Sverige har en hög grad av digitalisering och med det blir ocksÄ riskerna fler om sÀkerheten skulle brista. Offentlig sektor Àr sÀrskilt utsatt genom ansvar för mÄnga samhÀllsviktiga funktioner sÄsom Àldreomsorg, avfallshantering, hÀlsovÄrd och energi. En cyberattack kan dÀrför resultera i stora samhÀlleliga effekter. MÄnga av de ÄtgÀrder som krÀvs Àr av teknisk natur. Men man skulle komma lÄngt med andra förebyggande insatser, som utbildning och att uppmuntra till ett ökat riskmedvetande bland medarbetare i offentlig sektor.
I dagarna uppdagades ett dataintrÄng i Norrköpings kommuns it-system, som flera medier rapporterat om. Utan att Ànnu kÀnna till omfattningen eller orsakerna sÄ indikerar ÀndÄ den hÀr typen av incidenter vanliga brister som upptÀcks genom en sÀkerhetsskyddsanalys. Och en sÄdan ska alla kommuner ha gjort senast vid Ärsskiftet. Och att brister finns i kommunernas arbete med informationssÀkerhet visar tydligt den kartlÀggning som Advenica genomförde bland kommunernas sÀkerhetsansvariga i vÄras.
TvÄ tredjedelar av kommunerna, 67 procent, uppgav att man upplever att cybersÀkerheten inte tas pÄ tillrÀckligt stort allvar bland de kommunanstÀllda tjÀnstemÀnnen. En förvÄnansvÀrt hög andel. Det Àr tjÀnstemÀnnen och politikerna som fördelar resurserna och otillrÀckliga preventiva investeringar i cybersÀkerhet kan medföra större kostnader Àn för förebyggande ÄtgÀrder. 88 procent av de sÀkerhetsansvariga menar att man behöver ökat statligt stöd för att leva upp till en god cybersÀkerhet.
De sÀkerhetsansvariga fick ocksÄ bedöma hur de ser pÄ de kommunala tjÀnstemÀnnens kompetens och instÀllning till sÀkerhetskulturen i kommunen. HÀr Àr bilden varierad. Sex av tio, 60 procent, menar att nivÄn Àr ganska eller mycket lÄg och 40 procent att den Àr pÄ en tillrÀcklig nivÄ. Ingen uttrycker att den Àr pÄ en mycket hög nivÄ. Samtliga respondenter uttryckte ocksÄ att de kommunanstÀllda tjÀnstemÀnnens kompetens kring cybersÀkerhet behöver öka.
Tekniskt sÄ har offentlig sektor och inte minst kommuner vanligen mÄnga olika it-system som Àr sammankopplade. Det gör det enklare för en angripare att slÄ till hÄrt och brett om man lyckas ta sig in pÄ servrarna. All personal behöver grundlÀggande utbildning i informationssÀkerhet och att det införs en allmÀn sÀkerhetskultur i kommuner som saknar det. SÀkerhetskulturen omfattar sÄdant som gemensamma vÀrderingar, förestÀllningar, attityder, kunskaper och beteenden i en organisation inriktade pÄ att skapa sÀkerhet i verksamheten. En stark sÀkerhetskultur pÄverkar medarbetarnas vardag positivt ur ett sÀkerhetsperspektiv.
Kommunernas arbete utgör en vÀsentlig del av totalförsvaret. Det betyder bland annat att kommunanstÀllda tjÀnstemÀn behöver vara bÀttre insatta i den nya sÀkerhetsskyddslagen. Risken minskar dÄ att bli drabbad av en sÀkerhetsincident och att samhÀllet pÄverkas av felaktigt hanterad sekretessbelagd information. VÄr kartlÀggning visar att 87 procent av kommunerna har rutiner för att hantera sekretessbelagda uppgifter. Men ocksÄ att endast 27 procent kontrollerar efterlevnaden av informationssÀkerheten.
SÄ det Àr tydligt att det föreligger förbÀttringspotential hos kommunerna kring efterlevnaden av informationssÀkerheten för att den inte ska Àventyras Àn mer i framtiden. LÀrdomar kommer förhoppningsvis kunna dras av kommunernas egna sÀkerhetsskyddsanalyser som innebÀr att intrÄngsmöjligheterna i kommunernas it-system tÀpps till. Risken Àr annars att vi kommer fÄ se fler kommuner som drabbas.