Säkerhetsblogg

Transportstyrelsens fadäs ur ett GDPR-perspektiv

Transportstyrelsen har diskuterats i media en hel del på senare tid på grund av hur de hanterat (eller inte) behörigheter till data. Det gäller data som innehåller känslig information om statliga och militära fordon, körkort (såklart med foton) och information om vägar, järnvägar och broar. Hela omfattningen av överträdelsen är ännu inte klarlagd, så troligtvis kommer det att komma fram mer.

Vad vet vi hittills? Vi tar det steg för steg.

Under 2015 outsourcade Transportstyrelsen sin IT-drift till IBM, och driften förlades delvis i Östeuropa. Detta gjordes trots varningar från SÄPO. När beslutet fattades bortsåg den dåvarande generaldirektören Maria Ågren från flera svenska lagar som skyddar personuppgifter, inklusive personuppgiftslagen (PuL). Det bestämdes bland annat att viss IT-personal inte skulle behöva genomgå de säkerhetskontroller som fanns på plats för att tillåtas hantera data av den här kalibern. Detta innebar att utländsk IT-personal hade tillgång till och kunde sprida extremt känslig information. Skandalen har också nått parlamentarisk nivå, eftersom det har visat sig att flera högt uppsatta ministrar har känt till det här under en längre tid.

Det här fallet är intressant rent generellt för IT-säkerhet, men även ur ett GDPR-perspektiv, någonting som är högst aktuellt idag. Om denna pinsamma händelse hade inträffat efter den 25 maj 2018 hade böter på €20 000 000 varit på tapeten eftersom Transportstyrelsen har överfört stora mängder personuppgifter till ett tredje land. Detta utöver att de brutit mot svensk lag gällande nationell säkerhet.

Genom GDPR, som kommer att ersätta PuL under maj 2018, och sannolikt bidra med best practice för IT-säkerhet i allmänhet, blir det tydligt hur tillgång till data ska hanteras. Vissa metoder är standard, till exempel principen om ’least privilege’ och rollbaserad åtkomstkontroll. Dessa verkar ha kringgåtts hos Transportstyrelsen. På grund av fortfarande okända skäl beslutade Transportstyrelsen att det var viktigare att externa tekniker fick tillgång till data, än att överväga informationssäkerhetsstandarder och skydd av personuppgifter.

Vi har fortfarande inte en komplett bild över hela situationen, men allt pekar på att det funnits en extremt dålig informationssäkerhetskultur i Transportstyrelsens ledningsgrupp. Men, om jag har förstått det rätt, var det Transportstyrelsens egna tekniker som gjorde anmälan eftersom de inte kunde låta detta fortgå. Ett ljus i mörkret är att de tekniker som var direkt involverade reagerade!

Denna skandal understryker vikten av att prioritera krav enligt slutanvändarperspektivet, samt att se till att man håller sig utbildad om säkerhetsstandarder och lagar som är till för att skydda personuppgifter. Om du följer säkerhetsstandarder, t.ex. ISO 27001 eller PCI DSS, är det inte troligt att du hamnar i samma härva som Transportstyrelsen. Det här är säkerhetsstandarder som har utvecklats under många år, som har best practice i åtanke och som följer affärsutvecklingen för att underlätta och vara relevanta. Standarderna är inte felfria och ger inga garantier, men det finns en mängd inbyggda kontroller som hjälper dig undvika pinsamma situationer som den här.

  • 24 Solutions AB
  • Smedjegatan 2C
  • SE-13154 Nacka, Sweden
  • +46 (0)8 535 24 100
  • info@24solutions.com