Säkerhet i offentlig sektor

Arbetet med säkerhetsfrågor i offentlig sektor har under senaste år genomgått en positiv utveckling. Säkerhetsperspektivet ges ett större utrymme i samband med strategiska IT-projekt och vid implementeringar av ny teknik, samtidigt som kommunikation och stöd till samhälle och näringsliv både förtydligats och vidgats.

Genom skärpt lagstiftning, på såväl nationell som på EU-nivå, har ökade befogenheter och större ansvar tillfallit olika tillsynsmyndigheter. Detta har dock stundtals gett upphov till svåra diskussioner kring ansvar och ansvarsfördelning, avseende bl.a. korrekt hantering av data under och efter upphandlingar, efterlevnadskontroller över tid och under vilka former molntjänster kan användas.

Den här artikeln är en del av den längre rapporten ”Säkerhetsutmaningar i tider av digitalisering".

Ladda ner rapporten + verktyg för säkerhetsutvärdering

Blicken lyfts

I såväl offentlig som privat sektor har blicken lyfts och många större verksamheter ser idag bortom branschspecifika uppfattningar kring risker i samband med digitalisering. Från offentligt håll har upprustandet av svensk totalförsvarsförmåga och den gråzonsproblematik som uppmärksammas i samband med olika nationella säkerhetsdebatter, t.ex. framtida 5G-nät och det nya nationella cybersäkerhetscentrum, bidragit till en ökad samsyn.

I Radars nyligen genomförda mätningar av hinder i säkerhetsarbetet, ansågs stödet (råd, tips, hjälp) från nationella myndigheter som minst hindrande av privata aktörer. Brister hos leverantörer av säkerhetslösningar och försenade uppdateringar av applikationer upplevdes i sammanhanget som mer problematiskt. Många statliga aktörer och institutioner har därmed fått en i sammanhanget allt starkare profil.

Positiva tongångar för ett statligt moln

Radars senaste datainsamling, av såväl offentlig som privat sektor, visade på ett stort stöd bland IT-beslutsfattare i offentlig sektor för en lösning som skulle innebära statliga molntjänster. Hela 54 procent ställer sig positivt, medan endast 7 procent ställer sig negativt till ett statligt moln. Att resterande 39 procent är neutrala är heller inte förvånande, då utbredd osäkerhet till stor del ligger till grund för utredningen.

Även om en stor del av cyber- och informations-säkerhetsarbetet inom offentlig sektor har en politisk dimension, tycks styrningen och initiativen driva utvecklingen framåt. Upprättandet av ett cybersäkerhetscentrum och införandet av en cybervärnplikt indikerar att cybersäkerhet fått en mer rättvis placering högre upp på agendan.

Man mäter inte så som man utvärderas

Även om informations- och cybersäkerhet återfinns högt upp agendan indikerar Radars data relativt stora skillnader i hur IT-organisationen upplever att man mäter och utvärderar det egna arbetet, jämfört med hur övriga verksamheten utvärderar detsamma.

Driftstabilitet mätt i antal problem/incidenter samt tillgänglighet är en central mätpunkt hos 71 procent av IT-organisationerna medan endast 19 procent av den övriga verksamheten använder det för att mäta sin IT. Istället är kostnader i termer av budgetuppfyllnad samt kund- och användarnöjdhet mer vanligt förekommande när verksamheter i offentlig sektor utvärderar sin IT-organisation. Skillnaderna kan delvis ha sin förklaring i att diskussioner kring budgetar och projektkostnader sker regelbundet och brett, samma sak med användarnöjdhet och kundnöjdhet.

Driftstörningar och avbrott blir betydelsefulla variabler för verksamheten utanför IT-organisationen först när verksamheten blir drabbad eller när sannolikheten för det ökar, exempelvis i samband med förändringsprocesser.

Strategi och efterlevnad är en stor utmaning

Enligt IT-organisationer i offentlig sektor, återfinns de största säkerhetsutmaningarna inom det strategiska och operativa området. Det omfattar bl.a. etablerandet av en struktur med rutiner för efterlevnad samt utbildningar och kunskapshöjningar för stärkt informationssäkerhet.

