Miljonprislappen för att rätta brister i IT-systemet

ETC Göteborg har tidigare kunnat avslöja att det tillägg som krävs för att lösa säkerhetsproblemen med Göteborgs stads nya IT-system, Office 365, som rullades ut under hösten förra året skulle kosta staden 20 miljoner. Göteborgs stad bekräftar nu själva de siffrorna. Systemet kommer att kosta 3,8 miljoner kronor varje år, vilket blir cirka 20 miljoner över fem års tid. Personer som ETC Göteborg pratat med bedömer dock att systemet snarare kommer att vara i drift i minst 10 år och då blir priset det dubbla.

BRA JOURNALISTIK ÄR INTE GRATIS

Gillar du det vi gör?
Swisha en peng till: 123 401 876 8

Det var i oktober som nyheten att det fanns ett allvarligt säkerhetsproblem med Office 365 slog ned som en bomb i Göteborg. Även runt om i landets övriga kommuner satte många IT-chefer, som köpt in samma system, kaffet i vrångstrupen.

Det var Göteborgs stadsjurister som slog larm om att kommunens nya IT-system inte var säkert. De ansåg att det faktum att anställda på Microsoft kunde komma åt kommunens filer, som lagras på serverar hos företaget, gjorde att de var att betrakta som ”röjda”. Men problemet löstes med hjälp av ett tillägg som kallas ”Customer lockbox” som gör att kommunen måste godkänna om någon ska få tillgång till det som lagras på kommunens server.

ETC Göteborg har tidigare berättat att en person med insikt menat att det skulle kosta cirka 20 miljoner att avhjälpa problemet med röjandet av uppgifter, en siffra som nu alltså är bekräftad. Personen sa då att felet var känt sedan tidigare, men då det inte gjorts en ordentlig förstudie förstod man på Intraservice inte vidden av problemet.

– Det som stör mig är att man leker med skattepengar som om det var leksaksormar, sa hen till ETC Göteborg då.

”Saknar kompetens”

En person, som har god insikt i kommunala IT-frågor men som inte är kopplad till Intraservice i Göteborg, riktar skarp kritik mot hur kommunen hanterat hela processen kring Office 365.

– Man kan definitivt säga att de inte visste vad de gjorde när de gick in i det här, det är inte överord.

Hen menar att en anledning till att kommuner gör affärer med Microsoft är att de ses som en pålitlig leverantör och eftersom man själva saknar kompetens väljer man att lita på dem.

– Man ska heller inte underskatta Atea (som levererade paketet, reds. anm) i det här sammanhanget. Jag tror att de som suttit och beslutat det här inte är helt kompetenta och är därför helt beroende av att få råd från sin leverantör. Då säger Atea såklart att ”det här är inga problem” och ger råd som kanske bara är halva sanningen.

Personen vi pratat med menar att det funnits en kultur internt på Intraservice där man valt att köra på utan att veta alla kostnader snarare än att avvakta och se.

– På en konferens i höstas sa en person från Intraservice i Göteborg att ”I Göteborg tar vi hellre fortkörningsböter än parkeringsböter”, säger hen.

Förväntar sig granskning

Efter att staden nådde ett avtal med Microsoft om Customer Lockbox skrev stadens jurister ett PM om hur de såg på lösningen. Där framkommer att de förväntar sig att kommunen ska se till att en oberoende och godkänd granskning ska göras av Customer Lockbox för att se om det verkligen fungerar. De skriver att det är en ”förutsättning” för det fortsatta användandet av Office 365. Juristerna skriver att ”I nuläget får Intraservice projekt göra bedömningen om avtalet och Microsoft för närvarande anses uppfylla kraven trots att ingen godkänd granskning genomförts”

Men trots att det gått flera månader sedan dess, har en sådan granskning ännu inte genomförts. Max Sandberg, IT-chef, säger till ETC Göteborg att de väntar på att Microsoft själva ska göra en sådan granskning.

– Det är Microsoft som ansvarar för att en säkerhetsverifiering, en så kallad audit, av deras tjänster genomförs. Denna genomförs årligen av oberoende granskare. Vi förväntar oss ta del av dessa rapporter under våren 2018.

Kan man verkligen anse Customer Lockbox som säkert innan ni fått rapporten från Microsoft?

– Vår bedömning är att tjänsten Customer Lockbox gör det den syftar till att göra.

Göteborgs förste stadsjurist, Markus Landahl, som är en av de jurister som undertecknat promemorian om säkerhetstillägget, vill inte kommentera hur Intraservice valt att hantera ärendet.

– Jag kan bara konstatera att det är så processen ser ut, säger han.

ETC Göteborg har sökt Birgitta Nesterud som är tillträdande nämndordförande för Intraservice för en kommentar kring hur hon ser på framtiden kring Office 365, men hon har avböjt att kommentera med hänvisning till att hon inte haft möjlighet att sätta sig in i frågan ännu och avvaktar en revisionsrapport av nämndens arbete som kommer i mars.