Allvarliga brister i myndigheters lönesystem

IT-SÄKERHET2019-03-11
Försvarets radioanstalt, FRA, och Åklagarmyndigheten har hittat allvarliga it-brister i ett lönesystem som används av både stat, regioner och kommuner. Statens servicecenter är mitt uppe i arbetet med att införa det för fler statliga myndigheter, rapporterar Dagens Nyheter.

Lönesystemet Heroma används av minst ett 60-tal offentliga arbetsgivare – kommuner, regioner och statliga myndigheter, skriver Dagens Nyheter. Systemet används inte bara för löner, utan hanterar också till exempel scheman, rehabiliteringsplaner och ersättning för anställdas utlägg. Enligt en säkerhetsgranskning som genomförts av Åklagarmyndigheten finns det allvarliga brister i systemet, skriver tidningen. Känsliga personuppgifter kan läcka till obehöriga och sårbarheten skulle också kunna användas för att förskingra pengar.

Statens servicecenter, SSC, träffade i april 2017 ett avtal med Heromas moderföretag, det kanadensiska CGI. Avsikten är att Heroma ska vara en del av SSCs tjänsteutbud till de svenska myndigheter som väljer att låta sina löneutbetalningar hanteras av SSC. Enligt Dagens Nyheter har SSC planerat för att närmare hälften av alla statligt anställda inom kort skulle få sina löner genom SSC och Heroma.

Heroma har i många år använts på andra myndigheter, kommuner och regioner, skriver Dagens Nyheter. Bland kunderna finns Trafikverket, Luftfartsverket, Kriminalvården och Swedavia. Polisen, Åklagarmyndigheten och Ekobrottsmyndigheten har tecknat nya avtal om att använda Heroma i egen regi.

Efter säkerhetsgranskningen stoppade Åklagarmyndigheten omedelbart införandet av Heroma, och anmälde de upptäckta riskerna till Säkerhetspolisen med hänvisning till rikets säkerhet. Dessutom lämnade Åklagarmyndigheten en it-incidentrapport till Myndigheten för samhällsskydd och beredskap, MSB, för att varna andra myndigheter för riskerna. 

Sedan SSC fått kännedom om vad Åklagarmyndigheten hade upptäckt har myndigheten skjutit fram införandet. Försvarets radioanstalt, FRA, har anlitats för att genomföra en sedan tidigare planerad it-säkerhetsgranskning, skriver Dagens Nyheter. Den har nyligen blivit färdigställd, men är sekretessbelagd. Enligt tidningen bekräftar FRA i huvudsak de allvarliga säkerhetsbrister som Åklagarmyndigheten upptäckt. FRA har dessutom hittat flera andra risker. 

CGIs kommunikationschef skriver i ett mejl till Dagens Nyheter Heroma är ett modernt och säkert system men att säkerhetshoten utvecklas mycket snabbt i samhället. 

Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.

Innehållet i detta fält är privat och kommer inte att visas offentligt.
Genom att trycka på "Skicka" godkänner jag att mitt inlägg kan publiceras på webben och i papperstidningen. Redaktionen förbehåller sig rätten att granska och redigera kommentarer på samma sätt som insändare. Publicering sker först sedan inlägget granskats. Detta sker normalt under kontorstid. Publikt publicerar inte inlägg som innehåller personangrepp. Inte heller publiceras inlägg som handlar om något annat än ämnet för artikeln.