Den andra delrapporten om Trafiksäkerhetsverkets e-tjänster är klar

kommunikationsministeriet
Utgivningsdatum 1.10.2019 14.30
Pressmeddelande
Datasäkerhet, lagerfoto (Bild: LVM)
Datasäkerhet, lagerfoto (Bild: LVM)

Kommunikationsministeriet har av Transport- och kommunikationsverket fått den utredning som ministeriet begärt om praxis vid planering, tillhandahållande och drift av verkets e-tjänster. Utredningen hänför sig till de problem som i december 2018 uppdagades i Trafiksäkerhetsverket Trafis digitala tjänster (e-tjänster).

Den nu färdigställda undersökningen är den andra delrapporten om det utrednings- och utvecklingsarbete som pågår hela året 2019. Arbetet utförs på uppdrag av kommunikationsministeriet under ledning av Transport- och kommunikationsverkets generaldirektör Kirsi Karlamaa.

I mellanrapporten redogörs för åtgärder för att trygga dataskyddet och informationssäkerheten, fortsatta åtgärder för att utveckla tjänsterna samt om förenhetligande och utvecklande av ämbetsverkets riskhantering. Utredningen består av flera olika etapper och den pågår fram till slutet av 2019.

"Vi fortsätter att utveckla våra tjänster och verksamhetssätt utifrån utredningen. Ledningen av verkets e-tjänster och beslutsprocessen samt informationssäkerhetsstandarden har granskats och vi fortsätter att öppna de tjänster som varit avstängda med beaktande av alla aspekter", säger Transport - och kommunikationsverkets säkerhetsdirektör Jari Ylitalo.

"Medborgarna dataskydd står i centrum för verksamheten inom den offentliga servicen. Säkerhetskulturen och medvetenheten måste ständigt utvecklas. Det är viktigt att utredningsarbetet görs grundligt och att resultaten utnyttjas i stor utsträckning inom hela statsförvaltningen", säger Laura Vilkkonen, överdirektör vid kommunikationsministeriet.

Hur framskred ärendet?

Tidskriften Tekniikka ja talous gick fredagen den 7 december 2018 ut med en nyhet om Trafiksäkerhetsverket Trafis nya webbtjänst, i vilken det förutom uppgifter om förarnas körrätt även var möjligt att söka olika personuppgifter. Under veckoslutet därpå fick frågan stor spridning även i andra massmedier och den väckte diskussion på sociala medier. I diskussionerna kritiserade man att det från e-tjänsten var möjligt att få ut personuppgifter i onödigt stor omfattning. När ministeriet fick höra om problemen vidtog det omedelbart åtgärder.

Söndagen den 9 december 2018 stängde Trafi alla sina e-tjänster för att försäkra sig om att tillgången till tjänsten för föraruppgifter var spärrad under den pågående utredningen.

Måndagen den 10 december 2018 gav kommunikationsministeriet Kommunikationsverket i uppgift att undersöka dataskyddet och informationssäkerheten i Trafis e-tjänster och att lämna ministeriet ett expertutlåtande om dem.  Ministeriet bad att bedömningen skulle genomföras i nära samarbete med dataombudsmannen.

Utredningen tillställdes ministeriet i två delar. Ministeriet fick den första utredningen den 12 december 2012. I utredningen tog man ställning till om det var lagligt och med tanke på säkerheten tryggt att öppna Trafis webbtjänst med undantag för de delar som innehåller föraruppgifter.

Enligt utredningen håller informationssäkerheten i Trafis tjänsteutbud högre nivå än genomsnittet bland de myndigheter inom statsförvaltningen som omfattas av motsvarande krav på informationssäkerhet. När utredningen var klar återöppnades en del av Trafis digitala tjänster lördagen den 15 december 2018.

Efter den preliminära utredningen beställde Trafi på begäran av Kommunikationsverket en annan, utförligare fortsatt bedömning av service- och systemhelheten. Den utfördes av Nixu Certification Oy, som är ett sådant bedömningsorgan som avses i lagen om bedömningsorgan för informationssäkerhet. Kommunikationsverket tillsatte en övervakare för bedömningen.

Den fortsatta utvärderingen blev klar den 19 december 2018. Även i den uppskattades Trafis digitala tjänster hålla högre nivå än många andra motsvarande system inom statsförvaltningen. Enligt bedömningen var Trafis e-tjänst för föraruppgifter dock inte till alla delar helt lyckad till utformningen. E-tjänsten för föraruppgifter har inte återöppnats för allmänheten i dess ursprungliga form.

Kommunikationsverket, Trafiksäkerhetsverket Trafi och vissa funktioner vid Trafikverket ombildades i början av 2019 till Transport- och kommunikationsverket. Ministeriet har bett Kirsi Karlamaa, generaldirektör för Transport- och kommunikationsverket, lämna en utredning om praxis vid planering, tillhandahållande och drift av verkets e-tjänster. Enligt uppdraget skulle delrapporter om utredningen lämnas till ministeriet före utgången av maj och september. Den slutliga rapporten ska lämnas in senast den 16 december 2019.

Ministeriet tog emot utredningens första mellanrapport den 28 maj och dess andra mellanrapport den 30 september 2019. De offentliga mellanrapporterna finns på statsrådets tjänst för projektinformation på adressen

https://valtioneuvosto.fi/hanke?tunnus=LVM015:00/2019

Vad händer härnäst?

Den interna utredningen vid Transport- och kommunikationsverket fortsätter. Ministeriet har bett ämbetsverket lämna in en slutrapport om utredningen senast den 16 december.

Observationerna i delrapporterna och i slutrapporten ska under ledning av kommunikationsministeriet utnyttjas vid utvecklingen av verksamheten inom ministeriets förvaltningsområde.

Ministeriet uppmuntrar alla organisationer inom statsförvaltningen att dra nytta av resultaten av analysen då det gäller att trygga dataskyddet och informationssäkerheten i deras egna tjänster.

Ytterligare information:

Laura Vilkkonen, överdirektör (Avdelningen för kunskapshantering), tfn 040 500 0817, Twitter @vilkkonen
Jari Ylitalo, säkerhetsdirektör, Transport- och kommunikationsverket, kontaktförfrågningar: tfn 0295 345 648 (Traficoms medietjänst)