Vid testet skickades mejl till nio chefer i Kriminalvårdens ledningsgrupp om att deras lösenord skulle gå ut om två dagar. Mottagaren uppmanades att klicka på en länk för att byta lösenord, en vanlig metod att lura någon till webbsidor där skadlig programkod laddas ned i bakgrunden.
Sex av de nio länkar som TV4 Nyheterna skickade fick besök – en av dem som svarade var Kriminalvårdens säkerhetschef.
– Jag tycker att det är väldigt allvarligt. Om de inte kan bättre, vad ska de då kräva av sina anställda? undrar it-säkerhetsexperten Peter Forsman vid Internetstiftelsen.
När TV4 Nyheterna ville intervjua myndigheten om bristerna, och varför man inte använder tekniska lösningar med filter, svarade Kriminalvården med att anmäla kanalen för dataintrång.
Enligt experter på it- och juridik som TV4 konsulterat ska dock inte granskningen vara brottslig.
– Man har skickat ett vanligt mejl till en adress. Det ser ut att komma från en annan användare, det är en form av vilseledande, men ett vilseledande i sig är inte straffbart, säger juristen Daniel Westman, specialiserad på it- och medierätt, till TV4.