DN:s Mikael Holmström har nu publicerat ytterligare detaljer kring Transportstyrelsens röjande av skyddsklassade hemligheter. Bland annat flyttades data till Serbien, vars underrättelsetjänst står nära de ryska. Serbisk personal fick fullständig tillgång till systemen, inklusive möjligheten att radera sina egna spår i systemloggarna.
Transportstyrelsens skyddsklassade data flyttades av IBM till Tjeckien, Rumänien och Serbien. Generaldirektören skrev fullt medvetet på ett dokument om att kringgå tre svenska lagar för att uppnå detta, för vilket hon alltså blev av med sitt gräddfilsjobb och fick böta 70 000 kronor.
DN anger att det bland annat innefattade körkortsregistrets personuppgifter, data om infrastruktur inom totalförsvaret, vägtullarnas övervakningsinformation och kapaciteten hos infrastrukturen. Bland annat har man kunnat spåra personer med skyddad identitet, och via vägtullarnas övervakningskameror kunnat följa exempelvis värdetransportbilar, men också all annan passerande trafik. Det senare är intressant, men förstås självklart – vägtullarna kan användas för att spåra individuella bilar.
Den försvars- och säkerhetspolitiska experten Johan Wiktorin säger till DN:s Mikael Holmström:
“Att en säkerhetsprövning inte är gjord är allvarligt. Då har man inte prövat personernas lojalitet och vet inte om man kan lita på dem från svensk sida. I fallet Serbien finns en ganska nära relation mellan den serbiska och den ryska underrättelsetjänsten. I värsta fall har man gett utländska underrättelsetjänster en ingång i datasystemen.”
Samtidigt finns det en oerhörd naivitet här. Tydligen skulle allt varit okej om Säpo bara gjort en säkerhetsprövning av de systemadministratörer som fick full tillgång till systemen. Vilken nivå av prövning det handlar om framgår inte – det finns normalt tre olika nivåer. Dels en enkel registerslagning mot belastningsregister, vilket är den nivå som “Säpokontroller” oftast består i. Nästa steg är att man gör bredare registerkontroller och även en intervju. Och det allra högsta steget innebär att man även kontrollerar anhöriga.
Antagligen skulle man släppt igenom administratörerna fullt lagligt med en enkel registerkontroll. Vilket ärligt talat inte hade gett någon högre säkerhet.
Holmströms artikel är bra på många sätt, bland annat för att den påtalar att det alltid finns systemadministratörer med behörighetsnivåer där de även kan radera sina egna spår. Eller för den delen, vilket är enklast, kopiera hela databasen och ta med sig till en annan dator för vidare arbete…
Förundersökningen har sju hemligstämplade sidor kring huruvida rikets säkerhet faktiskt skadats.
Det är också intressant att konkret se hur integritetskränkande vägtullarna är och hur lättvindigt uppgifterna hanteras av Transportstyrelsen. I sig är detta ett kraftfullt argument mot vägtullarna.
13 kommentarer
Bergling och Wennerström – Tack vare en viss fd GD har Spion-skalan justerats, och ni hamnar i kategorin "snatteri".
Hur säkerhetsprövar man utländska medborgare som inte ens vistas i landet på ett trovärdigt sätt.
Borde bli en stor röd stämpel "Avslås!" på varje person.
Har någon tagit reda på händelsekedjan?
Varför gjorde GD på detta sätt?
Är det så enkelt att det är Ockhams rakkniv?
Inkompetens troligen!
Hon är ju utnämnd av en annan gravt inkompetent person nämligen infrastrukturminister Anna Johansson! Sossemyglerskan från Götet, dotter till stadens förre sossepamp.
… och som inte ens "orkat" med att gå färdigt gymnasiet !!!
Anhöriga kontrolleras även i säkerhetsklass 2 tillsammans med intervju och registerslagning. Gick själv genom denna för x antal år sedan och då sades att man hade utökat kontrollen jmf med tidigare.
Vetetusan vad prövning för klass 1 innebär praktiskt. Tyckte klass 2 var hyfsat ingående i intervjudelen.
Klass 1 inkluderar nog intervjuer med anhöriga.
http://www.sakerhetspolisen.se/sakerhetsskydd/sakerhetsprovning.html
Inte intervjuer med anhöriga men register och bakgrundkontroll, ex vis ekonomi, på sambo/make/maka
Klass 2 bara på sökande
Är visst inte hugget i sten heller hur personutredningen med intervjun ska ske. Kollade säkerhetsskyddslagen och där anges att ekonomisk kontroll är skall-krav. Därutöver i "den omfattning som behövs", dvs lite vad de tycker är viktigt.
Tänker inte gå in på detaljer, men blev positivt förvånad över att de var professionella och täckte många aspekter av ens liv, liksom att man förde en dialog om proaktivt beteende. Man har ju en bild av att allt är naivt i Sverige, men detta möte lyfte min dag.
Ekonomisk kontroll sker vad jag vet på klass 1 och 2, inte 3. Krav på klass 3 får sättas av företag vars verksamhet inbefattar information rörande säkerhetsskyddslagen medan 1 och 2 måste godkännas av regering eller riksdag (orkar inte kolla vilken det var).
Varför skulle det alltid finnas personal som kan radera sina egna loggar? Är det avancerat hemligt så är ju loggar till en server som "ingen" har access till möjligt, eller ja någon kommer ju behöva komma åt den rent fysiskt men den kan ju stå hos Säpo eller någon man litar på. Då krävs det ju i allafall lite spårbara actions för att komma över uppgifter man inte ska ha tillgång till. Saker som är hemliga bör ju även krypteras och för att sköta systemet så behöver man inte nycklar till kryptering.
Det är ju tamejfan SANSLÖST! Även för att vara Sverige!
Har de tillgång till Transportstyrelsens register, har de även fått tillgång till kunskap om vilka person i Sverige som har legala vapen, jägare såväl som sportskyttar. Även detta är uppgifter som har mycket högt skyddsvärde.