Priset för dålig IT-säkerhet kan bli mycket högt

När kommuner och landsting nu samlas på konferensen Offentliga rummet för att diskutera hur digitalisering kan bidra till en modern och samverkande offentlig sektor, är informationssäkerhet en central fråga att ventilera. Förhoppningsvis kan man komma fram till den strategiska insikten att informationssäkerhet alltid kostar. Antingen kostar den i form av brandkårsutryckningar vid incidenter, förlorad funktion och förlorat anseende eller så kostar den i form av ett systematiskt och kvalitetshöjande arbete som ger medborgarna en bättre service.

En gemensam kommunal handlingsplan för att förbättra informationssäkerheten skulle både den enskilda kommunen och Sverige som helhet ha mycket att vinna på.

Det är att slå in öppna dörrar att säga att informationssäkerhet är en allt viktigare fråga i informationssamhället. Dagligen uppdagas brister och incidenter inträffar som får negativa konsekvenser i olika verksamheter. I värsta fall blir det allvarliga konsekvenser där verksamheter som är stor betydelse för samhället inte längre kan upprätthållas. I de flesta fall påverkas organisationens anseende.

Kommunerna finns med sin verksamhet nära medborgarna i de flesta av livets skeden och står för en stor del av den verksamhet som kan kallas samhällsviktig. Kommunens verksamhet i hög grad beroende av sin informationshantering. Att upprätthålla vård, vattenförsörjning, transportsystem och inte minst lokal ledning blir snabbt mycket komplicerat om inte den normala informationshanteringen fungerar. Informationshanteringen måste också ske på ett sätt som skapar tillit hos medborgaren och gynnar demokratin genom exempelvis god insyn.

Informationssäkerhet är därför en central fråga inte bara för den enskilda kommunen utan för samhället i stort. De stora satsningar som i dag görs på e-förvaltning och e-hälsa bygger också på ett allt tätare informationsutbyte mellan kommuner och myndigheter.  Det finns också en ökad samverkan kring informationssäkerhet mellan kommuner som till exempel i nätverket KIS där ett hundratal kommuner ingår.

I den utredning som nyligen lämnades till regeringen - Informations- och cybersäkerhet i Sverige SOU 2015:23 - beskrivs ett nationellt nuläge ur informationssäkerhetssynpunkt. Både risker och möjliga lösningar för att motverka dessa presenteras i utredningen. Avsikten är att staten ska stärka styrningen över informationssäkerheten bland annat genom en nationell styrmodell, obligatorisk incidentrapportering samt att staten blir en tydligare kravställare på säkerhet vid bland annat upphandling och outsourcing. Detta är ett mycket positivt steg i rätt riktning, men det finns en viktig begränsning i förslaget eftersom förslaget endast gäller statliga myndigheter.

Ur ett nationellt perspektiv spelar även kommunerna en viktig roll. Regeringen har därför gett Myndigheten för samhällsskydd och beredskap, MSB, i samverkan med SKL ett uppdrag att genomföra en undersökning av kommunernas informationssäkerhet, vilket MSB för närvarande slutför.

Redan nu vet vi att informationssäkerheten är en svår fråga för många kommuner att hantera och att det finns betydande brister i informationssäkerhetsarbetet. Orsaken till bristerna är flera. Ett skäl är att kommunerna saknar den enhetliga kravbild som de statliga myndigheterna haft sedan 2009 genom MSB:s föreskrifter (2009:10) om statliga myndigheters informationssäkerhet. Föreskriften ålägger statliga myndigheter, men inte kommuner, att bedriva ett systematiskt informationssäkerhetsarbete genom ett ledningssystem. Statliga myndigheters ledningar ska styra informationssäkerhetsarbetet utifrån sin verksamhets behov och avsätta resurser så att rätt säkerhetsåtgärder blir genomförda.

Kommuner däremot måste däremot styra sin informationssäkerhet på eget initiativ. Ett självstyre medför också ett ansvar och som rätt axlat ger rätt pris på säkerheten. Priset för god informationssäkerhet kan uppfattas som högt men det pris som både kommuner och medborgare får betala för dålig säkerhet är betydligt högre.

Fia Ewald, chef på Enheten för systematiskt informationssäkerhetsarbete, Myndigheten för samhällsskydd och beredskap