Riksrevisionen släppte under morgonen en ny rapport där de har tittat på förekomsten av föråldrade IT-system hos cirka 60 större myndigheter.
Slutsatserna i rapporten är att det förekommer föråldrade IT-system i ett stort antal myndigheter samt att många myndigheter har dessutom ett eller flera verksamhetskritiska it-system som är föråldrade.
Givetvis är bristfällig cybersäkerhet en stor risk när det gäller föråldrade IT-system och 80 procent av myndigheterna uppger att man har svårigheter att upprätthålla eftersträvad nivå av informationssäkerhet.
Och när det gäller verksamhetskritiska system svarar 12 procent av myndigheterna att det är ett problem att upprätthålla eftersträvad nivå av informationssäkerhet för samtliga eller en majoritet av de verksamhetskritiska systemen.
Tittar vi på återkommande riskanalsyer så det också rätt dystert ut:
Men hur många verksamhetskritiska system finns det då hos våra myndigheter? Det varierar otroligt mycket mellan 2 och 800 där medelvärdet är 47 och en median på 11,5. Ett fåtal myndigheter har ett stort antal system och vanligtvis så är det 10–12 verksamhetskritiska it-system på myndigheterna.
Under sommaren har jag försökt att jobba så lite som möjligt men bevakat nyhetsflödet gällande Transportstyrelsens outsourcing-fiasko. Mycket braharskrivits och precis som många pekar på så beror problemet troligtvis på en bristande säkerhetskultur där säkerhet inte ligger högt upp på prioriteringslistan.
Men vad kan detta bero på? Jo, detta är ett fenomen som jag har sett generellt förekommer på många ställen och beror på att styrelse och ledning inte har kompetens inom cybersäkerhet. På tjänstemanna-nivå är kunskapen god och det finns många eldsjälar som brinner för sitt område.
Jag sitter själv med i styrelsen på Internetstiftelsen i Sverige (IIS) och upplever att kompetens inom just cybersäkerhet är otroligt viktigt i många beslut. Därför är det även bra att flertalet myndigheter nu tar in cybersäkerhetskompetens i sina styrelser:
Anne-Marie Eklund-Löwinder till Trafikverkets styrelse. CSO på IIS.
Pia Gruvö till Post- och telestyrelsens (PTS) styrelse. Chef för krypto och it-säkerhet vid Militära underrättelse- och säkerhetstjänsten (MUST).
Vi kan hoppas att fler myndigheter och företag tar efter: Cybersäkerhet behövs i våra styrelser och ledningar. Stort grattis till Anne-Marie och Pia som är otroligt kompetenta samt grattis till myndigheterna i fråga.
Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.
Även intressant att notera när det gäller myndigheter så har vi 32 styrelsemyndigheter (leds av en styrelse), 55 nämndmyndigheter och 131 myndigheter leds av en ensam myndighetschef.
Uppdatering: Skrev ovan att Anne-Marie gick till Transportstyrelsens styrelse, men detta var så klart felaktigt. Ska stå Trafikverket.
Myndigheten Riksrevisionen släppte för några dagar sin rapport med titeln Informationssäkerhetsarbete på nio myndigheter (RiR 2016:8). Rapporten omfattar en granskning gällande informationssäkerheten hos myndigheterna Svenska kraftnät, Arbetsförmedlingen, Bolagsverket, Försäkringskassan, Lantmäteriet, Migrationsverket, Post- och telestyrelsen, Sjöfartsverket och Statens tjänstepensionsverk.
Arbetet med informationssäkerhet når inte upp till en godtagbar nivå på de granskade myndigheterna
Granskningen har genomförts med hjälp av intervjuer samt så har relevant dokumentation på tre av myndigheterna granskas. Övriga myndigheter har fått svara på en enkät.
Några av de positiva sakerna som tas upp i rapporten:
Alla tre myndigheter använder teknisk implementation i form av VPN och tvåfaktorsautentisering, vilket innebär en väsentligt minskad risk vid fjärranslutning.
Alla sex myndigheter uppger att de har en metod för att klassificera sina informationstillgångar.
Alla tre myndigheter har genomfört tekniska åtgärder för att höja säkerheten på bärbara datorer, och den tekniska säkerheten för dessa är därför god.
Och de negativa delarna och där brister framgår är desto mer, några av dessa är:
Den tredje myndigheten når inte upp till godkänt, eftersom backuperna förvaras på samma fysiska plats som originaldata.
En myndighet saknar skriftliga bestämmelser för säkerhetsloggning.
Det saknas dock bestämmelser om att lösenord inte får loggas.
En av de tre myndigheterna har en lösenordspolicy som når upp till godkänt.
Ingen av myndigheterna utför dock regelbundna och övergripande analyser som fokuserar på informationssäkerhet.
Ingen av myndigheterna når upp till godkänd nivå i fråga om att säkra nyckelkompetens.
Flera myndigheter har uppgett att man får, som det heter, uppfinna hjulet på egen hand i alltför stor utsträckning.
Två myndigheter har en otillräcklig organisation för att hantera incidenter.
Men hur kan det komma sig att hanteringen av informationssäkerheten kan bli så här? För även om detta bara är ett litet axplock av våra 340 myndigheter så gäller mycket av det som lyfts upp i Riksrevisionens rapport även på andra myndigheter. Och precis som Riksrevisionen skriver i sin rapport så är det främst myndighetsledningens ansvar att prioritera och ta ansvar för informationssäkerheten och inte delegera ner i organisationen.
Jag tror främst att det beror på individnivå, några av myndigheterna har lyckats att rekrytera och behålla engagerade och högt presterande medarbetare. Och därav de olika nivåerna på olika områden inom infosäk på myndigheterna.
Givetvis är det även också brist på engagemang och intresse från myndighetsledningens sida. Kanske rentav så att brist på intresse för teknik och hur infosäk-arbete måste genomsyra allt arbete på myndigheten. För IT är inte enbart en fråga för IT-avdelningen, utan alla medarbetare på myndigheten måste ha utbildning och förståelse för cybersäkerhet.
Eller som Riksrevisionen framhäver slutsatserna:
Säkerhetsarbetet implementeras inte i de ordinarie verksamhetsprocesserna. Kärnverksamheten uppfattar inte att den har något ansvar för informationssäkerheten, utan att det ligger någon annan-stans i myndigheten såsom på IT- eller säkerhetsfunktioner.
Och även följande är intressant:
Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.