Riksrevisionen kritisk till säkerhet
Myndigheternas informationssäkerhet ligger långt från en godtagbar nivå. Den slutsatsen drar Riksrevisionen efter en granskning. Myndigheten anser att dagens och tidigare regeringar varit passiva.
Riksrevisionen publicerar i dag en granskning som visar att det är långt till att arbetet med informationssäkerhet i statsförvaltningen når en godtagbar nivå. Ingen av de myndigheter som Riksrevisionen har granskat kan sägas ha ett systematiskt informationssäkerhetsarbete som motsvarar kraven, skriver tre företrädare för Riksrevisionen i en debattartikel i Dagens Nyheter.
”Myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser. Det leder till att verksamhetens krav på funktionalitet ofta går före kraven på säkerhet”, skriver riksrevisor Margareta Åberg och revisionsdirektörerna Per Dackenberg och Marcus Pettersson.
Ett tydligt exempel på säkerhetsbristerna är förra veckans problem med Luftfartsverkets radarsystem, som helt stoppade flygtrafiken på flera svenska flygplatser. Ett annat exempel är att problem med E- hälsomyndighetens system i april gjorde att ingen kunde hämta ut receptbelagd medicin hos apoteken.
Riksrevisionens granskning visar att regeringen inte har ställt krav på eller följt upp myndigheternas arbete med informationssäkerhet. Sedan slutet av 1990-talet har flera utredningar tagit upp att något måste göras. Riksrevisionen publicerade en granskning 2014, som visade på omfattande brister i regeringens och myndigheternas arbete med informationssäkerhet. Sedan dess har ytterligare två utredningar kommit, konstaterar de tre och skriver att alla är överens om att god informationssäkerhet är en nödvändig förutsättning för att digitalisera förvaltningen. Men, fortsätter de, det enda som har hänt är att det i april i år infördes en obligatorisk incidentrapportering för statliga myndigheter.
Ett problem är att många ser informationssäkerhet som en rent teknisk fråga. Då blir den ointressant för myndighetsledningarna, och arbetet med risker med informationssäkerheten skiljs från den ordinarie processen för riskhantering, anser de tre från Riksrevisionen:
”Kunskap och intresse brister generellt sett hos både chefer och övrig personal. Regeringens styrsignaler lyser med sin frånvaro och information om hur det ser ut på myndigheterna efterfrågas sällan, vilket kan tyda på att även regeringen ser det som en teknisk fråga som kan hanteras på lägre nivå.”
Enligt Riksrevisionen krävs en starkare styrning från regeringens sida och att regeringen ställer tydliga krav på informationssäkerhetsarbetet, på vad som ska uppnås och när det ska ha skett och sedan följer upp att det blir gjort. Detta bör gälla gentemot alla myndigheter, inte minst dem som hanterar stora mängder känslig information, skriver Margareta Åberg, Per Dackenberg och Marcus Pettersson.
Detta är en nyhetsartikel. Publikts nyhetsrapportering ska vara saklig och korrekt. Tidningen har en fri och självständig ställning gentemot sin ägare, Fackförbundet ST, och utformas enligt journalistiska principer samt enligt spelreglerna för press, radio och TV.