Ger råd om hur fler it-skandaler ska undvikas

It-skandalen hos Transportstyrelsen får efterverkningar i många sammanhang. Två ministrar har gått, en har fortfarande en eventuell misstroendeförklaring hängande över sig, och frågan om vilka ministrar som visste vad, vid vilken tidpunkt, skakar regeringen.

Regeringen tittar över regelverk, något som kan leda till begränsningar för möjligheterna till utkontraktering. Även verksamheter har skakats av skandalen och nu går SKL ut med rekommendationer för sina medlemmar kring hur de bör arbeta för att förhindra liknande säkerhetsläckor.

De menar att informationssäkerhet till stor del är en fråga om förtroende, både från individer som delar med sig av känslig information till offentlig sektors verksamheter och mellan myndigheter som utbyter informationen med varandra.

“För att återvinna förtroendet som kan ha skadats i och med informationsläckaget hos Transportstyrelsen, är det viktigt att tydligt kunna redogöra för de säkerhetsrutiner som gäller i verksamheten för såväl de som ombeds dela med sig av sina uppgifter, som för organisationens medarbetare”, skriver SKL

SKL menar att varje verksamhet inom deras område bör kartlägga sina informationstillgångar och it-system och särskilt analysera om det finns något som kan vara kritiskt för rikets säkerhet.

“Det är viktigt att alla kan säkerställa att det finns fungerande rutiner för nödvändiga säkerhetsanalyser och kontroll enligt dataskyddslagstiftningen och att dessa efterföljs vid upphandling. Information kan vara olika känslig och bör därför klassificeras beroende på känslighetsgrad. SKL har tagit fram verktyget KLASSA för att underlätta arbetet med detta. Även MSB har en rekommenderad modell för att göra en korrekt indelning av känslig information”, skriver SKL

De pekar på att det finns flera exempel på typer av information där det första är information som omfattas av vanlig sekretess som till exempel personuppgifter. Annan information som ska skyddas är sådan som kan vara kritisk under en större kris och berör exempelvis infrastruktur, transporter, läkemedelshantering och sophantering. Den tredje kategorin innefattar information som är så känslig att den går under Säkerhetsskyddslagen och därför kräver extra varsam hantering och exakta säkerhetsåtgärder.

SKL anser att varje verksamhet själv har ansvar att avgöra om de innehar den sistnämnda typen av högkänslig information, och ska i så fall se till att utföra en adekvat säkerhetsanalys för att garantera regelrätt behandling.

Vidare menar de att det är, förutom att följa befintliga lagar och riktlinjer, nödvändigt att befästa ett kontinuerligt säkerhetsarbete och en stark säkerhetskultur i hela verksamheten. Verksamheterna bör arbeta för att skapa ett fungerande samarbete mellan ledning och kompetenser inom juridik och informationssäkerhet för att på så sätt underbygga säkerhetsarbetet i organisationen.

Trots att röster har hörts mot utkontraktering av it-system som ett sätt att begränsa riskerna, där  it-skandalen gjort att regeringen tittar på begränsningar för möjligheterna till utkontraktering, anser SKL inte att det är självklart att intern informationshantering är bättre än outsourcing.

“Däremot bör alla informationstillgångar kartläggas och säkerhetsbehoven klargöras i upphandling av it-drift med leverantörer. Säkerhetskraven ska också tydligt framgå i avtalet för att garantera att leverantören håller tillräckligt hög säkerhetsnivå. I nuläget bör kommuner, landsting och regioner se över aktuella leverantörer och deras underleverantörer, ta reda på i vilka länder de finns samt säkerställa att även de efterföljer gängse rutiner”, skriver SKL.