MSB har utvecklat Infosäkkollen, ett verktyg som stödjer uppföljning och förbättring av systematiskt informationssäkerhetsarbete i kommuner, regioner och statliga myndigheter.
Verktyget ger samtidigt en lägesbild över informationssäkerheten i offentlig sektor.
Den första mätningen visar på bekymmersamma brister i stora delar av den offentliga förvaltningen.
Infosäkkollen har tagits fram i två syften. För att skapa en nationell lägesbild över det systematiska informationssäkerhetsarbetet i svensk offentlig förvaltning, samt för att stödja offentlig förvaltning att kartlägga den egna säkerhetssituationen, identifiera utvecklingsbehov och få tips och stöd om förbättringar. Den första mätningen är nu genomförd. MSB har gjort en samlad bedömning av läget och vad som behöver förbättras.
– Den första mätningen visar att offentlig förvaltning behöver höja nivån på det systematiska informationssäkerhetsarbetet. Sverige är bra på digitalisering, men behöver satsa mer på informationssäkerhet, och den allvarliga säkerhetspolitiska utvecklingen gör det ännu mer aktuellt under kommande år. MSB satsar på att bistå med mera stöd. Nu är det viktigt att många tar chansen att förbättra informations- och cybersäkerheten, genom att säkerställa att det finns personal som kan driva arbetet och att informations- och cybersäkerhet görs till en ledningsfråga, säger Charlotte Petri Gornitzka, GD på MSB.
Att så många organisationer har så låga resultat i Infosäkkollen är bekymmersamt. Resultatet av mätningen visar också att det fortfarande är många statliga myndigheter som inte lever upp till MSB:s föreskrifter, som infördes redan 2009. Resursbrist uppges ofta som ett hinder, pandemin och omställningen den har medfört har också påverkat informationssäkerhetsarbetet. Det är dock glädjande att över 300 organisationer frivilligt svarat på Infosäkkollen och MSB tolkar det som att frågorna tas på allt mer allvar.
Inget systematiskt arbete
MSB bedömer att arbetet behöver prioriteras från ledningsnivå och tilldelas mer resurser. Bara genom att upprätthålla de resultat som redan uppnåtts, och göra förbättringar inom några få arbetsområden, skulle en tredjedel av organisationerna kunna höja sin övergripande nivå till nästa mätning under 2023.
– Vår slutsats är att stora delar av den offentliga förvaltningen inte arbetar systematiskt med informationssäkerhet. I synnerhet ser vi att arbetet med uppföljning och kontinuitetshantering brister. De områdena är viktiga att satsa på för alla organisationer, för att veta om arbetet man gör är effektivt, och för att kunna hantera incidenter. Många kan höja sin nivå med relativt små åtgärder och här ser vi behov av en tydligare viljeinriktning från organisationernas ledningar, säger Åke Holmgren, chef för avdelningen för cybersäkerhet och säkra kommunikationer.
Verktyget är till stor hjälp
MSB bidrar genom Infosäkkollen till en möjlig effekthöjning. Organisationer som använder verktyget får en struktur att förhålla sig till, erbjuds samarbetsmöjligheter och kan upprätta en automatiskt genererad handlingsplan.
– Infosäkkollen har hjälpt oss att få en bättre systematik i arbetet. Vi har inte kommit så långt, men med verktygets hjälp har vi lagt upp en plan för arbetet framåt och vi har tagit fram flera dokument som kommer att beslutas inom kort. Det har varit en stor hjälp att komma framåt i ett komplicerat arbete, menar en representant från en av de svarande organisationerna.
Frågestund om resultat
I höst kommer MSB ordna frågestunder om resultatet av Infosäkkollen för målgruppen. MSB erbjuder även ett flertal vägledningar inom exempelvis klassning, ledning och styrning samt incident- och kontinuitetshantering. Flera videos om olika delar i arbetet har publicerats. MSB tillhandahåller också webbutbildningar och kurser för arbete på både operativ och strategisk nivå, och arrangerar regelbundet seminarier och nätverksträffar. MSB ser fram emot att bli ännu bättre på att hjälpa till med mer riktat stöd för att tillsammans förbättra den systematiska informationssäkerheten i Sverige.
