Ekonomi, familjesituation, funktionshinder och missbruk. De uppgifter som är som mest känsliga är också de som har störst risk att läcka ut. Det här visar flera olika undersökningar. Nu är det hög tid att kommuner och annan offentlig verksamhet tar krafttag för att förbättra it-säkerheten.

Trots att svenska kommuner har hand om samhällskritiska system så är it-säkerheten undermålig. Det här visade Svenskt IT säkerhetsindex, genomförd av Radar, redan 2017. Computer Sweden skrev att kommunerna återigen pekades ut som ett sorgebarn i fråga om it-säkerhet. Året innan varnade Myndigheten för samhällsskydd och beredskap för att många kommuner inte arbetar systematiskt med de här frågorna, trots att flera hade utsatts för attacker.

Indexet visar it-säkerhetsmognaden i olika branscher, att kommunerna släpar efter rejält, medan bank och finans är bäst i klassen. Det finns flera skäl till kommunernas underkända resultat men i första hand handlar det om dålig strategi och låg risk-medvetenhet. De låg också i botten av index när det gäller hur ofta sårbarhetsana-lyser gjordes och att det fanns personal med relevant kompetens inom it-säkerhet i organisationen.

Det hela kokade ner till att det bara var 38 procent av de svarande inom kommu-nerna som ansåg att it-säkerhet var en prioriterad fråga och vad gäller det övergri-pande resultatet it-säkerhetsmognad hamnade kommunerna avgjort sist på 36 procent. Statlig verksamhet hamnade i detta index på tredje plats från slutet.

It-säkerhet inom offentlig verksamhet

Efter denna svada finns en förhoppning om att läget skulle förbättras. Men tyvärr verkar så inte vara fallet. Enligt en rapport från Socialstyrelsen riskerar information om individers missbruk, ekonomi och familjesituation att läcka ut från socialtjäns-ternas it-system.

Rapporten visar att det är många kommuner som inte försäkrar sig om att känsliga personuppgifter skyddas på ett säkert sätt och bara 13 procent av kommunerna uppger att de har tillräckligt bra säkerhetssystem för de register som behandlar personuppgifter. Detta trots införandet av GDPR under 2018.

LÄS MER: Sjukvården lever farligt när den blivit en het måltavla för hackerattacker

”Det är illa. I takt med att digitaliseringen ökar måste man kunna känna sig trygg med att ens personuppgifter är skyddade. Att informationssäkerheten brister kan bero på att det är förenat med stora kostnader att införa nya, säkrare, inloggnings-system, att frågan ofta berör flera kommunala förvaltningar och är komplex”, skri-ver Dick Lindberg, utredare vid Socialstyrelsen, i ett pressmeddelande.

Tillsammans med uppmärksammade fall som Transportstyrelsen och 1177 finns det all anledning till oro, men också att mana till krafttag inom kommuner och andra offentliga verksamheter. Det här duger inte, it-säkerheten måste bli väsent-ligt bättre.

Åtta steg för att komma till rätta med problemen

Först och främst måste givetvis kommuner, och till stor del även annan offentlig verksamhet, göra it-säkerhet till en prioriterad fråga. It-säkerhet är en ledningsfråga, som går uppifrån och ner och därför är det en fråga som måste ligga hos fullmäktige och kommunledning. Dessvärre ser många fortfarande it-säkerhet som en teknisk fråga som kan delegeras till en it-avdelning. Här måste i första hand kommunerna tänka om och inse att det är en fråga för ledningen och att det även handlar om mjuka frågor, processer och hur vi hanterar information.

MSB, Myndigheten för samhällsskydd och beredskap, har listat följande åtta punkter som ska förbättra it-säkerheten i kommunerna:

  • Utse en funktion för informationssäkerhet
  • Ta fram en analys av nuläget i kommunen
  • Informera ledningen om hur nuläget ser ut
  • Skapa en handlingsplan utifrån nuläget
  • Klassa kommunens information
  • Se till att höja säkerhetsmedvetandet inom kommunen
  • Ta fram informationssäkerhetsrelaterade krav som sedan används vid upp-handlingar
  • Gör uppföljningar

Det här är en utmärkt handlingsplan, men för många i synnerhet mindre kommu-ner kan arbetet te sig övermäktigt. Därför är det viktigt att ta hjälp. Som kommun är du inte först ut att göra den här typen av arbete och det finns många som har erfarenhet och vet hur handlingsplanen ska genomföras.


Källor
Kommunerna usla på it-säkerhet – viktiga samhällstjänster utsätts för onödig risk
https://computersweden.idg.se/2.2683/1.676924/kommuner-it-sakerhet

Svenskt IT-säkerhetsindex
https://www.advenica.com/sv/svenskt-it-sakerhetsindex#

Bristande skydd för personuppgifter i socialtjänsten
https://www.socialstyrelsen.se/om-socialstyrelsen/pressrum/press/bristande-skydd-for-personuppgifter-i-socialtjansten/