Försvarets radioanstalt (FRA) och Åklagarmyndigheten har upptäckt en rad säkerhetsbrister i ett lönesystem som används av omkring 60 kommuner, myndigheter och regioner. Det rapporterar DN. 

Teckna din prenumeration på Aktuell Säkerhet här

Heroma, som lönesystemet heter, är det som används av flest kommuner, myndigheter och regioner. Systemet hanterar scheman, rehabiliteringar, kvittoutlägg och löneutbetalningar. Bland kunderna finns Trafikverket, Luftfartsverket, Kriminalvården, Swedavia, Stockholms läns landsting och Västra Götalandsregionen. Dessutom är en hel rad myndigheter på väg att införa Heroma. Men nu avslöjar DN att systemet lider av stora sårbarheter. Upptäckten sv dem gjordes under hösten 2018 vid en säkerhetsgranskning av Åklagarmyndigheten och sstemet fick underkänt på flera punkter. Sårbarheterna bedömdes som så allvarliga att det fanns risk för att känsliga personuppgifter skulle kunna läcka ut till obehöriga.

Vi den tidpunkten stoppade Åklagarmyndigheten införandet samt anmälde bristerna till Säpo och hänvisade till rikets säkerhet. Det gjordes även en IT-incidentrapportering till Myndigheten för samhällsskydd och beredskap (MSB) i syfte att varna andra.

Chefsåklagaren vid Åklagarmyndighetens IT-avdelning, Per Nichols, bekräftar för Dagens Nyheter att allvarliga säkerhetsbrister i Heroma har påvisats i deras säkerhetsgranskning. Men han vill inte gå in på vilka risker som kommer med problemet.

– Vi har arbetat med ärendet i några månader. Det är vår egen personal som har konstaterat sårbarheterna. Säkerhetsbristerna är så allvarliga att vi för närvarande har stoppat införandet. Vi har därmed inte utsatt oss själva för några risker, säger han till DN.

– Bristerna i systemet är på fundamental nivå – på grundarkitekturen. Ett problem med it-säkerhetsbrister är dock generellt att ju mer man berättar desto större blir också risken att man hamnar i en situation där beskrivningen av problemet också blir en instruktion om hur man utnyttja bristen, säger Per Nichols.

Han påtalar även att systemet fortfarande är sårbart samt att leverantören i nuläget arbetar med att meddela sina kunder och att det är svårt att spekulera i när i tiden bristerna bedöms kunna elimineras.

Linda Kante
  • #åklagarmyndigheten
  • #DN
  • #FRA

Aktuell Säkerhet jobbar för alla som vill göra säkrare affärer och är därför en säker informationskälla för säkerhetsansvariga inom såväl privat som statlig och kommunal sektor. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik