internet. Dessutom, det är inte bara en kille från Serbien som fått tillgång till Transportstyrelsens IT-nätverk, det är totalt 13 personer, enligt Säpos förundersökning.

Det är fullt sannolikt att Ryssland haft vetskap om samtliga serber som haft, och kanske än i dag fortfarande har, tillgång till IT-infrastrukuren hos Transportstyrelsen. Informationen som lagras i detta IT-system är dessutom okrypterat, vilket framgår av Säpos förundersökning.

Jag är ingen person som arbetar med sådana här frågor, men jag undrar om Säpo verkligen hade godkänt exempelvis den person som arbetat i 10 år som yrkesmilitär i Serbien? Antagligen finns det inte på kartan. Men personen släpptes in efter att generaldirektör Maria Ågren beslutat att göra ”avsteg” från gällande lagstiftning.

Det är fullt rimligt att det från rysk sida inte varit svårare än att ringa några telefonsamtal för att själva kunna få tillgång till all den information som Transportstyrelsen sitter på. De har sannolikt känt till vilka serber som hade tillgång till IT-systemet och de vet garanterat vilken typ av information de kan komma åt i detta system.

Det enda som talar för att Ryssland inte har svensk skyddsvärd information är att ryssarna skulle ha klantat sig lika monumentalt som Sverige. De har verkligen haft öppet mål att komma åt riktigt smaskiga grejer.

Men okej, skadan kan kanske repareras om vi byter personnummer på alla i Sverige, byter registreringsskyltar på alla bilar, byter ut alla fordon i försvarsmakten, bygger om vägnät, broar, hamnar och flygplatser. Och tunnelbanan. Och antagligen lite till.

Men det är Sverige det. Det finns något som heter SGSI, Swedish Government Secure Intranet. Det är ett krypterat nätverk som används av svenska myndigheter. Det nätverket är i sin tur ihopkopplat med något som heter TESTA, Trans European Services for Telematics between Administrations. Det är alltså EU:s säkra, krypterade nätverk för att myndigheter och stater runt om i Europa ska kunna kommunicera säkert med varandra.

Att Sverige redan har bajsat sig själva i ansiktet offentligt är redan klarlagt. Vi kan betrakta en oerhört stor mängd information som rör rikets säkerhet som röjd för främmande makt. Nästa fråga är om haveriet har skadat även andra länder inom Europeiska Unionen?

Det samtliga serber specifikt arbetade med var just ”network equipment” där flera av dem, i strid mot svensk lag, fick administratörsrättigheter.

Frågan nu handlar inte om när statsminister Stefan Löfven kan tänkas ha blivit informerad. Frågan är snarare, när informerades resten av EU om Transportstyrelsens haveri?

+PLUS Ta del av hela Säpos hemliga förundersökning mot Transportstyrelsen på 250 sidor sökbar inscannad PDF! Bara på Nyheter Idag!