I dag (fredag) avslöjades det att Riksbankens informationssäkerhet lider av allvarliga brister. Detta enligt en granskning som Svenska Dagbladet gjort av myndighetens internrevisionspapper.
SvD skriver bland annat:
Redan 2013 uppmärksammade internrevisionen att myndigheten saknade kontroll över vilka personer som hade tillgång till ”hemlig- och mycket känslig information om prognosarbetet”. Bara en av tre konsulter på Riksbanken som arbetat med den penningpolitiska rapporten, som innefattar hemligstämplad information, hade registerkontrollerats.
2014 noterades att sex personer från it-leverantören inte registerkontrollerats, trots att det är ett krav. Enligt revisionen kan den missen skada Riksbanken.
– Det är helt klart i strid med hanteringsreglerna. Vi jobbar hela tiden med kvalitetssäkring, vi gör löpande såna här revisioner, det är ett sätt att förbättra och vi har en god hantering generellt, säger Marianne Olsson, chef för avdelningen för verksamhetssupport, till tidningen.
Teckna din prenumeration av Aktuell Säkerhet här
Därefter har problemen fortsatt och i november i år diskuterades strukturproblem och problem med informationsstyrning. Dessutom uppmärksammades brister i Riksbankens informationshantering nyligen.
”Lagring av information är en utmaning, då informationsmängder med lätthet kan flyttas mellan olika lagringsutrymmen utan att detta uppmärksammas”, skrev internrevisionen den 6 november.
– Vi har ett mycket gott skydd men teoretiskt skulle det kunna bli tillgängligt, att någon skaffar sig tillträde. Vad vi vet så har ingen information från Riksbanken läckt till någon obehörig. Men naturligtvis ska man inte lagra information mot våra regler, det ser vi allvarligt på, säger Marianne Olsson till SvD.
I ännu ett fall, i början av 2016, bröts de interna säkerhetsreglerna då säkerhetsföretaget Loomis skickade inventeringslistor över internet. Riksbankens eget regelverk säger att sådan information ska skyddas med viss kryptering – något som aldrig gjordes.
Men, det slutar inte där, det finns ytterligare fall där informationshanteringen svajat. Vid ett tillfälle tog det flera månader innan information om en specifik incident nådde ledningen. Och när den väl kom fram så saknades väsentliga uppgifter, som till exempel vilken tidpunkt som larmet gått från IT-tjänstleverantören.
– Om revisionen påtalar problem nu 2017, då har Riksbanken uppenbara problem med sin informationssäkerhet. Dessutom verkar det finnas flera händelser tillbaka i tiden som visar att man inte haft koll. Man kanske har förlorat kollen genom outsourcingen, säger Kim Hakkarainen, tidigare på Must, nu på Nixu Consulting AB, till SvD.
Riksbanken kommenterar till SvD att de har åtgärdat bristerna samt att de lägger stort fokus på informationssäkerhet. De påtalar även att inga dataintrång eller informationsförluster ska ha inträffat.