Säkerhet i offentlig sektor

Arbetet med säkerhetsfrågor i offentlig sektor har under senaste år genomgått en positiv utveckling. Säkerhetsperspektivet ges ett större utrymme i samband med strategiska IT-projekt och vid implementeringar av ny teknik, samtidigt som kommunikation och stöd till samhälle och näringsliv både förtydligats och vidgats.

Genom skärpt lagstiftning, på såväl nationell som på EU-nivå, har ökade befogenheter och större ansvar tillfallit olika tillsynsmyndigheter. Detta har dock stundtals gett upphov till svåra diskussioner kring ansvar och ansvarsfördelning, avseende bl.a. korrekt hantering av data under och efter upphandlingar, efterlevnadskontroller över tid och under vilka former molntjänster kan användas.

Blicken lyfts

I såväl offentlig som privat sektor har blicken lyfts och många större verksamheter ser idag bortom branschspecifika uppfattningar kring risker i samband med digitalisering. Från offentligt håll har upprustandet av svensk totalförsvarsförmåga och den gråzonsproblematik som uppmärksammas i samband med olika nationella säkerhetsdebatter, t.ex. framtida 5G-nät och det nya nationella cybersäkerhetscentrum, bidragit till en ökad samsyn.

I Radars nyligen genomförda mätningar av hinder i säkerhetsarbetet, ansågs stödet (råd, tips, hjälp) från nationella myndigheter som minst hindrande av privata aktörer. Brister hos leverantörer av säkerhetslösningar och försenade uppdateringar av applikationer upplevdes i sammanhanget som mer problematiskt. Många statliga aktörer och institutioner har därmed fått en i sammanhanget allt starkare profil.

Positiva tongångar för ett statligt moln

Radars senaste datainsamling, av såväl offentlig som privat sektor, visade på ett stort stöd bland IT-beslutsfattare i offentlig sektor för en lösning som skulle innebära statliga molntjänster. Hela 54 procent ställer sig positivt, medan endast 7 procent ställer sig negativt till ett statligt moln. Att resterande 39 procent är neutrala är heller inte förvånande, då utbredd osäkerhet till stor del ligger till grund för utredningen.

Även om en stor del av cyber- och informations-säkerhetsarbetet inom offentlig sektor har en politisk dimension, tycks styrningen och initiativen driva utvecklingen framåt. Upprättandet av ett cybersäkerhetscentrum och införandet av en cybervärnplikt indikerar att cybersäkerhet fått en mer rättvis placering högre upp på agendan.

Man mäter inte så som man utvärderas

Även om informations- och cybersäkerhet återfinns högt upp agendan indikerar Radars data relativt stora skillnader i hur IT-organisationen upplever att man mäter och utvärderar det egna arbetet, jämfört med hur övriga verksamheten utvärderar detsamma.

Driftstabilitet mätt i antal problem/incidenter samt tillgänglighet är en central mätpunkt hos 71 procent av IT-organisationerna medan endast 19 procent av den övriga verksamheten använder det för att mäta sin IT. Istället är kostnader i termer av budgetuppfyllnad samt kund- och användarnöjdhet mer vanligt förekommande när verksamheter i offentlig sektor utvärderar sin IT-organisation. Skillnaderna kan delvis ha sin förklaring i att diskussioner kring budgetar och projektkostnader sker regelbundet och brett, samma sak med användarnöjdhet och kundnöjdhet.

Driftstörningar och avbrott blir betydelsefulla variabler för verksamheten utanför IT-organisationen först när verksamheten blir drabbad eller när sannolikheten för det ökar, exempelvis i samband med förändringsprocesser.

Strategi och efterlevnad är en stor utmaning

Enligt IT-organisationer i offentlig sektor, återfinns de största säkerhetsutmaningarna inom det strategiska och operativa området. Det omfattar bl.a. etablerandet av en struktur med rutiner för efterlevnad samt utbildningar och kunskapshöjningar för stärkt informationssäkerhet.

