Ruotsin kuljetushallituksen it-skandaali

Ruotsin kuljetushallituksen it-ulkoistus nousi julkisuuteen heinäkuussa 2017, jolloin Dagens Nyheter kertoi, että Kuljetushallituksen (ruots. Transportstyrelsen) silloin jo tehtävänsä jättänyt pääjohtaja oli selvityksen mukaan vaarantanut salassa pidettäviä tietoja.

Sisällysluettelo

TaustaMuokkaa

Riksrevisionen (suom. Ruotsin valtiontalouden tarkastusvirasto) oli tammikuussa 2011 jättänyt viranomaisten ulkoistamistoimista selvityksen, jonka mukaan Ruotsin viranomaisten olisi ostettava enemmän it-palveluja ulkopuoliselta taholta. Viranomaiset arvioivat, että valtion it-kulut olivat vuodessa 20–25 miljardia kruunua, mikä oli lainojen ja tilakustannusten jälkeen suurin vuosikustannus. Riksrevisionen katsoi, että hallituksen tulisi laatia viranomaisille ohjeistus it-palvelujen ulkoistamisen tarpeellisuudesta ja edellytyksistä.[1]

Reinfeldtin hallitus oli kirjelmässään toukokuulta 2011 ollut samaa mieltä kuin Riksrevisionen ja kirjoitti siinä, että "on toivottavaa, että suurempi osa viranomaisten it-tarpeesta täytettäisiin ulkoistamalla" ja korosti silloin, että oli hyvin tärkeää, että valtion hallinto hoidetaan julkisin välinein.[1]

Kuljetushallituksen it-palveluista vastasi tuolloin Liikennevirasto.[2]

Kuljetushallituksen IT-ulkoistusMuokkaa

Kuljetushallitus teki keväällä 2015 IBM:n kanssa sopimuksen, jonka suuruus oli 700−800 miljoonaa kruunua,[3] ja sopimuksen mukaan viranomaisten salassa pidettävät tiedot käsiteltäisiin muun muassa Romaniassa, Tšekissä ja Serbiassa, joissa niitä käsittelisi ulkomaalainen henkilöstö, jolle ei ollut tehty turvallisuuskartoitusta.[4][5]

Tietoihin oli mahdollista päästä käsiksi, koska Kuljetushallitus jätti huomiotta sekä sisäisen ohjeistuksensa että asiaa koskevat lait, kuten henkilötietolain ja julkisuuslain. Niin toimittiin, vaikka Kuljetushallitus on Ruotsissa se viranomainen, jota pidetään pätevimpänä turvallisuusasioissa. Ruotsin suojelupoliisi Säkerhetspolisen (Säpo) on antanut sille käsiteltäväksi salaiset tiedot, ja sen tehtävänä on antaa opetusta ja neuvoja muille ja harjoittaa valvontaa.[6] Ulkoistus tehtiin, vaikka Säpo oli varoittanut Kuljetushallitusta ja suositellut ulkoistuksen keskeyttämistä.

Havaittiin, että it-ylläpitoa käsittelevä ulkomainen henkilöstö, jolla ei ollut turvallisuuskartoitusta, voisi olla turvallisuusuhka.[5] Työntekijät saivat vapaan pääsyn tietokantoihin ja heillä oli siten mahdollisuus kopioida tiedostoja ja poistaa sen jälkeen jäljet lokeista.[7]

LaajuusMuokkaa

Tapauksen laajuutta on verrattu aikoinaan Ruotsissa skandaalin aiheuttaneeseen Stig Berglingin tapaukseen.[6] Vuosien työ oli vaarassa mennä hukkaan. Kuljetushallituksen lähes koko it-ympäristöön avattiin vapaa pääsy, ja suuren osan järjestelmästä on arvioitu olevan arkaluontoista.[8] Tiedot eivät olleet salattuja.[9]

Viraston uusi pääjohtaja Jonas Bjelfvenstam sanoi 21. heinäkuuta 2017, että vasta syksyllä 2017 voitaisiin taata, että turvaluokittelemattomat henkilöt muissa maissa eivät enää pääsisi käsiksi salaisiin ja viraston tietojärjestelmän arkaluontoisiin tietoihin.[10]

SeurauksetMuokkaa

Säpo aloitti kesäkuussa 2015 selvityksen IBM-sopimuksesta, ja 25. marraskuuta 2015 se suositteli ulkoistammisen keskeyttämistä heti. Prosessi kuitenkin jatkui, ja 26. tammikuuta 2016 aloitettiin turvallisuuskysymyksiä käsittelevässä yksikössä esitutkinta.[11]

Tammikuussa 2017 pääjohtaja Maria Ågren joutui eroamaan tehtävästään. Hän siirtyi hallituksen kanslian (ruots. regeringskansliet) pääjohtajaksi, säilytti 115 200 kruunun kuukausipalkan ja sai tehtäväksi elinkeino-osaston sisäisen selvitystyön. Hän joutui eroamaan tehtävästä 20. heinäkuuta 2017.[12]

