Det er de tre klassiske ingredienser i en it-skandale, som nu har ramt Sverige med sådan en kraft, at hele det svenske politiske establishment er på den anden ende og den svenske mindretalsregering er i fare, skriver svensk tv (SVT) i en analyse af sagen, som begynder med fatale beslutninger i den svenske Transportstyrelsen.
Ingredienserne er tid, penge og naivitet i rigelige mængder, skriver SVT, efter at have læst rapporten om det svenske sikkerhedspolitis forundersøgelse af sagen.
Vi skal spare
I 2013 begyndte Transportstyrelsen at kigge på udgifterne til sine it-systemer, som blev driftet af den svenske myndighed Trafikverket. Prisen var angiveligt for høj, og styrelsen valgte som bekendt efter at overlade driften til IBM.
Styrelsen forventede dels at spare penge på dette træk, dels at få en mere stabil it-drift.
Det kan du læse mere om i dette interview med Transportstyrelsen daværende CIO Daniel Karlsson, som Computerworlds svenske søstermagasin ComputerSweden bragte i april 2015.
Vi er i tidsnød
Nærmest samtidig fik Styrelsen en ny chef - Maria Ågren - og som noget af det første underskrev hun aftalen med IBM. Derefter fik man travlt - alt for travlt - i styrelsen, for driftsaftalen med Trafikverket var tæt på at løbe ud.
Tidligere er det kommet frem, at IBM selv havde besluttet at overlade driften af Transportstyrelsens systemer til underleverandører i Østeuropa - blandt andet i Serbien og Tjekkiet
SVT skriver i analysen, at IBM’s teknikere i udlandet var færd med at blive kontrolleret og sikkerhedsgodkendt, men godkendelsen trak ud, og teknikerne var tvunget til at modtage og behandle data fra styrelsen, hvis ikke styrelsens systemer simpelthen skulle gå i sort.
Derfor underskrev Maria Ågren den første beslutning om give teknikerne adgang til de klassificerede data, selv om teknikerne ikke var sikkerhedsgodkendt. Det skete i maj 2015, og det var første gang, hun brød svensk lovgivning.
Vi vidste ikke, at oplysningerne var fortrolige
Selvom det lyder utroligt, så tyder alt dog på, at Maria Ågren i begyndelse faktisk slet ikke var klar over, at Transportstyrelsen håndterede data, som var beskyttet af lovgivning, og som det krævede sikkerhedsgodkendelse at få adgang til.
Det fremgår tydeligt af det forhør, det svenske sikkerhedspoliti har foretaget af hende.
Senere, da ansatte i styrelsen alarmerede sikkerhedspolitiet, som derfor gik ind i sagen, dæmrede det for Maria Ågren, men alligevel fortsatte hun med at skrive under på, at udenlandske teknikere kunne få adgang til data uden sikkerhedsgodkendelse, skriver SVT i analysen.
Det handlingsmønster stoppede først i marts 2016 efter skarp irettesættelsen fra sikkerhedspolitiet.
SVT skriver i analysen, at det er en gåde, hvorfor det svenske erhvervsministerium, som var i daglig kontakt med Maria Ågren, ikke på et langt tidligere tidspunkt har stoppet sagen, for ingen bør have været i tvivl om, at Transportstyrelsen håndterer følsomme oplysninger.
Læs også:
Den svenske it-skandale: Her er de utrolige detaljer, og hvad vi ved om forløbet indtil nu