Hårdare säkerhetskrav väntar kommunerna

Efter Dagens Samhälles avslöjande nyligen om att många kommuner i landet inte gjort säkerhetsanalyser, som de är skyldiga att göra enligt säkerhetsskyddsförordningen, har Sveriges Kommuner och Landsting (SKL), tagit kontakt med tillsynsmyndigheten Säpo.

– Det är så klart inte bra att de inte gjort sina säkerhetsanalyser. Och det är bra att det uppmärksammas eftersom vi behöver ha koll på det här, säger Åsa Zetterberg, sektionschef inom digitalisering på SKL.

Säpo har i dag sammanlagt 650 tillsynsobjekt. Åsa Zetterberg menar att Säpo prioriterat bort utbildningsinsatser till kommunerna.

– Det finns ingen vägledning som utgår från kommunal verksamhet, och vi kan inte ha 290 olika tolkningar av rikets säkerhet, säger hon.

I en säkerhetsanalys kartlägger man vilken information som bör hållas hemlig med hänsyn till rikets säkerhet och vilken skyddsvärd infrastruktur som finns i kommunen.

Nu är en ny säkerhetsskyddslag på väg. I dagarna väntas regeringen presentera en lagrådsremiss.

Sedan i våras utreder Stefan Strömberg, tidigare lagman och rikspolischef, några tillägg till den nya lagen. Han ska vara klar den 1 maj 2018 och kommer bland annat att föreslå sanktioner på området.

Kommuner som inte gör sina säkerhetsanalyser riskerar i framtiden att få betala om de gör avsteg från förordningen.

– En väg att gå vore att ge tillsynsmyndigheterna rätt att besluta om förelägganden kombinerade med viten eller sanktionsavgifter. Det är troligt att vi kommer att föreslå sådana sanktioner, säger Stefan Strömberg.

Han uppger också lagkraven vid outsourcing av offentliga verksamheter, som innebär extern lagring av säkerhetskänslig information, sannolikt kommer att skärpas.

Syftet är att minska risken för att information som är av betydelse för rikets säkerhet, exempelvis uppgifter om kärnkraftverk, det civila försvaret eller militära skyddsobjekt, hamnar i orätta händer.

– Outsourcing kan ge en tekniskt eller driftsmässigt bättre säkerhet och vara ett smart sätt att komma ned i kostnader exempelvis för molntjänster. Men för att klara av en outsourcing måste man ha kompetens att följa upp affären. Man kan inte utkontraktera sitt eget ansvar, säger Stefan Strömberg.

Detta med anledning av att Säpo på senare år upptäckt fall där säkerhetsskyddsavtalen, som myndigheter och berörda bolag tecknar vid outsourcing, varit otillräckligt utformade – eller inte följts.

Enligt Stefan Strömberg upplever myndigheter ibland att de inte har tillräcklig kontroll över verksamheter som lagts ut på entreprenad, exempelvis när en del av arbetet eller lagring av information lagts på underleverantörer i andra länder.

– Det finns kanske inte samma förutsättningar att göra säkerhetskontroller utomlands som om informationen förvarades här hemma. Det jag som utredare måste fundera på är vilket faktiskt skydd myndigheter får, hur säker hanteringen är, säger han.

Efter att man i Göteborgs stad gjort en förnyad säkerhetsanalys stoppade kommunen i förra veckan införandet av den amerikanska it-jätten Microsofts molntjänst Office 365 för 20 000 anställda. Sedan februari hade 23 000 kommunanställda redan fått tjänsten installerad.

Enligt Nisse Waldefeldt, förvaltningschef på Intraservice, är skälet till stoppet att man upptäckt att personal på Microsoft under vissa omständigheter kan ta del av information i kommunens datorer när den lagras i molnet, som exempelvis beredskapsplaner eller personuppgifter.

Tidigare i veckan diskuterade kommunen säkerhetsriskerna med företrädare för Microsoft vid ett möte i Stockholm.

Linda Escar, biträdande chef på Säkerhetsskyddet på Säpo, säger till DS att alla myndigheter har eget ansvar för att ha tillräcklig säkerhet och för att deras säkerhetsanalyser hålls uppdaterade.

– En analys är grunden för totalbilden, utan den kan man inte ringa in vad som ska skyddas, konstaterar hon.

Sex kommuner i DS enkät har outsourcat säkerhetskänslig information utan att i förväg ha tagit fram en säkerhetsanalys.

– Outsourcing i sig behöver inte utgöra någon risk, säger Linda Escar.

– Det vi på Säpo önskar är att man har en säkerhetsanalys för totalen och en för varje it-projekt för att få svar på vad som behöver extra skydd, säger hon.

Monica Kleja