Experter: Upphandling ledde till it-skandal

Den andra veckan på terminen stängdes en del av skolplattformen, Stockholms stads skoladministrativa system, efter att obehöriga kunnat komma åt personuppgifter. Modulen för elevdokumentation, där läckan fanns, kommer troligen att vara avstängd i flera veckor.

– Plötsligt gick inte delar i systemet att använda. Vi får spara informationen på papper och sedan föra in det i systemet när det fungerar, säger Marie Suneborn, högstadielärare på en skola i Stockholmsområdet.

Föräldrar och lärare har redan före läckorna riktat kritik mot skolplattformen, som driftsattes fullt ut i fjol efter investeringar på nästan 700 miljoner kronor. För driften är i år 119 miljoner kronor avsatta.

”Vi har inte råd med fler it-skandaler”, skrev Anne-Marie Eklund Löwinder, säkerhetschef på Internetstiftelsen, i Dagens Samhälle med anledning av skolportalens problem. Upphandlingskompetens, och framför allt uppföljning av avtalen, behöver bli bättre, framhåller hon.

– Man måste redan från början i projektet ställa relevanta krav och sedan titta på hur kraven implementeras. Man måste kodgranska, säkerhetsgranska och följa upp för att det ska bli tillräckligt bra, säger Anne-Marie Eklund Löwinder.

Stockholm låter nu ett externt företag göra nya penetrationstester av skolplattformens alla delar, men it-direktör Johanna Engman menar att man har ställt höga krav på säkerhet i upphandlingen.

– Jag tror inte att det är kravställningen som är problemet.

Borde ni ha gjort något annorlunda?

– Jag vill avvakta de utvärderingar som görs. Men det är klart att vi inte kan vara nöjda så länge det finns brister i systemet.

190905_MarieSuneborn-8.JPG

Fia Ewald, fristående informationssäkerhetsexpert, anser att kunskapen om it-säkerhet hos kommuner och regioner måste bli bättre.

– Generellt kan man säga att man är mycket dålig. Det går inte att säga något annat. Min erfarenhet är att man inte har förmågan att göra kravställningar, vare sig i sin egen verksamhet eller i upphandlingar, säger hon.

Fia Ewald efterlyser nationella riktlinjer för skyddsnivåer, som enskilda kommuner kan ta hjälp av. Även Anne-Marie Eklund Löwinder tror på ett sådant system.

SKL har verktyget Klassa, som kommuner kan använda som stöd för vilka krav man bör ställa i en upphandling. Men det krävs ett bredare arbete än så, säger Lotta Nordström, sektionschef på avdelningen för digitalisering på Sveriges Kommuner och Landsting (SKL).

– Det grundläggande rådet som vi ger just nu, det är ju att ha LIS, ledningssystem för informationssäkerhet, på plats så att man har det arbetet på gång kontinuerligt, inte bara när man ska upphandla ett nytt verktyg, säger hon.

I vilken grad har kommunerna det i dag?

– Det vi ser är att det går åt rätt håll och att läget har förbättrats. Men vissa kommuner har en del kvar att göra.

Att göra en bra upphandling räcker inte heller för att garantera säkerheten. Aktörer från flera håll lyfter vikten av uppföljning av systemen när de väl är på plats.

För helt säkra system, det finns inte. Det håller Jonas Ryberg, grundare av företaget Unikum som levererar lärportaler till över 80 kommuner, med om.

– Även om man har ett bra system, som man har testat, är system så komplexa. Det är miljoner rader med kod, så man bör ställa krav på att leverantören är med och agerar när fel uppstår.

Enligt Jonas Ryberg är kommunerna i dag bättre på det här än för några år sedan, och han håller faktiskt fram upphandlingsomgång två av skolportalen 2017 som ett bra exempel.

– Jag har aldrig tidigare varit med om att man både har tydliga krav på att systemet ska säkerhetstestas och sedan genomför dessa tester så ordentligt, med tydlig återkoppling till oss leverantörer av testresultaten.

I Nacka kommun upphandlade man förra året ett nytt skoladministrativt system. Uppföljning av funktion och säkerhet har också varit en viktig del. Kommunen har möten med leverantören en gång i månaden.

– Då ska de redovisa hur det går, till exempel om de har uppdaterat till en ny version. Då frågar vi om de har penetrationstestat, vem som gjort testerna och hur det har gått. Det är företaget som ska leverera säkra system, men vi som köpare ska också följa upp det, säger Lars Ekelöw, digitaliseringsstrateg i Nacka kommun.

En bra it-upphandling handlar inte bara om säkerheten. Det finns också många exempel på system och plattformar som fått kritik för att de har dåliga funktioner och dålig användbarhet.

– Då blir förtroendet stött. Man får dåliga system som skapar stress och dåliga rutiner, då blir det också en internt bristande tillit, säger Fia Ewald.

Det kan läraren Marie Suneborn känna igen sig i. Hon berättar om problem när skolplattformen infördes på hennes skola, då vissa funktioner som borde ta fem minuter i stället tog en halvtimme, vilket skapade stress och irritation.

– När man har satsat så många miljoner, då ska det ju bara fungera, säger Marie Suneborn.

Även Anne-Marie Eklund Löwinder lyfter förtroendefrågan. Fler it-skandaler kan hota hela digitaliseringsutvecklingen.

– Det kan bli en stor förtroendeförlust, särskilt för offentlig sektor. Man måste göra sitt allra bästa för att undvika det. Jag är orolig för att förtroendet naggas i kanten så att medborgarna inte blir så sugna på det här med digitala tjänster.