Ågren sai kesäkuussa 2017 huolimattomuudesta tiedon pitämisestä salassa rangaistusmääräyksen, jonka hän hyväksyi, eikä asiaa siten käsitellä tuomioistuimessa. Hän oli 30. syyskuuta 2015 ja 31. maaliskuuta 2016 välisenä aikana ”poikennut vallalla olevasta lainsäädännöstä ja Kuljetushallituksen suuntaviivoista, jotka koskevat pääsyä järjestelmiin ja palvelimille” ja siten ”vaarantanut salassapidettäviä tietoja, joiden paljastuminen vieraalle vallalle voi aiheuttaa vahinkoa Ruotsin turvallisuudelle”, mutta hän oli toiminut ”aikomatta auttaa vierasta valtaa”.[13][14][15]

Kun tieto vuodosta tuli julkisuuteen heinäkuussa 2017, vapautettiin Kuljetushallituksen puheenjohtaja Rolf Annerberg puheenjohtajan tehtävästä, ja hänen tilalleen tuli Anita Johansson.[13]

Löfvenin hallitus syytti Kuljetushallitusta,[5][a] mutta syyttäjä arvioi, että monilta muiltakin virastoilta kuin kuljetushallitukselta puuttuu kunnioitus turvallisuusasioita kohtaan.[5] Ågren oli myös jo helmikuussa 2016 informoinut infrastruktuuriministeri Anna Johanssonin virkamiehiä ministeriössä, että hän oli päättänyt poiketa vallitsevasta lainsäädännöstä, ja virkamiehet kuuntelivat mutta eivät antaneet toimintaohjeita. Johansson sanoi, ettei hänen silloinen valtiosihteerinsä informoinut häntä, eikä hän siksi tiennyt puutteista[17] ennen kuin vasta tammmikuussa 2017, kun taas sekä puolustusministeri Peter Hultqvist että sisäministeri Anders Ygeman olivat olleet niistä tietoisia jo vuotta aikaisemmin kuin Johansson[17], tammikuussa 2016[18]. Puutteellista kommunikaatiota hallituksen sisällä on verrattu muun muassa Wennerströmin tapaukseen, Stig Berglingin pakoon ja Ebbe Carlssonin tapaukseen.[19]

Eräs SVT:n haastattelema turvallisuusasiantuntija piti haitallisena sitä, että yksittäisiä henkilötietoja on mahdollisesti vuodettu, mutta erityisen vakavana sitä, että on saattanut olla pääsy myös julkisuuus- ja salassapitolakien mukaiseen turvallisuusluokiteltuun tietoon.[6] Hän sanoi, että virheet eivät ole yksittäisen ihmisen tekemiä, vaan virhe on ollut koko viranomaisen toiminnassa.[6] Asian on vahvistanut maaliskuussa 2017 tehty sisäinen raportti, jossa viranomaisen toiminnassa havaittiin puutteita kymmenessä yhdestätoista alueesta.[20] Raportin mukaan ongelma on ollut olemassa pitkään, mutta virasto ei ollut kiinnittänyt huomiota tietoturva-asioihin vuosina 2009–2015 ja ennen Ågrenin aikaa.

Tietosuojakomitea oli vastikään viitannut siihen, mitä riskejä syntyy, kun virastot ulkoistavat palveluja, ja tehnyt ehdotuksen valtiollisesta pilvipalvelusta tai muista viranomaisten yhteisistä it-palveluista.[21] Myös Ruotsin valtion palvelukeskus Statens servicecenter oli aiemmin ehdottanut pilvipalvelua, joka parantaisi henkilötietosuojaa.[21]

Keväällä 2016 oli Valtion palvelukeskukselle annettu tehtäväksi selvittää, mitkä viranomaistoiminnot voitaisiin siirtää Tukholmasta muualle maahan. Tehtävän kuluessa viranomaiset havaitsivat, että osa valtion viranomaisten tietojärjestelmistä oli ulkoistettu. Virasto jätti tammikuussa 2017 raportin hallitukselle julkishallintoministeri Ardalan Shekarabin kautta ja varoitti it-palvelujen ulkoistamisen turvallisuusriskeistä.[22] Myös Försvarets radioanstalt, Säpo ja Ruotsin puolustusvoimat olivat sitä mieltä, että virastojen datan on oltava valtion palvelimilla valtion datasaleissa.[22]

Tapaus aiheutti Ruotsissa heinäkuussa 2017 hallituskriisin, sillä heikkona pidetty porvarioppositio tarttui tilaisuuteen nostaa profiiliaan ja vaati asian johdosta kolmen ministerin eroa. Vaihtoehtona olisi ollut myös, että Löfven olisi hajottanut hallituksen.[23] Eroon ei kuitenkaan päädytty, vaan kriisi ratkaistiin ministerien kierrätyksellä.[24][25]

