Riksrevisionen: Transportstyrelsen brister i riskanalys

Uppdaterad 11 augusti 2017

Publicerad 25 juli 2017

Transportstyrelsen brister i riskanalys. Samtidigt är behörigheterna till fordonsregistret för breda, så att allt för många anställda kan ha tillgång till känsliga uppgifter, konstaterar Riksrevisionen.

– Det här påtalade vi redan 2014, men det har inte hänt tillräckligt, säger revisor Stefan Andersson.

De senaste veckorna har allvarliga säkerhetsbrister inom Transportstyrelsen, kopplade till myndighetens outsourcing av IT-drift, avslöjats. I januari sparkades förra generaldirektören Maria Ågren i kölvattnet av Säpos förundersökning om vårdslöshet med hemlig uppgift.

LÄS MER: Detta har hänt i Transportstyrelsens IT-affär

IT-skandalen

Riksrevisionen, som granskar hur myndigheter använder statliga medel, uppger att man fick kännedom om förundersökningen i samband med arbetet med revisionsrapporten för Transportstyrelsen 2016. Revisor Stefan Andersson blev informerad av Transportstyrelsens chefsjurist ”någon gång i november” och fick då ta del av en rapport från Säpo.

– Det var mycket ”hysch hysch”. Rapporten var belagd med sekretess, men eftersom jag fick jag ta del av den kunde jag anpassa revisionen utifrån det som framkom av Säpos granskning, säger han.

LÄS MER: Så hånas Transportstyrelsen – på sin egen Facebooksida

Vagt formulerade risker

I revisionsrapporten skriver Riksrevisionen ”att den centrala styrningen och uppföljningen behöver stärkas. Verksamheten är i behov av tydligare vägledning, bland annat vad gäller riskanalyser och hur risker ska värderas och hanteras.”

– Det handlar om hur man identifierar och hanterar risker. Vi har sett är att den processen är för svag i vissa delar. Det är inte tydligt hur man ska göra detta, säger Stefan Andersson.

LÄS MER: Expert: Därför är läckan så allvarlig

Enligt Riksrevisionen lyfter vissa avdelningar inom Transportstyrelsen fram allt för få risker, som ofta är för vagt formulerade. Dessutom är risker kopplat till informationssäkerhet svaga.

– Riskanalyser går ut på att jobba strukturerat med risker och där behöver man göra en del. Det handlar om att identifiera var de största riskerna finns, vilka uppgifter som är känsligast samt att det är viktigt att ha goda rutiner för att skydda dem. På central nivå behöver man komma fram till hur man ska jobba med riksanalyser och stötta avdelningar i att identifiera risker.

För breda behörigheter

Riksrevisionen har särskilt tittat närmare på behörighetshanteringen av fordonsregistret och kommit fram till att behörigheter inte är behovsanpassade fullt ut, vilket kan innebära att de är för breda så att allt för många kan ha tillgång till känsliga uppgifter.

– Behörigheten måste vara anpassad till personens arbetsuppgifter. Man måste också följa upp behörigheter löpande för personer som slutar eller byter arbetsuppgifter.

Problemet är inget nytt, utan har påtalats för Transportstyrelsens ledning tidigare, i revisionsrapporten 2014. Det har även framförts både tidigare och senare muntligen till ledning och styrelse, menar han.

– Men det har inte hänt tillräckligt, därför lyfte vi fram det igen i revisionsrapporten.

SVT Nyheter har sökt Transportstyrelsen för en kommentar, men myndigheten säger sig inte ha möjlighet att lämna någon kommentar för tillfället.

LÄS MER: Ministrarna höll tyst om läckan under ett år

LÄS MER: SD: Avsätt ministrarna eller avgå

IT-skandalen

Så arbetar vi

SVT:s nyheter ska stå för saklighet och opartiskhet. Det vi publicerar ska vara sant och relevant. Vid akuta nyhetslägen kan det vara svårt att få alla fakta bekräftade, då ska vi berätta vad vi vet – och inte vet. Läs mer om hur vi arbetar.