Radars data visar på att flertalet olika förebyggande åtgärder är under införande eller redan kontinuerligt förekommande. Drygt 44 procent av offentlig sektor uppger att övningar inom kris- & incidenthantering är under införande, och nästan lika stor andel arbetar kontinuerligt med efterlevnadsfrågor. Det är en stor skillnad mot tidigare och kan liknas vid den aktuella upprustningen av vår totalförsvarsförmåga ner till samhällskritiska instanser.

Satsningar på det strategiska och operativa säkerhetsarbete är inte unikt för offentlig sektor, utan går även att utläsa ur den övergripande marknadsutvecklingen för cybersäkerhetsrelaterade produkter och tjänster. Särskilt noterbar är trenden hos de verksamheter som Radar bedömer som säkerhetsmogna. Hos dessa verksamheter investeras en minskande andel på tekniska säkerhetslösningar och allt mer på operativa säkerhetslösningar.

Tydligare riktlinjer är efterfrågade

Att strategi och efterlevnad blivit mer resurskrävande är till viss del en reaktion på ökad komplexitet. I vissa fall har denna komplexitet gett upphov till en stor osäkerhet. Som exempel kan nämnas nyttjandet av vissa molntjänster mot bakgrund av amerikanska Cloud Act. Osäkerheten grundar sig till viss del i en obalanserad FUD-retorik (Fear, Uncertainty, Doubt) i kombination med relativt färska incidenter i offentlig sektor.

Att man från statligt håll valt att utreda frågan är positivt, då tydligare riktlinjer stärker förutsättningarna för lyckad digitalisering samtidigt som risken för problem minskar. Oavsett om det gäller implementerandet av AI-tillämpningar i mindre skala eller informationslagring i större skala, är riktlinjer och tydlighet avseende nyttjandet av molntjänster i offentlig sektor efterfrågat.

Vi kommer med största sannolikhet se välbehövda förändringar på central nivå när det kommer till strategi och riktlinjer framöver. Men fram till dess är det viktigt att inte bli för passiv och defensiv så att det får den motsatta effekten med ökad risk och minskad generell säkerhet.

Ladda ner rapporten + verktyg för säkerhetsutvärdering

Läs också:

Säkerhet i en våg av digitalisering
Säkerhet och molntjänster
Webinar: State of security in the Nordics

27 maj 2020

Rapport & utvärderingsverktyg: Resilient IT

Världen tar stormsteg mot att bli ”virtual first”. I rapporten delar vi med oss av vad du behöver tänka på. Dessutom får du ett utvärderingsverktyg som hjälper dig att skapa rätt grundförutsättningar och bygga en mer motståndskraftig IT-organisation.

Hur du lyckas med införandet av samarbetsverktyg

När världen går mot att bli virtual first krävs det nya verktyg som möjliggör den digitala arbetsplatsen. Avgörande vid val av samarbetsverktyg är verktygets förmåga att koordinera kollegor och hantera information smidigt.

Virtual first - vår nya verklighet

”Virtual first”, att man föredrar det virtuella framför det fysiska, har skyndats på när den digitala arbetsplatsen fått en allt större betydelse i människors vardag. Det har i sin tur resulterat i ett ökat och breddat användande av samarbetsplattformar men även en ökad belastning på IT.

Virtual first ställer nya krav på arbetsplatsen

Ett stressat införande av samarbetsverktyg kan framkalla digital stress och flaskhalsar hos en organisation. Genom att skapa förståelse kring varför man väljer att integrera ett nytt verktyg samt hur det fungerar kan man undvika eventuell oro och därmed åstadkomma en mer lyckad leverans.

Video: Så förvandlar du din data till insikter

Vill du undvika att falla i den vanligaste fällan när det gäller data? Lägg 3 minuter på vår film ”How to turn data into insights.”

Whitepaper: Det digitala guldet – insikter från 5 experter på data

Så förvandlar du din data till affärsnytta. Fem experter delar med sig av sina insikter i vårt Whitepaper.