HuomautuksetMuokkaa

  1. Infrastruktuuriministeri Anna Johansson sanoi lehdistötilaisuudessaan, että ”täysi vastuu koko tästä prosessista on ollut ja on viranomaisilla, toisin sanoen Kuljetushallituksella”.[16]

LähteetMuokkaa

  1. a b Marcus Jerräng. Regeringen vill se mer outsourcing, Computer Sweden, 23.5.2011. Viitattu 25.7.2017
  2. Lars Danielsson, Miljardupphandling på Transportstyrelsen, Computer Sweden, 10.11.2014. Viitattu 25.7.2017
  3. Karin Lindström, IBM tog Transportstyrelsens miljardkontrakt, Computer Sweden, 15.4.2015. Viitattu 25.7.2017
  4. Elina Kervinen: Tietoturvaskandaali paisuu, Helsingin Sanomat 25.7.2017 s. A 22–23
  5. a b c d Transportstyrelsens ordförande avgår efter skandalläckan, Sveriges Radio, 18.7.2017. Viitattu 25.7.2017.
  6. a b c d Malin Crona, "Senast något i den här omfattningen hände var Stig Bergling-affären", Sveriges Television, 21.7.2017. Viitattu 25.7.2017.
  7. 7 frågor om it-skandalen på transportstyrelsen Expressen 18.7.2017, viitattu 2.8.2017
  8. Kajsa Olsson, Isabelle Strengbom, Turerna kring Transportstyrelsen - detta har hänt, Sveriges Radio, 19.7.2017. Viitattu 25.7.2017.
  9. Josephine Freje, Svenska stridspiloters adresser hotade i läckan, Expressen, 20.7.2017. Viitattu 25.7.2017.
  10. Mia Holmberg Karlsson, Skandalen växer kring transportstyrelsen - Detta vet vi, Göteborgs Posten 24.7.2017, viitattu 2.8.2017
  11. Transportstyrelsens IT-affär: Detta har hänt, Sveriges television, 17..7.2017, päivitetty 27.7.2017 viitattu 2.8.201
  12. Arne Lapidus, Så försökte regeringen mörka it-skandalen, Expressen, 24.7.2017. Viitattu 25.7.2017.
  13. a b Regeringsbeslut om förändringar i Transportstyrelsens ledning 20.7.2017. Regeringskansliet. Viitattu 20.7.2017. (ruotsiksi)
  14. Äventyrade rikets säkerhet – fick 70 dagsböter, Gp.se 24.7.2017, viitattu 28.7.2017 (ruotsiksi)
  15. Transportstyrelsens förra generaldirektör Maria Ågre/n röjde sekretessbelagda uppgifter, Svt, Nyheter, Inrikes 6.7.2017, viitattu 28.7.2017 (ruotsiksi)
  16. Regeringen beslutade om förändringar i Transportstyrelsens ledning" via regeringen.se, infrastruktuuriministeri Anna Johanssonin lehdistötilaisuus 20.7.2017. Viitattu 25.7.2017.
  17. a b Jon Lindhe, Nya uppgifter: Även Peter Hultqvist (S) kände till IT-skandalen, Sveriges Television, 23.7.2017. Viitattu 25.7.2017.
  18. Ruotsin pääministeri olisi halunnut tiedon ajoneuvohallinnon tietovuodosta aiemmin, Yle.fi, uutiset 24.7.2017, viitattu 25.7.2017
  19. 'Hade aldrig kunnat hända för 25 år sedan', Studio Ett, Sveriges Radio, 24.7.2017. Viitattu 25.7.2017.
  20. Transportstyrelsens IT-säkerhet underkänd, Affarsliv.com 21.7.2017, viitattu 2.8.2017
  21. a b TT. Förslag: IT-moln för myndigheterna, Ny Teknik, 20.7.2017. Viitattu 25.7.2017.
  22. a b Malin Jansson. Regeringen varnades om riskerna med outsourcing, Svenska Dagbladet, 23.7.2017. Viitattu 25.7.2017.
  23. Riikka Uosukainen: Analyysi: Ruotsin pääministeri sai uransa pahimman iskun Yle.fi uutiset. 26.7.2017. Viitattu 27.7.2017.
  24. Paula Tapiola: Ruotsin pääministeri: Hallitus ei eroa, puolustusministeri pysyy Yle.fi uutiset. 26.7.2017. Viitattu 27.7.2017.
  25. Riikka Uosukainen, Analyysi: Ruotsin pääministeri työnsi hallituskriisin eteenpäin, Yle.fi, uutiset 27.7.2017, viitattu 2.8.2.107

Aiheesta muuallaMuokkaa

Tämä artikkeli tai sen osa on käännetty tai siihen on haettu tietoja muunkielisen Wikipedian artikkelista.
Alkuperäinen artikkeli: sv:Transportstyrelsens IT-upphandling