Radars data visar på att flertalet olika förebyggande åtgärder är under införande eller redan kontinuerligt förekommande. Drygt 44 procent av offentlig sektor uppger att övningar inom kris- & incidenthantering är under införande, och nästan lika stor andel arbetar kontinuerligt med efterlevnadsfrågor. Det är en stor skillnad mot tidigare och kan liknas vid den aktuella upprustningen av vår totalförsvarsförmåga ner till samhällskritiska instanser.

Satsningar på det strategiska och operativa säkerhetsarbete är inte unikt för offentlig sektor, utan går även att utläsa ur den övergripande marknadsutvecklingen för cybersäkerhetsrelaterade produkter och tjänster. Särskilt noterbar är trenden hos de verksamheter som Radar bedömer som säkerhetsmogna. Hos dessa verksamheter investeras en minskande andel på tekniska säkerhetslösningar och allt mer på operativa säkerhetslösningar.

Tydligare riktlinjer är efterfrågade

Att strategi och efterlevnad blivit mer resurskrävande är till viss del en reaktion på ökad komplexitet. I vissa fall har denna komplexitet gett upphov till en stor osäkerhet. Som exempel kan nämnas nyttjandet av vissa molntjänster mot bakgrund av amerikanska Cloud Act. Osäkerheten grundar sig till viss del i en obalanserad FUD-retorik (Fear, Uncertainty, Doubt) i kombination med relativt färska incidenter i offentlig sektor.

Att man från statligt håll valt att utreda frågan är positivt, då tydligare riktlinjer stärker förutsättningarna för lyckad digitalisering samtidigt som risken för problem minskar. Oavsett om det gäller implementerandet av AI-tillämpningar i mindre skala eller informationslagring i större skala, är riktlinjer och tydlighet avseende nyttjandet av molntjänster i offentlig sektor efterfrågat.

Vi kommer med största sannolikhet se välbehövda förändringar på central nivå när det kommer till strategi och riktlinjer framöver. Men fram till dess är det viktigt att inte bli för passiv och defensiv så att det får den motsatta effekten med ökad risk och minskad generell säkerhet.

Läs också:

Säkerhet i en våg av digitalisering
Säkerhet och molntjänster

27 maj 2020

Säkerhet och molntjänster

Säkerhet målas ofta upp som ett av de största hindren för tillväxten av molntjänster och även generellt vad gäller extern IT-drift. Radars data visar dock att det inte är säkerheten som är problemet, det är IT-organisationens mognad är avgörande.

Säkerhet i en våg av digitalisering

IT behöver definiera, förankra och säkerställa säkerhetsnivåer, både vad gäller infrastruktur och applikationer. Insatser som stärker lämpliga och nödvändiga beteendeförändringar hos alla IT-användare i verksamheten är viktigt.

Bli en digital vinnare

Hur växlar man över till Industri 4.0 på riktigt? Experten identifierar de digitala vinnarna och ger råd om hur nordiska företag kan vässa sin verksamhet för att nå toppskiktet.

Digital novis eller vinnare?

Med hjälp av tre frågor kan du ta tempen på var ditt företag ligger på den skalan och samtidigt få en känsla för vägen framåt.

7 tips: Så blir din organisation snabbare och mer anpassningsbar

I en värld där den tekniska utvecklingen går fortare för varje år ser vi traditionella affärsmodeller falla och nya uppstå. Världen blir snabbare och det måste du också bli. Här är sju tips att ha med dig på resan.

Så ska Dustin ta tillvara på sin egen innovationsförmåga

Så hur ser man till att inte tappa bort sig i interna projekt utan istället ha fortsatt kundfokus och innovationsförmåga? Vi frågade Jenny Litborn, ansvarig för Service Product Management på Dustin, som bland annat leder bolagets strukturerade innovationsarbete.