I den senaste rapporten, färdigställd den 15 februari, har revisorerna granskat Trafikverkets förmåga att skydda sig mot fientliga it-attacker och skadlig kod, och hittat flera allvarliga brister.
Det gäller bland annat sex stora vägtunnlar i Stockholm och Göteborg, där man på plats inspekterat skyddet för de teknikutrymmen som används till styrning och strömförsörjning, och som dessutom är kopplade till Trafikverkets operativa nät.
Efter besöken konstaterar revisorerna att samtliga har säkerhetsbrister som bedöms som allvarliga eller mycket allvarliga. Skyddet mot obehöriga inkräktare uppfyller enligt rapporten ”inte kraven enligt gällande regelverk inom Trafikverket”.
Granskarna ser också stora brister i hur Trafikverket organiserat sitt beslutsfattande i säkerhetsfrågorna. Ansvar och roller är så otydligt fördelade att viktiga beslut kan försenas, som till exempel att stänga av uppkopplingen mot internet vid en it-attack. ”Konsekvenserna av it-attacker mot Trafikverket riskerar att bli mycket större än vad de skulle behöva bli”, heter det.
Allvarliga sårbarheter – omfattande brister
Trafikverkets säkerhetsproblem har uppmärksammats vid flera tillfällen. Hösten 2017 utreddes omfattande störningar i tågdirigeringssystemen som misstänkta it-attacker, och så sent som i februari kunde Uppdrag Granskning avslöja omfattande säkerhetsbrister kring det svenska järnvägsnätet.
Och den nya revisionsrapporten är inte den enda i sitt slag. Revisorerna beskriver hur man 2017 hittade ”allvarliga sårbarheter i Trafikverkets kritiska it-miljöer” vid ett så kallat penetrationstest, och så sent som i fjol färdigställdes en granskningsrapport som avslöjade ”omfattande brister” i styrningen av säkerhetsarbetet.
I den rapporten, färdigställd sommaren 2018, heter det att ”säkerhetsverksamheten är särskilt omfattad av en negativ kultur”, som ”bygger på prestige, oklarheter i ansvar och styrning samt inom vissa säkerhetsområden bristande kompetens och kunskap”.
På flera punkter är kritiken stenhård:
- ”Lojalitetsbrister mot fattade beslut inom säkerhetsområdet”
- ”Att personal behålls i samband med omflyttningar av arbetsuppgifter vilket leder till att kompetensen inte går med arbetsuppgifterna”
- ”Åtgärder som rapporterats vara utförda men som inte är det”.
Revisorerna beskriver rapporteringssystem där filer inte uppdaterats på flera år, och avtalsskrivningar som inte uppfyller kraven enligt säkerhetsskyddslagstiftningen – alltså samma lagstiftning som uppmärksammades i it-skandalen på Transportstyrelsen.
Berör rikets säkerhet
Ett särskilt avsnitt i granskningen handlar om risken att obehöriga får tillträde till känsliga platser, ”där de kan få tillgång till uppgifter som omfattas av sekretess och som rör rikets säkerhet, eller där verksamhet som har betydelse för rikets säkerhet bedrivs”.
Det handlar också om den säkerhetsprövning som ska göras innan någon börjar jobba inom verksamhet ”som har betydelse för rikets säkerhet, eller anlitas för sysslor som är viktiga för skyddet mot terrorism.”
Avsnittet är delvis sekretessbelagt, men revisorerna sammanfattar att det finns risk att personal släpps in i anläggningar ”utan ändamålsenlig kontroll”, och att ”personer med ont uppsåt ges tillträde till ’känsliga anläggningar’” till följd av ”bristande säkerhetsbarriärer”.
SVT har erbjudit Trafikverket en möjlighet att kommentera uppgifterna, men pressavdelningen meddelar att den chef som kan kommentera dessa frågor inte är tillgänglig förrän på måndag.
Vet du mer? Kontakta SVT:s reportrar.