IT-säkerhet

Expert: Kommunerna klarar inte IT-säkerheten själva

Trots att vi lever i ett informationssamhälle sedan ett halvt sekel tillbaka finns det stora problem med att skapa en gemensam och säker infrastruktur inom offentlig sektor. Att förbättra den gemensamma säkerheten bygger på att alla delar är säkra. Om en del brister sätts hela samhällets säkerhet på spel, skriver IT-experten Fia Ewald. 

Det kom ännu en nyhet om att ritningar på polishus finns tillgängliga på internet. Det är inte bra, men inte heller det minsta förvånande. Snarare är det en god illustration av den rävsax som svenska myndigheter och kommuner sitter i. Å ena sidan ställs krav på att använda marknadens lösningar och molntjänster, å andra sidan kan de när som helst bli skambelagda för dålig säkerhet. Det ska fan vara it-strateg, för att travestera August Blanche.

Vi lever i ett informationssamhälle sedan ett halvsekel tillbaka. Ändå har vi stora problem med att skapa en gemensam och säker infrastruktur inom offentlig sektor. En orsak är att digitalisering och säkerhet är områden där New Public Management har fått ett fast grepp. Ett tecken på detta är den extrema decentraliseringen där varje myndighet och kommun förväntas lösa frågorna själva – trots delad infrastruktur och, i många fall, brist på nödvändig kompetens.

Föreställ er en liten kommun som förutom att ha sin egen digitala strategi också ska klara dataskyddsförordningen, NIS-direktivet och ny säkerhetsskyddslag. Sedan lite civilt försvar på det. Dessutom förväntas den lösa allt med mycket svagt stöd från ansvariga myndigheter. Avsaknaden av en gemensam inriktning gör det inte enklare. Från ena hållet piskar man på för att digitalisera och använda molntjänster, från andra hållet larmas att molntjänster är närmast livsfarligt. Sedan går det som det går, med exempel som Transportstyrelsen och den numera begravda e-hälsosatsningen "Hälsa för mig".

Även resursstarka myndigheter har haft svårt att tolka buden från olika håll. Den utredning som gjordes av Pensionsmyndigheten 2016 med utgångspunkt i ”Cloud first ” har nu två år senare följts av ett uttalande av eSams juridiska expertgrupp som gör ett juridiskt lappkast. Nu hävdar man att sekretessreglerade uppgifter ska ses som röjda om en myndighet eller kommun använder exempelvis Office 365.

Uttalandet är sent påtänkt. Många är redan ute i molnet eller använder outsourcing på ett sätt som inte går att skilja från molntjänster. Inom e-hälsoområdet har detta varit en inriktning sedan länge. Dessutom använder myndigheter, som erbjuder andra myndigheter tjänster, samma typ av outsourcing.

Vi måste sluta skuldbelägga dem som råkar göra fel och göra något åt grundorsaken istället. Mitt förslag är att vi överger New Public Management och går över till en sammanhängande nationell styrning av digitalisering och informationssäkerhet.

Konkret innebär det att staten tar ett större ansvar för relationen med internationella molnjättar och att den förhandlar fram tjänster som är möjliga att använda i offentlig sektor. Det handlar om att ta fram konkret stöd genom att exempelvis utnyttja att samtliga kommuner har samma uppgifter, så att inte alla tar fram analyser och regelverk var för sig. Det går att säga vilka säkerhetsåtgärder som ska omge elevernas individuella utvecklingsplaner utan att varje kommun måste göra samma analys. Det är även möjligt att ta fram standardiserade upphandlingskrav och peka ut de vanligaste riskerna samt be enskilda kommuner att addera de som är unika för dem.

Att förbättra den gemensamma säkerheten bygger på att alla delar är säkra. Den som saknar kompetens, pengar eller slarvar blir en risk för alla andra. Vi måste arbeta utifrån och in och undvika vaghet och motstridighet i styrningen. Vad behöver de många resurssvaga aktörer som ska digitalisera på ett säkert sätt? Det är inte längre en enskild organisations risk det handlar om, utan hela samhällets.

Det här är en opinionstext publicerad i Dagens Samhälle. Åsikterna som uttrycks i artikeln står skribenten/skribenterna för.

Läs hela Dagens Samhälle

Dagens Samhälle vänder sig till beslutsfattarna på den offentliga marknaden. Tidningen kommer ut varje torsdag, 45 gånger per år. Prova gratis här.