– Den huvudsakliga anledningen till att det gick snett var att man hade bristande kunskap om vilken information man hade och hur känslig information skulle hanteras, säger Thomas Bull när han presenterade rapporten.
Säkerhetsfrågorna var splittrade och dåligt samordnade på myndigheten. Det var också ett onödigt hemlighetsmakeri om den känsliga information som fanns, enligt Bull. Det andra skälet var att myndigheten hade en orealistisk tidsplan.
– Man inledde tre upphandlingar samtidigt. Och tidsgränsen var snäv för IBM:s övertagande. Man hade inte klassificerat informationen i förväg utan hade planerat att göra det under överlämnandet till IBM.
Brister och missförstånd
Rapporten redovisar också ett tredje skäl till att det gick snett. Ansvaret för upphandlingen var splittrad på ett stort antal delorganisationer inom myndigheten.
– Ansvarsförhållandena var oklara, med risker för att saker föll mellan stolarna, säger Bull.
Bristerna fanns också i kontakten med Utrikesdepartementet och Säkerhetspolisen, konstateras det i utredningen.
– Man har ibland missförstått varandra och det har tagit lång tid att utreda vad som blivit fel, säger Thomas Bull.
Det huvudsakliga ansvaret för bristerna har enligt rapporten varit generaldirektörernas – men även styrelsen.
– En myndighet måste vara samlad och organisatoriskt förberedd att ta tag i frågor om informationssäkerhet, även om frågan är svår för svenska myndigheter, säger han.
Lärdomar inför framtiden
Enligt Thomas Bull är en lärdom av utredningen att det behövs en säkerhetschef som har ett stort och brett mandat för att få en så pass bra helhetssyn som möjligt på myndigheter.
– Där finns det mycket lärdom att dra av det som hänt på Transportstyrelsen, säger han.
Utredningen som inleddes i augusti förra året togs emot av infrastrukturminister Tomas Eneroth (S) och han hoppas att den ska leda till att inte något liknande fel begås på en annan svensk myndighet framöver.
– För regeringens del är det otroligt viktigt att få ett underlag för att kunna se vilka brister som finns och se till att det inte upprepas. Viktig och säkerhetsklassad information får inte röjas, säger han.