Krisberedskapsmyndigheten har kartlagt it-säkerhetsläget hos ett antal större myndigheter och statliga bolag. Man har dessutom gjort en fördjupad analys av beredskapen mot skadlig kod, det vill säga virus, trojaner och maskar.
Studien Beredskap mot skadlig kod visar att säkerheten lider av brister. Fast Patrik Nilsson, omvärldsanalytiker på Krisberedskapsmyndigheten, konstaterar att säkerhetsläget inom den offentliga sektorn har förbättrats under de senaste tre fyra åren.
Den upprustning som gjorts är i första hand av teknisk karaktär. Brandväggar, virusskydd, avbrottsfri kraft och rutiner för uppdatering av program och operativsystem hör till åtgärderna. Mjuka faktorer som förbättrade administrativa rutiner, ökad medvetenhet och kompetensutbildning har kommit i steg två.
– Studien bekräftar att det finns en spänning mellan den offentliga förvaltningsmodellen och försöken att optimera it-säkerheten, säger Patrik Nilsson.
De flesta organisationer som medverkat i studien har på olika sätt drabbats av elak kod. Loveletter, Nimda, Sasser och Blaster är enligt rapporten de vanligaste farsoterna. Skadorna har dock oftast begränsats till administrativa stödfunktioner. Intrång med skadlig kod har i flera fall resulterat i större säkerhetsöversyner.
– Satsningen på 24-timmarsmyndig-he-ten och krav på att exempelvis ta emot inkommande handlingar i elektroniskt format innebär en ökad exponering mot spridare av skadlig kod.
Till problembilden hör anställda som saknar kunskap. De som är insatta följer inte alltid de regler och rutiner som finns.
– Förutom att förbättra it-säkerheten med olika typer av tekniska lösningar gäller det att väcka den interna medvetenheten och förbättra disciplinen inom organisationerna.
Sammanlagt har 22 företrädare för 14 statliga organisationer med viktiga samhällsfunktioner utfrågats. De som djupintervjuats inom ramen för studien är medvetna om de problem och säkerhetsluckor som finns.
I kartläggningen har även företrädare för tio privatägda företag utfrågats per telefon. Detta för att kunna ställa informationssäkerhetsnivån hos myndigheter och statliga bolag i jämförelse med hur det står till i privata företag.
– Jämförelsen visar att privata företag är mer pro-aktiva i sitt säkerhetsarbete och ligger bland annat därför närmare optimal it-säkerhetsnivå än statliga organisationer.
Myndigheterna önskar tydligare krav i form av direktiv och assistans uppifrån. Forum för informations- och erfarenhetsutbyte efterlyses. Arbetet med att främja it-säkerheten borde dessutom koncentreras till en myndighet istället för, som idag, vara splittrat på flera händer.
Studien har genomförts av Opticom International Research. Intervjuerna gjordes hösten 2004. Intressanta frågor som om det finns ett samband mellan organisationsstorlek, verksamhetsområde och it-säkerhet lämnas tyvärr obesvarade.
Kommentatorerna ansvarar för sina egna kommentarer