Áll a bál Svédországban, miután kiderült, hogy egy felelőtlen szerződés miatt a Svéd Közlekedési Ügynökségnek (Transportstyrelsen) úgy sikerült kiszerveznie az informatikai rendszereinek kezelését, hogy az ország összes autóvezetőjének az adatai illetéktelen kézbe kerülhettek – írja a ZDNet. A gondatlanság komoly nemzetbiztonsági kockázatot is jelent.
Az ügynökség még 2015 szeptemberében állapodott meg az informatikai hálózata és az adatbázisai kezeléséről az IBM csehországi és az NCR szerbiai részlegével, az adatokat kezelő külföldi informatikusok viszont nem estek át az ilyenkor kötelező nemzetbiztonsági átvilágításon.
Az ügynökség a két cég felhőibe a teljes adatbázisát feltöltötte, amelyhez így több nem ellenőrzött alkalmazott is hozzáférhetett. A svéd titkosszolgálat csak 2016 márciusában vette észre, mi történt, ekkor indítottak vizsgálatot az ügyben. Mint kiderült, a közlekedési ügynökség azért mulasztotta el elvégezni a szükséges biztonsági ellenőrzéseket, hogy minél gyorsabban átállhassanak az új rendszerre, mert fel akarták számolni a helyi IT-részlegüket.
A Dagens Nyheter (DN) nevű svéd lap írta meg először, hogy, a külföldi alkalmazottak minden adathoz és naplófájlhoz hozzáfértek. Az esetről készült biztonsági jelentés nyilvánosságra került változatából annyi mindent kitakartak, hogy abból nem derül ki, mekkora a baj. Rik Falkvinge, a Private Internet Access nevű VPN-szolgáltató magánszférával kapcsolatos ügyeiért felelős vezetője (és mellesleg a svéd kalózpárt alapítója) szerint viszont komoly nemzetbiztonsági kockázatai is lehetnek az ügynek.
Falkvinge szerint ugyanis az ország összes autóvezetőjének személyes adatai mellett olyan érzékeny adatok is kompromittálódhattak, mint:
Arról már eddig is lehetett tudni, hogy az ügynökség korábbi vezetőjét, Maria Ågrent idén januárban kirúgták, de csak most került nyilvánosságra, hogy 70 ezer svéd korona (2,23 millió forint) büntetést kapott, amiért a esettel kapcsolatos titkos vizsgálat megállapította, hogy "gondatlanul bánt titkos információval" – vagyis félhavi fizetésnek megfelelő bírsággal megúszta az ország egyik legdurvább adatbiztonsági botrányát.
Nem ez volt az első eset, hogy a közlekedési ügynökség adatkezelési gyakorlata aggasztónak bizonyult. Tavaly márciusban elküldték a hirdetőknek a járműnyilvántartást. Ezzel önmagában még semmi szabálytalanságot nem követtek volna el, viszont sikerült a listát úgy kiadniuk, hogy benne maradtak a tanúvédelmi és hasonló programokban résztvevők is, és az ügynökség magukat a marketinges partnereket kérte meg utólag, hogy töröljék ezeket az elemeket a listáról. Ráadásul mindezt sikerült amolyan BKK-san, sima szöveges emailben elküldeniük.
A svéd kormány most azt vizsgálja, hogy történt-e visszaélés, illetve hogy a külföldi informatikusok az EU-tag Svédországon keresztül az Unió biztonságos belső hálózatához, a STESTA-hoz is hozzáférhettek-e. Az aggodalmakat erősíti, hogy két olyan országról van szó, amelyek kormánya az utóbbi időben egyre inkább oroszbarát irányba tolódnak. Az IBM ráadásul további 11 országban engedett hozzáférést az alvállalkozóinak az adatokhoz.
Falkvinge a svéd ügyet tágabb adatbiztonsági kontextusba is helyezte, amikor arra a régi vitára utalt, hogy jó ötlet lenne-e a kormányoknak minden személyes adatunkhoz hozzáférést adni:
Ez megint megmutatja, hogy a kormányok még a saját legtitkosabb adataikat se tudják titokban tartani, tehát minden kormányzati biztosíték arról, hogy a te adataidat biztonságban tartják, annyit ér, mint egy teherautónyi döglött patkány egy tampongyárban
– mondta, az érzékletes hasonlattal feltehetően a Top Secret című filmet megidézve.
A problémás adatkezelés még mindig fennál, és Jonas Bjelfvenstam, az ügynökség jelenlegi igazgatója szerint csak őszre fogják tudni biztosan elhárítani a kockázatot.