Arbetet med säkerhetsfrågor i offentlig sektor har under senaste år genomgått en positiv utveckling. Säkerhetsperspektivet ges ett större utrymme i samband med strategiska IT-projekt och vid implementeringar av ny teknik, samtidigt som kommunikation och stöd till samhälle och näringsliv både förtydligats och vidgats.
Genom skärpt lagstiftning, på såväl nationell som på EU-nivå, har ökade befogenheter och större ansvar tillfallit olika tillsynsmyndigheter. Detta har dock stundtals gett upphov till svåra diskussioner kring ansvar och ansvarsfördelning, avseende bl.a. korrekt hantering av data under och efter upphandlingar, efterlevnadskontroller över tid och under vilka former molntjänster kan användas.
Den här artikeln är en del av den längre rapporten ”Säkerhetsutmaningar i tider av digitalisering".
Ladda ner rapporten + verktyg för säkerhetsutvärdering
Blicken lyfts
I såväl offentlig som privat sektor har blicken lyfts och många större verksamheter ser idag bortom branschspecifika uppfattningar kring risker i samband med digitalisering. Från offentligt håll har upprustandet av svensk totalförsvarsförmåga och den gråzonsproblematik som uppmärksammas i samband med olika nationella säkerhetsdebatter, t.ex. framtida 5G-nät och det nya nationella cybersäkerhetscentrum, bidragit till en ökad samsyn.
I Radars nyligen genomförda mätningar av hinder i säkerhetsarbetet, ansågs stödet (råd, tips, hjälp) från nationella myndigheter som minst hindrande av privata aktörer. Brister hos leverantörer av säkerhetslösningar och försenade uppdateringar av applikationer upplevdes i sammanhanget som mer problematiskt. Många statliga aktörer och institutioner har därmed fått en i sammanhanget allt starkare profil.
Positiva tongångar för ett statligt moln
Radars senaste datainsamling, av såväl offentlig som privat sektor, visade på ett stort stöd bland IT-beslutsfattare i offentlig sektor för en lösning som skulle innebära statliga molntjänster. Hela 54 procent ställer sig positivt, medan endast 7 procent ställer sig negativt till ett statligt moln. Att resterande 39 procent är neutrala är heller inte förvånande, då utbredd osäkerhet till stor del ligger till grund för utredningen.
Även om en stor del av cyber- och informations-säkerhetsarbetet inom offentlig sektor har en politisk dimension, tycks styrningen och initiativen driva utvecklingen framåt. Upprättandet av ett cybersäkerhetscentrum och införandet av en cybervärnplikt indikerar att cybersäkerhet fått en mer rättvis placering högre upp på agendan.
Man mäter inte så som man utvärderas
Även om informations- och cybersäkerhet återfinns högt upp agendan indikerar Radars data relativt stora skillnader i hur IT-organisationen upplever att man mäter och utvärderar det egna arbetet, jämfört med hur övriga verksamheten utvärderar detsamma.
Driftstabilitet mätt i antal problem/incidenter samt tillgänglighet är en central mätpunkt hos 71 procent av IT-organisationerna medan endast 19 procent av den övriga verksamheten använder det för att mäta sin IT. Istället är kostnader i termer av budgetuppfyllnad samt kund- och användarnöjdhet mer vanligt förekommande när verksamheter i offentlig sektor utvärderar sin IT-organisation. Skillnaderna kan delvis ha sin förklaring i att diskussioner kring budgetar och projektkostnader sker regelbundet och brett, samma sak med användarnöjdhet och kundnöjdhet.
Driftstörningar och avbrott blir betydelsefulla variabler för verksamheten utanför IT-organisationen först när verksamheten blir drabbad eller när sannolikheten för det ökar, exempelvis i samband med förändringsprocesser.
Strategi och efterlevnad är en stor utmaning
Enligt IT-organisationer i offentlig sektor, återfinns de största säkerhetsutmaningarna inom det strategiska och operativa området. Det omfattar bl.a. etablerandet av en struktur med rutiner för efterlevnad samt utbildningar och kunskapshöjningar för stärkt informationssäkerhet.
Radars data visar på att flertalet olika förebyggande åtgärder är under införande eller redan kontinuerligt förekommande. Drygt 44 procent av offentlig sektor uppger att övningar inom kris- & incidenthantering är under införande, och nästan lika stor andel arbetar kontinuerligt med efterlevnadsfrågor. Det är en stor skillnad mot tidigare och kan liknas vid den aktuella upprustningen av vår totalförsvarsförmåga ner till samhällskritiska instanser.

Satsningar på det strategiska och operativa säkerhetsarbete är inte unikt för offentlig sektor, utan går även att utläsa ur den övergripande marknadsutvecklingen för cybersäkerhetsrelaterade produkter och tjänster. Särskilt noterbar är trenden hos de verksamheter som Radar bedömer som säkerhetsmogna. Hos dessa verksamheter investeras en minskande andel på tekniska säkerhetslösningar och allt mer på operativa säkerhetslösningar.
Tydligare riktlinjer är efterfrågade
Att strategi och efterlevnad blivit mer resurskrävande är till viss del en reaktion på ökad komplexitet. I vissa fall har denna komplexitet gett upphov till en stor osäkerhet. Som exempel kan nämnas nyttjandet av vissa molntjänster mot bakgrund av amerikanska Cloud Act. Osäkerheten grundar sig till viss del i en obalanserad FUD-retorik (Fear, Uncertainty, Doubt) i kombination med relativt färska incidenter i offentlig sektor.
Att man från statligt håll valt att utreda frågan är positivt, då tydligare riktlinjer stärker förutsättningarna för lyckad digitalisering samtidigt som risken för problem minskar. Oavsett om det gäller implementerandet av AI-tillämpningar i mindre skala eller informationslagring i större skala, är riktlinjer och tydlighet avseende nyttjandet av molntjänster i offentlig sektor efterfrågat.
Vi kommer med största sannolikhet se välbehövda förändringar på central nivå när det kommer till strategi och riktlinjer framöver. Men fram till dess är det viktigt att inte bli för passiv och defensiv så att det får den motsatta effekten med ökad risk och minskad generell säkerhet.
Ladda ner rapporten + verktyg för säkerhetsutvärdering
Läs också:
Säkerhet i en våg av digitalisering
Säkerhet och molntjänster
Webinar: State of security in the Nordics


