Svédország legna­gyobb adatvédelmi botránya robbant ki

Az ügyben minden adatkezelési előírást megszegtek.

A svéd közlekedési hivatal (STA) a személyzeti költségmegtakarítások jegyében úgy döntött, hogy a jövőben a felhőkörnyezetre épít. A folyamat során azonban figyelmen kívül hagyták a a különböző biztonsági előírásokat, így a feladattal megbízott IBM és az NCR cégek hozzáfértet az összes svéd állampolgár jogosítványadatait tartalmazó adatbázisokhoz, a tanúvédelmi program titkos információihoz, az elitkatonák és a katonai pilóták adataihoz, valamint a hivatalok és a svéd hadsereg által használt járművek listájához. Ez a skandináv ország történetének legnagyobb adatvédelmi botránya.

Az elmúlt hetekben egyre több részlet derült ki a 2015-ös ügyről. A biztonsági intézkedések teljesen elégtelenek voltak és emiatt valószínűleg illetéktelenek szerezhettek hozzáféréseket a svéd kormány és lakosság számos titkos és személyes adatához. Az egyelőre még kérdéses, hogy valóban visszaélt-e valaki az információkkal.

Tavaly a svéd titkosszolgálat felfedezte, hogy az STA azért, hogy a költségeket csökkentse, továbbította az említett adatokat az IBM és az NCR felhőkörnyezeti rendszereibe. A két cég bizonyos munkatársai is teljes mértékben hozzáférhettek ezekhez az információkhoz. Az IBM esetében nem csupán amerikai alkalmazottak érhették el az adatokat, hanem csehországi és 11 másik államban lévő dolgozók is. A szerb NCR szintén tárolta a fájlokat, ami szintén ellenkezett minden előírással, hiszen Szerbia az Európai Unión kívüli területnek számít.

A titkosszolgálat nyomozásai először Maria Agrennek, az STA felelős vezetőjének az elbocsátáshoz vezettek, majd a helyi sajtó kiderítette azt is, hogy a szakember egyszerűen inkompetens volt. Agrennek 70 000 svéd koronás pénzbüntetést kellett fizetnie, ez félhavi fizetésének felelt meg. Az eljárásnak köszönhetően ismertté váltak az ügy részletei.

Normális esetben az STA-tól kiszervezett információkkal dolgozó személyzetnek külön képzésen és biztonsági ellenőrzésen kell átesnie. Így biztosítják azt, hogy a hozzáférések semmilyen veszélyt ne jelentsenek a svéd államra nézve. A biztonsági ellenőrzés azonban meglehetősen hosszú ideig tart. Agren fel akarta gyorsítani a folyamatot, ezzel pedig három törvényt is megszegett. Amikor a belső IT-munkatársak felhívták a figyelmet a problémára, akkor egyszerűen kizárták őket a további eljárásból. Amikor a svéd hírszerzés, a Säpo értesült az ügyről, akkor egy vizsgálat után azt javasolta, hogy azonnal állítsák le a folyamatot. Ezt az utasítást viszont az STA és annak vezetői figyelmen kívül hagyták, s folytatták az adatok kiadását.