Under torsdagen kunde PT avslöja att IT-chefen Eva Wikström fick lämna sin tjänst kort efter att kommunens säkerhetsorganisation ifrågasatt att hon anställt en ukrainsk medborgare på IT-avdelningen som hanterar säkerhetskänslig information.
Genom att begära ut IT-chefens mejlloggar kan vi också avslöja att Eva Wikström skickat vidare säkerhetskänslig information till sin privata hotmail i samband med att hon skiljdes från sin tjänst i början av april.
Efter att ha kontaktat sin fackombudsman på Sveriges ingenjörer och svarat på kommunchefens mejl om en avstämning började Eva Wikström vidarebefordra mejl med rubriker som "Praktikant", "Fråga måndagens Klf-avstämning", "Delade meningar om M365 licenser och IT-avdelningens budget och finansiering", "Kriskommunikation" och "Dokument-tidplan".
Nästa dag skickade Andreas Lind ett mejl med rubriken "Information" och klockan 16 på onsdagseftermiddagen slog Eva Wikström på autosvar som hänvisar till andra på IT-avdelningen. Samtidigt fortsatte Eva Wikström att vidarebefordra ett stort antal interna handlingar om kommunens säkerhetsarbete till sin hotmail.
Totalt handlar det om ett 60-tal mejl med rubriker som "System och anläggningsregister", "Anläggningar – samhällsviktiga tjänster", "Samhällsviktig verksamhet", "Rutiner kring IT-säkerhet", "Angående säkerhet (Samhällsviktig)." Eva Wikström har även skickat personalprincipen för säkerhetsklassning samt handlingar med titeln säkerhetsskyddsarbete, rutiner för IT-beredskap och inriktningsbeslut för utökad säkerhet mot klienter och servrar samt många fler.
Flera mejl är direkt kopplade till IT-attacker som "Fråga Ang Ekerö Kommun Cyber attack", "Övning? Krisorganisation för IT-attacker", "Ang IT-attackerna", "Information till dig som chef och arbetsledare med anledning av senaste tidens cybersäkerhetsincidenter."
Utöver handlingar om kommunens säkerhetsarbete har hon skickat dokument om avstämningssamtal, kostnadsfördelningar M365, budgetarbete, riskanalyser, KPMG-granskningar. Dessutom mejl med tidslinjer, sitt CV samt utdrag ur belastningsregistret.
IT-säkerhetsexperten Martin Lindgren, Sverigechef på företaget With Secure, hittade flera svagheter i Piteå kommuns skydd mot cyberkriminella efter IT-attacken.
När han hör att IT-chefen fått gå bara veckan efteråt är han inte överraskad.
– Jag kan inte spekulera i varför IT-chefen fått gå. Däremot vet jag rent generellt att IT-attacker ofta får stora konsekvenser. Det är inte ovanligt att personer med ansvar får bära hundhuvud för att ledningen ska visa att de ser jätteallvarligt på det.
Att IT-chefen skickat över ett stort antal dokument om kommunens säkerhetsarbete till sin privata e-post tycker Martin Lindgren är mycket allvarligt.
– Jag vet inte vad som är i de där dokumenten, men jag ryser av bara tanken. Rör det sig om kommunens säkerhet är det extremt olämpligt att skicka det till sin privata e-post. Det finns hur många säkerhetsbrister som helst med det.
Enligt Martin Lindgren är ett av problemen att många anställda inte har lika starka skyddsmekanismer på sin privata e-post.
– De allra flesta byter inte lösenord på sina privata tjänster lika ofta som man gör på sitt arbete. Använder man sedan samma lösenord när man ska logga in på andra sidor kan informationen komma ut vid en dataläcka, säger Martin Lindgren och tillägger:
– Sedan är frågan hur länge den här känsliga informationen ska ligga i hennes privata hotmail? Vart kommer det ta vägen sen?
Utöver lämplighetsaspekten menar Martin Lindgren att förfarandet måste strida mot kommunens egen policy.
– Man kan verkligen fråga sig varför hon ska ha kvar den här känsliga informationen och jag ifrågasätter starkt om man verkligen får göra som hon gjort. Det handlar inte bara om kommunens säkerhetsarbete, det kan vara en del av riket Sveriges känsliga information. Det måste finnas riktlinjer som säger hur det här ska hanteras.
Varför tror du att IT-chefen skickade den här informationen till sin hotmail?
– Det är svårt att säga och man kan bara spekulera. En möjlighet är att det är något som kan användas i en eventuell facklig förhandling.
Eva Wikström vill inte kommentera kritiken.
– Jag avstår och hänvisar till den pågående processen som hanteras av min ombudsman i Stockholm, skriver hon i ett sms.