Annons
X
Annons
X

IT-register läcker känsliga uppgifter

”Måste åtgärdas omgående” En färsk granskning av Stockholms stads it-register Paraplysystemet visar på allvarliga säkerhetsbrister. Sekretessbelagda uppgifter om personer inom äldre- och handikappomsorgen är inte ordentligt skyddade och utbetalningar går att påverka utan att det syns.

Foto: FREDRIK SANDBERG / TT

Såväl personakter som journalanteckningar och beslut om utbetalningar av ekonomiskt bistånd hanteras i Stockholms stads it-register Paraplysystemet. Trots det visar en konsultrapport beställd av Stadsrevisionen att systemet har allvarliga säkerhetsbrister – som på vissa punkter måste åtgärdas ”omgående”.

Bara under perioden januari till november förra året hanterades beslut om utbetalningar på över en miljard kronor i systemet, det handlar om såväl ekonomiskt bistånd, som ersättningar och arvoden.

Konsultbyrån Europoint som gjort rapporten skriver att ”säkerhetsmedvetandet inte motsvarar den höga känsligheten hos informationen” och tar i första hand upp risken för ”försök att uppnå ekonomisk fördel genom att påverka utbetalningarna”.

Annons
X

–Någon skulle kunna fejka en utbetalning till ett konto som inte ska ha den utbetalningen, säger Lars Riddervik, förtroendevald revisor på Stadsrevisionen.

Besluten om utbetalning fattas och dokumenteras i systemet – därifrån skickas sedan en signal till ekonomisystemet som gör själva utbetalningen. Totalt handlar det om tiotusentals utbetalningar varje år som är svåra att kontrollera.

–Det går inte att garantera att det här systemet inte används på ett obehörigt sätt. Om nu någon gör det går det dessutom inte att spåra, säger Lars Riddervik.

Stäng

PERFECT WEEKEND – Nyhetsbrevet från SvD Perfect Guide som håller dig uppdaterad på de senaste samtalsämnena inför helgens middagar.

    Anmäl dig här kundservice.svd.se

    Paraplysystemet är ett heltäckande socialregister för enskilda ärenden inom både äldreomsorg, handikappomsorg och individ- och familjeomsorg inom Stockholms stad och täcker in alla 14 stadsdelnämnder. I många fall handlar det om sekretessbelagda uppgifter.

    Totalt finns 1 700 aktiva användare av Paraplysystemet. Så många som 636 personer har i it-systemet fått behörighetsgraden ”verksamhetschef” eller ”sektionschef” – långt många fler än det antal som faktiskt har de rollerna. Att användare har en högre behörighetsgrad än vad de egentligen ska ha är en brist som påpekas upprepade gånger i rapporten.

    Det innebär att personer på andra tjänster kommer åt att både läsa och ändra saker i systemet som de inte borde kunna röra. Alla med de ovannämnda rollerna kan exempelvis ändra lösenord på konton – och kan därmed logga in på andra personers konton.

    Rapportförfattarna konstaterar att ”alltför höga behörigheter till ett stort antal personer ökar risken för missbruk”.

    –Det är allvarligt. Som det ser ut nu kan folk som tilldelats för hög behörighet gå in och titta på alla de dokument som gäller de privatpersoner ärendet handlar om, säger Lars Riddervik.

    Han reagerar även på att det finns säkerhetsluckor som gör att samma information eventuellt går att komma åt utifrån.

    –Det här området rör på sig hela tiden. Det kan komma in folk som nästlar sig in utifrån och lägger in trojaner i systemet och liknande. Det är inte tillräckligt säkert helt enkelt.

    Detta är inte första gången som granskningar av Paraplysystemet visar på brister. Redan 2011 påtalades brister i ansvarfördelning, följsamhet mot lagar, regler om avtal och sårbarhetshantering. Senast 2013 pekade Stadsrevisionen på bristande rutiner när det gäller att avsluta behörigheter för externa utförare.

    En annan poäng som konsulterna gör är att de som använder systemet inte är medvetna om hur känslig informationen de hanterar är. De inblandade nämnd-erna har enligt rapporten ”bristande insikt” om systemets sår-barheter och möjligheterna att utnyttja dessa.

    –Den bristande säkerhetskulturen är anmärkningsvärd. Vi saknar det säkerhetsmedvetande som man måste ha i ett system som hanterar så oerhört mycket känslig information – det måste implementeras uppifrån, säger Lars Riddervik.

    Kommunstyrelsens ordförande Sten Nordin (M), som rapporten överlämnas till, har avböjt att kommentera innan rapporten granskats av stadsledningskontoret.

    Annons
    Annons
    X
    Foto: FREDRIK SANDBERG / TT Bild 1 av 1
    Annons
    X
    Annons
    X