Bristerna i säkerheten handlar om dålig rapportering och uppföljning och bristande riskanalyser. Dan Ljungberg på Riksrevisionen säger att bristerna gör det omöjligt för myndigheterna att systematisk arbeta med förbättringar av säkerheten.
– Man har inte skapat rutiner för rapportering, varken av säkerhetsverksamheten eller av eventuella incidenter. Frågan är om ledningen vet hur informationssäkerheten ser ut på myndigheten, säger han.
– Dessutom har vi sett brister i systemet när det gäller riskanalyser. Om riskanalyserna inte är heltäckande har man ingen möjlighet att frambringa heltäckande åtgärder, säger Dan Ljungberg.
Det är olika typer av information som de både myndigheterna hanterar. Statens Pensionsverk hanterar stora ekonomiska flöden och riskerna handlar dels om ekonomisk brottslighet men även om att säkerställa att utbetalningar till enskilda individer hamnar rätt och inte blir felberäknade.
Hos Sjöfartsverket måste säkerheten i fartygstrafiken garanteras och till viss del handlar det om rikets säkerhet. Myndigheten hanterar hemlig information som det kan finnas ett intresse av att komma åt.
– Innehållsmässigt skiljer sig myndigheterna åt men åtgärderna som vi rekommenderar är i stort sett desamma, säger Dan Ljungberg.
Riksrevisionen anser vidare att de tekniska förutsättningarna för att sköta säkerheten finns men att det saknas utbildning av nyckelpersoner.
– Det är en ständigt pågående utveckling, både systemen och omvärlden ändras. Det krävs konstant utbildning för att hänga med.
Rekommenderar ni att myndigheterna tar in extern hjälp för att komma till rätta med problemen?
– Myndigheterna måste själva bedöma vilken kompetens man har internt och vad man eventuellt är tvungen att köpa in. Men när det gäller den här typen av åtgärder handlar det ofta om en engångsinsats i ett komplicerat ämne. Det kan vara bra att ta in extern hjälp men sedan måste den löpande informationssäkerheten skötas av myndigheten, säger Dan Ljungberg.
Riksrevisionen gör allt tätare granskningar av myndigheternas säkerhet. Bakgrunden är att myndigheterna lägger ut allt mer av sin verksamhet på internet samtidigt som angrepp och dataintrång blir allt mer professionella. Sveriges IT-incidentcentrum, Sitic, har visat att nära en tredjedel av alla offentliga organisationer har utsatts för någon form av allvarligt dataintrång eller virusangrepp.
Läs mer om it och offentlig sektor på www.ramavtal.se.
Kommentatorerna ansvarar för sina egna kommentarer