Inrikes

Foto: TT

Interna granskningar avslöjar brister i Migrationsverkets informationssäkerhet

Uppdaterad
Publicerad

Revisorerna hittade en rad brister och risker i Migrationsverkets system för informationssäkerhet, och rekommenderade en total ”omstart”. Tre år senare visar en uppföljning att den inte blev av. Brister och risker kvarstår – och måste i vissa fall accepteras enligt de ansvariga.

2014 granskade Migrationsverkets revisorer myndighetens informationssäkerhetsarbete. Man ville undersöka om det fanns fungerande rutiner och system för att förhindra att känslig information hamnade i fel händer, eller att felaktiga uppgifter kom in i myndighetens register.

Säkerhetsanalyser uppdaterades inte på flera år

Granskningen visade en rad brister och risker. Det saknades en heltäckande strategi från ledningen, frågorna prioriterades lågt och säkerhetsanalyser som skulle uppdaterats årligen blev inte uppdaterade på flera år.

LÄS MER: Migrationsverket håller ”kristendomsprov” med asylsökande

”Det är inte tydligt vad som ska följas upp och av vem” skrev revisorerna. Ledningen hade skickat ansvaret nedåt i organisationen ”utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.”

De rutiner som fanns var dessutom bara inriktade på digital information, och riskerade att missa felaktigheter och läckage inom annan kommunikation – ”mellan människor, system och dokument”.

LÄS MER: Migrationsverkets frågor till asylsökande konvertiter kritiseras

Rekommenderade ”omstart”

Revisorerna rekommenderade Migrationsverkets ledning att göra en total ”omstart”, som skulle innefatta verksamhetens alla delar och alla typer av information.

När internrevisionen tre år senare följer upp sin tidigare granskning konstaterar man att flera beslut visserligen fattats och rekommendationer delvis följts – men att den stora omstarten uteblivit.

Orsaken är i grunden ekonomisk. De rekommenderade förändringarna anses kräva ”ett så pass stort arbete samt skulle påverka all utveckling och förvaltning under mycket lång tid att de inte ryms inom befintlig resursram”.

LÄS MER: 1.800 kan få gå från Migrationsverket

I den uppföljande rapporten, som färdigställdes i maj i år, slår man fast att riskerna i dag visserligen är svårbedömda men att ”mot bakgrund av den brist på struktur som präglar riskhanteringen /.../ bedömer internrevisionen att de risker som framkom i granskningen i stora delar kvarstår”.

Bland annat finns fortsatt risk för fel i behöringhetsstyrningen – alltså styrningen av vilka personer som ska ha tillgång till vilken information – och för felaktiga registreringar i IT-systemet.

LÄS MER: Nya enheter på Migrationsverket brister

Skärpta krav

På den punkten har ansvariga enligt rapporten uppgett att man får leva med problemen: ”Det kommer alltid att finnas en viss risk för felaktiga registreringar men den får vi acceptera.”

Samtidigt påpekar revisorerna att kraven på myndighetens informationssäkerhet skärpts sedan 2014 eftersom man numera är en så kallad bevakningsmyndighet enligt krisberedskapsförordningen.

Man framhåller också att det hela tiden dyker upp nya hot inom området, som bedrägerier via sociala medier och skadlig kod.

Ska genomföra alla rekommendationer

SVT har under helgen bett Migrationsverkets pressavdelning om en intervju, men enligt pressavdelningen har framförhållningen varit för kort varför man i stället skickar en skriftlig kommentar.

Där skriver presskommunikatör Linn Nilsson att myndigheten tar IT-säkerhetsfrågor på största allvar, att man genomfört de flesta av revisionens rekommendationer och med tiden kommer att genomföra samtliga.

LÄS MER: Migrationsverkets prognos för asylsökande ligger fast

Relaterat

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.