Personuppgiftspolicy

Vi använder cookies för att förbättra funktionaliteten på våra sajter, för att kunna rikta relevant innehåll och annonser till dig och för att vi ska kunna säkerställa att tjänsterna fungerar som de ska.

Läs mer i vår cookiepolicy.

Läs mer

Allvarliga brister i myndigheters lönesystem

FRA kopplades in för att säkerhetsgranska.Foto: TT NYHETSBYRÅN / Christine Olsson

Regeringskansliet har informerats om allvarliga säkerhetsbrister i ett lönesystem som används av ett 60-tal kommuner, myndigheter och regioner.

Det avslöjar DN. 

Åklagarmyndigheten har stoppat införandet med anledning av upptäckten. 

I oktober 2018 upptäckte Åklagarmyndigheten allvarliga it-säkerhetsbrister i samband med en säkerhetsgranskning, avslöjar DN. 

Upptäckten resulterade i att myndigheten stoppade införandet av nya lönesystemet Heroma – och drygt en månad senare gjordes en anmälan till Säpo. Myndigheten lämnade också in en incidentanmälan till Myndigheten för samhällsskydd och beredskap, MSB.

Åklagarmyndigheten bedömde sårbarheterna som så allvarliga att det fanns en risk för känsliga personuppgifter skulle läckas till obehöriga. 

– Bristerna i systemet är på fundamental nivå, i grundarkitekturen. Ett problem med it-säkerhetsbrister är dock generellt att ju mer man berättar desto större blir också risken att man hamnar i en situation där beskrivningen av problemet också blir en instruktion om hur man kan utnyttja bristen, säger Per Nichols, chefsåklagare vid Åklagarmyndighetens it-avdelning till DN.

 

Åklagarmyndigheten har gjort en incidentanmälan till Myndigheten för samhällsskydd och beredskap, MSB. Foto: TT NYHETSBYRÅN

Allvarliga säkerhetsbrister i kommuners lönesystem

Enligt DN rör det sig om ett 60-tal kommuner, myndigheter och regioner som har använt sig av lönesystemet. 

I april 2017 slöt Statens servicecenter ett avtal med ägaren till systemet, kanadensiska bolaget CHI. I framtiden har det varit tänkt att hälften av Sveriges statsanställda ska få löneutbetalningar via Heroma, skriver DN. Statens servicecenter har sedermera bromsat införandet och informerat regeringskansliet. 

Även Polismyndigheten och Ekobrottsmyndigheten har slutit egna avtal – samtidigt som Trafikverket, Luftfartsverket, Kriminalvården, Swedavia och Västra Götalandsregionen använt systemet sedan flera år tillbaka. 

FRA upptäckte nya brister

Försvarets radioanstalt, FRA, har undersökt systemet och kunnat både verifiera de tidigare rapporterade bristerna, samt upptäcka andra brister.

Foto: SVEN LINDWALL

Robert Almqvist, kommunikationschef vid bolaget CGI, skriver i ett mejl till DN: 

Heroma är ett modernt och säkert system som stöder våra kunders ambition att hantera sin hr på ett effektivt sätt.” 

Samtidigt utvecklas säkerhetshoten i samhället mycket snabbt och vi utvecklar kontinuerligt säkerheten i våra plattformar och lösningar för att se till att de fortsätter uppfylla våra och våra kunders högt ställda krav. Hur vi arbetar med detta diskuterar vi, bland annat av just säkerhetsskäl, enbart med kunderna så jag kan tyvärr inte kommentera.