STOCKHOLM Ny it-skandal har uppdagats, denna gång på Regeringskansliet som outsourcat sin it-drift till underleverantörer utan att upprätta säkerhetsskyddsavtal med dem. Nu befaras att mycket känslig information kan ha hamnat i orätta händer. Regeringskansliets agerande strider mot SÄPO:s mycket tydliga rekommendationer om hur en myndighet bör agera om den ska outsourca it-drift.

Regeringskansliet har anlitat privata underleverantörer i syfte att hantera it-drift. Det avslöjar Dagens Nyheter.

Regeringskansliet har utåt sett agerat kraftfullt, förutom när de höjde hennes lön trots att hon utreddes av SÄPO, mot Transportstyrelsens tidigare generaldirektör Maria Ågren, eftersom hon bröt mot flera lagar gällande myndighetens hantering av säkerhetsklassad information.

Nu visar det sig att även Regeringskansliet outsourcat sin it-drift till externa leverantörer – utan att upprätta säkerhetsskyddsavtal.

De privata företagen Cygate och Atea har fått djup tillgång till information via regeringskansliets it-system som, enligt DN, är så känslig att den potentiellt skulle kunna utnyttjas för avlyssning eller sabotage.

Trots att företagen fått tillgång till regeringskansliets it-system opererar de utan ett säkerhetsskyddsavtal, vilket är en förutsättning för att leverantörerna ska kunna registerkontrolleras i syfte att säkerställa deras faktiska lämplighet för uppdraget.

Nu är det Cygate som hanterar it-driften, tidigare, under femårsperioden 2012-2017, var det Atea. Varken sig Cygate eller Atea har skrivit på något säkerhetsskyddsavtal med regeringskansliet.

Enligt Ann-Marie Eklund, säkerhetschef på Internetstiftelsen i Sverige, hanteras oerhört känslig information på regeringskansliet som skulle kunna åsamka stor skada om den hamnade i orätta händer.

Flera uppgifter i de externa leverantörernas uppdrag har belagts med sekretess.

Regeringskansliets kommentar är:

”Den bedömning som har gjorts av regeringskansliet är att vissa uppgifter i dessa avtal omfattas av sekretess för säkerhetsåtgärder (18:8 OSL). Detta innebär samtidigt att säkerhetsskyddsavtal inte krävs.”

Enligt kansliet har inte konsulterna tillgång till den information som passerar i nätverket.

Trots det har regeringskansliet bedömt att uppdragen med Atea och Cygate är så känsla att de anlitades utan en annonserad offentlig upphandling. Istället användes ett undantag, med hänvisning till just sekretess och rikets säkerhet.

Ändå opererar de privata underleverantörerna utan ett säkerhetsskyddsavtal. Något som gör situationen ännu mer ologisk, enligt säkerhetsexperten Ann-Marie Eklund

– Det är fullständigt obegripligt. Det här är förmodligen bara toppen på ett isberg. Det är inte så att situationen på Transportstyrelsen var unik. Det här visar att bristfällig hantering av informationssäkerheten är vanligare än vad vi tror, säger hon till DN.

Säkerhetspolisen har tidigare varnat för att outsourca känslig information till externa aktörer. I en handbok som de varit tvungna att upprätta eftersom myndigheter och politiker ändå håller på och outsourcar så skriver SÄPO bland annat:

”Underteckna aldrig affärsavtalet innan säkerhetsskyddsavtalet är undertecknat och leverantören blivit godkänd”