Sverige har en hög grad av digitalisering och med det blir också riskerna fler om säkerheten skulle brista. Offentlig sektor är särskilt utsatt genom ansvar för många samhällsviktiga funktioner såsom äldreomsorg, avfallshantering, hälsovård och energi. En cyberattack kan därför resultera i stora samhälleliga effekter. Många av de åtgärder som krävs är av teknisk natur. Men man skulle komma långt med andra förebyggande insatser, som utbildning och att uppmuntra till ett ökat riskmedvetande bland medarbetare i offentlig sektor.
I dagarna uppdagades ett dataintrång i Norrköpings kommuns it-system, som flera medier rapporterat om. Utan att ännu känna till omfattningen eller orsakerna så indikerar ändå den här typen av incidenter vanliga brister som upptäcks genom en säkerhetsskyddsanalys. Och en sådan ska alla kommuner ha gjort senast vid årsskiftet. Och att brister finns i kommunernas arbete med informationssäkerhet visar tydligt den kartläggning som Advenica genomförde bland kommunernas säkerhetsansvariga i våras.
Två tredjedelar av kommunerna, 67 procent, uppgav att man upplever att cybersäkerheten inte tas på tillräckligt stort allvar bland de kommunanställda tjänstemännen. En förvånansvärt hög andel. Det är tjänstemännen och politikerna som fördelar resurserna och otillräckliga preventiva investeringar i cybersäkerhet kan medföra större kostnader än för förebyggande åtgärder. 88 procent av de säkerhetsansvariga menar att man behöver ökat statligt stöd för att leva upp till en god cybersäkerhet.
De säkerhetsansvariga fick också bedöma hur de ser på de kommunala tjänstemännens kompetens och inställning till säkerhetskulturen i kommunen. Här är bilden varierad. Sex av tio, 60 procent, menar att nivån är ganska eller mycket låg och 40 procent att den är på en tillräcklig nivå. Ingen uttrycker att den är på en mycket hög nivå. Samtliga respondenter uttryckte också att de kommunanställda tjänstemännens kompetens kring cybersäkerhet behöver öka.
Tekniskt så har offentlig sektor och inte minst kommuner vanligen många olika it-system som är sammankopplade. Det gör det enklare för en angripare att slå till hårt och brett om man lyckas ta sig in på servrarna. All personal behöver grundläggande utbildning i informationssäkerhet och att det införs en allmän säkerhetskultur i kommuner som saknar det. Säkerhetskulturen omfattar sådant som gemensamma värderingar, föreställningar, attityder, kunskaper och beteenden i en organisation inriktade på att skapa säkerhet i verksamheten. En stark säkerhetskultur påverkar medarbetarnas vardag positivt ur ett säkerhetsperspektiv.
Kommunernas arbete utgör en väsentlig del av totalförsvaret. Det betyder bland annat att kommunanställda tjänstemän behöver vara bättre insatta i den nya säkerhetsskyddslagen. Risken minskar då att bli drabbad av en säkerhetsincident och att samhället påverkas av felaktigt hanterad sekretessbelagd information. Vår kartläggning visar att 87 procent av kommunerna har rutiner för att hantera sekretessbelagda uppgifter. Men också att endast 27 procent kontrollerar efterlevnaden av informationssäkerheten.
Så det är tydligt att det föreligger förbättringspotential hos kommunerna kring efterlevnaden av informationssäkerheten för att den inte ska äventyras än mer i framtiden. Lärdomar kommer förhoppningsvis kunna dras av kommunernas egna säkerhetsskyddsanalyser som innebär att intrångsmöjligheterna i kommunernas it-system täpps till. Risken är annars att vi kommer få se fler kommuner som drabbas.