Datavakten har sett nærmere på hva rapporten sier om lokalforvaltningen i Sverige og hvilke forbedringstiltak den anbefaler. Funn og anbefalinger er relevante også for kommuner på den riktige siden av kjølen.
Strevsom vinter
Det har vært en strevsom sikkerhetsvinter for svenske kommuner. I slutten av januar ble flere kommuner og regioner rammet av løsepengevirusangrepet mot IT-leverandøren Tietoevry. Vellinge kommune var blant disse. Her regner kommuneledelsen med at et stort antall pasientjournaler er permanent tapt.
I februar ble andre svenske kommuner – Kalmar og Bjuv – utsatt for løsepengevirus og «dobbel utpressing» fra den samme hackergruppen som sto bak angrep på Tietoevry. I Bjuv kommune har hackergruppen («Akira») truet med å offentliggjøre over 200 GB med konfidensiell informasjon, inkludert personalmapper, som ble stjålet under angrepet dersom løsepengekravet ikke innfris. Det har kommunen ikke gått med på.
Hendelsene i januar og februar antyder at svenske kommuner kan ha behov for å styrke arbeidet med informasjonssikkerhet.
Ikke godt nok
Som nevnt ovenfor, er dette også konklusjonen i rapporten utarbeidet av Myndigheten for samhallsskydd og beredskap (MSB). Rapporten baserer seg på resultatene fra en spørreundersøkelse om arbeid med informasjonssikkerhet hos 211 offentlige og private virksomheter. 53 prosent av svenske kommuner svarte på undersøkelsen. Undersøkelsen ble gjennomført i perioden mai-september 2023.
Hovedkonklusjonen i rapporten er at 69 prosent av alle virksomheter som deltok i undersøkelsen ikke når opp til det laveste modenhetsnivået som MSB benytter for å måle kvaliteten på arbeidet med informasjonssikkerhet. MSB mener at kun 3 prosent av de 211 virksomhetene jobber systematisk og planmessig med informasjonssikkerhet. For statlige virksomheter innebærer dette at betydelige forbedringer er nødvendig dersom de skal etterleve kravene som svensk lovgivning stiller til sentrale myndigheters arbeid med informasjonssikkerhet.
Andre hovedkonklusjoner er at 2/3 av virksomhetene i undersøkelsen oppgir at de mangler personell til å forbedre informasjonssikkerheten i sine virksomheter. Nesten 3/4 oppgir at de ikke har budsjett til å heve kvaliteten på dette arbeidet.
Halvparten av virksomhetene mener at ledelsen i liten grad eller ikke i det hele tatt engasjerer seg i arbeidet med sikring av personopplysninger, IT-systemer, digital infrastruktur og andre viktige informasjonsverdier.
Enda litt svakere
Om resultatene er nedslående for samtlige offentlige og private virksomheter som deltok i undersøkelsen, er de enda et hakk verre for svenske kommuner.
76,5 prosent av kommunene oppnår ikke det laveste modenhetsnivået som MSB har definert med hensyn til informasjonssikkerhet. Ifølge MSBs vurderinger, er det bare 2,6 prosent av kommunene som har etablert et tilfredsstillende arbeid innen disse forvaltningsområdene.
Det er spesielt når det gjelder arbeidsområdene ledelsens styring og kontroll, sikkerhetskultur og oppfølging og revisjon av informasjonssikkerheten at kommunene skårer dårligst. Iverksatte sikkerhetstiltak, klassifisering av informasjon og opplæring av ansatte er de arbeidsområdene hvor flest kommuner oppnår best resultat. Men for de fleste kommunene sin del, er resultatet innen disse arbeidsområdene likevel ikke bedre enn det laveste modenhetsnivået definert av MSB.
Det som likevel er positivt, er at resultatene i 2023 er bedre enn da MSB gjennomførte en tilsvarende undersøkelse i 2021. Kommunene rapporterer blant annet om flere iverksatte sikkerhetstiltak enn i 2021. Også innenfor andre områder har kommunene forbedret seg sammenliknet med 2021. Det gjelder for eksempel risikostyring, hendelseshåndtering, beredskap og kontinuitet.
Ledelsens involvering og engasjement i arbeidet med informasjonssikkerhet har ikke forbedret seg siden forrige undersøkelse.
Anbefalinger til kommunene
På bakgrunn av resultatene fra undersøkelsen i 2023, kommer MSB med en rekke anbefalinger til svenske kommuner om hva de bør gjøre for å heve kvaliteten på arbeidet med informasjonssikkerhet. Følgende anbefalinger er de viktigste:
- Sørg for å styrke ledelsesforankringen. Mange svenske kommuner har utarbeidet en informasjonssikkerhetspolicy eller andre styrende dokumenter. Ledelsen blir likevel ikke godt nok informert om arbeidet. Kommunene må derfor se til at ledelsen informeres om status og fremdrift, inkludert hvilke sikkerhetsrisikoer kommunene står overfor og hva som bør gjøres for å håndtere dem.
- Sørg for å forbedre risikostyringen. Mange svenske kommuner har svakheter i risikostyringen av informasjonssikkerheten. Gjennomføring av risikovurderinger og iverksetting av nødvendige sikkerhetstiltak bør bli mindre avhengig av ildsjeler og systematikken i risikostyringen må styrkes.
- Sørg for bedre beredskap og kontinuitet. Mange svenske kommuner er dårlig forberedt på å håndtere alvorlige brudd på informasjonssikkerheten. Beredskaps- og kontinuitetsplanverket bør derfor forbedres og kommunene må øve mer på håndtering av alvorlige hendelser.
I tillegg mener MSB at svenske kommuner har behov for flere andre forbedringer. MSB anbefaler blant annet at kommunene styrker sikkerhetsopplæringen og at de gjennomfører revisjoner av informasjonssikkerheten.
Rapporten fra MSB er tilgjengelig her: https://www.msb.se/sv/publikationer/det-systematiska-informations--och-cybersakerhetsarbetet-i-den-offentliga-forvaltningen--resultatredovisning-av-infosakkollen-och-it-sakkollen-/
