Förslag till riksdagsbeslut

Riksdagen ställer sig bakom det som anförs i motionen om att regeringen bör ta fram riktlinjer för hur outsourcing av it-verksamhet så långt som det är möjligt ska kunna undvikas i den offentliga förvaltningen och tillkännager detta för regeringen.

Motivering

Det offentliga hanterar dagligen mängder av information. Mycket av det som skapas och lagras är både viktigt och känsligt. Vissa uppgifter klassas som skyddsvärda, och en del rör även rikets säkerhet. Om informationen går förlorad, stjäls, manipuleras eller sprids till obehöriga kan det få allvarliga följder. Både individer och samhällsstrukturen kräver stora mängder av information för att vardagen ska fungera. Dagens informationshantering sker i hög utsträckning med hjälp av olika it-system. En hög it-användning leder ofta till effektivisering och mer välfungerande tjänster och verksamheter, men innebär även digitala säkerhetsrisker. Det har också skett en tydlig ökning av incidenter relaterade till internet, såsom dataintrång, bedrägerier och spridning av skadlig kod. Vem som ligger bakom kan variera, men det kan t.ex. både handla om privatpersoner, organiserad brottslighet, terrorister och andra statsmakter. Spridning av skyddsvärd information kan ske på grund av slarv eller obetänksamhet eller genom att någon aktivt ser till att skaffa sig den. Ett bristande säkerhetsskydd och bristfällig informationssäkerhet riskerar att få förödande konsekvenser. Incidenter eller störningar som angriper den digitala infrastrukturen kan leda till omfattande problem för t.ex. de finansiella systemen, hälso- och sjukvården, livsmedelsförsörjningen eller den nationella säkerheten. När hanteringen av viktig information brister riskerar detta också att leda till ett försämrat förtroende för etablerade samhällsstrukturer.

Riksrevisionen har återkommande granskat myndigheternas informations­säkerhetsarbete. Tidigare rapporter har visat på ett flertal brister; bl.a. har myndigheternas förutsättningar för ett effektivt informationssäkerhetsarbete liksom uppföljningsarbetet varit alltför dåligt. Den senaste rapporten (RiR 2016:8) visar på liknande problem. Nivån på informationssäkerheten hos de granskade myndigheterna ligger märkbart under vad som är tillräckligt. En viktig förklaring är enligt Riksrevisionen att förståelsen för vikten av en god informationssäkerhet överlag är alltför liten, vilket i sin tur får till följd att arbetet inte prioriteras tillräckligt i förhållande till riskerna. Det visar inte minst problemen med Transportstyrelsens upphandling. Riksrevisionen konstaterar vidare att regeringen inte har sett till att det finns nödvändiga förutsättningar för myndigheterna. Också Säpo har tidigare och nyligen (exempelvis i Säkerhetspolisens årsbok 2017) riktat kritik mot bristande it- och informationssäkerhet hos myndigheterna.

Samtidigt som myndigheterna inte klarar av att hantera uppgifterna är det dominerande påbudet att allt fler it-områden ska läggas ut på entreprenad. I Riksrevisionens rapport It i statsförvaltningen från 2011 kritiseras svenska myndigheter för att inte i tillräckligt hög utsträckning pröva frågan om outsourcing av it-verksamheten. Den dåvarande borgerliga regeringen gjorde sin hållning klar när den i efterföljande skrivelse slog fast att det är önskvärt att en större del av myndigheternas it-behov tillfredsställs med hjälp av outsourcing.

Informationssäkerhetsarbetet inom staten har således under lång tid varit alltför dåligt. Att Riksrevisionen konstaterar att arbetet med informationssäkerhet inte når upp till en godtagbar nivå är allvarligt, liksom att regeringen inte har försäkrat sig om att det finns nödvändiga förutsättningar för myndigheterna att upprätthålla en god nivå. Det innebär att problemet är omfattande och att den enskilda myndigheten i sig inte har tillräckliga verktyg för att komma till rätta med de problem som finns. I stället har en allt större andel av it-verksamheten lagts ut på externa aktörer, vilket i flera uppmärksammade fall fått stora negativa konsekvenser.

En politisk vilja till ökad outsourcing av it-tjänster måste sättas i relation till vilka säkerhetsrisker det kan medföra. När kortsiktig vinst blir en drivkraft för att upprätthålla fungerande it-system sätts långsiktigheten på undantag och helheten går förlorad. Även om det i propositionen lämnas förslag som rör säkerhetsprövning m.m. vid exempelvis upphandling så anser vi ändå att det är ett riskmoment i sig att outsourca uppgifter som innebär hantering av säkerhetskänslig information. Outsourcing av skyddsvärda uppgifter bör därför endast ske i undantagsfall. Regeringen bör ta fram riktlinjer för hur outsourcing av it-verksamhet så långt som det är möjligt ska kunna undvikas i den offentliga förvaltningen. Detta bör riksdagen ställa sig bakom och ge regeringen till känna.