IT-säkerhet inom myndigheter och kommuner

den 5 maj

Svar på fråga

2008/09:871 IT-säkerhet inom myndigheter och kommuner

Statsrådet Åsa Torstensson

Désirée Liljevall har frågat mig vilka åtgärder jag tänker vidta för att förhindra att informationsläckage uppstår inom statliga myndigheter, landsting och kommuner. 

Frågan föranleds av en undersökning om e-förvaltning hos 39 myndigheter och 16 kommuner i Stockholms och Uppsala län som publicerats av Stockholms Handelskammare den 21 augusti 2008. Av denna framgår att endast 50 procent av de förvaltningar som ingått i undersökningen använder sig av standardregler som finns framtagna för säkerhetsarbetet inom statliga verk. I frågan hänvisas också till att bristande rutiner och hantering av uppgifter vid ett sjukhus i Karlskrona bidragit till att en felaktig operation genomförts. Detta har lett till en så kallad lex Mariaanmälan.

Jag vill tacka Désirée Liljevall för att hon tar upp detta angelägna ämne. Vid ökad elektronisk informationshantering kan informationen lättare föras mellan olika parter. Brister i programvara och system som utsätts för olika hot ger sårbarheter. Bristande kompetens och obetänksamhet är andra faktorer. Området berör många aspekter, förutom de rent tekniska, även frågor om integritet, förtroende för kommunikationsmediet, upphovsrätt och mycket annat.

I Handelskammarens enkätundersökning konstaterades att 22 av de statliga myndigheterna som ingick i studien inte följde en föreskrift om statliga myndigheternas arbete med säkert informationsutbyte (VERVAFS 2007:2) som trätt i kraft den 1 januari 2008. Föreskriften bygger på en internationell standard om ledningssystem för informationssäkerhet (LIS) och anger att statliga myndigheter måste ha en policy och andra styrinstrument för sitt arbete med informationssäkerhet. Varje statlig myndighet ska dessutom utse en eller flera personer som ansvarar för säkerhetsarbetet. Föreskriften lyfter fram regelbundna risk- och sårbarhetsanalyser som en viktig grund för säkerhetsarbetet. Om dessa förhållanden har Handelskammaren bland annat frågat i sin enkät.

Enligt ansvarsprincipen har offentliga förvaltningar och dess styrelser ett eget ansvar för att informationssäkerheten i verksamheten säkerställs och hanteras på ett lämpligt sätt. När det gäller ledningsfrågor för bland annat informationssäkerhet i kommuner och landsting följer dessa med den lokala politiska självstyrelsen och omfattas inte av Vervas föreskrift.

Med anledning av frågan har departementet underhand erfarit att flertalet av de statliga myndigheter som enligt utredningen inte arbetade enligt LIS-standarden numera gör det, de har genomfört förstudier och driver projekt med tidplaner i denna riktning. Arbetet med att införa ledningssystemet är en process som kräver tid och förberedelser. I de fall som det inte skett beror det på att myndigheten är mycket liten och anger begränsade informationssäkerhetsbehov. Det är i sig inte något hinder för att arbeta enligt LIS-standarden. I något fall utnyttjade en liten myndighet IT-säkerhetssystem hos en samlokaliserad systermyndighet. Riksrevisionen uppmärksammar numera informationssäkerhetsarbetet vid sina årliga revisioner, vilket bland annat ger regeringen ökad möjlighet till uppföljning.

Staten kan bistå kommuner och landsting med kompetens och utbildningsinsatser inom informationssäkerhetsområdet från bland andra Myndigheten för samhällsskydd och beredskap (MSB), Säkerhetspolisen (Säpo), Militärhögskolan och Försvarets radioanstalt (FRA). Därutöver finns också privata konsulter och certifieringsföretag med kompetens inom området. Sveriges IT-incidentcentrum (Sitic) inom Post- och telestyrelsen (PTS) har också kontakter och överenskommelser med flera myndigheter om hur de får stöd för att komma till rätta med incidenter. Övningar är av stor vikt. Den 6–7 maj genomförs till exempel den hittills största övningen i sektorn elektroniska kommunikation (TeleÖ09).

Säpo kontrollerar att statliga myndigheter, kommuner, landsting och vissa företag (bland andra statligt ägda) har ett tillräckligt säkerhetsskydd för den verksamhet man bedriver. Säkerhetspolisen besöker myndigheterna och företagen och inspekterar utformningen av säkerhetsskyddet, ibland med bistånd från FRA. Med säkerhetsskydd avses det fysiska skyddet, skyddet av information och IT-system och skyddet mot insiders. Eventuella brister påtalas. Utöver detta lämnar Säkerhetspolisen kvalificerad rådgivning inom området till skyddsvärda verksamheter.

FRA informationssäkerhetsavdelning bistår sina målgrupper med stöd och råd med att införa tekniska skyddsmekanismer i sina samhällskritiska IT-system och andra förebyggande åtgärder. Syftet är även att bidra till en ökad medvetenhet inom informationssäkerhetsområdet. Vid ett antal incidenttillfällen har FRA bistått målgrupperna med akut teknisk informationssäkerhetsstöd.

Regeringen har fastställt fyra handlingsplaner som samtliga lyfter fram betydelsen av att arbeta med informationssäkerhet. Redan 2006 beslutades om en handlingsplan för Internetsäkerhet. Denna har nyligen uppdaterats av PTS.

MSB förvaltar en handlingsplan för informationssäkerhetsarbetet med ett fyrtiotal punkter som fastställts av regeringen i juni 2008. Enligt sin instruktion ska även MSB, i samverkan med myndigheter, kommuner, landsting, organisationer och företag identifiera och analysera sådana sårbarheter, hot och risker i samhället som kan anses vara särskilt allvarliga.

I handlingsplanen för e-förvaltning, som fastställdes av regeringen i fjol, lyftes betydelsen av informationssäkerhetsarbete fram. Detta framgår även i direktivet till e-delegationen som nyligen tillsatts. En handlingsplan har också beslutats av regeringen avseende e-hälsa och även i denna finns informationssäkerheten med som en del. Socialstyrelsen har också ett särskilt föreskriftsansvar vad gäller patientdatalagen.

Ett väl utvecklat ledningssystem förebygger informationsläckage, men är ingen garanti. Vissa myndigheter ligger mycket långt framme med uppbyggnaden av LIS medan andra bedriver arbetet framåt i projektform och några, främst små myndigheter, ännu inte har kommit i gång. Införande av ledningssystem tar tid, kräver resurser, engagemang och kompetens. Det ankommer i första hand på myndigheternas ledning och styrelse att införa LIS. Regeringen följer utvecklingen, både via den tillsyn som sker, Riksrevisonens rapporter, genom uppföljning av handlingsplanerna och i myndighetsdialogen.