Götatunneln är en av de sex storstadstunnlar som inspekterats. Foto: SVT

SVT avslöjar: Stora brister i Trafikverkets skydd mot it-attacker och inkräktare

Publicerad

Det finns mycket allvarliga säkerhetsbrister i Trafikverkets skydd mot it-attacker och obehöriga inkräktare. Det framgår av två internrevisionsrapporter som SVT tagit del av. I några av Sveriges största vägtunnlar är bristerna så stora att skyddet inte följer regelverket. Delar av den granskade verksamheten rör rikets säkerhet.

I den senaste rapporten, färdigställd den 15 februari, har revisorerna granskat Trafikverkets förmåga att skydda sig mot fientliga it-attacker och skadlig kod, och hittat flera allvarliga brister.

Det gäller bland annat sex stora vägtunnlar i Stockholm och Göteborg, där man på plats inspekterat skyddet för de teknikutrymmen som används till styrning och strömförsörjning, och som dessutom är kopplade till Trafikverkets operativa nät.

Efter besöken konstaterar revisorerna att samtliga har säkerhetsbrister som bedöms som allvarliga eller mycket allvarliga. Skyddet mot obehöriga inkräktare uppfyller enligt rapporten ”inte kraven enligt gällande regelverk inom Trafikverket”.

Granskarna ser också stora brister i hur Trafikverket organiserat sitt beslutsfattande i säkerhetsfrågorna. Ansvar och roller är så otydligt fördelade att viktiga beslut kan försenas, som till exempel att stänga av uppkopplingen mot internet vid en it-attack. ”Konsekvenserna av it-attacker mot Trafikverket riskerar att bli mycket större än vad de skulle behövabli”, heter det.

Allvarliga sårbarheter – omfattande brister

Trafikverkets säkerhetsproblem har uppmärksammats vid flera tillfällen. Hösten 2017 utreddes omfattande störningar i tågdirigeringssystemen som misstänkta it-attacker, och så sent som i februari kunde Uppdrag Granskning avslöja omfattande säkerhetsbrister kring det svenska järnvägsnätet.

Och den nya revisionsrapporten är inte den enda i sitt slag. Revisorerna beskriver hur man 2017 hittade ”allvarliga sårbarheter i Trafikverkets kritiska it-miljöer” vid ett så kallat penetrationstest, och så sent som i fjol färdigställdes en granskningsrapport som avslöjade ”omfattande brister” i styrningen av säkerhetsarbetet.

I den rapporten, färdigställd sommaren 2018, heter det att ”säkerhetsverksamheten är särskilt omfattad av en negativ kultur”, som ”bygger på prestige, oklarheter i ansvar och styrning samt inom vissa säkerhetsområden bristande kompetens och kunskap”.

På flera punkter är kritiken stenhård:

  • ”Lojalitetsbrister mot fattade beslut inom säkerhetsområdet”
  • ”Att personal behålls i samband med omflyttningar av arbetsuppgifter vilket leder till att kompetensen inte går med arbetsuppgifterna”
  • ”Åtgärder som rapporterats vara utförda men som inte är det”.

Revisorerna beskriver rapporteringssystem där filer inte uppdaterats på flera år, och avtalsskrivningar som inte uppfyller kraven enligt säkerhetsskyddslagstiftningen – alltså samma lagstiftning som uppmärksammades i it-skandalen på Transportstyrelsen.

Berör rikets säkerhet

Ett särskilt avsnitt i granskningen handlar om risken att obehöriga får tillträde till känsliga platser, ”där de kan få tillgång till uppgifter som omfattas av sekretess och som rör rikets säkerhet, eller där verksamhet som har betydelse för rikets säkerhet bedrivs”.

Det handlar också om den säkerhetsprövning som ska göras innan någon börjar jobba inom verksamhet ”som har betydelse för rikets säkerhet, eller anlitas för sysslor som är viktiga för skyddet mot terrorism.”

Avsnittet är delvis sekretessbelagt, men revisorerna sammanfattar att det finns risk att personal släpps in i anläggningar ”utan ändamålsenlig kontroll”, och att ”personer med ont uppsåt ges tillträde till ’känsliga anläggningar’” till följd av ”bristande säkerhetsbarriärer”.

SVT har erbjudit Trafikverket en möjlighet att kommentera uppgifterna, men pressavdelningen meddelar att den chef som kan kommentera dessa frågor inte är tillgänglig förrän på måndag.

Vet du mer? Kontakta SVT:s reportrar.

Lokal. Lättanvänd. Opartisk. Ladda ner appen nu!

Hämta SVT Nyheter i App StoreLadda ned SVT Nyheter på Google Play

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer