Allvarliga säkerhetsbrister har upptäckts i lönesystemet Heroma som används av Västra Götalandsregionen (VGR).
– Vi har under eftermiddagen suttit i möte med leverantören CGI för att reda ut riskerna och hur vi kan åtgärda dem, säger VGR:s IT-direktör Göran Ejbyfeldt. Vi har dock inte åtgärderna klara än, men jobbar hårt tillsammans med CGI för att få till en lösning.
Det var Dagens Nyheter DN som på måndagsmorgonen avslöjade att Försvarets radioanstalt (FRA) och Åklagarmyndigheten har upptäckt allvarliga brister i lönesystemet Heroma som används av minst ett 60-tal kommuner, myndigheter och regioner i Sverige.
Västra Götalandsregionen som är Sveriges största offentliga arbetsgivare med drygt 55 000 medarbetare är en av dem.
Systemet är ett av de vanligaste som används av offentliga organisationer för att hantera till exempel scheman, rehabiliteringar, kvittoutlägg och löneutbetalningar.
VGR har liksom många andra organisationer använt systemet i många år.
Åklagarmyndigheten stoppade
Enligt uppgifter i DN kan känsliga personuppgifter riskera att läcka till obehöriga. I praktiken skulle sårbarheterna i systemet till och med kunna användas för att förskingra pengar.
Bristerna upptäcktes i oktober 2018 när Åklagarmyndigheten, som stod i begrepp att börja använda systemet, gjorde en granskning av säkerheten. De stoppade införandet omedelbart och meddelade Polismyndigheten den 19 oktober. En månad senare informerades även Säpo och 5 december fick Myndigheten för samhällsskydd och beredskap (MSB) informationen. Under hösten 2018 informerades även it-företaget CGI, som säljer och utvecklar Heroma. Förste februari i år informerade åklagarmyndigheten sin uppdragsgivare Regeringskansliet.
Ändå har riskerna inte kommit till andra myndigheters kännedom förrän genom DN:s avslöjande på måndagsmorgonen. Frågan ligger nu på regeringens bord.
Inte kritisk
– Vi ser mycket allvarligt på detta och tycker att det är otillfredsställande och förvånande att ingen av aktörerna med kännedom hört av sig till oss. Västra Götalandsregionen är Sveriges största offentliga arbetsgivare med över 55 000 medarbetare. Vi tar detta på största allvar för våra medarbetares skull och vi är i kontakt med leverantören för att få detaljerad information, säger Göran Ejbyfeldt.
Enligt vad leverantören CGI berättat under eftermiddagens möte är bristen allvarlig men inte kritisk. Enligt dem krävs det ganska mycket för att kunna åstadkomma någon skada. Av säkerhetsskäl kan de dock inte gå in på några detaljer.
– Det är tillfredsställande att CGI inser vidden av bristerna och nu jobbar intensivt för att rätta till dem. Vi konstaterar också att VGR inte varit utsatt för några oegentligheter på grund av bristerna, säger Göran Ejbyfeldt.
Text: Bettina Axelsson
vgrfokus@vgregion.se